La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de or y revisar cuentas, pero

debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Algunos autores proporcionan otros conceptos pero todos coinciden en hacer nfasis en la revisin, evaluacin y elaboracin de un informe para el ejecutivo encaminado a un objetivo especfico en el ambiente computacional y los sistemas. A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia: Auditora de Sistemas es: La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del rea de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado presenta: 1) Salvaguarda activos ( Daos, Destruccin, Uso no autorizado, Robo) 2) Mantiene Integridad de los datos ( Informacin Precisa, Completa, Oportuna, Confiable) 3) Alcanza metas organizacionales ( Contribucin de la funcin informtica) 4) Consume recursos eficientemente ( Utiliza los recursos adecuadamente en el procesamiento de la informacin) Es el examen o revisin de carcter objetivo (independiente), crtico(evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a:

Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos Historia
Existe la evidencia de que alguna especie de auditoria se practic en tiempos remotos. El hecho de que los soberanos exigieran el mantenimiento de las cuentas de su residencia por dos escribanos independientes, pone de manifiesto que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. A medidas que se desarrollo el comercio, surgi la necesidad de las revisiones independientes para asegurarse de la adecuacin y finalidad de los registros mantenidos en varias empresas comerciales. La

auditoria como profesin fue reconocida por primera vez bajo la Ley Britnica de Sociedades Annimas de 1862 y el reconocimiento general tuvo lugar durante el perodo de mandato de la Ley "Un sistema metdico y normalizado de contabilidad era deseable para una adecuada informacin y para la prevencin del fraude". Tambin reconoca "Una aceptacin general de la necesidad de efectuar una versin independiente de las cuentas de las pequeas y grandes empresas". Desde 1862 hasta 1905, la profesin de la auditoria creci y floreci en Inglaterra, y se introdujo en los Estados Unidos hacia 1900. En Inglaterra se sigui haciendo hincapi en cuanto a la deteccin del fraude como objetivo primordial de la auditoria. En 1912 Montgomery dijo: En los que podra llamarse los das en los que se form la auditoria, a los estudiantes se les enseaban que los objetivos primordiales de sta eran: La deteccin y prevencin de fraude. La deteccin y prevencin de errores; sin embargo, en los aos siguientes hubo un cambio decisivo en la demanda y el servicio, y los propsitos actuales son: El cerciorarse de la condicin financiera actual y de las ganancias de una empresa. La deteccin y prevencin de fraude, siendo ste un objetivo menor. Este cambio en el objetivo de la auditoria continu desarrollndose, no sin oposicin, hasta aproximadamente 1940. En este tiempo "Exista un cierto grado de acuerdo en que el auditor poda y debera no ocuparse primordialmente de la deteccin de fraude". El objetivo primordial de una auditoria independiente debe ser la revisin de la posicin financiera y de los resultados de operacin como se indica en los estados financieros del cliente, de manera que pueda ofrecerse una opinin sobre la adecuacin de estas presentaciones a las partes interesadas. Paralelamente al crecimiento de la auditoria independiente en lo Estados Unidos, se desarrollaba la auditora interna y del Gobierno, lo que entr a formar parte del campo de la auditora. A medida que los auditores independientes se apercibieron de la importancia de un buen sistema de control interno y su relacin con el alcance de las pruebas a efectuar en una auditora independiente, se mostraron partidarios del crecimiento de los departamentos de auditora dentro de las organizaciones de los clientes, que se encargara del desarrollo y mantenimiento de unos buenos procedimientos del control interno, independientemente del departamento de contabilidad general. Progresivamente, las compaas adoptaron la expansin de las actividades del departamento de auditora interna hacia reas que estn ms all del alcance de los sistemas contables. En nuestros das, los departamentos de auditora interna son revisiones de todas las fases de las corporaciones, de las que las operaciones financieras forman parte. La auditora gubernamental fue oficialmente reconocida en 1921 cuando el Congreso de los Estados Unidos estableci la Oficina General de contabilidad.

Auditorias de Sistemas

La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).

Caractersticas de la Auditoria de Sistemas:

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditoria de Inversin Informtica. Del mismo modo, los Sistemas Informticos o tecnolgicos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informtica en general, o a la auditoria de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas. Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditoria de Organizacin Informtica o tecnolgica Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas. Por lo tanto las caractersticas ms resaltantes son: La multiplicidad de usuarios es un fenmeno natural, si se considera que son estos los que realmente gestionan el negocio de la empresa, y no la informtica. Los constructores de hardware y de productos de software inciden en este entorno de usuarios facilitando su utilizacin. Tras algunas pruebas de desagregacin desafortunadas, las organizaciones muestran tendencias a mantener centralizadas los ordenadores y perifricos de alta carga de informacin y la administracin de los datos. En efecto, la proliferacin de centros de procesos de datos dedicados a explotaciones determinadas genera costos casi siempre fuera de presupuesto y debilidades de coordinacin de fcil deteccin. La descentralizacin de los datos no ha pasado de ser una teora impracticable. La redundancia e inconsistencia de datos no son un lujo, si no que puede comprometer el propio sistema de informacin de la empresa.

