Vous êtes sur la page 1sur 30

AUDITORA

CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA


El concepto de auditoria informtica ha estado siempre ligado al de auditora en general y
al de auditora interna en particular, y ste ha estado unido desde tiempos histricos al de
contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores
fijan el nacimiento de la escritura como consecuencia de la necesidad de registrar y
controlar operaciones. Hago esta referencia histrica a fin de explicar la evolucin de la
corta pero intensa historia de la auditora informtica, y para que posteriormente nos sirva
de referencia al objeto de entender las diferentes tendencias que existen en la actualidad.
Se analizamos el nacimiento y la existencia de la auditora informtica desde un punto de
vista empresarial, tendremos que empezar analizando el contexto organizativo y
ambiental en el que se mueve.
Empezaremos diciendo que tanto dentro del contexto estratgico como del operativo de
las organizaciones actuales, los sistemas de informacin y la arquitectura que los soporta
desempean un importante papel como uno de los soportes bsicos para la gestin y el
control del negocio, siendo as unos de los requerimientos bsicos de cualquier
organizacin. Esto da lugar a los sistemas de informacin de una organizacin.
La auditora se desarrolla con base a normas, procedimientos y tcnicas definidas
formalmente por institutos establecidos a nivel nacional e internacional; por lo tanto, solo
se expondrn algunos aspectos necesarios para su entendimiento; no obstante, se
sugiere leer los libros listados en la bibliografa, as como la participacin directa y activa
en los institutos o asociaciones relacionados con el campo de la especialidad.
Concepto de auditora
Con frecuencia la palabra auditora se ha empleado incorrectamente y se ha considerado
como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha
llegado a acuar la frase "tiene auditora" como sinnimo de que, desde antes de
realizarse, ya se encontraron fallas y por lo tanto se est haciendo la auditora. El
concepto de auditora es ms amplio: no slo detecta errores, sino que es un examen
crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o
de un organismo.
La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene la
virtud de or, y el diccionario lo define como "revisor de cuentas colegiado". El auditor
tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo
especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que,
por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que
permitan corregir los errores, en caso de que existan, o bien mejorar la forma de
actuacin.
Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad,
fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para lograr un
efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores
recursos posibles, mientras que eficacia es lograr los objetivos.
El Boletn "C" de Normas de Auditora del Instituto Mexicano de Contadores nos
dice:
"La auditora no es una actividad meramente mecnica que implique la aplicacin de
ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carcter
indudable. La auditora requiere el ejercicio de un juicio profesional, slido y maduro, para
juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos.

