AUDITORIA INFORMATICA DE DESARROLLO DE PROYECTOS O APLICACIONES

La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y

Aplicaciones. A su vez, engloba muchas reas, tantas como sectores informatizables tiene la
empresa. Una Aplicacin recorre las siguientes fases:

Pre requisitos del Usuario (nico o plural) y del entorno

Anlisis funcional
Diseo
Anlisis orgnico (Preprogramacin y Programacin)
Pruebas
Entrega a Explotacin y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del
disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la auditoria
deber comprobar la seguridad de los programas en el sentido de garantizar que los
ejecutados por la maquina sean exactamente los previstos y no otros.

Auditora Informtica de Sistemas:

Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado,
aunque formen parte del entorno general de Sistemas.

Sistemas Operativos:

Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en primer lugar
que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las
causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos
permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico
adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los
parmetros variables de las Libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.

Software Bsico:

Es fundamental para el auditor conocer los productos de software bsico que han sido
facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de
comprobacin de que la computadora podra funcionar sin el producto adquirido por el
cliente. En cuanto al Software desarrollado por el personal informtico de la empresa, el
auditor debe verificar que ste no agreda ni condiciona al Sistema. Igualmente, debe
considerar el esfuerzo realizado en trminos de costes, por si hubiera alternativas ms
econmicas.

Software de Teleproceso (Tiempo Real):

No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones

anteriores son vlidas para ste tambin.

Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del
comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning
deben diferenciarse de los controles habituales que realiza el personal de Tcnica de Sistemas.
El tunning posee una naturaleza ms revisora, establecindose previamente planes y
programas de actuacin segn los sntomas observados. Se pueden realizar:

Cuando existe sospecha de deterioro del comportamiento parcial o general del

Sistema

De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus acciones
son repetitivas y estn planificados y organizados de antemano.

El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como sus
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza
de las observacio-nes.

Optimizacin de los Sistemas y Subsistemas:

Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como consecuencia

de la realizacin de tunnings preprogramados o especficos. El auditor verificar que las
acciones de optimizacin* fueron efectivas y no comprometieron la Operatividad de los
Sistemas ni el plan crtico de produccin diaria de Explotacin.

*Optimizacin:

Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada cargado
adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin se va
poniendo cada vez ms lenta; porque todas las referencias a tablas es cada vez ms grande, la
informacin que est moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner
lenta. Lo que se tiene que hacer es un anlisis de performance, para luego optimizarla, mejorar
el rendimiento de dicha Aplicacin.

Administracin de Base de Datos:

El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una

actividad muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de
Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de la empresa. Al conocer el
diseo y arquitectura de stas por parte de Sistemas, se les encomienda tambin su
administracin. Los auditores de Sistemas han observado algunas disfunciones derivadas de la
relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica general
de los usuarios de Bases de Datos.

La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos

debera asegurarse que Explotacin conoce suficientemente las que son accedidas por los
Procedimientos que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que
competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de los
datos, as como la ausencia de redundancias entre ellos.

Investigacin y Desarrollo:

Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus propios
efectivos estn desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su
uso interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo
competencia a las Compaas del ramo. La auditora informtica deber cuidar de que la
actividad de Investigacin y Desarrollo no interfiera ni dificulte las tareas fundamentales
internas.

<La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los
tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una
visin bastante exacta de la eficiencia y estado de desarrollo de los Sistemas>

Auditora Informtica de Comunicaciones y Redes:

Para el informtico y para el auditor informtico, el entramado conceptual que constituyen las
Redes Nodales, Lneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el
soporte fsico-lgico del Tiempo Real. El auditor tropieza con la dificultad tcnica del entorno,
pues ha de analizar situaciones y hechos alejados entre s, y est condicionado a la
participacin del monopolio telefnico que presta el soporte. Como en otros casos, la auditora
de este sector requiere un equipo de especialis-tas, expertos simultneamente en
Comunicaciones y en Redes Locales (no hay que olvidarse que en entornos geogrficos
reducidos, algunas empresas optan por el uso interno de Redes Locales, diseadas y cableadas
con recursos propios).

El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas
contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la
topologa de la Red de Comunicaciones, actualizada, ya que la desactualizacion de esta
documentacin significara una grave debilidad. La inexistencia de datos sobre la cuantas
lneas existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad
Informtica. Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las
disfunciones organizativas. La contratacin e instalacin de lneas va asociada a la instalacin
de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales,
Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades
deben estar muy coordinadas y a ser posible, dependientes de una sola organizacin.

