Repblica Bolivariana De Venezuela Ministerio Del Poder Popular Para La Educacin Universitaria Instituto Universitario De Tecnologa Del Estado

Trujillo Extensin Trujillo

Metodologa para realizar auditoras informticas Herramientas y Tcnicas para la Auditora Informtica

Introduccin Debemos tener en cuenta que la auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes. En el presente trabajo se menciona la metodologa para realizar auditoras informticas dentro de la cual se destaca la planificacin para llevar a cabo una auditoria y la realizacin de la pruebas. De igual forma se mostraran las Herramientas y Tcnicas para la Auditora Informtica. Los documentos necesarios dentro de la auditoria y la metodologa CRMR.

Unidad 4: Metodologa para realizar auditoras informticas

1. Planificacin de la auditoria informtica

Planeamiento. Entendimiento general de la entidad. Consiste en identificar las relaciones entre un Departamento y su entorno (legal, regulatorio, cultura, procesos), entender la organizacin, sus objetivos, estrategias, capacidades y habilidades, as como identificar todos aquellos objetos (reas, procesos, proyectos, etc.) del rea que estn expuestos a riesgos. Anlisis de riesgos. El objetivo de esta fase es desarrollar un anlisis de riesgos que permita identificar que plataforma de tecnologa y sistemas de informacin, son los ms crticos para la operacin de la entidad, con el objeto de desarrollar el plan de trabajo, enfocado en dichos sistemas y plataformas. Plan inicial. En funcin de los resultados del anlisis de riesgos realizado y la normativa de control de tecnologa aplicable a la entidad, elaboraremos un plan inicial de auditora, describiendo el enfoque de evaluacin para los controles generales del computador y ciclos de negocio (controles automticos).

Como todo proyecto implantado dentro de una organizacin, el proyecto de Auditoria Informtica debe iniciar con una fase de planeacin en la cual participen todas las reas de la organizacin para identificar los recursos necesarios que permitirn llevar a cabo un proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, anlisis costo/beneficio, personal humano que intervendr en el proyecto, Marco de referencia de Auditoria informtica que se va a utilizar. Lo cual se resume en obtener un conocimiento inicial de la organizacin a evaluar, con especial nfasis en sus procesos informticos basados en evaluaciones administrativas realizadas a los procesos electrnicos, sistemas y procedimientos, equipos de cmputo, seguridad y confidencialidad de la informacin, y aspectos legales de los sistemas y la informacin. Una vez que se ha obtenido un conocimiento inicial de la organizacin se procede a establecer metas, Programas de trabajo de auditora, personal que intervendr en el proyecto, presupuesto financiero, y las fechas y la manera como se presentarn los informes de las actividades de cumplimiento del proyecto, basados en la realidad de la organizacin evaluada.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, Personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software). Por lo tanto se debe organizar como se llevara a cabo una auditora en informtica la cual requiere una planeacin que inherentemente tiene una serie de pasos previos, los cuales permiten identificar el conjunto de planes relacionados con la funcin de procesamiento de datos. Cada plan debe estar orientado a objetivos y estrategias especficas de acuerdo al tipo de organizacin. Dentro de la auditora en general, la planeacin es uno de los pasos ms importantes, ya que una inadecuada planeacin provocar una serie de problemas que pueden impedir que se cumpla con la auditora o bien hacer que no se efecte con el profesionalismo que debe tener cualquier auditor. Por tal motivo las organizaciones de la actualidad deben contar con una planeacin adecuada para que el resultado de la auditoria ejecutada sea ms eficaz y por ende obtener mejores beneficios. Planeacin es la seleccin y relacin de hechos, as como la formulacin y uso de suposiciones respecto al futuro en la visualizacin y formulacin de las actividades propuestas que se cree sean necesarias para alcanzar los resultados esperados. Consiste en definir un conjunto de proyectos de evaluacin y verificacin de polticas, controles y procedimientos Plan de propios de las reas administrativas, auditoria financieras, operativas, etc., del negocio con objeto de asegurar el buen manejo y administracin de los recursos de la organizacin. (Delgado Xiomar 1998). Una planeacin adecuada es el primer paso necesario para realizar auditoras de sistemas eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditora as como los riesgos del negocio y control asociado. Tambin se deben considerar las necesidades o prioridades que tenga la alta direccin de auditar o evaluar un rea especfica de informtica. Este proceso de planeacin depende en gran medida del diagnstico previo que lleve a cabo el auditor en informtica sobre la situacin que prevalece en cada una de las reas o servicios de la funcin de informtica.

Objetivos de la planeacin de la auditoria Informtica:

Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo. Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin.

Estos objetivos son los que garantizan una buena auditoria informtica, es necesario utilizarlos de gua para determinar lo que ocurre en lo relacionado al procesamiento de datos y as el auditor pueda desempear su trabajo con la calidad y la efectividad esperada. Un entorno informtico bien controlado puede ser ineficiente si no es consistente con los objetivos de la organizacin por lo tanto la planeacin debe ser documentada e incluir:

El establecimiento de objetivos y alcance del trabajo. La obtencin de informacin de apoyo sobre las actividades que se auditarn. La determinacin de los recursos necesarios. El establecimiento de comunicacin necesaria con todos los que estarn involucrados en la auditora. La realizacin en la forma ms apropiada, de una inspeccin fsica para familiarizarse con las actividades y controles a auditar. La preparacin por escrito del programa de auditora. La determinacin de cmo, cundo y a quin se le comunicarn los resultados de la auditora. La obtencin de la aprobacin del plan de trabajo de la auditora

Proceso General de la Auditoria Informtica:

Identificar el origen de la auditoria Realizar una visita preliminar al rea que ser evaluada Establecer los objetivos de la auditoria Determinar los puntos que sern evaluados en la auditoria Elaborar planes, programas y presupuestos para realizar la auditoria. Identificar y seleccionar los mtodos, herramientas, procedimientos necesarios para realizar la auditoria instrumentos y

Asignar los recursos y sistemas computacionales para la auditoria.

La funcin de planeacin en auditoria informtica en una empresa debe generar, como todas las reas del negocio, un plan de proyectos que justifique el trabajo durante cierto periodo, con el fin de que esta funcin se evale segn su desempeo, con parmetros tangibles y mesurables que favorezcan el bienestar de las organizaciones. En la actualidad las empresas slidas que poseen un sistema de informacin adecuado y confiable son las que ms requieren realizar auditoras informticas producto de las situaciones econmicas, sociales y polticas de los pases y deben tomar en cuenta las caractersticas para efectuar una buena planeacin que es la base para obtener resultados satisfactorios. La planeacin en auditorias informticas, luego de realizar sus pasos fundamentales (planeamiento y evaluacin de la estructura actual) finaliza con la entrega de resultados donde se presenta un resumen de todo el proceso evaluado, para obtener respuestas que satisfagan las necesidades de la organizacin, debido a que la planeacin se encarga de arrojar resultados objetivos y especficos de la misma.

Investigacin Preliminar: Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos:

o Administracin. Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica: Objetivos a corto y largo plazo. Recursos materiales y tcnicos. Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos. Aplicacin de Auditoria de Sistemas de Informacin (071-4612)

o Sistemas. Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas.

o Personal participante. Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus caractersticas. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le

retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas

Determinacin de recursos de la Auditora Informtica Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditora. - Recursos humanos - Recursos materiales Recursos materiales Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos:

a.

Recursos materiales Software

Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos del cliente para verificarlos. Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes. b. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual habr de convenir l, tiempo de mquina, espacio de disco, impresoras ocupadas, etc. Recursos Humanos La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado depende de la materia auditable. Es igualmente sealarle que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.

Evaluacin de los recursos humanos: Las expectativas de los ejecutivos, la creciente competencia a nivel nacional e internacional y la creciente diversidad en la fuerza de trabajo, constituyen desafos para el administrador de los recursos humanos de una organizacin. Los directores de corporaciones esperan que sus departamentos de personal contribuyan en aspectos como la mejora de la productividad, la planeacin de la sucesin y el cambio en la cultura corporativa. Adems de contribuir al objetivo de incrementar la ventaja competitiva, el departamento de personal tambin debe cubrir objetivos de carcter social, funcional y personal. Los objetivos sociales asumen en parte la forma de determinadas normativas legales. Los objetivos funcionales aaden una dimensin profesional y tica a los desafos que enfrenta el administrador de recursos humanos. Y los objetivos de carcter personal de cada integrante de la organizacin se hacen ms importantes y complejos a medida que disminuye la velocidad en el crecimiento demogrfico de la fuerza de trabajo y se incrementa su diversidad.

El especialista no puede perder la perspectiva global, que subordina al departamento de recursos humanos al total de la organizacin. Es el triunfo de la organizacin como un todo y no el del departamento de personal, lo que constituye la prioridad absoluta. El logro de los objetivos de la organizacin depende tambin de poder servir a sus integrantes mediante una filosofa proactiva. Los departamentos de personal no pueden partir de la base de que cuanto hacen est bien hecho. De hecho, incurren en errores y ciertas polticas se hacen anacrnicas. Al verificar sus actividades, el departamento de personal puede detectar problemas antes de que se conviertan en serios obstculos. Una evaluacin de las prcticas del pasado y las polticas actuales puede revelar enfoques que ya no corresponden a la realidad y que necesitan cambiarse para ayudar al departamento a cumplir mejor su tarea de enfrentar desafos futuros. La evaluacin de las prcticas anteriores y la investigacin para identificar mejores procedimientos tiene importancia por tres razones: El trabajo que desempee el departamento de personal tiene importancia por las implicaciones legales que conlleva para la empresa. Los costos que genera la administracin del personal son muy significativos. Las actividades de la administracin del personal guardan una relacin directa con la productividad de la organizacin y la calidad del entorno laboral.

Beneficios que aporta la auditoria de la administracin de recursos humanos. Se identifican las contribuciones que hace el departamento de personal a la organizacin. Se mejora la imagen profesional del departamento de personal. Se aliena al administrador del personal a asumir mayor responsabilidad y actuar en un nivel ms alto de profesionalismo. Se esclarecen las responsabilidades y los deberes del departamento. Se facilita la uniformidad de las prcticas y las polticas. Se detectan problemas latentes potencialmente explosivos. Se garantiza el cumplimiento de las disposiciones legales. Se reducen los costos en recursos humanos mediante prcticas mejoradas.

Se promueven los cambios necesarios en la organizacin.

reas que abarca la auditoria de la administracin de recursos humanos. Cubre todas las actividades que lleva a cabo este departamento, as como las actividades de personal que llevan a cabo los gerentes de lnea. Puede incluir a una divisin de la compaa o a toda la organizacin. Proporciona retroalimentacin sobre la forma en que los gerentes de lnea estn cumpliendo sus funciones de personal, as como sobre el desempeo de los especialistas del departamento encargado de esta materia

Elaboracin del Plan y de los programas de trabajo Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y costosa. b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal. En el Plan no se consideran calendarios, porque se manejan recursos genricos y no especficos En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. El Plan establece disponibilidad futura de los recursos durante la revisin. El Plan estructura las tareas a realizar por cada integrante del grupo. En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto

1.1 Pruebas Actividades que planificar por adelantado y sistemticamente. Este proceso de la ingeniera del software una plantilla para las pruebas del software: Los pasos en los que los mtodos especficos de diseo de casos de prueba.