Tipos de auditora
La auditora, como cualquier disciplina toma caractersticas diferentes de acuerdo al
campo de accin en que se desenvuelven. Sin embargo, el objetivo final debe responder
a la definicin general de auditora.
De acuerdo a las personas que la realizan se pueden reconocer dos tipos de auditora.
Auditora interna y auditora externa:
Auditoria interna:
Es la realizada con recursos materiales y personas que pertenecen a la empresa
auditada.
Los empleados que realizan esta tarea son remunerados econmicamente. La auditora
interna existe por expresa decisin de la Empresa, o sea, que puede optar por su
disolucin en cualquier momento.
Auditora externa:
Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se
presupone una mayor objetividad que en la Auditoria Interna, debido al mayor
distanciamiento entre auditores y auditados.
La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes
respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras
convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente
realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal.
Los auditados conocen estos planes y se habitan a las Auditorias, especialmente cuando
las consecuencias de las Recomendaciones habidas benefician su trabajo.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una
Auditora propia y permanente, mientras que el resto acuden a las auditoras externas.
Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los
servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo. en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con la
opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas
decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de Sistemas,
sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen
auditoras externas como para tener una visin desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la
empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a
instancias de parte, esto es, por encargo de la direccin o cliente.
De acuerdo al objetivo de la auditora, tenemos:
Auditora de cumplimiento:
Es la comprobacin o examen de operaciones financieras, administrativas, econmicas y
de otra ndole de una entidad para establecer que se han realizado conforme a las
normas legales, reglamentarias, estatuarias y de procedimientos que le son aplicables.
Auditora operativa:
Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o parte de las
operaciones o actividades de una entidad, proyecto, programa, inversin o contrato en
particular, sus unidades integrantes u operacionales especficas. Su propsito es
determinar los grados de efectividad, economa y eficiencia alcanzados por la
organizacin y formular recomendaciones para mejorar las operaciones evaluadas.
Relacionada bsicamente con los objetivos de eficacia, eficiencia y economa.
Auditora informtica de sistemas:
Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
comunicaciones. Lneas y redes de las instalaciones informticas, se auditen por
separado, aunque formen parte del entorno general de sistemas. Su finalidad es el
examen y anlisis de los procedimientos administrativos y de los sistemas de control
interno de la compaa auditada. Al finalizar el trabajo realizado, los auditores exponen en
su informe aquellos puntos dbiles que hayan podido detectar, as como las
recomendaciones sobre los cambios convenientes a introducir, en su opinin, en la
organizacin de la compaa. Normalmente, las empresas funcionan con polticas
generales, pero hay procedimientos y mtodos, que son trminos ms operativos. Los
procedimientos son tambin sistemas; si estn bien hechos, la empresa funcionar mejor.
La auditora de sistemas analiza todos los procedimientos y mtodos de la empresa con la
intencin de mejorar su eficacia.
Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc.
Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas
versiones del fabricante, indagando las causas de las omisiones. El anlisis de las
versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades
entre otros productos de software bsicos adquiridos por la instalacin y determinadas
versiones de aquellas. Deben revisarse los parmetros variables de las libreras ms
importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el
constructor.
Software Bsico es fundamental para el auditor conocer los productos de software bsico
que han sido facturados aparte de la propia computadora. Esto, por razones econmicas
y por razones de comprobacin de que la computadora podra funcionar sin el producto
adquirido por el cliente. En cuanto al software desarrollado por el personal informtico de
la empresa, el auditor debe verificar que este no agreda ni condicione al Sistema
Igualmente, debe considerar el esfuerzo en trminos de costes, por si hubiera alternativas
ms econmicas.

Auditora a los planes de desarrollo empresarial:
La accin de planear 'las actividades permite al individuo fijarse metas, delinear los cursos
de las acciones a seguir, establecer las reglas de juego, para que el lugar de estar a la
defensiva, reaccionando a las circunstancias y eventualidades, haga que las
circunstancias y eventualidades se ajusten a su voluntad mediante el establecimiento de
un buen plan que le permita prever todos los posibles factores y elementos que pudieran
incidir en las acciones, fijarse objetivos que deseen alcanzar, establecer las polticas que
deban normar las operaciones y reglamentndolas en sistemas, mtodos y procedimiento,
que allanen el camino para el buen logro de esos objetivos, colocndolo a la ofensiva,
atacando en vez de esperar a ser atacado; es decir, actuando, en vez de estar
reaccionando.
Auditora administrativa:
Es el revisar y evaluar si los mtodos, sistemas y procedimientos que se siguen en todas
las fases del proceso administrativo aseguran el cumplimiento con polticas, planes,
programas, leyes y reglamentaciones que puedan tener un impacto significativo en
operacin de los reportes y asegurar que la organizacin los est cumpliendo y
respetando.

Auditora financiera:
Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da a
conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es
posible IIevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que el
auditor hace su trabajo posterior a las operaciones de la empresa.
La Auditora Financiera es la ms conocida de todas, pues es la requerida por las
empresas y es la que ha presentado el mximo desarrollo.
Auditora de gestin:
La Auditora de Gestin aunque no tan desarrollada como la Financiera, es si se quiere
de igualo mayor importancia que esta ltima, pues sus efectos tienen consecuencias que
mejoran en forma apreciable el desempeo de la organizacin. La denominacin auditora
de gestin funde en una, dos clasificaciones que tradicionalmente se tenan: auditora
administrativa y auditora operacional.
Auditora de gestin y resultados:
Tiene por objeto el examen de la gestin de una empresa con el propsito de evaluar la
eficacia de sus resultados con respecto a las metas previstas, los recursos humanos,
financieros y tcnicos utilizados, la organizacin y coordinacin de dichos recursos y los
controles establecidos sobre dicha gestin. Es una herramienta de apoyo efectivo a la
gestin empresarial, donde se puede conocer las variables y los distintos tipos de control
que se deben producir en la empresa y que estn en condiciones de reconocer y valorar
su Importancia como elemento que repercute en la competitividad de la misma. Se tiene
en cuenta la descripcin y anlisis del control estratgico, el control de eficacia,
cumplimiento de objetivos empresariales, el control operativo o ejecucin y un anlisis del
control como factor clave de competitividad.
El Consejo Tcnico de la Contadura Pblica en su pronunciamiento No. 7 define as la
Auditora de Cumplimiento:
La auditora de cumplimiento consiste en la comprobacin o examen de las operaciones
financieras, administrativas, econmicas y de otra ndole de una entidad para establecer
que se han realizado conforme a las normas legales, estatutarias y de procedimientos que
le son aplicables.
Por lo dicho anteriormente se podra construir el siguiente concepto de auditora integral:

Auditora integral:
Es el examen crtico, sistemtico y detallado de los sistemas de informacin financiero,
de gestin y legal de una organizacin, realizado con independencia y utilizando tcnicas
especficas, con el propsito de emitir un informe profesional sobre la razonabilidad de la
informacin financiera, la eficacia eficiencia y economicidad en el manejo de los recursos
y el apego de las operaciones econmicas a las normas contables, administrativas y
legales que le son aplicables, para la toma de decisiones que permitan la mejora de la
productividad de la misma.
Auditora en informtica
La auditora en informtica se desarrolla en funcin de normas, procedimientos y tcnicas
definidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada
ms se sealarn algunos aspectos bsicos para su entendimiento.
As, la auditora en informtica es:
A) Un proceso formal ejecutado por especialistas del rea de auditora y de informtica;
se orienta a la verificacin y aseguramiento de las polticas y procedimientos establecidos
para el manejo y uso adecuado de la tecnologa de informtica en la organizacin se lleve
a cabo de una manera oportuna y eficiente.
B) Las actividades ejecutadas por los profesionales del rea de Informtica y de auditora
encaminada a evaluar el grado de cumplimiento de polticas, controles y procedimientos
correspondientes al uso de los recursos de informtica por el personal de la empresa
(usuarios, informtica, alta direcci6n, etc.). Dicha evaluaci6n deber ser la pauta para la
entrega del informe de auditora en informtica, el cual ha de contener las observaciones,
recomendaciones y reas de oportunidad para el mejoramiento y la optimizacin
permanente de la tecnologa de informtica en el negocio.
C) El conjunto de acciones" que realiza el personal especializado en las reas de
auditora y de informtica para el aseguramiento continuo de que todos los recursos de
informtica operen en un ambiente de seguridad y control eficientes, con la finalidad de
proporcionar a la alta direccin o niveles ejecutivos la certeza de que la informacin que
pasa por el rea se manejan con los conceptos bsicos de integridad, totalidad, exactitud,
confiabilidad, etc.
D) Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos
(humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la funcin de
informtica para garantizar al negocio que dicho conjunto opera con un criterio de
integracin y desempeos de niveles altamente satisfactorios para que apoyen la
productividad y rentabilidad de la organizacin.
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los
recursos.
De este modo la auditoria informtica sustenta y confirma la consecucin de los objetivos
tradicionales de la auditoria:
Objetivos de proteccin de activos e integridad de datos.
Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino
tambin los de eficacia y eficiencia.
El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el
diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la
informacin suministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor informtico:
Participar en las revisiones durante y despus del diseo, realizacin, implantacin y
explotacin de las aplicaciones informticas, as como en las fases anlogas de
realizacin de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informticos para verificar su
adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de
confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e
informacin.