Alcance de la Auditora Informtica:

El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditora informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo? Se comprobar que los controles de validacin de errores son adecuados y suficientes? La indefinicin de los alcances de la auditora compromete el xito de la misma.

Para una mejor productividad empresarial, los responsables de los sistemas, que usan los distintos departamentos o reas de negocio, deben conocer los riesgos derivados de una inadecuada gestin de sistemas y los beneficios generados por una gestin ptima.

Casos reales de problemas solucionados por nosotros Clientes representativos de auditorias informticas. Estndares TI con las mejores prcticas informticas

Objetivos generales de la Auditora de Sistemas de la Informacin Evaluar la fiabilidad Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad Revisar la seguridad de los entornos y sistemas. Analizar la garanta de calidad de los Sistemas de Informacin Analizar los controles y procedimientos tanto organizativos como operativos. Verificar el cumplimiento de la normativa y legislacin vigentes Elaborar un informe externo independiente. Utilizacin de estndares ISACA, OSSTMM, ISO/IEC 17799 y CIS

Objetivos para una buena gestin de los Sistemas de la Informacin en una empresa

Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin. Seguridad del personal, los datos, el hardware, el software y las instalaciones. Minimizar existencias de riesgos en el uso de Tecnologa de informacin

Conocer la situacin actual del rea informtica para lograr los objetivos. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos. Incrementar la satisfaccin de los usuarios de los sistemas informticos. Capacitacin y educacin sobre controles en los Sistemas de Informacin. Buscar una mejor relacin costo-beneficio de los sistemas automticos. Decisiones de inversin y gastos innecesarios.

Delitos Informticos:

Fraude puede ser definido como engao, accin contraria a la verdad o a la rectitud. La definicin de Delito puede ser ms compleja.

Muchos estudiosos del Derecho Penal han intentado formular una nocin de delito que sirviese para todos los tiempos y en todos los pases. Esto no ha sido posible dada la ntima conexin que existe entre la vida social y la jurdica de cada pueblo y cada siglo, aquella condiciona a sta. Segn el ilustre penalista CUELLO CALON, los elementos integrantes del delito son: - El delito es un acto humano, es una accin (accin u omisin) - Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro un inters jurdicamente protegido. - Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto tpico. - El acto ha de ser culpable, imputable a dolo (intencin) o a culpa (negligencia), y una accin es imputable cuando puede ponerse a cargo de una determinada persona - La ejecucin u omisin del acto debe estar sancionada por una pena.

Por tanto, un delito es: una accin antijurdica realizada por un ser humano, tipificado, culpable y sancionado por una pena.

Se podra definir el delito informtico como toda accin (accin u omisin) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilcito a su autor aunque no perjudique de forma directa o indirecta a la vctima, tipificado por La Ley, que se realiza en el entorno informtico y est sancionado con una pena.

De esta manera, el autor mexicano Julio Tellez Valdez seala que los delitos informticos son actitudes ilcitas en que se tienen a las computadoras como instrumento o fin (concepto atpico) o las conductas tpicas, antijurdicas y culpables en que se tienen a las computadoras como instrumento o fin

(concepto tpico). Por su parte, el tratadista penal italiano Carlos Sarzana, sostiene que los delitos informticos son cualquier comportamiento criminal en que la computadora est involucrada como material, objeto o mero smbolo. Plataforma de los Sistemas:

En el computador, la plataforma describe una cierta clase de arquitectura de hardware o marco del software (incluyendo armazones del uso), eso permite software para funcionar. Las plataformas tpicas incluyen una computadora arquitectura, sistema operativo, lenguajes de programacin y relacionado tiempo de pasada bibliotecas o interfaz utilizador grfico.

Hardware, sistema operativo y mquina virtual:

En lo referente a hardware, plataforma describe a menudo el sistema de los componentes de hardware que componen la computadora s mismo, de que el software se escribe a la blanco (a menudo apenas descrita segn lo escrito para una arquitectura "). El lenguaje ensamblador puro se puede funcionar en esta plataforma de hardware, pero lo ms comnmente posible, el software de sistema operativo se escribe para apuntarla. Pero al hacer eso, se convierte en una plataforma en s mismo, facilitando el funcionamiento del otro software que se utiliza para apuntar el sistema operativo, y adems la arquitectura de hardware. Adems, el software que se escribe para el sistema operativo se puede utilizar para apoyar el funcionamiento del otro software: por ejemplo a mquina virtual (que apunta un ciertos sistema operativo/hardware) que est utilizado funcionar otros programas que se escriban para l, que constituye otra plataforma.