PARA EL DESARROLLO DE PRUEBAS: Obtener los requerimientos en forma clara., planificacin de diseo, Determinar funcionalidad, Identificar aplicaciones de alto riesgo o con prioridad de prueba y Actualizar el plan de prueba. 2. Definicin de pruebas:

El nivel de evidencia a obtener por el auditor, referido a los hechos econmicos y otras circunstancias, debe estar relacionado con la razonabilidad de los mismos y proporcionarle informacin sobre las circunstancias en que se produjeron, con el fin de formarse el juicio profesional que le permita emitir una opinin. Es necesario confiar en pruebas que son ms convincentes que concluyentes, por tanto, con frecuencia puede buscar evidencia de diferentes fuentes o de distinta naturaleza para apoyar un mismo hecho o dato. La evidencia es adecuada cuando sea pertinente para que el auditor emita su juicio profesional. En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

1.

Pruebas clsicas:

Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realizacin de estas pruebas.

2.

Pruebas sustantivas:

Aportan al auditor informtico suficientes evidencias para que se pueda realizar un juicio imparcial. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifica asimismo la exactitud, integridad y validez de la informacin obtenida.

3.

Pruebas de cumplimiento:

Determinan si un sistema de control interno funciona adecuadamente (segn la documentacin, segn declaran los auditados y segn las polticas y procedimientos de la organizacin).

La evidencia de auditora se obtiene, a travs de pruebas de cumplimiento y substantivas, mediante el uso de uno o ms de los siguientes mtodos:

a) Inspeccin: consiste en la revisin de la coherencia y concordancia de los registros contables, as como en el examen de los documentos y activos tangibles.

b) La observacin: consiste en ver la ejecucin de un proceso o procedimiento efectuado por otros. En este sentido un ejemplo es cuando el auditor puede observar cmo el personal de la entidad realiza un inventario fsico o la aplicacin de un control. c) Las preguntas: obtienen informacin apropiada de las personas de dentro y fuera de la entidad. Las preguntas abarcan desde las formuladas por escrito a terceros ajenos a la entidad hasta las hechas oralmente al personal de la misma. Las respuestas a estas preguntas pueden corroborar la evidencia obtenida anteriormente o proporcionar informacin que no se posea, sin perjuicio de su posterior contraste si el auditor lo considera necesario.

d) Las confirmaciones: mediante ellas se obtiene corroboracin, normalmente por escrito, de una informacin contenida en los registros contables, as como la carta con las manifestaciones del cliente. Por ejemplo, el auditor, normalmente, deber solicitar confirmacin de saldos o transacciones a travs de la comunicacin directa con terceros (clientes, proveedores, entidades financieras, etc.).

e) Los clculos: comprueban la exactitud aritmtica de los registros contables y de los clculos y anlisis realizados por la entidad o en la realizacin de clculos independientes.

f) Las tcnicas de examen analtico: comparan los importes registrados con las expectativas desarrolladas por el auditor al evaluar las interrelaciones que razonablemente pueden esperarse entre las distintas partidas de la informacin financiera auditada, estudio de los ndices y tendencias ms significativos, investigacin de variaciones y transacciones atpicas, anlisis de regresin, clculos globales de razonabilidad de saldo respecto a ejercicios anteriores y presupuestos, etc. La evidencia obtenida se deber recoger en los papeles de trabajo de auditora como justificacin y soporte del trabajo efectuado. Un matiz importante y particular, dentro de la problemtica de la Evidencia en general, es aquel que determina los aspectos determinantes de una Evidencia relativa y riesgo probable.

2.1 Pasos para realizar las pruebas Se requieren varios pasos para realizar pruebas en una auditora. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditora que consta de objetivos de control y procedimientos de auditora que deben satisfacer esos objetivos. El proceso de pruebas dentro de una auditora exige que el auditor de sistemas rena evidencia, evale fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditora que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditora debe garantizar una disponibilidad y asignacin adecuada de recursos para realizar el trabajo de auditora adems de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

2.3 Tipos datos de prueba. Tipos de Datos de Prueba: Datos reales y Datos reales Datos reales : probar ocurrencias y casos reales que se presentan en la Institucin, aunque no permiten probar otras rutas programadas pero que no han sido alcanzados por los usuarios para las pruebas en el caso de sistemas en desarrollo,. Datos reales: crean artificialmente tratando de considerar todas combinaciones y rutas posibles. las

3. Tipos de pruebas:

3.1 Prueba de aceptacin Es una aceptacin final basada en las especificaciones del usuario o basada en el uso del programa por el usuario final luego de un perodo de tiempo. Este es el cliente, se determina que el sistema cumple con lo deseado y se obtiene la conformidad del cliente, y ella se divide en pruebas alfa y pruebas beta. Estas pruebas las realiza el cliente. Son bsicamente pruebas funcionales, sobre el sistema completo, y buscan una cobertura de la especificacin de requisitos y del manual del usuario. Estas pruebas no se realizan durante el desarrollo, pues sera impresentable al cliente; sino que se realizan sobre el producto terminado e integrado o pudiera ser una versin del producto o una iteracin funcionad pactada previamente con el clientela experiencia muestra que an despus del ms cuidadoso proceso de pruebas por parte del desarrollador, quedan una serie de errores que slo aparecen cuando el cliente comienza a usarlo.

3.2 Prueba de caja blanca

Asegura las piezas del sistema tienen una operacin interna que se ajusta a las especificaciones y que todos sus componentes internos se han aprobado en forma adecuada. Llamada tambin prueba de caja de cristal es un mtodo de diseo de casos de prueba que usa la estructura de control del diseo procedimental para obtener los casos de prueba.

Tipos de Pruebas de Caja Blanca: Las principales tcnicas de diseo de pruebas de caja blanca son: Prueba de camino bsico y Prueba de la estructura de control

Caja blanca (sistemas) En programacin, se denomina cajas blancas a un tipo de pruebas de software que se realiza sobre las funciones internas de un mdulo. As como las pruebas de caja negra ejercitan los requisitos funcionales desde el exterior del mdulo, las de caja blanca estn dirigidas a las funciones internas. Entre las tcnicas usadas se encuentran; la cobertura de caminos (pruebas que hagan que se recorran todos los posibles caminos de ejecucin), pruebas sobre las expresiones lgico-aritmticas, pruebas de camino de datos (definicin-uso de variables), comprobacin de bucles (se verifican los bucles para 0,1 y n iteraciones, y luego para las iteraciones mximas, mximas menos uno y ms uno).Las pruebas de caja blanca se llevan a cabo en primer lugar, sobre un mdulo concreto, para luego realizar las de caja negra sobre varios subsistemas (integracin).En los sistemas orientados a objetos, las pruebas de caja blanca pueden aplicarse a los mtodos de la clase, pero segn varias opiniones, ese esfuerzo debera dedicarse a otro tipo de pruebas ms especializadas (un argumento podra ser que los mtodos de una clase suelen ser menos complejos que los de una funcin de programacin estructurada).

3.3 Prueba de caja negra Conjunto de condiciones de entrada, ejecuta los requisitos funcionales de un programa, ya conociendo su diseo se realiza una prueba operativa y al mismo tiempo se buscan los errores de interfaz o en las estructuras de datos o acceso a las bases de datos externas y los rendimientos.

Caja negra (sistemas) se denomina caja negra a aquel elemento que es estudiado desde el punto de vista de las entradas que recibe y las salidas o respuestas que produce, sin tener en cuenta su funcionamiento interno. En otras palabras, de una caja negra nos interesar su forma de interactuar con el medio que le rodea (en ocasiones, otros elementos que tambin podran ser cajas negras) entendiendo qu es lo que hace, pero sin dar importancia a cmo lo hace. Por tanto, de una caja negra deben estar muy bien definidas sus entradas y

salidas, es decir, su interfaz; en cambio, no se precisa definir ni conocer los detalles internos de su funcionamiento.

3.4 Prueba de sensibilidad Las pruebas de sensibilidad tratan de descubrir combinaciones de datos dentro de las clases de entrada vlidas que causen inestabilidad o procesamiento inapropiado.

3.5 Prueba de avance

Son las de Pruebas centradas en la verificacin y la de Pruebas centradas en la validacin. La verificacin consiste en determinar si estamos construyendo el sistema correctamente, a partir de los requisitos. La validacin consiste en saber si estamos construyendo el sistema correcto.

3.6 Prueba de huracn

Se utilizan para simular efectos cclicos dentro de una tarea, sea hacen regencias a algunos tipos de pruebas en sistemas en forma de ciclos repetitivos para contemplar el diagnostico. El espcimen puede ser cualquier tipo de elemento usado en cualquier tipo de subcomponente o modulo del sistema auditado. Normalmente las pruebas de huracanes se hacen en mdulos, sub mdulos y partes de o componentes de un sistema

3.7 Prueba en paralelo

Las pruebas en paralelo involucran probar productos en paralelo o subcomponentes de forma simultnea. Una estacin de prueba en paralelo comparte un conjunto de equipos de prueba a travs de mltiples interruptores de prueba, pero, en algunos casos, puede tener un conjunto de hardware por separado para cada UUT. La mayora de los sistemas de prueba no paralelos prueban solo un producto o subcomponente a la vez, dejando inactivas las pruebas de hardware costosas ms de 50 por ciento del tiempo de prueba. Por tanto, con las pruebas en paralelo, usted puede incrementar el procesamiento de

las pruebas de manufactura sin gastar mucho dinero en duplicar o descartar sistemas de prueba adicionales.

3.8 Prueba ascendente y descendente, entre otras. Pruebas de Integracin Tcnica sistemtica para construir la arquitectura del software se llevan a cabo pruebas para descubrir errores asociados con la interfaz. El objetivo es tomar los componentes probados de manera individual y construir una estructura de programa que se haya dictado por diseo.

Pruebas de Integracin descendente Es un enfoque incremental a la construccin de la arquitectura de software. Los mdulos se integran al moverse hacia abajo a travs de la jerarqua de control, comenzando con el modulo de control principal (programa principal).

Pruebas de Integracin ascendente Una estrategia de integracin ascendente puede implementarse con los siguientes pasos: Los componentes en el nivel inferior se combinan en grupos (en ocasiones llamados construcciones o builds) que realizan una subsuncin de software especfica.

4. Evaluacin del procesamiento de datos a nivel organizacional:

4.1 Controles: Los datos son uno de los recursos ms valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los dems inventarios de la organizacin, por lo cual se debe tener presente: a) La responsabilidad de los datos es compartida conjuntamente por alguna funcin determinada y el departamento de cmputo. b) Un problema de dependencia que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poder determinar los propietarios o usuarios posibles (principalmente en el caso de redes y banco de datos) y la responsabilidad de su actualizacin y consistencia. c) Los datos debern tener una clasificacin estndar y un mecanismo de identificacin que permita detectar duplicidad y redundancia dentro de una aplicacin y de todas las aplicaciones en general. d) Se deben relacionar los elementos de los datos con las bases de datos donde estn almacenados, as como los reportes y grupos de procesos donde son generados.

