Documente Academic
Documente Profesional
Documente Cultură
Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del
disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la auditoria
deber comprobar la seguridad de los programas en el sentido de garantizar que los
ejecutados por la maquina sean exactamente los previstos y no otros.
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en primer lugar
que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las
causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos
permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico
adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los
parmetros variables de las Libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido
facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de
comprobacin de que la computadora podra funcionar sin el producto adquirido por el
cliente. En cuanto al Software desarrollado por el personal informtico de la empresa, el
auditor debe verificar que ste no agreda ni condiciona al Sistema. Igualmente, debe
considerar el esfuerzo realizado en trminos de costes, por si hubiera alternativas ms
econmicas.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del
comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning
deben diferenciarse de los controles habituales que realiza el personal de Tcnica de Sistemas.
El tunning posee una naturaleza ms revisora, establecindose previamente planes y
programas de actuacin segn los sntomas observados. Se pueden realizar:
De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus acciones
son repetitivas y estn planificados y organizados de antemano.
El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como sus
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza
de las observacio-nes.
*Optimizacin:
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada cargado
adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin se va
poniendo cada vez ms lenta; porque todas las referencias a tablas es cada vez ms grande, la
informacin que est moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner
lenta. Lo que se tiene que hacer es un anlisis de performance, para luego optimizarla, mejorar
el rendimiento de dicha Aplicacin.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus propios
efectivos estn desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su
uso interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo
competencia a las Compaas del ramo. La auditora informtica deber cuidar de que la
actividad de Investigacin y Desarrollo no interfiera ni dificulte las tareas fundamentales
internas.
<La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los
tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una
visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas>
Para el informtico y para el auditor informtico, el entramado conceptual que constituyen las
Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el
soporte fsico-lgico del Tiempo Real. El auditor tropieza con la dificultad tcnica del entorno,
pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la
participacin del monopolio telefnico que presta el soporte. Como en otros casos, la auditora
de este sector requiere un equipo de especialis-tas, expertos simultneamente en
Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geogrficos
reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y cableadas
con recursos propios).
El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas
contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la
topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta
documentacin significara una grave debilidad. La inexistencia de datos sobre la cuantas
lneas existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad
Informtica. Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las
disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin
de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales,
Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades
deben estar muy coordinadas y a ser posible, dependientes de una sola organizacin.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la
informacin.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que hace es
auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a
directorios, que usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall,
entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password
equivocada, cambios de password, etc. La Aplicacin lo puede graficar, tirar en nmeros, puede
hacer reportes, etc.
La seguridad informtica se la puede dividir como Area General y como Area Especifica
(seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar
auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- y
auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido
originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y
conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de
productos de Seguridad lgica y la utilizacin de sofisticados medios criptograficos.
Elementos administrativos
Ejemplo:
3: Certeza
Destruccin - 1 1
-: Despreciable
de Hardware
Borrado de 3 1 1
Informacin
El cuadro muestra que si por error codificamos un parmetro que ordene el borrado de un
fichero, ste se borrar con certeza.
Cuestionarios:
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de
ambos tipos de informacin es una de las bases fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por
otro medios la informacin que aquellos preimpresos hubieran proporcionado.
Entrevistas:
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas:
1. Mediante la peticin de documentacin concreta sobre alguna materia de su
responsabilidad.
La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste
recoge ms informacin, y mejor matizada, que la proporcionada por medios propios
puramente tcnicos o por las respuestas escritas a cuestionarios.
Checklist:
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en
funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no
quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales",
que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus
Checklists.
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya
en productos Software muy potentes y modulares que, entre otras funciones, rastrean los
caminos que siguen los datos a travs del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones
de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendr de antemano
las fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que
comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros
variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar
dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados entornos o toman
criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio para
segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar
contraproducentes si se traspasan los lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la
auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia
informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de
<contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log*> de dicho
Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad
general.
[La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son
programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].
*Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman
las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de
datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va
haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en
el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca
todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se hace es
volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la
informacin que est en el Sistema o que existe dentro de la base de datos.
Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente
<paquetes de auditora>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor", han
llevado a las firmas de software a desarrollar interfaces de transporte de datos entre
computadoras personales y mainframe, de modo que el auditor informtico copia en su propia
PC la informacin ms relevante para su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin
parcial generada por la organizacin informtica de la Compaa.
El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no
van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud posible los
objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos
generales y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los
Controles Generales de Gestin Informtica.
Estudio Inicial
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
2) Departamentos:
El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por
el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.
Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que
va a desenvolverse.
Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos,
ya que los mismos deben constituir un sistema compatible e intercomunicado. La
configuracin de los sistemas esta muy ligada a las polticas de seguridad lgica de las
compaas.
El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos
de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y
remotas, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del Sistema, desde el
software bsico hasta los programas de utilidad adquiridos o desarrollados internamente.
Suele ser habitual clasificarlos en facturables y no facturables.
En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas principales
de las lneas, as como de los accesos a la red pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de
los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo
siguiente:
c. Documentacin
Estos datos proporcionan una visin aceptable de las caractersticas de la carga informtica.
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditora.
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por
el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el
sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el
auditor y cliente.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas,
etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del
personal seleccionado depende de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la
elaboracin es ms compleja y costosa.
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
La auditora Informtica general se realiza por reas generales o por reas especficas. Si se
examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total
y mayores recursos.
Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente
y con menor calidad.
Tcnicas de Trabajo:
- Entrevistas.
- Simulacin.
- Muestreos.
Herramientas:
- Cuestionario Checklist.
- Estndares.
- Monitores.
- Matrices de riesgo.
Informe Final
Cuerpo expositivo:
2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la
situacin.
4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y
estndares existentes en la instalacin.
Big Four (las cuatro grandes), es el trmino ingls utilizado para referirse a las firmas ms
importantes del mundo en el sector de la consultora y auditora. Actualmente las Big Four
estn integradas por las firmas que se mencionan en el siguiente cuadro en el que se muestran
los datos publicados correspondientes al ejercicio 2016:
Ingresos
Ingres Ao Sede
Emplead por Fuent
Firma os fisc centr
os emplead e
(USD) al al
o
$36.8 Estados 3
Deloitte 244,400 $150,572 2016
millardos Unidos
PwC (oficialmente
$35.9 Reino 4
PricewaterhouseCoop 223,468 $160,649 2016
milardos Unido
ers)
$29.7 Reino 5
Ernst & Young (EY) 230,800 $128,683 2016
millardos Unido
$25.4 Pases 6
KPMG 188,982 $134,404 2016
millardos Bajos
Historia
Este grupo de grandes consultoras ha llegado a ser las Big Eight (las ocho grandes),
reducindose hasta quedar en las Big Four tras una serie de fusiones.
Las 8 grandes
El grupo, inicialmente conocido como las ocho grandes durante buena parte del siglo XX,
estaba compuesto por las firmas:
3. Coopers & Lybrand (hasta 1973 Cooper Brothers (Reino Unido) y Lybrand, Ross Bros.,
& Montgomery (EE.UU.)
4. Ernst & Whinney (hasta 1979 Ernst & Ernst (EE.UU.) y Whinney Murray (Reino Unido)
5. Deloitte Haskins & Sells (hasta 1978 Haskins & Sells (EE.UU.) y Deloitte & Co. (Reino
Unido)
7. Price Waterhouse
8. Touche Ross