Papel en software:

Una plataforma es un elemento crucial en el desarrollo del software. Una plataforma se pudo definir simplemente como lugar para lanzar software. Es un acuerdo que el abastecedor de la plataforma dio al software a revelador que el cdigo de la lgica interpretar constantemente mientras la plataforma est funcionando encima de otras plataformas. El cdigo de la lgica incluye cdigo del octeto, cdigo de fuente, y cdigo automtico.

Fondo:

Las plataformas se mencionan con frecuencia con APIs. Una habitacin completa de APIs constituya otro tipo de plataforma llamada plataforma del software. Las plataformas del software son con frecuencia dependientes a los sistemas operativos. Sin embargo esto no es siempre verdad. Por ejemplo, dos plataformas dependientes populares no-OS son Java, segn lo mencionado arriba, y ELABORE CERVEZA para los telfonos mviles.

Java

Artculo principal: Plataforma de Java Java los programas son un ejemplo tpico del ltimo punto. El cdigo de fuente de Java se compila a una intermedio-lengua bytecode cul entonces es interpretado por un intrprete, JVM, que entonces interconecta ese programa con las bibliotecas del software de Java. En telfonos, PDAs y otros dispositivos mviles sin hilos, estas bibliotecas son Java YO. Algunos telfonos, incluso sin un OS hecho y derecho, permiten a los programas de Java tales como juegos funcionar. Java y el bytecode seran independientes de la plataforma. Pero esto es porque Java es la plataforma as como un lenguaje de programacin. El software realmente no puede funcionar sin una plataforma o ser independiente de la plataforma. El lenguaje de programacin se refiere aqu, significando el programador no necesite ser tratado sobre la plataforma del hardware o del sistema operativo, ni el cambio de la lengua con una diversa plataforma.

.NET

Artculo principal: Marco de .NET

El marco de .NET es respuesta de Microsoft a Sun Java. Microsoft .NET es un trmino del paraguas que se aplica a una coleccin ancha de productos y de tecnologas de Microsoft. La mayora tienen en campo comn una dependencia del marco de Microsoft .NET, un componente del sistema operativo de Windows.

Los productos y los componentes de Microsoft que caen en la categora de .NET incluyen: El marco de Microsoft .NET, un componente del sistema operativo requerido por la mayora de los productos de .NET. Identificacin viva de Windows (conocido antes como pasaporte de .NET)

Ejemplos de la plataforma del sistema operativo: Microsoft Windows Linux OS del Mac compatibilidad hacia atrs va Rosetta VINO plataforma para comportarse gusto Microsoft Windows

Ejemplos de la plataforma del software:

 Java - JDK y JRE Marco de .NET - dependencia del sistema operativo (MS Windows) Prisma de Mozilla Corredor de XUL y de XUL AIRE del adobe

Ejemplos del hardware: Superordenador arquitecturas. RISC el procesador bas las mquinas que funcionaban variantes del UNIX: Sol funcionamiento de las computadoras Solaris sistema operativo. Alfa de la DEC racimo funcionamiento debajo OpenVMS. Macintosh, costumbre Computadora de Apple hardware y OS del Mac sistema operativo (ahora emigrado en x86). Computadora de la materia plataformas, por ejemplo: Wintel, es decir, Intel x86 o compatible hardware y Windows sistema operativo. Lintel, es decir, Intel x86 o compatible hardware y Linux sistema operativo. x86 con otro Unix-como sistemas por ejemplo DEB variantes. Gumstix computadoras miniatura de la funcin completa con Linux. A ordenador central con su sistema operativo de encargo, diga IBM z/OS. A computadora del alcance medio con su sistema operativo de encargo, diga IBM OS/400. Arquitectura del BRAZO encontrado en dispositivos mviles. Cualquier variedad de consola video del juego.

Auditora Interna y Auditora Externa:

La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento.

Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su

Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos Procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico.

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.

Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa. Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa.

La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.

Sntomas de Necesidad de una Auditora Informtica:

Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:

- No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa. - Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, entre otros.

- No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmicos-financieros:

- Incremento desmesurado de costes.

- Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones).

- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos:

- Seguridad Lgica

- Seguridad Fsica

- Confidencialidad

[Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales]

- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.

Controles:

Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos.

Clasificacin general de los controles Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Ejemplos: Letrero No fumar para salvaguardar las instalaciones Sistemas de claves de acceso Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin Controles Correctivos

Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores.

