IMPORTANCIA DE LA AUDITORA INFORMTICA EN LAS ORGANIZACIONES La informtica est inmersa en la gestin integral de la organizacin.

A finales del siglo XX, los sistemas de TI (tecnologas de la informacin) se constituyeron como las herramientas ms poderosas para cualquier organizacin, puesto que apoyan la toma de decisiones, generando un alto grado de dependencia, as como una elevada inversin en ellas. Debido a la importancia que tienen en el funcionamiento de una organizacin, existe la auditora informtica Es un proceso evolutivo que mediante tcnicas y procedimientos aplicados en una organizacin por personal independiente a la operacin de la misma, evala la funcin de tecnologa de informacin y su aportacin al cumplimiento de los objetivos institucionales; emite una opinin al respecto y efecta recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos1 Por lo anterior, se puede afirmar que el xito de un organismo depende de los controles de evaluacin de la eficacia y eficiencia de sus sistemas de TI. Hoy en da, las organizaciones estructuran su informacin en sistemas de TI, debido a ello, es de vital importancia que stos funcionen de forma correcta e ininterrumpida para la productividad y supervivencia futura de una organizacin. El trabajo que se realiza en la auditora informtica debe contar con un marco de referencia metodolgico, as como con gente altamente capacitada. Una auditora mal hecha puede acarrear consecuencias drsticas econmicamente para la organizacin auditada. QU ES LA AUDITORA INFORMTICA COBIT, en su tercera edicin, presenta un modelo de madurez basado en el modelo de Evolucin de Capacidades de Software (CMM) desarrollado por el Instituto de Ingeniera de Software (SEI), que establece mtricas para evaluar y calificar el nivel de madurez de los controles de TI, los cuales deben ser alineados con el nivel correspondiente de los procesos de TI. Sus beneficios son:

Mejora la imagen pblica. Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reproceso, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversin en un entorno de TI, a menudo impredecible. La metodologa empleada en la auditora informtica es similar a las fases que componen una auditora tradicional: primero se planea para obtener y entender los procesos de negocio; en segundo lugar se analiza y evala el control interno establecido para determinar la probable efectividad y eficiencia del mismo; posteriormente, se aplican pruebas de auditoras para verificar la efectividad de los procedimientos de control (pruebas de cumplimiento), o de los productos de los procesos de trabajo (pruebas sustantivas).

Despus se informan los resultados de las auditoras, con el fin de reportar las sugerencias correspondientes a las oportunidades de mejora encontradas y finalmente, se efecta el seguimiento para evaluar el nivel del cumplimiento y el impacto de las recomendaciones hechas Para que las organizaciones puedan asegurar que construyen proyectos de tecnologa de informacin que cubren de manera adecuada las necesidades del cliente, en forma eficiente y oportuna, y dentro del presupuesto contemplado, existe una asociacin internacional denominada Information Systems Audit and Control Association (ISACA), cuya misin es la de mejorar el reconocimiento de la profesin de

auditora y control de las TI mediante la elaboracin de estndares y prcticas, as como capacitacin y certificacin de sus miembros a travs de la fundacin (Information Systems Audit and Control Association). De igual forma, existe un estndar internacional conocido como Control Objetives for Information and Related Technology (COBIT), que sirve como gua para la buena prctica de la auditora de las TI, emitido por la ISACA. ste contempla los procesos tpicos de la funcin de TI, agrupados en cuatro dominios: - Planificacin y organizacin: identificacin de la forma en que las TI pueden contribuir de la mejor manera al logro de los objetivos institucionales, y al establecimiento de una organizacin e infraestructura tecnolgica apropiada. - Adquisicin e implementacin: para llevar a cabo la estrategia de TI es necesario identificar, desarrollar o adquirir soluciones de TI adecuadas, as como implementarlas e integrarlas dentro del proceso del negocio. Adems, cubre los cambios y el mantenimiento realizados a sistemas existentes. - Distribucin y soporte: corresponde a la entrega de los servicios requeridos, desde las tradicionales operaciones sobre seguridad y continuidad, hasta la capacitacin, as como los procesos de soporte necesarios. - Monitoreo: todos los procesos necesitan ser evaluados de forma regular a travs del tiempo, para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Al igual que cualquier rea de la organizacin, los sistemas de TI deben estar sometidos a controles de calidad y auditora informtica porque las computadoras y los centros de procesamiento de datos son blancos apetecibles para el espionaje, la delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera informacin errnea, con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones. Asimismo, un sistema de TI mal diseado puede convertirse en una herramienta muy peligrosa para la gestin y la coordinacin de la organizacin. El trmino de auditora se ha empleado con frecuencia de forma incorrecta, porque ha sido tomado como sinnimo de deteccin de errores y fallas. El concepto de auditora es mucho ms que eso, pues tiene como fin evaluar y mejorar la eficacia y eficiencia de una organizacin, al examinar su gestin. La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes. en si la auditoria informtica tiene 2 tipos las cuales son: AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar a personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos

de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia. Los objetivos de la auditora Informtica son:

El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.

Sus beneficios son:

Mejora la imagen pblica. Confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversin en un entorno de TI, a menudo impredecible.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: * Desempeo

Fiabilidad Eficacia Rentabilidad Seguridad Privacidad Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:

* Gobierno corporativo

Administracin del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Proteccin y Seguridad Planes de continuidad y Recuperacin de desastres La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO eI TIL

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin TIPOS DE AUDITORA DE SISTEMAS Dentro de la auditora informtica destacan los siguientes tipos (entre otros

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los programas, etc. Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos. Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los flujogramas. Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos. Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad, autenticacin y no repudio. Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin. Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los sistemas de comunicacin. Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes

IMPORTANCIA DE LA AUDITORIA INFORMTICA La auditora permite a travs de una revisin independiente, la evaluacin de actividades, funciones especficas, resultados u operaciones de una organizacin, con el fin de evaluar su correcta realizacin. Este autor hace nfasis en la revisin independiente, debido a que el auditor debe mantener independencia mental, profesional y laboral para evitar cualquier tipo de influencia en los resultados de la misma la tcnica de la auditora, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en derecho especializados en el mundo de la auditora Principales pruebas y herramientas para efectuar una auditora informtica En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente Las principales herramientas de las que dispone un auditor informtico son:

Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujogramas Listas de chequeo 'Mapas conceptuales

La auditoria en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacinque participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditoria en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimientoespecfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditoria en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).