Objetivos de la auditora informtica.
La definicin de los objetivos de la auditora informtica es un tema difcil y complejo. No
existe un total acuerdo en la definicin de tales objetivos y en consecuencia, en el
establecimiento de las funciones que debe desarrollar un auditor informtico.
Para precisar esta situacin sera necesario:
Definir el campo de actuacin del auditor informtico.
Definir los objetivos de la auditora informtica.
Para el campo de actuacin del auditor, sera preciso reflexionar sobre los siguientes
aspectos:
Organizacin en la que se desenvolver el auditor.
Estructura.
Tipo de actividad de la empresa.
Departamento de informtica objeto de la auditora.
Grado de sofisticacin.
Tamao.
Recursos del departamento
Relaciones con la auditora financiera.
Las propias limitaciones tcnicas del auditor.
De un modo general los objetivos de la auditora informtica podran ser:
Elaborar un informe sobre los aspectos que afecten al alcance de una auditora y
sealar riesgos de errores o fraudes de un sistema informtico.
Evaluar la fiabilidad de los sistemas informticos, en cuanto a la exactitud de los datos y
a las informaciones tratadas.
Verificar el cumplimiento de la normativa general de la empresa.
Comprobar la eficacia de los sistemas implantados.
Comprobar si se ha estudiado el coste / beneficio.
Garantizar la seguridad fsica y lgica.
Evaluar la dependencia de una organizacin respecto a sus sistemas informticos,
revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan
asegurar la continuidad de las actividades normales.
Emisin de informes con la evaluacin independiente de los sistemas informticos
sintetizando riesgos, deficiencias, sugerencias y recomendaciones.
Anlisis de la calidad y eficacia del servicio de atencin a los usuarios. Participacin y
seguimiento de proyectos de investigacin.

CLASIFICACIN DE LA AUDITORA
Auditoras por su lugar de aplicacin
Auditora externa
Auditora interna

Auditoras por su rea de aplicacin
Auditora financiera
Auditoria administrativa
Auditoria operacional
Auditoria integral
Auditoria gubernamental
Auditora de sistemas
Auditoras especializadas en reas especficas
Auditora al rea mdica (evaluacin mdicosanitaria)
Auditora al desarrollo de obras y construcciones (evaluacin de ingeniera)
Auditora fiscal
Auditora laboral
Auditora de provectos de inversin
Auditora a la caja chica o caja mayor (arqueos)
Auditora al manejo de mercancas (inventarios)
Auditora ambiental
Auditora de sistemas

Auditora de sistemas computacionales
Auditoria informtica
Auditora con la computadora
Auditora sin la computadora
Auditora a la gestin informtica
Auditora al sistema de cmputo
Auditora alrededor de la computadora
Auditora de la seguridad de sistemas computacionales
Auditora a los sistemas de redes
Auditora integral a los centros de cmputo
Auditora ISO-9000 a los sistemas computacionales
Auditora outsourcing
Auditoria ergonmica de sistemas computacionales


Auditar:
Es la accin de acumular evidencia de manera independiente de una entidad con el
propsito de informar el grado de concordancia entre la informacin producida y los
criterios establecidos.
Por qu necesitamos auditar?
Es necesario supervisar constantemente el buen funcionamiento de un sistema de
informacin computarizado dada su complejidad, concentracin y veracidad de datos
pues de estos depende en gran parte el buen funcionamiento y evolucin de una
empresa.

PLANIFICACIN DE LA AUDITORA
De conformidad con la normativa de auditora vigente, el proceso de la auditora
comprende las fases de: planificacin, ejecucin del trabajo y comunicacin de
resultados.
La planificacin de la auditora comprende el desarrollo de una estrategia global para su
administracin, al igual que el establecimiento de un enfoque apropiado sobre la
naturaleza, oportunidad y alcance de los procedimientos de auditora que deben aplicarse.
El planeamiento tambin permitir que el equipo de auditora pueda hacer uso apropiado
del potencial humano disponible.
El proceso de la planificacin permite al auditor identificar las reas ms importantes y los
problemas potenciales del examen, evaluar el nivel de riesgo y programar la obtencin de
la evidencia necesaria para examinar los distintos componentes de la entidad auditada. El
auditor planifica para determinar de manera efectiva y eficiente la forma de obtener los
datos necesarios e informar acerca de la gestin de la entidad, la naturaleza y alcance de
la planificacin puede variar segn el tamao de la entidad, el volumen de sus
operaciones, la experiencia del auditor y el nivel organizacional.