Auditora de la Seguridad informtica:

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede

ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o
divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o
sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta
informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que

hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes
intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin
("piratas") y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe
tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras
computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la
computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la
organizacin, la copia de programas para fines de comercializacin sin reportar los derechos
de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin
con propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La
seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a
la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios,
sabotajes, robos, catstrofes naturales, etc.

La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la
informacin.

Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso.

Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin
confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos
de estos paquetes.

Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que hace es
auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a
directorios, que usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall,
entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password
equivocada, cambios de password, etc. La Aplicacin lo puede graficar, tirar en nmeros, puede
hacer reportes, etc.

La seguridad informtica se la puede dividir como Area General y como Area Especifica
(seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar
auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- y
auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica -.

Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido
originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y
conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de
productos de Seguridad lgica y la utilizacin de sofisticados medios criptograficos.

El sistema integral de seguridad debe comprender:

Elementos administrativos

Definicin de una poltica de seguridad

Organizacin y divisin de responsabilidades

Seguridad fsica y contra catstrofes(incendio, terremotos, etc.)

Prcticas de seguridad del personal

Elementos tcnicos y procedimientos

Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,

tanto redes como terminales.

Aplicacin de los sistemas de seguridad, incluyendo datos y archivos

El papel de los auditores, tanto internos como externos

Planeacin de programas de desastre y su prueba.

La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se
fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se
elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las
que est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se
presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-
Impacto>>, en donde se evalan las probabilidades de ocurrencia de los elementos de la
matriz.

Ejemplo:

Impacto Amenaza 1: Improbable

Error Incendio Sabotaje .. 2: Probable

3: Certeza
Destruccin - 1 1
-: Despreciable
de Hardware

Borrado de 3 1 1

Informacin

El cuadro muestra que si por error codificamos un parmetro que ordene el borrado de un
fichero, ste se borrar con certeza.

Herramientas y Tcnicas para la Auditora Informtica:

Cuestionarios:

Las auditoras informticas se materializan recabando informacin y documentacin de todo

tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor
consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo,
siempre amparado en hechos demostrables, llamados tambin evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios

preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.

Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de
ambos tipos de informacin es una de las bases fundamentales de la auditora.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por
otro medios la informacin que aquellos preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas:
 1. Mediante la peticin de documentacin concreta sobre alguna materia de su
responsabilidad.

2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo

estricto de sometimiento a un cuestionario.

3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de

antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste
recoge ms informacin, y mejor matizada, que la proporcionada por medios propios
puramente tcnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se

basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga
y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un
cuidadoso sistema previamente establecido, consistente en que bajo la forma de una
conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con
pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es
solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es
diferente para cada caso particular.

Checklist:

El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en
funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no
quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales",
que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus
Checklists.

Trazas y/o Huellas:

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya
en productos Software muy potentes y modulares que, entre otras funciones, rastrean los
caminos que siguen los datos a travs del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones
de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendr de antemano
las fechas y horas ms adecuadas para su empleo.

Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que
comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros
variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar
dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados entornos o toman
criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio para
segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar
contraproducentes si se traspasan los lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la
auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia
informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de
<contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log*> de dicho
Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad
general.

Del mismo modo, el Sistema genera automticamente exacta informacin sobre el

tratamiento de errores de maquina central, perifricos, etc.

[La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son
programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].

*Log:

El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman
las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de
datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va
haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en
el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca
todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se hace es
volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la
informacin que est en el Sistema o que existe dentro de la base de datos.

Software de Interrogacin:

Hasta hace ya algunos aos se han utilizado productos software llamados genricamente
<paquetes de auditora>, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.

Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que

permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin.

En la actualidad, los productos Software especiales para la auditora informtica se orientan

principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de
la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por
cuanto los internos disponen del software nativo propio de la instalacin.

Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor", han
llevado a las firmas de software a desarrollar interfaces de transporte de datos entre
computadoras personales y mainframe, de modo que el auditor informtico copia en su propia
PC la informacin ms relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin
parcial generada por la organizacin informtica de la Compaa.

Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados

por este, que son tratados posteriormente en modo PC. El auditor se ve obligado
(naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los
mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes
productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo
del auditor informtico debe realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente
determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el
manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.

Metodologa de Trabajo de Auditora Informtica

El mtodo de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditora Informtica.

Estudio inicial del entorno auditable.

Determinacin de los recursos necesarios para realizar la auditora.

Elaboracin del plan y de los Programas de Trabajo.

Actividades propiamente dichas de la auditora.

Confeccin y redaccin del Informe Final.

Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

Definicin de Alcance y Objetivos

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no
van a ser auditadas.

Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.

Las personas que realizan la auditora han de conocer con la mayor exactitud posible los
objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos
generales y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los
Controles Generales de Gestin Informtica.

Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la

informtica.

Para su realizacin el auditor debe conocer lo siguiente:

Organizacin:

Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:

1) Organigrama:

El organigrama expresa la estructura oficial de la organizacin a auditar.

Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de
manifiesto tal circunstancia.

2) Departamentos:

Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El

equipo auditor describir brevemente las funciones de cada uno de ellos.

3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:

El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por
el organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.

Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario,

indican relaciones no estrictamente subordinables.

4. Adems de las corrientes verticales intradepartamentales, la estructura organizativa

cualquiera que sea, produce corrientes de informacin horizontales y oblicuas
extradepartamentales.

Entorno Operacional

El equipo de auditora informtica debe poseer una adecuada referencia del entorno en el que
va a desenvolverse.

Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

a. Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en

la empresa. A continuacin, se verificar la existencia de responsables en cada unos de
ellos, as como el uso de los mismos estndares de trabajo.

b) Arquitectura y configuracin de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos,
ya que los mismos deben constituir un sistema compatible e intercomunicado. La
configuracin de los sistemas esta muy ligada a las polticas de seguridad lgica de las
compaas.

Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de

los equipos.

b. Situacin geogrfica de los Sistemas:

El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos
de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y
remotas, perifricos de todo tipo, etc.

El inventario de software debe contener todos los productos lgicos del Sistema, desde el
software bsico hasta los programas de utilidad adquiridos o desarrollados internamente.
Suele ser habitual clasificarlos en facturables y no facturables.

d) Comunicacin y Redes de Comunicacin:

En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas principales
de las lneas, as como de los accesos a la red pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de
los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo
siguiente:

c. Inventario de Hardware y Software:

a. Volumen, antigedad y complejidad de las Aplicaciones

Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de las

aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr de manifiesto.

b. Metodologa del Diseo

La existencia de una adecuada documentacin de las aplicaciones proporciona beneficios

tangibles e inmediatos muy importantes.

La documentacin de programas disminuye gravemente el mantenimiento de los mismos.

c. Documentacin

El auditor recabar informacin de tamao y caractersticas de las Bases de Datos,

clasificndolas en relacin y jerarquas. Hallar un promedio de nmero de accesos a ellas por
hora o das. Esta operacin se repetir con los ficheros, as como la frecuencia de
actualizaciones de los mismos.

Estos datos proporcionan una visin aceptable de las caractersticas de la carga informtica.

Determinacin de recursos de la auditora Informtica

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditora.

Recursos materiales

Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por
el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el
sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el
auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

d. Cantidad y complejidad de Bases de Datos y Ficheros.

Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se aaden a

las ejecuciones de los procesos del cliente para verificarlos.

Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica

de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

a. Recursos materiales Software

b. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos
de control deben efectuarse necesariamente en las Computadoras del auditado.

Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas,
etc.

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del
personal seleccionado depende de la materia auditable.

Es igualmente reseable que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.

Perfiles Porfesionales de los auditores informticos

Profesin Actividades y conocimientos deseables

Informtico Generalista Con experiencia amplia en ramas distintas. Deseable

que su labor se haya desarrollado en Explotacin y en
Desarrollo de Proyectos. Conocedor de Sistemas.

Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos.

Experto analista. Conocedor de las metodologas de
Desarrollo ms importantes.

Tcnico de Sistemas Experto en Sistemas Operativos y Software Bsico.

Conocedor de los productos equivalentes en el
mercado. Amplios conocimientos de Explotacin.

Experto en Bases de Datos y Con experiencia en el mantenimiento de Bases de

Administracin de las mismas. Datos. Conocimiento de productos compatibles y
equivalentes. Buenos conocimientos de explotacin

Experto en Software de Comunicacin Alta especializacin dentro de la tcnica de sistemas.

Conocimientos profundos de redes. Muy experto en
Subsistemas de teleproceso.

Experto en Explotacin y Gestin de Responsable de algn Centro de Clculo. Amplia

CPDS experiencia en Automatizacin de trabajos. Experto
en relaciones humanas. Buenos conocimientos de los
sistemas.

Tcnico de Organizacin Experto organizador y coordinador. Especialista en el

anlisis de flujos de informacin.

Tcnico de evaluacin de Costes Economista con conocimiento de Informtica.

Gestin de costes.

Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen
un plan de trabajo. Decidido ste, se procede a la programacin del mismo.

El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:

a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la
elaboracin es ms compleja y costosa.

b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no

solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal.

En el plan no se consideran calendarios, porque se manejan recursos genricos y no

especficos.

En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.

En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre

con las prioridades del cliente.

El Plan establece disponibilidad futura de los recursos durante la revisin.

El Plan estructura las tareas a realizar por cada integrante del grupo.