Principales Controles fsicos y lgicos

Controles particulares tanto en la parte fsica como en la lgica se detallan a continuacin Autenticidad

Permiten verificar la identidad 1. Passwords 2. Firmas digitales

Exactitud Aseguran la coherencia de los datos

1. Validacin de campos 2. Validacin de excesos

Totalidad Evitan la omisin de registros as como garantizan la conclusin de un proceso de envi

1. Conteo de registros 2. Cifras de control

Redundancia Evitan la duplicidad de datos

1. Cancelacin de lotes 2. Verificacin de secuencias

Privacidad

Aseguran la proteccin de los datos 1. Compactacin 2. Encriptacin Existencia Aseguran la disponibilidad de los datos 1. Bitcora de estados 2. Mantenimiento de activos

Proteccin de Activos Destruccin o corrupcin de informacin o del hardware 1. Extintores 2. Passwords

Efectividad Aseguran el logro de los objetivos

1. Encuestas de satisfaccin 2. Medicin de niveles de servicio

Eficiencia Aseguran el uso ptimo de los recursos

1. Programas monitores 2. Anlisis costo-beneficio

Controles automticos o lgicos Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinacin de alfanumricos en claves de acceso No es conveniente que la clave este compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave. Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

Confidenciales

De forma confidencial los usuarios debern ser instruidos formalmente respecto al uso de las claves.

No significativas

Las claves no deben corresponder a nmeros secuenciales ni a nombres o fechas.

Verificacin de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.

Conteo de registros

Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. Totales de Control

Se realiza mediante la creacin de totales de lnea, columnas, cantidad de formularios, cifras de control, entre otros, y automticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.

Verificacin de lmites

Consiste en la verificacin automtica de tablas, cdigos, lmites mnimos y mximos o bajo determinadas condiciones dadas previamente.

Verificacin de secuencias En ciertos procesos los registros deben observar cierta secuencia numrica o alfabtica, ascendente o descendente, esta verificacin debe hacerse mediante rutinas independientes del programa en si.

Dgito autoerificador

Consiste en incluir un dgito adicional a una codificacin, el mismo que es resultado de la aplicacin de un algoritmo o formula, conocido como MODULOS, que detecta la correccin o no del cdigo. Tal es el caso por ejemplo del decimo dgito de la cdula de identidad, calculado con el modulo 10 o el ultimo dgito del RUC calculado con el mdulo 11. Utilizar software de seguridad (Plataformas) en los microcomputadores

El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.

Adicionalmente, este software permite reforzar la segregacin de funciones y la confidencialidad de la informacin mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que estn autorizados.

Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.

Controles administrativos en un ambiente de Procesamiento de Datos

La mxima autoridad del rea de Informtica de una empresa o institucin debe implantar los siguientes controles que se agruparan de la siguiente forma:

1.- Controles de Preinstalacin 2.- Controles de Organizacin y Planificacin 3.- Controles de Sistemas en Desarrollo y Produccin 4.- Controles de Procesamiento 5.- Controles de Operacin 6.- Controles de uso de Microcomputadores Controles de Preinstalacin

Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automatizacin de los sistemas existentes.

Objetivos: Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Garantizar la seleccin adecuada de equipos y sistemas de computacin Asegurar la elaboracin de un plan de actividades previo a la instalacin

Acciones a seguir: Elaboracin de un informe tcnico en el que se justifique la adquisicin del equipo, software y servicios de computacin, incluyendo un estudio costo-beneficio. Formacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e instalacin Elaborar un plan de instalacin de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobacin de los proveedores del equipo. Elaborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y disposiciones legales. Efectuar las acciones necesarias para una mayor participacin de proveedores. Asegurar respaldo de mantenimiento y asistencia tcnica. Controles de organizacin y Planificacin

Se refiere a la definicin clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del rea PAD, en labores tales como:

1. Disear un sistema 2. Elaborar los programas 3. Operar el sistema 4. Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operacin.

Es importante la utilizacin ptima de recursos en el PAD mediante la preparacin de planes a ser evaluados continuamente

Acciones a seguir

 La unidad informtica debe estar al mas alto nivel de la pirmide administrativa de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la direccin efectiva. Las funciones de operacin, programacin y diseo de sistemas deben estar claramente delimitadas. Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas. Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del procesamiento. El manejo y custodia de dispositivos y archivos magnticos deben estar expresamente definidos por escrito. Las actividades del PAD deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluacin y ajustes peridicos Plan Maestro de Informtica Debe existir una participacin efectiva de directivos, usuarios y personal del PAD en la planificacin y evaluacin del cumplimiento del plan. Las instrucciones deben impartirse por escrito. Controles de Sistema en Desarrollo y Produccin

Se debe justificar que los sistemas han sido la mejor opcin para la empresa, bajo una relacin costo-beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. Acciones a seguir: Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio El personal de auditora interna/control debe formar parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de control El desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos, metodologas estndares, procedimientos y en general a normatividad escrita y aprobada. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas las excepciones posibles. Todos los sistemas deben estar debidamente documentados y actualizados. La documentacin deber contener:

Informe de factibilidad

Diagrama de bloque Diagrama de lgica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobacin de modificaciones Formatos de salida Resultados de pruebas realizadas Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas en desarrollo. El sistema concluido sera entregado al usuario previo entrenamiento y elaboracin de los manuales de operacin respectivos Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para: Asegurar que todos los datos sean procesados Garantizar la exactitud de los datos procesados Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Acciones a seguir: Validacin de datos de entrada previo procesamiento debe ser realizada en forma automtica: clave, dgito autoverificador, totales de lotes, entre otros. Preparacin de datos de entrada debe ser responsabilidad de usuarios y consecuentemente su correccin. Recepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un horario elaborado en coordinacin con el usuario, realizando un debido control de calidad. Adoptar acciones necesaria para correcciones de errores. Analizar conveniencia costo-beneficio de estandarizacin de formularios, fuente para agilitar la captura de datos y minimizar errores. Los procesos interactivos deben garantizar una adecuada interrelacin entre usuario y sistema. Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la integridad de la informacin y el buen servicio a usuarios. Controles de Operacin

Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de la cintoteca y la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas on line.

Los controles tienen como fin: Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD Garantizar la integridad de los recursos informticos. Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.

Recursos Informticos

Acciones a seguir: El acceso al centro de cmputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado Implantar claves o password para garantizar operacin de consola y equipo central (mainframe), a personal autorizado. Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin y como responder ante esos eventos. Mantener un registro permanente (bitcora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.

 Los operadores del equipo central deben estar entrenados para recuperar o restaurar informacin en caso de destruccin de archivos. Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y adecuados, preferentemente en bvedas de bancos. Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso. Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas, reglamentos, entre otros. El proveedor de hardware y software deber proporcionar lo siguiente: Manual de operacin de equipos Manual de lenguaje de programacin Manual de utilitarios disponibles Manual de Sistemas operativos Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, asi como extintores de incendio, conexiones elctricas seguras, entre otras. Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa. Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin. Controles en el uso del Microcomputador

Es la tarea ms difcil pues son equipos mas vulnerables, de fcil acceso, de fcil explotacin pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la informacin. Acciones a seguir: Adquisicin de equipos de proteccin como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisicin del equipo Vencida la garanta de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. Establecer procedimientos para obtencin de backups de paquetes y de archivos de datos. Revisin peridica y sorpresiva del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa. Mantener programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos. Propender a la estandarizacin del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrnicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitacin sobre modificaciones incluidas.

Analizados los distintos tipos de controles que se aplican en la Auditora de Sistemas efectuaremos a continuacin el anlisis de casos de situaciones hipotticas planteadas como problemticas en distintas empresas, con la finalidad de efectuar el anlisis del caso e identificar las acciones que se deberan implementar. Anlisis de Casos de Controles Administrativos Controles sobre datos fijos Lea cada situacin atentamente y 1.- Enuncie un control que hubiera prevenido el problema o posibilitado su deteccin.

2.- Identifique uno o ms controles alternativos que hubieran ayudado a prevenir o a detectar el problema.

Situacin 1

Un empleado del grupo de control de datos obtuvo un formulario para modificaciones al archivo maestro de proveedores (en blanco) y lo completo con el cdigo y nombre de un proveedor ficticio, asignndole como domicilio el nmero de una casilla de correo que previamente haba abierto a su nombre.

Su objetivo era que el sistema emitiera cheques a la orden del referido proveedor, y fueran luego remitidos a la citada casilla de correo.

Cuando el listado de modificaciones al archivo maestro de proveedores (impreso por esta nica modificacin procesada en la oportunidad) le fue enviado para su verificacin con los datos de entrada, procedi a destruirlo.

Alternativas de Solucin Los formularios para modificarse a los archivos maestros deberan ser prenumerados; el departamento usuario respectivo debera controlar su secuencia numrica. Los listados de modificaciones a los archivos maestros no slo deberan listar los cambios recientemente procesados, sino tambin contener totales de control de los campos importantes,(nmero de registros, suma de campos importantes, fecha de la ltima modificacin, entre otros.) que deberan ser reconciliados por los departamentos usuarios con los listados anteriores.

Situacin 2

Al realizar una prueba de facturacin los auditores observaron que los precios facturados en algunos casos no coincidan con los indicados en las listas de precios vigentes. Posteriormente se comprob que ciertos cambios en las listas de precios no haban sido procesados, razn por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solucin Uso de formularios prenumerados para modificaciones y controles programados diseado para detectar alteraciones en la secuencia numrica de los mismos. Creacin de totales de control por lotes de formularios de modificaciones y su posterior reconciliacin con un listado de las modificaciones procesadas. Conciliacin de totales de control de campos significativos con los acumulados por el computador. Generacin y revisin de los listados de modificaciones procesadas por un delegado responsable. Revisin de listados peridicos del contenido del archivo maestro de precios.