Objetivo
El objetivo principal de la planificacin, consiste en determinar adecuada y
razonablemente los procedimientos de auditora que correspondan aplicar, cmo y
cundo se ejecutarn, para que se cumpla la actividad en forma eficiente y efectiva.
La planificacin permite identificar lo que debe hacerse en una auditora, por quin y
cundo.
Generalmente, la planificacin es vista como una secuencia de pasos que conducen a la
ejecucin de procedimientos sustantivos de auditora; sin embargo, este proceso debe
proseguir en forma continua durante el curso de la auditora.
Fases de la Planificacin
Orden de Trabajo y Carta de Presentacin
Para iniciar una auditora o examen especial que conste en la planificacin general o
definida a base de una solicitud calificada como imprevista, el jefe de la unidad operativa
emitir la "orden de trabajo" autorizando su ejecucin, la cual contendr:
a. Objetivo general de la auditora.
b. Alcance de la auditora.
c. Nmina del personal que inicialmente integra el equipo.
d. Tiempo estimado para la ejecucin.
e. Instrucciones especficas para la ejecucin (Determinar s se elaboran la planificacin
preliminar y especfica o una sola que incluya las dos fases).
La instalacin del equipo en la entidad, determina de manera oficial el inicio de la
auditora o examen especial, la cual comenzar con la planificacin preliminar.
Para la planificacin preliminar, es preferible que el equipo est integrado por el
supervisor y el jefe de equipo. Posteriormente, dependiendo de la complejidad de las
operaciones y del objetivo de la auditora, se designarn los profesionales requeridos para
la planificacin especfica y la ejecucin del trabajo.
El Director de la unidad de auditora proporcionar al equipo de auditores, la carta de
presentacin, mediante la cual se iniciar el proceso de comunicacin con la
administracin de la entidad, la que contendr la nmina de los miembros que
inicialmente integren el equipo, los objetivos del examen, el alcance y algn dato adicional
que considere pertinente. El auditor planear sus tareas de manera tal que asegure la
realizacin de una auditora de alta calidad y que sta sea obtenida con, eficiencia,
eficacia y oportunidad.
Planificacin Preliminar
La planificacin preliminar tiene el propsito de obtener o actualizar la informacin general
sobre la entidad y las principales actividades sustantivas y adjetivas, a fin de identificar
globalmente las condiciones existentes para ejecutar la auditora, cumpliendo los
estndares definidos para el efecto.
La planificacin preliminar es un proceso que se inicia con la emisin de la orden de
trabajo, se elabora una gua para la visita previa para obtener informacin sobre la entidad
a ser examinada, contina con la aplicacin de un programa general de auditora y
culmina con la emisin de un reporte para conocimiento de la Direccin o Jefatura de la
unidad de auditora, en el que se validan los estndares definidos en la orden de trabajo y
se determinan los componentes a ser evaluados en la siguiente fase de la auditora.
Planificacin Especfica
En esta fase se define la estrategia a seguir en el trabajo de campo. Tiene incidencia en
la eficiente utilizacin de los recursos y en el logro de las metas y objetivos definidos para
la auditora. Se fundamenta en la informacin obtenida inicialmente durante la
planificacin preliminar.
La planificacin especfica tiene como propsito principal evaluar el control interno, para
obtener informacin adicional, evaluar y calificar los riesgos de la auditora y seleccionar
los procedimientos de auditora a ser aplicados a cada componente en la fase de
ejecucin, mediante los programas respectivos.
Estos aspectos se analizan con mayor detalle en los manuales especializados de
auditora, emitidos para el efecto por la Contralora General del Estado.

NORMAS GENERALES PARA LA AUDITORA DE LOS SISTEMAS DE INFORMACIN
La Asociacin de Auditora y Control de Sistemas de Informacin ha determinado que la
naturaleza especializada de la auditora de los sistemas de informacin y las habilidades
necesarias para llevar a cabo este tipo de auditoras, requieren el desarrollo y la
promulgacin de Normas Generales para la Auditora de los Sistemas de Informacin.
OBJETIVOS
Los objetivos de estas normas son los de informar a los auditores del nivel mnimo de
rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en
el Cdigo de tica Profesional y de informar a la gerencia y a otras partes interesadas de
las expectativas de la profesin con respecto al trabajo de aquellos que la ejercen.
NORMAS GENERALES PARA LOS SISTEMAS DE AUDITORA DE LA INFORMACIN
Ttulo de auditora
o Responsabilidad, autoridad y rendimiento de cuentas
La responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la
funcin de auditora de los sistemas de informacin se documentarn de la
manera apropiada en un ttulo de auditora o carta de contratacin.
Independencia
o Independencia profesional
En todas las cuestiones relacionadas con la auditora, el auditor de sistemas
de informacin deber ser independiente de la organizacin auditada tanto en
actitud como en apariencia.