Control de los datos fuente y manejo de cifras de control. La mayora de los delitos por computadora son cometidos por modificaciones de datos fuente al:

Suprimir u omitir datos, Adicionar datos, Alterar datos Duplicar procesos

Esto es de suma importancia en caso de equipos de cmputo que cuentan con sistemas en lnea, en los que los usuarios son los responsables de la captura y modificacin de la informacin al tener un adecuado control con sealamiento de responsables de los datos (uno de los usuarios debe ser el nico responsable de determinado dato), con claves de acceso de acuerdo a niveles.

El primer nivel es el que puede hacer nicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones y consultas y el tercer nivel es el que slo puede hacer todo lo anterior y adems puede realizar bajas Control de operacin La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en la computadora. Los instructivos de operacin proporcionan al operador informacin sobre los procedimientos que debe seguir en situaciones normales y anormales en el procesamiento, y si la documentacin es incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo conducente, generando probablemente errores, reprocesos, desperdicio de tiempo de mquina, se incrementan, pues, los costos del procesamiento de datos. Control de asignacin de trabajo Esta parte se relaciona con la direccin de las operaciones de la computadora en trminos de la eficiencia y satisfaccin del usuario. Esta seccin debe ser comparada con la opinin expresada por el usuario. La funcin clave del programador de cargas de mquina est relacionada con el logro eficiente y efectivo que:

Satisfaga las necesidades de tiempo del usuario. Sea compatible con los programas de recepcin y transcripcin de datos. Permiten niveles efectivos de utilizacin de los equipos y sistemas de operacin. Es gil la utilizacin de los equipos en lnea.

La experiencia muestra que los mejores resultados se logran en organizaciones que utilizan sistemas formales de programacin de actividades, los cuales intentan balancear los factores y medir resultados. Se debern evaluar los procedimientos de programacin de cargas mquina para determinar si se ha considerado atenuar los picos de los procesos, generados por cierres mensuales, y poder balancear las cargas de trabajo de batch y lnea, dando prioridad a los procesos en lnea. Control de medios de almacenamientos masivos Los dispositivos de almacenamiento representan, para cualquier centro de cmputo, archivos extremadamente importantes cuya prdida parcial o total podra tener repercusiones muy serias, no slo en la unidad de informtica, sino len la

dependencia de la cual se presta servicio. Una direccin de informtica bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, adems de mantener registros sistemticos de la utilizacin de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de informacin), principalmente en el caso de las cintas. Adems se deben tener perfectamente identificados los carretes para reducir la posibilidad de utilizacin errnea o destruccin de la informacin. Un manejo adecuado de estos dispositivos permitir una operacin ms eficiente y segura, mejorando adems los tiempos de proceso. Control de almacenamiento masivo Objetivos El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento bsico de la direccin.

Control de mantenimiento Como se sabe existen bsicamente tres tipos de contrato de mantenimiento: El contrato de mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro del contrato y el que no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente el ms caro, pero se deja al proveedor la responsabilidad total del mantenimiento a excepcin de daos por negligencia en la utilizacin de los equipos. Este tipo de mantenimiento normalmente se emplea en equipos grandes. El segundo tipo de mantenimiento es "por llamada", en el cual en caso de descompostura se le llama al proveedor y ste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo (casi todos los proveedores incluyen, en la cotizacin de compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye refacciones. El tercer tipo de mantenimiento es el que se conoce como "en banco", y es aquel en el cual el cliente lleva a las oficinas del proveedor el equipo, y ste hace una cotizacin de acuerdo con el tiempo necesario para su compostura ms las refacciones ( este tipo de mantenimiento puede ser el ms adecuado para computadoras personales). Al evaluar el mantenimiento debemos primero analizar cul de los tres tipos es el que ms nos conviene y en segundo lugar pedir los contratos y revisar con detalles que las clusulas estn perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar contratos que sean parcialmente hacia el proveedor.

Revisin de Controles de la Gestin Informtica: Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditora es la verificacin de la observancia de las normas tericamente existentes en el departamento de Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse sucesivamente y en este orden: 1. Las Normas Generales de la Instalacin Informtica. Se realizar una revisin inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas que carezcan de normativa, y sobre todo verificando que esta Normativa General Informtica no est en contradiccin con alguna Norma General no informtica de la empresa. 2. Los Procedimientos Generales Informticos. Se verificar su existencia, al menos en los sectores ms importantes. Por ejemplo, la recepcin definitiva de las mquinas debera estar firmada por los responsables de Explotacin. Tampoco el alta de una nueva Aplicacin podra producirse si no existieran los Procedimientos de Backup y Recuperacin correspondientes. 3. Los Procedimientos Especficos Informticos. Igualmente, se revisara su existencia en las reas fundamentales. As, Explotacin no debera explotar una Aplicacin sin haber exigido a Desarrollo la pertinente documentacin. Del mismo modo, deber comprobarse que los Procedimientos Especficos no se opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deber verificarse que no existe contradiccin alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informtica debe estar sometida.

4.2 Organizacin en el centro de cmputo

CENTRO DE CMPUTO:

Un Centro de Procesamiento de Datos (CPD) o Centro de cmputo, es el conjunto de recursos fsico, lgicos, y humanos necesarios para la organizacin, realizacin y control de las actividades informticas de una empresa. Es un rea de trabajo cuya funcin es la de concentrar, almacenar y procesar los datos y funciones operativas de una empresa de manera sistematizada. FUNCIONES GENERALES

Un centro de cmputo representa una entidad dentro de la organizacin, la cual tiene como objetivo satisfacer las necesidades de informacin de la empresa, de manera veraz y oportuna. Su funcin primordial es apoyar la labor administrativa para hacerla ms segura, fluida, y as simplificarla. El centro de cmputo es responsable de centralizar, custodiar y procesar la mayora de los datos con los que opera la compaa. Prcticamente todas las actividades de los dems departamentos se basan en la informacin que les proporciona dicho centro. FUNCIONES BSICA DE UN CENTRO DE CMPUTO: Operar el sistema de computacin central y mantener el sistema disponible para los usuarios. Ejecutar los procesos asignados conforme a los programas de produccin y calendarios preestablecidos, dejando el registro correspondiente en las solicitudes de proceso. Revisar los resultados de los procesos e incorporar acciones correctivas conforme a instrucciones de su superior inmediato. Realizar las copias de respaldo (back-up) de la informacin y procesos de cmputo que se realizan en la Direccin, conforme a parmetros preestablecidos. Llevar registros de fallas, problemas, soluciones, acciones desarrolladas, respaldos, recuperaciones y trabajos realizados.

 Aplicar en forma estricta las normas de seguridad y control establecidas. Realizacin de estudios de factibilidad. Desarrollo de Sistemas incluyendo: Anlisis, diseo, implementacin, control y documentacin. Brindar la capacitacin necesaria a los usuarios para el correcto uso de las aplicaciones. Dar mantenimiento a los Sistemas y determinar mejoras. Velar por el buen funcionamiento del equipo de cmputo. Realizar las evaluaciones de las necesidades tcnicas en Software y Hardware. Asesorar a los otros departamentos en lo concerniente a procesamiento de datos. AREA DE ANALISIS

Se analizan los problemas de la empresa para dale una solucin sistematizada. Se Estudian las necesidades de sistematizacin proponiendo alternativas de solucin, considerando las necesidades del usuario y el equipo disponible; desde su anlisis, diseo y elaboracin de programas procesos para asegurar un control ptimo y de seguridad en los datos en el uso y manejo eficiente, as como llevar a cabo pruebas preliminares a los sistemas de informacin para su evaluacin posteriormente la capacitacin al usuario sobre el manejo del mismo. Los proyectos asignados a los analistas no necesariamente requieren de la computadora, ms bien necesitan el tiempo suficiente para realizar el estudio y la proposicin de soluciones de los problemas, planteando diferentes alternativas.

Orden en el centro de cmputo Una direccin de informtica bien administrada debe tener y observar reglas relativas al orden y cuidado de la sala de mquinas. Los dispositivos del sistema de cmputo, los archivos magnticos, pueden ser daados si se manejan en forma

inadecuada y eso puede traducirse en prdidas irreparables de informacin o en costos muy elevados en la reconstruccin de archivos. Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro de la sala de mquinas.

4.3 Evaluacin de la configuracin del sistema de cmputo Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin y revisar las polticas seguidas por la unidad de informtica en la conservacin de su programoteca. Esta seccin est orientada a:

a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cmputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo. b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso c) Evaluar la utilizacin de los diferentes dispositivos perifricos.

4.4 Productividad.

La Tecnologa debera jugar un papel fundamental en el esfuerzo necesario para aumentar la productividad, ya que permitir abaratar la produccin de bienes y la oferta de servicios. El objetivo es evaluar la eficiencia con que opera el rea de captacin y produccin. Verifique que se cuente con una descripcin completa de los trabajos que se corren y la descripcin de las caractersticas de carga. Verifique la existencia de un pronstico de cargas o trabajos que se efectuarn durante el ao, con el objeto de que se prevean los picos en las cargas de trabajo y se pueda distribuir adecuadamente estas cargas.

Unidad 5: Herramientas y Tcnicas para la Auditora Informtica: 1) Cuestionarios: Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias. Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios pre impresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos pre impresos hubieran proporcionado. 1.1 Entrevistas: El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular. 1.2 Checklists: El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma. Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y

oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica. El auditor deber aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa" de calificacin o evaluacin: a. Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo) Ejemplo de Checklist de rango: Se supone que se est realizando una auditora sobre la seguridad fsica de una instalacin y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Clculo. Podran formularse las preguntas que figuran a continuacin, en donde las respuestas tiene los siguientes significados: 1: Muy deficiente. 2: Deficiente. 3: Mejorable. 4: Aceptable. 5: Correcto. Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeo guin. La cumplimentacin de la Checklist no debe realizarse en presencia del auditado.

-Existe personal especfico de vigilancia externa al edificio? -No, solamente un guarda por la noche que atiende adems otra instalacin adyacente. <Puntuacin: 1> -Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los aledaos del Centro de Clculo? -S, pero sube a las otras 4 plantas cuando se le necesita. <Puntuacin: 2> -Hay salida de emergencia adems de la habilitada para la entrada y salida de mquinas? -S, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuacin: 2> -El personal de Comunicaciones, Puede entrar directamente en la Sala de Computadoras? -No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente ms que por causa muy justificada, y avisando casi siempre al Jefe de Explotacin. <Puntuacin: 4> El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente. b. Checklist de rango c. Checklist Binaria

Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente. Ejemplo de Checklist Binaria: Se supone que se est realizando una Revisin de los mtodos de pruebas de programas en el mbito de Desarrollo de Proyectos. -Existe Normativa de que el usuario final compruebe los resultados finales de los programas? <Puntuacin: 1> -Conoce el personal de Desarrollo la existencia de la anterior normativa?

<Puntuacin: 1> -Se aplica dicha norma en todos los casos? <Puntuacin: 0> -Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales? <Puntuacin: 0> Obsrvese como en este caso estn contestadas las siguientes preguntas: -Se conoce la norma anterior? <Puntuacin: 0> -Se aplica en todos los casos? <Puntuacin: 0> Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la evaluacin que en la checklist binaria. Sin embargo, la bondad del mtodo depende excesivamente de la formacin y competencia del equipo auditor. Las Checklists Binarias siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genrico del <si o no> frente a la mayor riqueza del intervalo. No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin correspondientes en las preguntas a realizar. 1.3 Trazas y/o Huellas: Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.

Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio para segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los lmites. No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc. [La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.]. *Log: El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la informacin que est en el Sistema o que existe dentro de la base de datos.

1.4 Software de Interrogacin: Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de auditora>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico. Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin. En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de

ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin. Del mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin ms relevante para su trabajo. Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin parcial generada por la organizacin informtica de la Compaa. Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe realizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.

2. Documentos de Auditoria:
ESTANDARES PARA LA AUDITORIA INFORMATICA: COBIT: (Information Systems Audit and Control Foundation). - Es una herramienta que proporciona a las organizaciones, un panorama general de los riesgos que en ella existen, adems de controlar las Tecnologas de la Informacin de una manera ms eficiente y eficaz; as como aspectos tcnicos que facilitaran las tareas de cada uno de los involucrados. Segn lo que le en la investigacin COBIT est orientado principalmente a los negocios, es decir, que no solamente est hecha para los usuarios y los auditores sino tambin para los propietarios o dueos de un negocio, que se dediquen a alguna actividad comercial. El control que ellos realizan para este tipo de auditoras se basa en una lista para verificar la metodologa de los riesgos a evaluar, enfocndose principalmente en las Tecnologas de la Informacin ya que para ellos estas son el recurso ms importante que posee la organizacin ISO: (International Organization for Standardization (Organizacin Internacional para la Estandarizacin)), es una organizacin no gubernamental establecida en

1947, la misin de la ISO es promover el desarrollo de la estandarizacin y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperacin en la esfera de lo intelectual, cientfico, tecnolgico y econmico. Por lo que le ISO ms que una organizacin son una serie de normas o reglas las cuales se crean para que las empresas se rijan por unos principios de organizacin y para que den estabilidad en el mercado y en la sociedad.

Por ejemplo para crear un producto o servicio este se hace con la finalidad de satisfacer las necesidades y demandas de unos clientes. Para tener buenos rendimientos econmicos y asegurar el futuro, la empresa tiene que organizarse de tal forma que d garantas a los usuarios, compradores, trabajadores, directivos y accionistas adems si estas empresas quieren estar entre los mejores es importante el uso y aplicacin de estndares de calidad internacionales que le permitan ampliar sus mercados, mejorar su posicionamiento y crear valor. Como he mencionado antes para las empresas su informacin es lo ms importantes para ellos, es por ello que ISO ha creado estndares o normas que regulan el nivel de riesgo, ayuda a las empresas a que tengan un mejor manejo y control de la misma as como asegurar su eficiencia, eficacia y la seguridad de la misma.

ESTANDARES INTERNACIONALES DE AUDITORIA Autor: C.P. Nstor Jimnez

Declaracin Del 1 Al 9 Sobre Estndares De Auditoria De Sistemas De Informacin Producidos Por El Concejo De Estndares De Las E D P Auditors Foundatin, Inc.
INDEPENDENCIA: Estndar General No. 1 Actitud y Apariencia.: En todos los asuntos relacionados con auditora, El Auditor de Sistemas de Informacin. Deber ser independiente del auditado en actitud y apariencia. Estndar General No. 2. Relacin Organizacional: La funcin de auditora de sistemas de informacin deber ser lo suficientemente independiente del rea que est auditando, para permitir la obtencin del objetivo de la Auditora.

Estndar General No. 3. Cdigo de tica Profesional: El auditor de Sistemas deber adherirse al Cdigo de tica Profesional de la Fundacin de Auditores de E.D.P.

COMPETENCIA TCNICA Estndar General No. 4 Habilidades y Conocimiento: El auditor de Sistemas de Informacin deber ser tcnicamente competente, y poseer las capacidades y conocimientos necesarios para desempear su trabajo de Auditor. Estndar General No. 5. Educacin Profesional Continua: El auditor de Sistemas de Informacin deber mantener competencia tcnica mediante una apropiada educacin continua.

EJECUCIN DE TRABAJO. Estndar General No. 6. Planeacin y Supervisin: Las Auditorias de Sistemas de Informacin deben ser planeadas y supervisadas para asegurar que los objetivos de la auditora se alcanzan y se satisface el cumplimiento de estos estndares.

Estndar General No. 7. Requerimiento de Evidencia: Durante el curso de la auditora, el auditor de Sistemas de Informacin deber obtener evidencia esencial y suficiente para soportar los hallazgos y conclusiones reportados. Estndar General No. 8. Debido cuidado Profesional: El debido cuidado Profesional debe ser el ejercicio en todos los aspectos del trabajo del Auditor de Sistemas de Informacin, incluyendo la observancia de auditora aplicable.

REPORTE Estndar General No. 9. Reporte del Alcance de la Auditora: En la preparacin de reportes, el auditor de sistemas de informacin, deber plantear los objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y extensin del trabajo de auditora ejecutado. Estndar General No. 10. Reporte de hallazgos y conclusiones: En la preparacin de reportes, el auditor de sistemas de informacin deber plantear los hallazgos y conclusiones relacionados con el trabajo de auditora ejecutado,

al igual que cualquier excepcin calificacin que el auditor tenga con respecto a la auditora.

2.1 Documentos de Auditoria: Documentos relacionados con la auditoria son aquellos documentos con resultados finales de trabajo de los Comits, Sub-Comits, grupos de Trabajo y Task Forces (en breve: gremios de la INTOSAI) aprobados por el INCOSAI como internacionalmente reconocidas normas de auditora de la fiscalizacin externa pblica. Algunos documentos relacionados con la auditora y documentos de trabajo no estn disponibles en todos los idiomas de trabajo de la INTOSAI. En caso que requiera informaciones especficas sobre los distintos gremios se ruega dirigirse directamente a la correspondiente presidencia

Revisin de la Documentacin La revisin de la documentacin de las empresas y la de los trabajadores, es un elemento clave en las auditoras sociales. En combinacin con las entrevistas a los trabajadores, la revisin ayudar a los auditores a obtener una idea ms clara sobre las condiciones de trabajo y empleo de la empresa auditada, incluyendo horas de trabajo, salarios y deducciones, y cualquier queja levantada por los trabajadores. Generalmente, los auditores revisan una variedad de documentos; incluyendo comprobantes de pago, polticas y procedimientos empresariales, contratos laborales, y otros documentos relevantes en el monitoreo de las condiciones de empleo de los trabajadores de la empresa. Cuando una auditora cubrir los temas de contratacin y reclutamiento justo, la revisin debera ser ms profunda y extensa. Se profundiza la revisin de dicha documentacin, con el fin de examinar a mayor nivel de detalle las condiciones de reclutamiento y empleo que enfrentan los trabajadores migrantes. sta se lleva a cabo de una manera ms extensa; y su alcance va ms all de la instalacin y su fuerza laboral, ya que incluye una revisin de las operaciones de los intermediarios laborales, y los trabajadores reclutados y manejados por dichos intermediarios. Es por eso que, una auditoria de contratacin justa, es ms minuciosa y amplia. Hay muchas acciones que pueden tomas las empresas para integrar los principios de contratacin justa en esta fase de la auditora. Ms abajo, se encuentra un listado de los tipos de documentos que se pueden revisar, adems de una explicacin de lo que se debera buscar. Las instrucciones estn divididas en dos

secciones: primero, documentos de la empresa o instalacin que pueden ser revisados; y segundo, documentos de los intermediarios mismos.

2.2 Documentos de la Empresa:

1. Una copia de los contratos firmados entre la empresa y cada uno de los intermediarios que proveen trabajadores migrantes a la empresa. Revisar los contratos para asegurarse de que stos especifican las obligaciones relacionadas con lo siguiente: Servicios provedos por el intermediario laboral; Gastos y honorarios pagados por la empresa y el intermediario laboral; Honorarios de reclutamiento; Prohibicin de trabajo forzoso y trata de personas; Sanciones por falta de cumplimiento con los trminos de los contratos, en relacin a los derechos laboralesy humanos; y Descripcin detallada sobre la cantidad y el tipo de deducciones hechas por la empresa o por el intermediario.

2. Un listado completo de todos los trabajadores huspedes y migrantes empleados en la empresa y otra documentacin Al revisar este listado, es necesario asegurarse de que la siguiente informacin es incluida:

Nombres completos y nmero de identificacin de cada trabajador; Terminal o departamento de trabajo con su horario de trabajo y turno; Fecha de contratacin; Nombre de los intermediarios (en ambos, pas de origen y destino); Direccin e informacin de contacto en el pas de origen; y Informacin de contacto en caso de una emergencia. 3. Un listado completo de todos los intermediarios que proveen trabajadores migrantes a la empresa, y otra documentacin Por cada intermediario, asegurarse de revisar lo siguiente:

Informacin de contacto completa; Informacin sobre las licencias y acreditaciones del intermediario; Informacin sobre las licencias y acreditaciones de cualquier subcontratista o subagente utilizado por el intermediario; y Historial de las acciones tomadas por la empresa para la seleccin, contratacin y evaluacin de los intermediarios laborales.

4. Todas las polticas relevantes de la empresa y su manual de procedimientos operativos La revisin de las polticas y procedimientos de una empresa, tiene dos propsitos bsicos: 1) puede ayudar a examinar el marco de polticas que han sido adoptadas por la instalacin, para enfrentar los principales problemas laborales relacionados con los trabajadores migrantes; y 2) puede proporcionar informacin sobre los procedimientos desarrollados por la instalacin para abordar problemticas de recursos humanos y laborales en el lugar de trabajo. Revisar estos materiales incluyendo polticas de recursos humanos y cdigos de conducta para evaluar el compromiso de la empresa en cuanto a:

o o o o o o o o

La prohibicin del trabajo forzoso y la trata de personas, y todas las formas de engao y coercin en el reclutamiento, la contratacin y el manejo de trabajadores migrantes; Trato justo de los trabajadores en relacin a: Remuneracin; Horas de trabajo; Horas extras; Derechos a baja (por ejemplo, por maternidad o razones medicas); Membresa en sindicatos; Alojamiento; y Beneficios y seguro social. La contratacin de intermediarios comprometidos a no cobrar ningn horario o gasto a los trabajadores por reclutamiento. La prohibicin de la confiscacin o retencin de pasaportes u otros documentos de valor de los trabajadores. Si la retencin de dichos documentos es requerida por ley, o solicitada por los trabajadores, revisar los procedimientos de la empresa, para asegurarse de que sta, tiene un mecanismo claro y transparente que garantiza que los trabajadores pueden tener acceso a sus pertenencias en el momento que los requieran. La prohibicin de: La coleccin de depsitos o fianzas durante el reclutamiento o durante la relacin de empleo;

o o

Horas extras obligatorias o no voluntarias que sobrepasan los limites establecidos por las leyes nacionales; y Sanciones disciplinarias que utilizan el trabajo forzoso u obligatorio como castigo por infracciones en el lugar de trabajo. Prcticas de recursos humanos relacionadas con el reclutamiento, contratos laborales, salarios, y horas de trabajo; las cuales contribuyen a minimizar el riesgo de trabajo forzoso o la trata de personas. Garantas de libertad de movimiento y libertad personal de los trabajadores, en las residencias operadas por los empleadores. Desarrollo progresivo de un proceso eficaz de seleccin y contratacin de intermediarios laborales responsables, que incluya herramientas y metodologas de evaluacin rigorosas.