Situacin 3

El operador del turno de la noche, cuyos conocimientos de programacin eran mayores de los que los dems suponan, modifico (por consola) al archivo maestro de remuneraciones a efectos de lograr que se abonara a una remuneracin ms elevada a un operario del rea de produccin con el cual estaba emparentado. El fraude fue descubierto accidentalmente varios meses despus.

Alternativas de Solucin Preparacin de totales de control del usuario y reconciliacin con los acumulados del campo remuneraciones, por el computador. Aplicacin de control de lmites de razonabilidad.

Situacin 4

XX Inc. Es un mayorista de equipos de radio que comercializa sus equipos a travs de una vasta red de representantes. Sus clientes son minoristas locales y del exterior; algunos son considerados clientes

especiales, debido al volumen de sus compras, y los mismos son atendidos directamente por los supervisores de ventas. Los clientes especiales no se incrementan por lo general, en la misma proporcin que aquellas facturadas a los clientes especiales.

Al incrementarse los precios, el archivo maestro de precios y condiciones de venta a clientes especiales no es automticamente actualizado; los propios supervisores estipulan qu porcin del incremento se aplica a cada uno de los clientes especiales.

El 2 de mayo de 1983 la compaa increment sus precios de venta en un 23%; el archivo maestro de precios y condiciones de venta a clientes comunes fue actualizado en dicho porcentaje.

En lo que atae a los clientes especiales, algunos supervisores incrementaron los precios en el referido porcentaje, en tanto que otros -por razones comerciales- recomendaron incrementos inferiores que oscilaron entre un 10% y un 20%. Estos nuevos precios de venta fueron informados a la oficina central por medio de formularios de datos de entrada, diseados al efecto, procedindose a la actualizacin del archivo maestro.

En la oportunidad, uno de los supervisores acord con uno de sus clientes especiales no incrementar los precios de venta (omiti remitir el citado formulario para su procesamiento) a cambio de una comisin del 5% de las ventas.

Ningn funcionario en la oficina central detect la no actualizacin de los precios facturados a referido cliente razn por la cual la compaa se vio perjudicada por el equivalente a US$ 50.000. El fraude fue descubierto accidentalmente, despidindose al involucrado, pero no se interrumpi la relacin comercial.

Alternativas de Solucin La empresa debera actualizar el archivo maestro de precios y condiciones de venta aplicando la totalidad del porcentaje de incremento. Los supervisores de venta deberan remitir formularios de entrada de datos transcribiendo los descuentos propuestos para clientes especiales. Los formularios deberan ser prenumerados, controlados y aprobados, antes de su procesamiento, por funcionarios competentes en la oficina central. Debe realizarse una revisin critica de listados de excepcin emitidos con la nmina de aquellos clientes cuyos precios de venta se hubiesen incrementado en menos de un determinado porcentaje.

Situacin 5

Un empleado del almacn de productos terminados ingresos al computador ordenes de despacho ficticio, como resultado de las cuales se despacharon mercaderas a clientes inexistentes. Esta situacin fue descubierta hasta que los auditores realizaron pruebas de cumplimientos y comprobaron que existan algunos despachos no autorizados.

Alternativas de Solucin Un empleado independiente de la custodia de los inventarios debera reconciliar diariamente la informacin sobre despachos generada como resultado del procesamiento de las rdenes de despacho, con documentacin procesada independientemente, por ejemplo, notas de pedido aprobadas por la gerencia de ventas. De esta manera se detectaran los despachos ficticios.

Situacin 6 Al realizar una prueba de facturacin, los auditores observaron que los precios facturados en algunos casos no coincidan con los indicados en las listas de precios vigentes. Posteriormente se comprob que ciertos cambios en las listas de precios no haban sido procesados, razn por la cual el archivo maestro de precios estaba desactualizado.

Alternativas de Solucin Creacin de totales de control por lotes de formularios de modificaciones y su posterior reconciliacin con un listado de las modificaciones procesadas. Conciliacin de totales de control con los acumulados por el computador referentes al contenido de campos significativos. Generacin y revisin, por un funcionario responsable, de los listados de modificaciones procesadas. Generacin y revisin de listados peridicos del contenido del archivo maestro de precios.

Situacin 7

Una cobranza en efectivo a un cliente registrada claramente en el correspondiente recibo como de $ 18,01, fue ingresada al computador por $ 1.801 segn surge del listado diario de cobranzas en efectivo.

Alternativas de Solucin Contralora/Auditora debera preparar y conservar totales de control de los lotes de recibos por cobranzas en efectivo. Estos totales deberan ser luego comparados con los totales segn el listado diario de cobranzas en efectivo. Un test de razonabilidad asumiendo que un pago de $361.300 est definido como no razonable. Comparacin automtica de los pagos recibidos con las facturas pendientes por el nmero de factura y rechazar o imprimir aquellas discrepancias significativas o no razonables. Efectuar la Doble digitacin de campos crticos tales como valor o importe.