o Relacin organizativa
La funcin de auditora de los sistemas de informacin deber ser lo
suficientemente independiente del rea que se est auditando para permitir
completar de manera objetiva la auditora.
tica y normas profesionales
o Cdigo de tica Profesional
El auditor de sistemas de informacin deber acatar el Cdigo de tica
Profesional de la Asociacin de Auditora y Control de Sistemas de
Informacin.
o Atencin profesional correspondiente
En todos los aspectos del trabajo del auditor de sistemas de informacin, se
deber ejercer la atencin profesional correspondiente y el cumplimiento de las
normas aplicables de auditora profesional.
Idoneidad
o Habilidades y conocimientos
El auditor de sistemas de informacin debe ser tcnicamente idneo, y tener
las habilidades y los conocimientos necesarios para realizar el trabajo como
auditor.
o Educacin profesional contina


Principios ticos y valores institucionales del Auditor
Con base en lo establecido en la misin y visin de la Auditora General de la Repblica,
el conjunto de valores institucionales y sus comportamientos asociados en todas las
actuaciones, protocolizamos los siguientes valores:
Honestidad
Es el valor que nos mueve a actuar con rectitud, honradez y veracidad en todos y cada
uno de los actos de la vida, de acuerdo con reglas y valores aceptados por la sociedad
como buenos principios.

Responsabilidad
Es la capacidad de reconocer y aceptar las consecuencias de nuestras decisiones
tomadas libremente. Es la obligacin De cumplir con el deber asignado, aportando lo
mejor de nosotros mismos.

Independencia
Los servidores pblicos de la Auditora actuarn con independencia de criterios, libres de
prejuicios o intereses de cualquier ndole, con el fin de preservar la imparcialidad y
objetividad a la que la institucin est obligada.

Objetividad
Al Auditor, le corresponde emitir juicios veraces y objetivos sobre asuntos inherentes a
sus labores, evitando la influencia de criterios subjetivos y de terceros no autorizados,
debiendo abstenerse de adoptar cualquier decisin cuando medie coaccin moral que
pueda afectar su deber de ser justos e imparciales en las decisiones. Obrando siempre
con justicia, severidad y firmeza.

Transparencia
El Auditor se comprometen a orientar su gestin dentro de los principios de legalidad y
equidad, respetando los derechos de los ciudadanos y las dems partes interesadas,
ajustando la conducta al derecho que tiene la comunidad de ser informada sobre la
actividad y decisiones adoptadas, a travs de la rendicin de cuentas oportunamente,
como vehculo para generar credibilidad pblica.
Integridad
Los funcionarios de la Auditora estn obligados a cumplir normas elevadas de conducta
ajustadas a las normas legales y ticas aplicables y actuar con integridad en el ejercicio
de sus atribuciones y funciones durante el trabajo y las relaciones con las partes
interesadas.

Compromiso
Los Directivos de la Auditora admiten como propios los Objetivos Estratgicos de la
Entidad, asumiendo total responsabilidad en el cumplimiento de sus funciones, en
trminos de eficiencia, eficacia, economa y equidad. Es ir ms all del simple deber,
trascender la norma y lograr el deber ser.
Imparcialidad
Los servidores pblicos con funciones de auditores, siempre estarn predispuestos a dar
un trato equitativo a los sujetos de control.
- La credibilidad de la Auditora General de la Repblica, se fundamenta en que la
sociedad y los sujetos de control, tengan un reconocimiento de que sus servidores
pblicos son imparciales, en consecuencia es fundamental el trato justo y equitativo que
estn obligados a dispensar a cada uno de ellos.




Confidencialidad
Para los servidores pblicos de la Auditora General de la Repblica es fundamental
guardar estricta reserva de la informacin que obtengan en el desempeo de sus
funciones administrativas y de fiscalizacin.
- La informacin obtenida durante los procesos de fiscalizacin y de responsabilidad
fiscal, as como la obtenida en actividades administrativas, susceptible de reserva, no
debe revelarse a familiares, amistades u otras personas ajenas a la Institucin.