En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo

suficientemente como para permitir modificaciones a lo largo del proyecto.

Actividades de la Auditora Informtica

Auditora por temas generales o por reas especficas:

La auditora Informtica general se realiza por reas generales o por reas especficas. Si se
examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total
y mayores recursos.

Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente
y con menor calidad.

Tcnicas de Trabajo:

- Anlisis de la informacin recabada del auditado.

- Anlisis de la informacin propia.

- Cruzamiento de las informaciones anteriores.

- Entrevistas.

- Simulacin.

- Muestreos.

Herramientas:

- Cuestionario general inicial.

- Cuestionario Checklist.
- Estndares.

- Monitores.

- Simuladores (Generadores de datos).

- Paquetes de auditora (Generadores de Programas).

- Matrices de riesgo.

Informe Final

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin

final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe

final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden
descubrir fallos de apreciacin en el auditor.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del

mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas
entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definicin de objetivos y alcance de la auditora.

Enumeracin de temas considerados:

Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los

temas objeto de la auditora.

Cuerpo expositivo:

Para cada tema, se seguir el siguiente orden a saber:

a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no

solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin
prevista y la situacin real

b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras.

c) Puntos dbiles y amenazas.

d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos

dbiles, el verdadero objetivo de la auditora informtica.

e) Redaccin posterior de la Carta de Introduccin o Presentacin.

Modelo conceptual de la exposicin del informe final:

- El informe debe incluir solamente hechos importantes.

La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.

- El Informe debe consolidar los hechos que se describen en el mismo.

El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y
de estar documentalmente probados y soportados. La consolidacin de los hechos debe
satisfacer, al menos los siguientes criterios:

1. El hecho debe poder ser sometido a cambios.

2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la
situacin.

3. No deben existir alternativas viables que superen al cambio propuesto.

4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y
estndares existentes en la instalacin.

Confeccin del Informe del Ciclo de Seguridad

Fase5. Confeccin del informe del ciclo de seguridad

1. Preparacin de borrador de informe y Recomendaciones.

2. Discusin del borrador con el cliente.

3. Entrega del Informe y Carta de Introduccin.

Ha de resaltarse la importancia de la discusin de los borradores parciales con el cliente. La

referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es
de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del
punto cuestionado. Este acta se incorporar al Informe Final.

Las Recomendaciones del Informe son de tres tipos:

1. Recomendaciones correspondientes a la zona roja. Sern muy detalladas e irn en

primer lugar, con la mxima prioridad. La redaccin de las recomendaciones se har de
modo que sea simple verificar el cumplimiento de la misma por parte del cliente.

2. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a

medio plazo, e igualmente irn priorizadas.

3. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de

mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una
accin sencilla y econmica pueda originar beneficios importantes.

Empresas que realizan auditoras externas:

Big Four (consultora y auditora)

Big Four (las cuatro grandes), es el trmino ingls utilizado para referirse a las firmas ms
importantes del mundo en el sector de la consultora y auditora. Actualmente las Big Four
estn integradas por las firmas que se mencionan en el siguiente cuadro en el que se muestran
los datos publicados correspondientes al ejercicio 2016:
 Ingresos
Ingres Ao Sede
Emplead por Fuent
Firma os fisc centr
os emplead e
(USD) al al
o

$36.8 Estados 3
Deloitte 244,400 $150,572 2016
millardos Unidos

PwC (oficialmente
$35.9 Reino 4
PricewaterhouseCoop 223,468 $160,649 2016
milardos Unido
ers)

$29.7 Reino 5
Ernst & Young (EY) 230,800 $128,683 2016
millardos Unido

$25.4 Pases 6
KPMG 188,982 $134,404 2016
millardos Bajos

Historia

Este grupo de grandes consultoras ha llegado a ser las Big Eight (las ocho grandes),
reducindose hasta quedar en las Big Four tras una serie de fusiones.

Las 8 grandes

El grupo, inicialmente conocido como las ocho grandes durante buena parte del siglo XX,
estaba compuesto por las firmas:

1. Arthur Andersen LLP

2. Arthur Young & Co.

3. Coopers & Lybrand (hasta 1973 Cooper Brothers (Reino Unido) y Lybrand, Ross Bros.,
& Montgomery (EE.UU.)

4. Ernst & Whinney (hasta 1979 Ernst & Ernst (EE.UU.) y Whinney Murray (Reino Unido)

5. Deloitte Haskins & Sells (hasta 1978 Haskins & Sells (EE.UU.) y Deloitte & Co. (Reino
Unido)

6. Peat Marwick Mitchell (ms tarde Peat Marwick y KPMG)

7. Price Waterhouse

8. Touche Ross