5. Archivos de personal de un nmero representativo de los trabajadores migrantes Cuando sean revisados los archivos de personal de los trabajadores migrantes, hay que asegurarse de recolectar la siguiente informacin:

Una copia del pasaporte del trabajador o carnet de identificacin nacional; El nombre e informacin de contracto del intermediario laboral; Informacin de contacto en caso de una emergencia; Notificaciones disciplinarias, si aplica; y El Contrato laboral firmado. Revisar los contratos laborales de cada trabajador migrante, para asegurarse de que las provisiones sobre los salarios cumplen con los estndares mnimos legales, o de la industria. Adems, los contratos laborales deberan:

o o o o

Detallar claramente las circunstancias bajo las cuales los trabajadores pueden dejar su empleo sin sancin, siempre con notificacin de tiempo razonable; Especificar los derechos y responsabilidades de los trabajadores en cuanto a: Salarios; Horas de trabajo; Das libres y bajas anuales; y Procedimientos disciplinarios que pueden resultar en el despido. Reveal no indications of contract substitution or the amendment of original contract provisions with those that are less favorable to the worker.

6. Archivos de personal de trabajadores migrantes despedidos o de trabajadores que han renunciado.

Revisar los archivos de personal de todos los trabajadores migrantes despedidos o de trabajadores que han renunciado. Asegurarse de revisar todos los puntos anteriores, y en especialmente los procedimientos de quejas y disciplina.

Los archivos de personal de los trabajadores despedidos deberan incluir la razn precisa y el detalle del despido, adems de la documentacin de la indemnizacin, cuando esta es requerida por ley; y Los archivos no incluyen ninguna evidencia de violencia, intimidacin, acoso, amenazas o abuso verbal o fsico en el lugar de trabajo.

7. Comprobantes de pago de los trabajadores migrantes (ver la seccin de Enfoque al final del documento)
o

o o o o o

o o

Revisar los comprobantes de pago de los trabajadores migrantes para asegurarse que: Los salarios corresponden con los salarios mnimos establecidos por la ley o la industria, y con los salarios de los ciudadanos que trabajan en el mismo tipo de trabajo o seccin; y Los clculos de salarios son claros y transparentes. No debe de existir ninguna evidencia de deducciones ilegales o no autorizadas. Revisar los records relacionados con los anticipos o prstamos, provedos a los trabajadores migrantes. Asegurarse que: Cumplan con la ley; Las tasas de inters no sean excesivas; Otros trminos de pago sean justos; y Los records indiquen que previo al prstamo, hubo un acuerdo escrito y firmado por los dos partes, sobre los trminos y condiciones del prstamo y los pagos. Cuando la empresa es requerida por ley, o solicitada por el trabajador mismo, a remitir su pago o parte de el, a terceros; revise los registros pertinentes para garantizar que: Se indica que esto se est haciendo con el previo conocimiento y pleno consentimiento del trabajador, y que; El trabajador recibe un comprobante de la cantidad completa remitida.

8. Records de capacitaciones y orientaciones provistas por la empresa Aunque el intermediario laboral puede proporcionar la mayor parte de la capacitacin a los trabajadores migrantes - desde antes de la partida hasta la orientacin en el lugar de trabajo, la empresa puede compartir algunas responsabilidades de capacitacin. Dependiendo de la magnitud de su involucramiento, la instalacin deber mantener registros que documenten el alcance y la naturaleza de las capacitaciones impartidas.

 o o o o o o

Estos registros deben indicar que - antes del despliegue y a su llegada - los trabajadores recibieron orientacin bsica y capacitacin sobre: Sus derechos y responsabilidades en el trabajo, as como las de su empleador; ya sea ste el intermediario o la empresa; Obligaciones contractuales; Trminos y condiciones de empleo; Condiciones de vida; y Procedimientos de quejas que estn en vigor, para los trabajadores en caso de que surja algn problema.

2.3 Papeles de trabajo: Concepto.- Son el conjunto de documentos, planillas o cdulas, en las cuales el auditor registra los datos y la informacin obtenida durante el proceso de Auditora, los resultados y las pruebas realizadas. Los papeles de trabajo tambin pueden constituir la informacin almacenada en cintas, pelculas u otros medios (diskettes), y puede habilitarse sobre listados, y fotocopias de documentos claves de la organizacin, sin incurrir a exceso de copiar todo el archivo. Al preparar el auditor los papeles de trabajo debe evitar acumular exceso de documentacin, (Calidad Vs Cantidad), esto se simplifica utilizando marcas de auditora, es decir, certificando o validando informacin o actuaciones fsicas que se tuvo a la vista, mediante marcas y referencias previamente definidas, tales como: Verificado y cruzado contra registros contables. Sumado % Porcentaje observado. Totalizado Cifras verificadas. Soportes originales vistos. ... entre otras.

Los papeles de trabajo tienen los siguientes propsitos:

Soportar por escrito la planeacin del trabajo de auditora. Instrumento o medio de supervisin y revisin del trabajo de auditora. Registra la evidencia como respaldo de la auditoria y de informe Se constituye en soporte legal en la medida de requerir pruebas. Memoria escrita de la auditora.

En los papeles de trabajo se registran: La planeacin. La naturaleza, oportunidad y el alcance de los procedimientos de auditora desarrollados. Los resultados Las conclusiones extradas y las evidencias obtenidas. Incluyen slo asuntos importantes que se requieran junto con la conclusin del auditor y los hechos que fueron conocidos por el auditor durante el proceso de auditora.

La NIA Documentacin seala que la extensin de los papeles de trabajo es un caso de juicio profesional por lo que es necesario y prctico documentar todos los asuntos importantes que el auditor considere. La SAS y NIA indican que los papeles de trabajo incluyen, entre otros, las siguientes informaciones: Informacin referente a la estructura orgnica de la entidad examinada. Extractos o copias de documentos legales importantes, convenios, y estatutos. Informacin concerniente al entorno econmico y legislativo dentro de los que opera la entidad. Evidencia del proceso de planeamiento incluyendo programas de auditora y cualquier cambio al respecto. Evidencia de la comprensin de los sistemas de contabilidad y de control interno. Evidencia de evaluaciones de los riesgos inherentes y de control. Evidencia sobre la evaluacin del trabajo de auditores internos y las conclusiones alcanzadas. Evidencia de que los trabajos realizados por los auxiliares fue supervisado y revisado. Anlisis de transacciones y balances. Anlisis de tendencias e ndice importantes. Un registro de la naturaleza, tiempo y grado de los procedimientos de auditora desarrollados y de los resultados de dichos procedimientos. Una indicacin sobre quien desarroll los procedimientos de auditora y cuando fueron desarrollados.

Copias de comunicaciones con otros auditores, expertos y otras terceras partes. Copias de cartas o notas referentes a asuntos de auditora comunicados, o discutidos con la entidad, incluyendo los trminos del trabajo y las debilidades sustanciales en control interno. Cartas de presentacin recibidas de la entidad. Conclusiones alcanzadas por el auditor, concernientes a aspectos importantes de la auditora, incluyendo cmo se resolvieron los asuntos excepcionales o inusuales, revelados por los procedimientos del auditor. Copias de los estados financieros, dictamen u otros informes del auditor, etctera.

Propiedad y custodia de los papeles de trabajo.- Los papeles de trabajo son de propiedad de los rganos o firmas de auditora. El auditor debe custodiar con cuidado y vigilancia la integridad de los papeles de trabajo, debiendo asegurar en todo momento, y bajo cualquier circunstancia, el carcter secreto de la informacin contenida en los mismos. Es difcil establecer el tiempo que un auditor debe conservar los papeles de trabajo, pero es recomendable conservarlos porque son importantes para auditorias futuras y para cumplir con los requerimientos legales en caso de litigios. Los archivos de papeles de trabajo para cada examen pueden dividirse en dos grupos bsicos: Archivos corrientes y archivos permanentes. Los archivos corrientes contiene las informaciones relacionadas con la planificacin y supervisin que no son de uso continuo en auditorias posteriores tales como: Revisiones corrientes de controles administrativos. Estados financieros motivo de auditora. Anlisis de informacin financiera Notas a los estados financieros. Correspondencia corriente. (Entrada y salida) Programas de auditora y otros papeles que respaldan observaciones y Preparacin del informe, inclusive el borrador del informe.

las

Los archivos permanentes debern contener informaciones importantes para utilizar en auditorias futuras tales como: El historial legislativo sobre la creacin de la entidad y sus programas y actividades La legislacin de aplicabilidad contina en la entidad, polticas y procedimientos de la entidad. Financiamiento, organizacin y personal Polticas y procedimientos de presupuestos. Contabilidad e informes, estatutos, memorias anuales, etc.

Manuales, (Contable, presupuesto, tesoreria, contratacin, almacn, procesos misionales, entre otros). En general la informacin que no varia con el tiempo.

A manera de ejemplo, a continuacin planteo tres clases de planillas a construir como papeles de trabajo:

BG2 Planilla Sumaria- PASIVO La cual descompone las cifras de Balance y se le asigna referenciacin a todas y cada una de las cuentas. 11 Subplanilla de disponible. La cual descompone la cuenta de disponible. 11105 Planilla analtica- la cual detalla el rubro de Bancos expresamente. Lo anterior supone que los papeles de trabajo realizan una descomposicin de los registros de manera deductiva, es decir de lo general a lo particular.

2.4 Documentacin realizada durante el proceso de auditoria

CONTENIDO GENERAL Descripcin de la tarea realizada: Los papeles de trabajo deben contener la documentacin del plan de auditora. Los programas de auditora que surgen como consecuencia de la planificacin detallada proporcionan un registro adecuado de las pruebas de auditora efectuadas. En la documentacin de dichos procedimientos se debern indicar claramente las razones que originan las decisiones. Los datos y antecedentes obtenidos durante la auditora: debe conocerse y documentarse: Informacin relevante sobre la actividad del ente. Antecedentes del ambiente de control y los sistemas de informacin. Anlisis particular de los montos incluidos en los estados contables: con papeles que detallen las pruebas. Generalmente se recorre el camino inverso del proceso contable, empezando por los estados contables y terminando en los registros cronolgicos.

Las conclusiones sobre el examen practicado: Deben contener un registro de la evaluacin de las evidencias de auditora y las conclusiones a las que se han llegado. ESTRUCTURA Y ORGANIZACIN Identificacin de los registros Los papeles de trabajo deben ser referenciados e identificados para permitir relacionar con facilidad la informacin contenida en los mismos y lograr una bsqueda eficiente de cualquier parte del examen de auditora. La informacin de valor permanente debe ser preparada y archivada de tal manera que se facilite su uso en exmenes posteriores. Pero los papeles de cada ejercicio deben ser independientes. Cuando la informacin que se utiliz para respaldar el informe de auditora es traspasada, se deber incluir una aclaracin al respecto en los papeles de trabajo de los cuales se extrajo tal informacin. Los papeles de trabajo del ao corriente deben referirse a los papeles de trabajo del ao anterior que documentan tal evidencia involucrada y los factores considerados para confirmar que dicha evidencia sigue vigente. No es necesario incluir copias de dichos papeles de trabajo del ao anterior en los legajos del ao corriente.