Actitud constructiva
Durante el ejercicio de Auditoras y actividades administrativas, los servidores pblicos
mediante sus opiniones y reflexiones, mantendrn una actitud constructiva para contribuir
a mejorar la gestin pblica de la Auditora General de la Repblica, sujetos de control de
su competencia y dems entidades del sector pblico.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS
1. Entendimiento global e integral del negocio, de sus puntos claves, reas crticas,
entorno econmico, social y poltico.
2. Entendimiento del efecto de los sistemas en la organizacin.
3. Entendimiento de los objetivos de la auditora.
4. Conocimiento de los recursos de computacin de la empresa.
5. Conocimiento de los proyectos de sistemas.

Control Interno
Es el conjunto de acciones, actividades, planes, polticas, normas, registros,
procedimientos y mtodos, incluido el entorno y actitudes que desarrollan autoridades y
su personal a cargo, con el objetivo de prevenir posibles riesgos que afectan a una
entidad pblica. Se fundamenta en una estructura basada en cinco componentes
funcionales:
1. Ambiente de control
2. Evaluacin de riesgos
3. Actividades de control gerencial
4. Informacin y comunicacin
5. Supervisin
Cul es el beneficio de contar con un sistema de control interno?
Seguridad razonable de:
Reducir los riesgos de corrupcin
Lograr los objetivos y metas establecidos
Promover el desarrollo organizacional
Lograr mayor eficiencia, eficacia y transparencia en las operaciones
Asegurar el cumplimiento del marco normativo
Proteger los recursos y bienes del Estado, y el adecuado uso de los mismos
Contar con informacin confiable y oportuna
Fomentar la prctica de valores
Promover la rendicin de cuentas de los funcionarios por la misin y objetivos
encargados y el uso de los bienes y recursos asignados

Implementacin del sistema de control interno
Se deben cumplir las tres fases siguientes:
Planificacin
Se inicia con el compromiso formal de la Alta Direccin y la constitucin de un Comit
responsable de conducir el proceso. Comprende adems las acciones orientadas a la
formulacin de un diagnstico de la situacin en que se encuentra el sistema de control
interno de la entidad con respecto a las normas de control interno establecidas por la
CGR, que servir de base para la elaboracin de un plan de trabajo que asegure su
implementacin y garantice la eficacia de su funcionamiento.
Ejecucin
Comprende el desarrollo de las acciones previstas en el plan de trabajo. Se da en dos
niveles secuenciales: a nivel de entidad y a nivel de procesos. En el primer nivel se
establecen las polticas y normativa de control necesarias para la salvaguarda de los
objetivos institucionales bajo el marco de las normas de control interno y componentes
que stas establecen; mientras que en el segundo, sobre la base de los procesos crticos
de la entidad, previa identificacin de los objetivos y de los riesgos que amenazan su
cumplimiento, se procede a evaluar los controles existentes a efectos de que stos
aseguren la obtencin de la respuesta a los riesgos que la administracin ha adoptado.
Evaluacin
Fase que comprende las acciones orientadas al logro de un apropiado proceso de
implementacin del sistema de control interno y de su eficaz funcionamiento, a travs de
su mejora continua.
OBJETIVOS DEL SISTEMA DE CONTROL INTERNO
El Control Interno para la Empresa, el sistema integrado por un esquema de organizacin,
con su conjunto de planes, mtodos, principios, normas y procedimientos, as como los
confiables mecanismos de verificacin o evaluacin, adoptados por la misma, con el fin de
procurar una adecuada gestin, de todas las actividades, operaciones y actuaciones, as
como la utilizacin de la informacin y la proteccin de todos los bienes y recursos, para
que la administracin se realice aplicando los principios constitucionales y legales
vigentes, dentro de las polticas trazadas por el director y en atencin al cumplimiento de
las metas u objetivos previstos en la Planeacin.
OBJETIVOS:
GENERAL
Ayudar a la administracin y direccin de la Empresa al mejor y eficaz desempeo de sus
labores.
ESPECFICOS
Garantizar procesos de planeacin y desarrollo organizacional de acuerdo con la
naturaleza de la organizacin.
Proteccin de los recursos y activos en cuanto a su desaprovechamiento, prdida y
uso indebido.
Cumplimiento de las metas trazadas por la administracin de la Empresa.
Garantizar una informacin confiable y veraz.
Evaluar la eficiencia, eficacia, economa de las operaciones para garantizar una
correcta ejecucin de las funciones y actividades.
Cumplir con los reglamentos de la Empresa.
Prevenir errores, riesgos e irregularidades.
Idoneidad y eficiencia del recurso humano.
Crear conciencia de control.
Garantizar la evaluacin y seguimiento de la gestin.
CARACTERSTICAS DEL SISTEMA DE CONTROL INTERNO PARA LA EMPRESA
Hace parte integrante de los sistemas contables, financieros, operacionales y
administrativos de la Empresa. No es un sistema aislado.
Lo establece y mantiene la mxima autoridad de la Empresa, La Direccin la cual
institucionaliza un Sistema de Control Interno adecuado a la naturaleza y objetivos de
la Empresa.
Cada funcionario es responsable del control interno en la Empresa, de acuerdo a la
estructura organizacional.
Es evaluado por la OFICINA DE CONTROL INTERNO de manera independiente.
Garantiza una informacin exacta, veraz y oportuna, como base para la presentacin
de informes operativos, administrativos y financieros de la Empresa.
ELEMENTOS DEL CONTROL INTERNO PARA LA EMPRESA
Establecer los objetivos y metas generales y especficos.
Instituir polticas como guas de accin y procedimientos para la ejecucin de
procesos.
Adoptar un sistema de organizacin adecuado para ejecutar planes.
Delimitacin de niveles de responsabilidad y autoridad.
Normas para la proteccin y utilizacin de recursos.
Direccin y administracin del personal.
Aplicacin de las recomendaciones de la evaluacin de control interno.
Establecer mecanismos que faciliten el control adecuado a la gestin de la Empresa.
Organizacin de mtodos confiables para evaluar la gestin.
Establecer programas de induccin, capacitacin y actualizacin a los funcionarios de
la Empresa.
Simplificacin y actualizacin de normas y procedimientos.