Seguridad de los Sistemas:

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado virus de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin (piratas) y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias piratas o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, entre otros. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido

populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes.

Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, entre otros. La Aplicacin lo puede graficar, tirar en nmeros, puede hacer reportes, entre otros.

La seguridad informtica se la puede dividir como rea General y como rea Especifica (seguridad de Explotacin, seguridad de las Aplicaciones, entre otros.). As, se podrn efectuar auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General- y auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica -. Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y la utilizacin de sofisticados medios criptogrficos.

El sistema integral de seguridad debe comprender: Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes (incendio, terremotos, entre otros.) Prcticas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeacin de programas de desastre y su prueba.

La decisin de abordar una Auditora Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se elaboran matrices de riesgo, en donde se consideran los factores de las Amenazas a las que est sometida una instalacin y los Impactos que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalan las probabilidades de ocurrencia de los elementos de la matriz.

Ejemplo: Impacto Amenaza Error Destruccin de Hardware Borrado de Informacin 3 1 1 Incendio Sabotaje 1 1 .. 1: Improbable 2: Probable 3: Certeza -: Despreciable

El cuadro muestra que si por error codificamos un parmetro que ordene el borrado de un fichero, ste se borrar con certeza. Vulnerabilidad de los Sistemas: Posibilidad de ocurrencia de la materializacin de una amenaza sobre un activo.
Tenga en cuenta que muchos problemas en los sistemas de informacin se dan por errores propios de los sistemas y que permiten que se tenga acceso violando las normas establecidas, esto quiere decir por ejemplo los errores de programacin, porque al ser un sistema muy grande en ocasiones no son corregidos totalmente los errores y pueden a futuro crear inestabilidad en el sistema. Segn [3] los estudios muestran que aproximadamente 60% de los errores se detectan durante las pruebas y son resultado de especificaciones omitidas, ambiguas, errneas o no perceptibles en la documentacin del diseo.

Otra de las razones por las que los sistemas de informacin pueden ser inestables, es por el mantenimiento, ya que es la fase ms costosa de todo proyecto, adems porque casi la mitad del tiempo se dedica a realizar ajustes y mantenimiento a los sistemas. Es por tanto que el proceso de certificar la calidad es esencial para el proceso de desarrollo de un sistema de informacin, ya que podr prevenir errores durante la captura de datos.

Riesgos:

Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos a los cuales estn sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeo de la misma.

Si consideramos entonces, que la Auditora es un proceso sistemtico, practicado por los auditores de conformidad con normas y procedimientos tcnicos establecidos, consistente en obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los actos jurdicos o eventos de carcter tcnico, econmico, administrativo y otros, con el fin de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos. es aquella encargada de la valoracin independiente de sus actividades. Por consiguiente, la Auditora debe funcionar como una actividad concebida para agregar valor y mejorar las operaciones de una organizacin, as como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y direccin.

Los servicios de Auditora comprenden la evaluacin objetiva de las evidencias, efectuada por los auditores, para proporcionar una conclusin independiente que permita calificar el cumplimiento de las polticas, reglamentaciones, normas, disposiciones jurdicas u otros requerimientos legales; respecto a un sistema, proceso, subproceso, actividad, tarea u otro asunto de la organizacin a la cual pertenecen.

A diferencia de algunos autores, que definen la ejecucin de las auditoras por etapas, somos del criterio que es una actividad dedicada a brindar servicios que agrega valores consecuentemente en dependencia de la eficiencia y eficacia en el desarrollo de diferentes tareas y actividades las cuales debern cumplirse sistemticamente en una cadena de valores que paulatinamente debern tenerse en cuenta a travs de subprocesos que identifiquen la continuidad lgica del proceso, para proporcionar finalmente la calidad del servicio esperado.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro de los subprocesos es la inadecuada previsin de riesgos, se hace necesario entonces estudiar los Riesgos que pudieran aparecen en cada subproceso de Auditora, esto servir de apoyo para prevenir una adecuada realizacin de los mismos.

Es necesario en este sentido tener en cuenta lo siguiente: La evaluacin de los riesgos inherentes a los diferentes subprocesos de la Auditora. La evaluacin de las amenazas o causas de los riesgos. Los controles utilizados para minimizar las amenazas o riesgos. La evaluacin de los elementos del anlisis de riesgos.

Generalmente se habla de Riesgo y conceptos de Riesgo en la evolucin de los Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo:

Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las actividades de la empresa y puede generar deficiencias del Sistema de Control Interno.

Riesgo de Deteccin: Es aquel que se asume por parte de los auditores que en su revisin no detecten deficiencias en el Sistema de Control Interno.