Informacin requerida Las evidencias obtenidas se vuelcan en planillas de trabajo. Estas deben reunir las caractersticas ya mencionadas, y comprenden normalmente: Nombre del ente Titulo o propsito de la planilla Referencia de la planilla Fecha del examen Referencia al paso del programa de auditora correspondiente y/o explicacin del objetivo de la planilla Descripcin concisa del trabajo realizado y de sus resultados Fuente de la informacin (registro desde el cual fue preparada la planilla o nombre o cargo del empleado que proporciona la informacin) base de seleccin, si correspondiera Referencias cruzadas apropiadas con otras planillas pertinentes Conclusin, si correspondiera Inciales de la persona que prepara la planilla y la fecha en la cual se prepar Evidencia de la revisin

Legajos Cada etapa de la labor del auditor debe estar acompaada con un legajo compilador del trabajo realizado y la evidencia obtenida. As habr un legajo de planificacin, un legajo de informacin permanente y de informacin corriente. LEGAJO DE PLANIFICACIN Este legajo es utilizado para documentar todo lo atinente al proceso de planificacin, la informacin bsica obtenida sobre la cual se sustenta la planificacin y el plan de auditora propiamente dicho. Contenido: La planificacin que debe ser documentada como parte del proceso de planificacin es variada. Parte de esta informacin tiene carcter permanente e integra la base de la informacin que ser utilizada en futuros exmenes; otra es especfica del examen del ao en curso. Por ello a fin de obtener eficiencia, sera recomendable separar la documentacin involucrada en informacin de relevancia permanente e informacin del examen del ao en curso.

Informacin de relevancia permanente: Antecedentes sobre el negocio Sistemas de informacin, ambiente de control, polticas contables, naturaleza y volumen de transacciones y saldos, curso gramas o narrativos de los principales circuitos etc. Auditora interna: responsabilidades aptitudes y organizacin, planes de trabajo etc. Informacin del examen del ao en curso Registro de las actividades de planificacin: reuniones internas y con personal del ente, instrucciones de auditora, decisiones sobre el enfoque y alcance de los procedimientos de auditora. Registro de informacin sobre actividades del ente instrucciones, presupuestos, informes de control. Registro de informacin administrativa: composicin del equipo de trabajo, presupuesto de tiempo y cronograma de trabajo. MEMORANDO DE PLANIFICACIN Es el resultado del proceso de planificacin en el cual se resumen los factores, consideraciones y decisiones significativas pertinentes al enfoque y al alcance de auditora. Registra lo que debe hacerse, la razn por la cual se hace, dnde, cundo y quin lo debe hacer. Se compone de dos partes: Estratgica Evaluacin global de las decisiones sobre el negocio Planillas de decisiones preliminares para los componentes Detallada Matrices de procedimientos de auditora Programas con descripcin de los distintos procedimientos e indicacin del alcance y oportunidad Puede ser necesario efectuar modificaciones al memorando original como consecuencia de, por ejemplo, una mayor comprensin de los asuntos del ente, de ciertos acontecimientos externos inesperados etc. LEGAJO DE INFORMACIN PERMANENTE Teniendo en cuenta que durante la auditora se obtienen evidencias relacionadas principalmente con aspectos legales, societarios y financieros que constituyen la base de informacin para la planificacin del examen y sern utilizadas en aos

sucesivos, sera conveniente archivarlas en un legajo que puede denominarse de informacin permanente. Estos legajos son de consulta permanente. Contenido La informacin que se debe acumular en estos expedientes son: Aspectos legales y societarios _ Acta constitutiva _ Estatutos _ Ttulos de propiedad _ Contratos de alquiles importantes _ Acuerdos de remuneraciones _ Principales contratos comerciales aspectos financieros _ Informacin general sobre el ente _ Acuerdos de prstamos de largo plazo _ Lneas de crdito, otros _ Correspondencia importante del ente _ Acta de reuniones de accionistas, directorio, comits de auditora _ Disposiciones impositivas o contables importantes _ copias de informes especiales Parte de la informacin archivada en este legajo est relacionada con informacin estrictamente confidencial, por ello el contenido de ciertos documentos no debe ser tratado con ningn empleado del ente que no sea especialmente designado. LEGAJO DE INFORMACIN CORRIENTE Durante la etapa de ejecucin de la auditora se llevarn a cabo los procedimientos programados. Es fundamental que estas pruebas, juntamente con las evidencias obtenidas y las respectivas conclusiones, sean documentadas en lo que se denomina legajo corriente. En general, este legajo estar dividido en secciones basadas fundamentalmente en los componentes de los estados contables del ente y referenciadas segn el orden de los ttulos del balance incluyendo en cada seccin pruebas sobre dichos componentes. Parte general Determinados procedimientos de auditora y sus correspondientes papeles de trabajo n estn convenientemente vinculados con partidas especficas de los estados financieros sino que se relacionan con la auditora en su conjunto. Se enumeran a continuacin algunos aspectos habitualmente incluidos en la parte general. Anlisis de los estados financieros en su conjunto. Consiste en al preparacin de estados comparativos y la correspondiente justificacin de las principales variaciones observadas, relacionndolas con los procedimientos aplicados para cada componente en particular. Puede incluirse la

elaboracin de grficos explicativos y comparativos para ventas, produccin, financiamiento etc. como tambin la elaboracin de indicadores econmicos de rentabilidad. Balance de saldos. Se incorpora en este sector el balance entregado por la sociedad para ser auditado comparado con el papel de trabajo del balance de sumas y saldos

Hechos posteriores. Constituye la evidencia de los hechos y circunstancias ocurridos con posterioridad a la fecha de cierre y hasta la emisin del informe, que afectan significativamente los estados financieros. Estos hechos posteriores surgirn del anlisis que se realice sobre las actas de asamblea y directorio, los estados financieros mensuales mas recientes, si hubiera. Contingencias Se plasman aqu las situaciones que implican potenciales riesgos y que surgen de la revisin de actas, averiguaciones con los niveles gerenciales apropiados, temas incluidos en cartas de representacin de la gerencia y del asesor legal, exmenes de contratos especiales etc. Resmenes de actas, registros legales y estatutos. Especialmente para asuntos ligados al seguimiento de juicios o litigios legales Cobertura de seguros. Al obtenerse del ente detalle de las plizas vigentes. Parte especfica por componente Para cada uno de los componentes de los estados contables deber confeccionarse la siguiente informacin Planilla llave Consiste en la exposicin de cada una de las cuentas y los respectivos saldos que conforman los captulos integrantes de los estados financieros con cifras comparativas del ao anterior. En las planillas llave resulta conveniente dejar columnas libres para registrar cualquier ajuste que se determine a medida que se desarrolla el trabajo. Para ello se pueden preparar en formato de tres columnas, con una columna para los montos registrados en los libros, otra para los ajustes y la tercera para los montos finales que aparecen en los estados contables. Saldos al 31/12/x1 reexpresados al 31/12/x2 Cuentas subgrupos Saldo al 31/12/x2 Segn empresa Ajuste y/o reclasificacin de cuentas, segn trabajo de aud. Saldo final al 31/12/x2 a exponer en balance p.ej: mercadera mercadera "a" mercadera "b" mercadera "c" En primer lugar, puede observarse que la columna

que contiene los saldos auditados al 31/12/x1 reexpresados a moneda del ejercicio en curso. Luego las cuentas que componen el captulo respectivo con las tres columnas. Planilla de conclusiones. La finalidad de esta planilla consiste en resumir los resultados del trabajo de auditora y decidir si se han alcanzado los objetivos relativos a cada componente especfico de los estados financieros. De esta forma cada conclusin debe referirse a la labor de auditora sobre la cual se basa, mencionar las excepciones observadas, establecer si la evidencia de auditora que se planific pudo ser observada y por ltimo, expresar una opinin. Notas Los papeles de trabajo deben resumir los temas significativos relacionados con aspectos contables, de auditora y de control relativos al componente. Para ello, estas situaciones se expresan en notas que pueden comprender: _ Debilidades de control _ Cambios en las normas y mtodos contables _ Incertidumbres significativas _ Comentarios sobre partidas _ resumen de errores ajustados y no ajustados Programa de trabajo de auditora En cada seccin se debe incluir una copia del programa de auditora. Normalmente un programa comprende: _ Los pasos detallados que han sido programados. _ referencias a los papeles de trabajo _ Firma e iniciales de la persona que realiza el trabajo y fecha de finalizacin Planillas de detalle Constituyen los rastros claros y completos de las pruebas de auditora efectuadas Los papeles de trabajo deben indicar en forma precisa las razones en que se fundamentan las decisiones para probar ciertos tipos o grupos de operaciones, la base de seleccin, los perodos elegidos para las pruebas y la extensin de las mismas.

2.5 EL INFORME Se ha realizado una visin rpida de los aspectos previos para tenerlos muy presentes al redactar el Informe de Auditora Informtica, esto es, la comunicacin del Auditor Informtico al cliente, formal y, quiz, solemne, tanto del alcance de la auditora; (objetivos, perodo de cobertura, naturaleza y extensin del trabajo realizado) como de los resultados y conclusiones.

Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor riesgo, tarea eminentemente de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico. Aunque no existe un formato vinculante, s existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido. Tambin es cuestin previa decidir si el informe es largo o, por el contrario, corto, por supuesto con otros informes sobre aspectos, bien ms detallados, bien ms concretos, como el informe de debilidades del control interno, incluso de hechos o aspectos; todo ello teniendo en cuenta tanto la legislacin vigente como el contrato con el cliente. En mi modesta opinin, los trminos cliente o proveedor/interno o externo, tpicos de la Gestin de la Calidad, resultan ms apropiados que informtico/auditor informtico/usuario, ya que este ltimo trmino tiene una lamentable connotacin peyorativa. En lo referente a su redaccin, el Informe deber ser claro, adecuado, suficiente y comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomendable. Los puntos esenciales, genricos y mnimos del Informe de Auditora Informtica, son los siguientes:

1.

Identificacin del Informe: El ttulo del Informe deber identificarse con objeto de distinguirlo de otros informes. Identificacin del Cliente: Deber identificarse a los destinatarios y a las personas que efecten el encargo.

2.

3. Identificacin de la entidad auditada: Identificacin de la entidad objeto de la Auditora Informtica. 4. Objetivos de la Auditora Informtica: Declaracin de los objetivos de la auditora para identificar su propsito, sealando los objetivos incumplidos. Normativa aplicada y excepciones: Identificacin de las normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el posible impacto en los resultados de la auditora. Alcance de la Auditora: Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de informacin... sealando limitaciones al alcance y restricciones del auditado. Conclusiones: Informe corto de opinin: Lgicamente, se ha llegado a los resultados y, sobre todo, a la esencia del dictamen, la opinin y los prrafos de salvedades y nfasis, si procede. El Informe debe contener uno de los siguientes tipos de opinin: favorable o sin salvedades, con salvedades, desfavorable o adversa, y denegada.

5.

6.

7.

7.1. Opinin favorable. La opinin calificada como favorable, sin salvedades o limpia, deber manifestarse de forma clara y precisa, y es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional. Es indudable que entre el informe de recomendaciones al cliente, que incluye lo referente a debilidades de control interno en sentido amplio, y las salvedades, existe o puede existir una zona de gran sensibilidad; tan es as que tendr que clarificarse al mximo, pues una salvedad a la opinin deber ser realmente significativa; concretando: ni pasarse, ni no llegar, dicho en lenguaje coloquial; en puridad es un punto de no retorno.

7.2. Opinin con salvedades. Se reitera lo dicho en la opinin favorable al respecto de las salvedades cuando sean significativas en relacin con los objetivos de auditora, describindose con precisin la naturaleza y razones.

Podrn ser stas, segn las circunstancias, las siguientes:

. Limitaciones al alcance del trabajo realizado; esto es, restricciones por parte del auditado, etc. . Incertidumbres cuyo resultado no permita una previsin razonable. . Irregularidades significativas. . Incumplimiento de la normativa legal y profesional.

7.3. Opinin desfavorable. La opinin desfavorable o adversa es aplicable en el caso de:

. Identificacin de irregularidades . Incumplimiento de la normativa legal y profesional, que afecten significativamente a los objetivos de auditora informtica estipulados, incluso con incertidumbres; todo ello en la evaluacin de conjunto y reseando detalladamente las razones correspondientes.

7.4. Opinin denegada. La denegacin de opinin puede tener su origen en:

. Las limitaciones al alcance de auditora. . Incertidumbres significativas de un modo tal que impidan al auditor formarse una opinin. . Irregularidades. . El incumplimiento de normativa legal y profesional.

7.5. Resumen. El siempre difcil tema de la opinin, estrella del Informe de Auditora Informtica, joven como informtica y ms todava como auditora informtica; por tanto, puede decirse que ms que cambiante, mutante. Debido a ello, y adems con la normativa legal y profesional

desacompasadas, la tica se convierte casi en la nica fuente de orientacin para reducir el desfase entre las expectativas del usuario en general y el informe de los auditores. No olvidemos que existe la ingeniera financiera y la contabilidad creativa; tampoco que las entidades que pueden ser auditadas suelen estar sometidas a cambios, como, por ejemplo, la implantacin de aseguramiento y gestin de la calidad -va ISO 9000, va EFQM (modelo europeo )-, reingeniera de procesos y otras transformaciones significativas (adaptaciones al Milenio y al Euro).

8. Resultados: Informe largo y otros informes

Parece ser que, de acuerdo con la teora de ciclos, el informe largo va a colocar al informe corto en su debido sitio, o sea, como resumen del informe largo (quiz obsoleto?). Los usuarios, no hay duda, desean saber ms y desean transparencia como valor aadido. Es indudable que el lmite lo marcan los papeles de trabajo o documentacin de la Auditora Informtica, pero existen aspectos a tener en cuenta:

. El secreto de la empresa. . El secreto profesional. . Los aspectos relevantes de la auditora. .

Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la Auditora Informtica, tal como el de Debilidades de Control Interno o los informes especiales y/o complementarios que exigen algunos organismos gubernamentales, como, por ejemplo, el Banco de Espaa, la Comisin Nacional del Mercado de Valores y la Direccin General de Seguros, entre otros y por ahora.

9. Informes previos

No es una prctica recomendable, aunque s usual en algunos casos, ya que el Informe de Auditora Informtica es, por principio, un informe de conjunto. Sin embargo, en el caso de deteccin de irregularidades significativas, tanto errores como fraudes, sobre todo, se requiere una actuacin inmediata segn la normativa legal y profesional, independientemente del nivel jerrquico afectado dentro de la estructura de la entidad. Recordemos al respecto el delito societario y la responsabilidad civil del Auditor (Informtico).

10. Fecha del Informe

El tiempo no es neutral; la fecha del Informe es importante, no slo por la cuantificacin de honorarios y el cumplimiento con el cliente, sino para conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est realizando un Informe de Auditora Informtica como herramienta de apoyo a la Auditora de Cuentas. En casos conflictivos pueden ser relevantes aspectos tales como los hechos posteriores al fin del perodo de auditora, hechos anteriores y posteriores al trabajo de campo...

11. Identificacin y firma del Auditor

Este aspecto formal del informe es esencial tanto si es individual como si forma parte de una sociedad de auditora, que deber corresponder a un socio o socios legalmente as considerados.

12. Distribucin del Informe

Bien en el contrato, bien en la carta propuesta del Auditor Informtico, deber definirse quin o quines podrn hacer uso del Informe, as como los usos

concretos que tendr, pues los honorarios debern guardar relacin con la responsabilidad civil.

1. CRMR (Computer resource management review) Definicin de la metodologa CRMR: CRMR realiza una evaluacin de eficiencia de utilizacin de los recursos por medio del management. Sus siglas representan Computer Resourse management review que quiere decir Evaluacin de la gestin de Recursos Humanos. En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management. Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios. El mtodo CRMR situaciones: puede aplicarse cuando se producen algunas de estas

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno. Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso. Existen costes excesivos de proceso en el centro de procesos de datos.

Las reas en que el mtodo CRMR puede ser aplicado se corresponde con las sujetas a las condiciones de aplicacin sealadas anteriormente. Gestin de Datos Control de Operaciones Control y utilizacin de recursos humanos y materiales Interfaces y relaciones con usuarios Planificacin Organizacin y administracin.

Conceptualmente la auditoria informtica en general y la de Seguridad en particular, ha de desarrollarse en seis fases bien diferenciadas:

Fase 0. Causas de la realizacin del ciclo de seguridad. Fase 1. Estrategia y logstica del ciclo de seguridad. Fase 2. Ponderacin de sectores del ciclo de seguridad. Fase 3. Operativa del ciclo de seguridad. Fase 4. Clculos y resultados del ciclo de seguridad. Fase 5. Confeccin del informe del ciclo de seguridad. A su vez, las actividades auditoras se realizan en el orden siguiente: 1. Comienzo del proyecto de Auditora Informtica. 2. Asignacin del equipo auditor. 3. Asignacin del equipo interlocutor del cliente. 4. Cumplimentacin de formularios globales y parciales por parte del cliente. 5. Asignacin de pesos tcnicos por parte del equipo auditor. 6. Asignacin de pesos polticos por parte del cliente. 7. Asignacin de pesos finales a segmentos y secciones. 8. Preparacin y confirmacin de entrevistas. 9. Entrevistas, confrontaciones y anlisis y repaso de documentacin. 10. Clculo y ponderacin de subsunciones, secciones y segmentos. 11. Identificacin de reas mejorables. 12. Eleccin de las reas de actuacin prioritaria. 13. Preparacin de recomendaciones y borrador de informe 14. Discusin de borrador con cliente. 15. Entrega del informe. Causas de realizacin de una Auditora de Seguridad Esta constituye la FASE 0 de la auditora y el orden 0 de actividades de la misma. El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situacin de ineficiencia global notoria, etc. De esta manera el auditor conocer el entorno inicial. As, el equipo auditor elaborar el Plan de Trabajo. Estrategia y logstica del ciclo de Seguridad Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3: Fase 1. Estrategia y logstica del ciclo de seguridad 1. Designacin del equipo auditor.

2. Asignacin de interlocutores, validadores y decisores del cliente. 3. Cumplimentacin de un formulario general por parte del cliente, para la realizacin del estudio inicial. Con las razones por las cuales va a ser realizada la auditora (Fase 0), el equipo auditor disea el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en funcin del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del punto anterior. Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La adecuacin de estos se realiza mediante un desarrollo logstico, en el que los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinacin y distribucin de los mencionados recursos, determina a su vez la eficiencia y la economa del Proyecto. Los planes del equipo auditor se desarrolla de la siguiente manera: 1. Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de ser heterogneo en cuanto a especialidad, pero compacto. 2. Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores, para las peticiones de informacin, coordinacin de entrevistas, etc. Segn los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estar en disposicin de comenzar la "tarea de campo", la operativa auditora del Ciclo de Seguridad.

Ponderacin de los Sectores Auditados Este constituye la Fase 2 del Proyecto y engloba las siguientes actividades: FASE 2. Ponderacin de sectores del ciclo de seguridad. 3. Mediante un estudio inicial, del cual forma parte el anlisis de un formulario exhaustivo, tambin inicial, que los auditores entregan al cliente para su cumplimentacin. 4. Asignacin de pesos tcnicos. Se entienden por tales las ponderaciones que el equipo auditor hace de los segmentos y secciones, en funcin de su importancia. 5. Asignacin de pesos polticos. Son las mismas ponderaciones anteriores, pero evaluadas por el cliente. Se pondera la importancia relativa de la seguridad en los diversos sectores de la organizacin informtica auditada.

Las asignaciones de pesos a Secciones y Segmentos del rea de seguridad que se audita, se realizan del siguiente modo: Pesos tcnicos Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones. Pesos polticos Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Seccin del Ciclo de Seguridad. Ciclo de Seguridad. Suma Pesos Segmentos = 100 (con independencia del nmero de segmentos consideradas) Segmentos Seg1. Normas y Estndares Seg2. Sistema Operativo Seg3. Software Bsico Seg4. Comunicaciones Seg5. Bases de Datos Seg6. Procesos Seg7. Aplicaciones Seg8. Seguridad Fsica TOTAL Pesos Tcnicos 12 10 10 12 12 16 16 12 100 Pesos Polticos 8 10 14 12 12 12 16 16 100 Pesos Finales 10 10 12 12 12 14 16 14 100

Pesos finales Son el promedio de los pesos anteriores. El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es el que se ha asignado a la totalidad del rea de Seguridad, como podra haberse elegido otro cualquiera. El total de puntos se mantiene cualquiera que hubiera sido el nmero de segmentos. Si hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco habra de seguir siendo de 100 puntos. Suma Peso Secciones = 20

(con independencia del nmero de Secciones consideradas) Secciones Secc1. Seg. Fsica de Datos Secc2. Control de Accesos Secc3. Equipos Secc4. Documentos Secc5. Suministros TOTAL Pesos Tcnicos 6 5 6 2 1 20 Pesos Polticos 6 3 4 4 3 20 Pesos Finales 6 4 5 3 2 20

Puede observarse la diferente apreciacin de pesos por parte del cliente y del equipo auditor. Mientras stos estiman que las Normas y Estndares y los Procesos son muy importantes, el cliente no los considera tanto, a la vez que prima, tal vez excesivamente, el Software Bsico. Del mismo modo, se concede a todos los segmentos el mismo valor total que se desee, por ejemplo 20, con absoluta independencia del nmero de Secciones que tenga cada Segmento. En este caso, se han definido y pesado cinco Secciones del Segmento de Seguridad Fsica. Cabe aclarar, solo se desarroll un solo Segmento a modo de ejemplo.