Riesgo Inherente: Son aquellos que se presentan inherentes a las caractersticas del Sistema de Control Interno.

Sin embargo, los Riesgos estn presentes en cualquier sistema o proceso que se ejecute, ya sea en procesos de produccin como de servicios, en operaciones financieras y de mercado, por tal razn podemos afirmar que la Auditora no est exenta de este concepto.

En cada Subproceso, como suele llamrsele igualmente a las etapas de la misma, el auditor tiene que realizar tareas o verificaciones, en las cuales se asumen riesgos de que esas no se realicen de la forma adecuada, claro que estos Riesgos no pueden definirse del mismo modo que los riesgos que se definen para el control Interno.

El criterio del auditor en relacin con la extensin e intensidad de las pruebas, tanto de cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden sin detectar errores o desviaciones de importancia, en la contabilidad de la empresa y no los llegue a detectar el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse cuando aumenta la efectividad de los procedimientos de auditora aplicados. El propsito de una auditora a los Estados Financieros no es descubrir fraudes, sin embargo, siempre existe la posibilidad de obtener cifras errneas como resultado de una accin de mala fe, ya que puede haber operaciones planeadas para ocultar algn hecho delictivo. Entre una gran diversidad de situaciones, es posible mencionar las siguientes: Omisin deliberada de registros de transacciones. Falsificacin de registros y documentos. Proporcionar al auditor informacin falsa.

A continuacin se exponen algunas situaciones que pueden indicar la existencia de errores o irregularidades.

a) Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la empresa; si la desconfianza solamente es con relacin a la competencia y no con la honradez de los ejecutivos de la compaa, el auditor deber tener presente que pudiera encontrarse con situaciones de riesgo por errores o irregularidades en la administracin.

b) Cuando el auditor detecte que los puestos clave como cajero, contador, administrador o gerente, tienen un alto porcentaje de rotacin, existe la posibilidad de que los procedimientos administrativos, incluidos los contables, presenten fallas que pueden dar lugar a errores o irregularidades.

c) El desorden del departamento de contabilidad de una entidad implica informes con retraso, registros de operaciones inadecuados, archivos incompletos, cuentas no conciliadas, entre otros. Esta situacin como es fcil comprender, provoca errores, tal vez realizados de buena fe, o inclusive con actos fraudulentos. La gerencia tiene la obligacin de establecer y mantener procedimientos administrativos que permitan un control adecuado de las operaciones.

Dentro de las auditoras se debe verificar la funcin de elaboracin o proceso de datos, donde se deben chequear entre otros los siguientes aspectos: Existencia de un mtodo para cerciorarse que los datos recibidos para su valoracin sean completos, exactos y autorizados; emplear procedimientos normalizados para todas las operaciones y examinarlos para asegurarse que tales procedimientos son acatados; Existencia de un mtodo para asegurar una pronta deteccin de errores y mal funcionamiento del Sistema de Cmputo; deben existir procedimientos normalizados para impedir o advertir errores accidentales, provocados por fallas de operadores o mal funcionamiento de mquinas y programas.

Sistemas de Control de Riesgos

La estructura de Control de Riesgos pudiramos fundamentarla en dos pilares: los Sistemas Comunes de Gestin y los Servicios de Auditora Interna, cuyas definiciones, objetivos, caractersticas y funciones se exponen a continuacin. CONCLUSIN

Podemos concluir, que la aplicacin de una auditora en las organizaciones puede tomar diferentes cursos de accin, dependiendo de su estructura organizativa, objeto, giro, naturaleza de sus productos y servicios, nivel de desarrollo y, en particular, con el grado y forma de delegacin de autoridad.

La conjuncin de estos factores, tomando en cuenta los aspectos normativos y operativos, las relaciones con el entorno y la ubicacin territorial de las reas y mecanismos de control establecidos, constituyen la base para estructurar una lnea de accin capaz de provocar y promover los cambios de personal o institucional necesarios para que un estudio de auditoria se traduzca en un proyecto innovador slido.

Tomando en consideracin todas las investigaciones realizadas, podemos concluir que la auditoria es dinmica, la cual debe aplicarse formalmente en toda empresa, independientemente de su magnitud y objetivos; aun en empresas pequeas, en donde se llega a considerar inoperante, su aplicacin debe ser secuencial constatada para lograr eficiencia.

BIBLIOGRAFA

www.monografias.com/auditoria Alvin A. Arens. Ao 1995. Auditoria Un enfoque Integral Editorial Ocano. Enciclopedia de la Auditoria. Francisco Gmez Rondon. Auditoria Administrativa Joaqun Rodrguez Valencia. Ao 1997. Sinopsis de Auditoria Administrativa Profesor A. Lpez de SA. Ao 1974. Curso de Auditoria Vctor Lzzaro. Sistemas y Procedimientos William P. Leonard. Auditoria Administrativa