Operativa del ciclo de Seguridad Una vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza la Fase 3, que implica las siguientes actividades: FASE 3. Operativa del ciclo de seguridad 6. Asignacin de pesos finales a los Segmentos y Secciones. El peso final es el promedio del peso tcnico y del peso poltico. La Subsecciones se calculan pero no se ponderan. 7. Preparacin y confirmacin de entrevistas. 8. Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso de la misma. Las entrevistas deben realizarse con exactitud. El responsable del equipo auditor designar a un encargado, dependiendo del rea de la entrevista. Este, por supuesto, deber conocer a fondo la misma.

La realizacin de entrevistas adecuadas constituye uno de los factores fundamentales del xito de la auditora. La adecuacin comienza con la completa cooperacin del entrevistado. Si esta no se produce, el responsable lo har saber al cliente. Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles jerrquicos distintos. El mismo auditor puede, y en ocasiones es conveniente, entrevistar a la misma persona sobre distintos temas. Las entrevistas deben realizarse de acuerdo con el plan establecido, aunque se pueden llegar a agregar algunas adicionales y sin planificacin. La entrevista concreta suele abarcar Subsecciones de una misma Seccin tal vez una seccin completa. Comenzada la entrevista, el auditor o auditores formularn preguntas al/los entrevistado/s. Debe identificarse quien ha dicho qu, si son ms de una las personas entrevistadas. Las Checklists son tiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las respuestas del auditado (no debe estar presente) y procede al levantamiento de la informacin correspondiente. Simultneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y pruebas sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. Estas pruebas se realizan ejecutando trabajos propios o repitiendo los de aqul, que indefectiblemente debern ser similares si se han reproducido las condiciones de carga de los Sistemas auditados. Si las pruebas realizadas por el equipo auditor no fueran consistentes con la informacin facilitada por el auditado, se deber recabar nueva informacin y reverificar los resultados de las pruebas auditoras. La evaluacin de las Checklists, las pruebas realizadas, la informacin facilitada por el cliente y el anlisis de todos los datos disponibles, configuran todos los elementos necesarios para calcular y establecer los resultados de la auditoria, que se materializarn en el informe final. A continuacin, un ejemplo de auditora de la Seccin de Control de Accesos del Segmento de Seguridad Fsica: Vamos a dividir a la Seccin de Control de Accesos en cuatro Subsecciones: 1. 2. 3. 4. Autorizaciones Controles Automticos Vigilancia Registros

En las siguientes Checklists, las respuestas se calificarn de 1 a 5, siendo1 la ms deficiente y 5 la mxima puntuacin.

Control de Accesos: Autorizaciones Preguntas Existe un nico responsable de implementar la poltica de autorizaciones de entrada en el Centro de Clculo? Respuestas Si, el Jefe de Explotacin, pero el Director puede acceder a la Sala con acompaantes sin previo aviso. Puntos 4

Existe alguna autorizacin Una sola. El tcnico permanente permanente de estancia de personal de la firma suministradora. ajeno a la empresa? Quines saben cuales son las personas autorizadas? Adems de la tarjeta magntica de identifica-cin, hay que pasar otra especial? El personal de vigilancia y el Jefe de Explo-tacin. No, solamente la primera.

5 4

Se pregunta a las visitas si piensan No, vale la primera autorizacin. visitar el Centro de Clculo? Se preveen las visitas al Centro de Clculo con 24 horas al menos? No, basta que vayan acompaados por el Jefe de Explotacin o Director

3 3

TOTAL AUTORIZACIONES Control de Accesos: Controles Automticos Preguntas Cree Ud. que los Controles Automticos son adecuados? Quedan registradas todas las entradas y salidas del Centro de Clculo? Al final de cada turno, Se controla el nmero de entradas y salidas del personal de Operacin? Puede salirse del Centro de Clculo sin tarjeta magntica? Respuestas Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal. No, solamente las del personal ajeno a Operacin. S, y los vigilantes los reverifican.

24/30 80% Puntos 3

Si, porque existe otra puerta de emergen-cia que puede abrirse desde adentro

TOTAL CONTROLES AUTOMATICOS Control de Accesos: Vigilancia Preguntas Respuestas

14/20 70% Puntos

Hay vigilantes las 24 horas? Existen circuitos cerrados de TV exteriores? Identificadas las visitas, Se les acompaa hasta la persona que desean ver?

S. S. No.

5 5 2

Conocen los vigilantes los terminales No, sera muy complicado. que deben quedar encendidos por la noche? TOTAL VIGILANCIA Control de Accesos: Registros Preguntas Existe una adecuada poltica de registros? Se ha registrado alguna vez a una persona? Respuestas No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad. Nunca.

14/20 70% Puntos 1

1 1

Se abren todos los paquetes dirigidos Casi nunca. a personas concretas y no a Informtica? Hay un cuarto para abrir los paquetes? Si, pero no se usa siempre.

3 6/20 30%

TOTAL REGISTROS Clculos y Resultados del Ciclo de Seguridad FASE 4. Clculos y resultados del ciclo de seguridad

1. Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan. 2. Identificacin de materias mejorables. 3. Priorizacin de mejoras. En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditora de Seguridad. El trabajo de levantamiento de informacin est concluido y contrastado con las pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el informe final. Solo faltara calcular el porcentaje de bondad de cada rea; ste se obtiene calculando el sumatorio de las

respuestas obtenidas, recordando que deben afectarse a sus pesos correspondientes. Una vez realizado los clculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuacin para lograrlas. Clculo del ejemplo de las Subsecciones de la Seccin de Control de Accesos: Autorizaciones 80% Controles Automticos 70% Vigilancia 70% Registros 30% Promedio de Control de Accesos 62,5% Cabe recordar, que dentro del Segmento de Seguridad Fsica, la Seccin de Control de Accesos tiene un peso final de 4. Prosiguiendo con el ejemplo, se procedi a la evaluacin de las otras cuatro Secciones, obtenindose los siguientes resultados: Ciclo de Seguridad: Segmento 8, Seguridad Fsica. Secciones Seccin 1. Datos Seccin 2. Control de Accesos Seccin 3. Equipos (Centro de Clculo) Seccin 4. Documentos Peso 6 4 5 3 Puntos 57,5% 62,5% 70% 52,5%

Seccin 5. Suministros 2 47,2% Conocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y ponderar el Segmento 8 de Seguridad Fsica: Seg. 8 = PromedioSeccin1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5) Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20 Seg. 8 = 59,85% A continuacin, la evaluacin final de los dems Segmentos del ciclo de Seguridad: Ciclo de Seguridad. Evaluacin y pesos de Segmentos Segmentos Seg1. Normas y Estndares Seg2. Sistema Operativo Pesos 10 10 Evaluacin 61% 90%

Seg3. Software Bsico Seg4. Comunicaciones Seg5. Bases de Datos Seg6. Procesos Seg7. Aplicaciones Seg8. Seguridad Fsica Promedio Total Area de Seguridad

12 12 12 14 16 14 100

72% 55% 77,5% 51,2% 50,5% 59,8% 63,3%

Sistemtica seguida para el clculo y evaluacin del Ciclo de Seguridad: a. Valoracin de las respuestas a las preguntas especficas realizadas en las entrevistas y a los cuestionarios formulados por escrito. b. Clculo matemtico de todas las subsecciones de cada seccin, como media aritmtica (promedio final) de las preguntas especficas. Recurdese que las subsecciones no se ponderan. c. Clculo matemtico de la Seccin, como media aritmtica (promedio final) de sus Subsecciones. La Seccin calculada tiene su peso correspondiente. d. Clculo matemtico del Segmento. Cada una de las Secciones que lo componen se afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su vez, tiene asignado su peso. e. Clculo matemtico de la auditora. Se multiplica cada valor de los Segmentos por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo asignado a priori a la suma de los pesos de los segmentos.

Supuestos de aplicacin: En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de Datos. El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno. Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso. Existen sobrecargas frecuentes de capacidad de proceso. Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin.

Areas de aplicacin: Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en punto anterior:

Gestin de Datos. Control de Operaciones. Control y utilizacin de recursos materiales y humanos. Interfaces y relaciones con usuarios. Planificacin. Organizacin y administracin.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de un Proyecto complejo. Objetivos: CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan:

Identificar y fijas responsabilidades. Mejorar la flexibilidad de realizacin de actividades. Aumentar la productividad. Disminuir costes Mejorar los mtodos y procedimientos de Direccin.

Alcance: Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo. Se establecen tres clases: 1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de obtencin de beneficios. 2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se hace en la auditora informtica ordinaria. 3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las Recomendaciones, a la par que desarrolla las conclusiones.

Informacin necesaria para la evaluacin del CRMR: Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditora y consultora pueda llevarse a cabo con xito. 1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del Centro de Proceso de Datos del cliente, y con los recursos de ste. 2. Se deber cumplir un detallado programa de trabajo por tareas. 3. El auditor-consultor recabar determinada informacin necesaria del cliente. Se tratan a continuacin los tres requisitos expuestos: 1. No debe olvidarse que se estn evaluando actividades desde el punto de vista gerencial. El contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite a aqul determinar el tipo de esquema organizativo que se sigue. 2. Integracin del auditor en el Centro de Procesos de Datos a revisar 3. Programa de trabajo clasificado por tareas Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas se someter a la siguiente sistemtica:

Identificacin de la tarea. Descripcin de la tarea. Descripcin de la funcin de direccin cuando la tarea se realiza incorrectamente. Descripcin de ventajas, sugerencias y beneficios que puede originar un cambio o modificacin de tarea Test para la evaluacin de la prctica directiva en relacin con la tarea. Posibilidades de agrupacin de tareas. Ajustes en funcin de las peculiaridades de un departamento concreto. Registro de resultados, conclusiones y Recomendaciones. 1. Informacin necesaria para la realizacin del CRMR

El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo. Se exhibe a continuacin una Checklist completa de los datos necesarios para confeccionar el CRMR:

Datos de mantenimiento preventivo de Hardware. Informes de anomalas de los Sistemas. Procedimientos estndar de actualizacin. Procedimientos de emergencia. Monitarizacin de los Sistemas.

Informes del rendimiento de los Sistemas. Mantenimiento de las Libreras de Programas. Gestin de Espacio en disco. Documentacin de entrega de Aplicaciones a Explotacin. Documentacin de alta de cadenas en Explotacin. Utilizacin de CPU, canales y discos. Datos de paginacin de los Sistemas. Volumen total y libre de almacenamiento. Ocupacin media de disco. Manuales de Procedimientos de Explotacin.

Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de las Recomendaciones realizadas.

Conclusin:

Toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el noventa por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa hoy, debe informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la auditoria en s, se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditoria de Sistemas debe hacerse por gente altamente capacitada, una auditoria mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.

Bibliografa http://wiki.monagas.udo.edu.ve/index.php/Planeaci%C3%B3n_de_la_Audito r%C3%ADa_en_Inform%C3%A1tica http://es.scribd.com/doc/81363549/Metodologia-para-realizar-auditoriaInformatica1#download Computer Organization (Computer.org) Testing Computer Software C. Kaner Ingeniera de software R. Pressman http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm http://wiki.monagas.udo.edu.ve/index.php/Evaluaci%C3%B3n_de_Procesos _de_Datos_y_Equipos_de_Computo http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml#ixzz2uNNz amR4