CONTROL INTERNO INFORMATICO
El control interno informtico controla diariamente que todas las actividades de sistemas
de informacin sean realizadas cumpliendo los procedimientos, estndares y normas
fijados por la direccin de la organizacin y/o la direccin informtica, as como los
requerimientos legales.
La funcin del control interno informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.
Control interno informtico suele ser un rgano staff de la direccin del departamento de
informtica y est dotado de las personas y medios materiales proporcionados a los
cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realicen cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.

Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditoras
externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de
los graso adecuados del servicio informtico, lo cual no debe considerarse como
que la implantacin de los mecanismos de medida y responsabilidad del logro de
esos niveles se ubique exclusivamente en la funcin de control interno, si no que
cada responsable de objetivos y recursos es responsable de esos niveles, as
como de la implantacin de los medios de medida adecuados.
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo los eficazmente los fines de la organizacin y utiliza eficiente mente
los recursos.
DEFINICION Y TIPO DE CONTROLES INTERNOS
Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o
automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer
cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones.
etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir
de las copias de seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles
de la red, as como los distintos niveles de control y elementos relacionados:
Entorno de red: esquema de la red, descripcin de la configuracin hardware de
comunicaciones, descripcin del software que se utiliza como acceso a las
telecomunicaciones, control de red, situacin general de los ordenadores de
entornos de base que soportan aplicaciones crticas y consideraciones relativas a
la seguridad de la red.
Configuracin del ordenador base: Configuracin del soporte fsico, en torno del
sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas
de programas y conjunto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de
base de datos y entornos de procesos distribuidos.
Productos y herramientas: Software para desarrollo de programas, software de
gestin de bibliotecas y para operaciones automticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso,
registro e informacin, integridad del sistema, controles de supervisin, etc.
Para la implantacin de un sistema de controles internos informticos habr que definir:
Gestin de sistema de informacin: polticas, pautas y normas tcnicas que
sirvan de base para el diseo y la implantacin de los sistemas de informacin y
de los controles correspondientes.
Administracin de sistemas: Controles sobre la actividad de los centros de datos
y otras funciones de apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el
software del sistema, integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.
Gestin del cambio: separacin de las pruebas y la produccin a nivel del
software y controles de procedimientos para la migracin de programas software
aprobados y probados.
Metodologa de trabajo de la Auditora Informtica

Etapas de la Metodologa

El mtodo de trabajo del auditor pasa por las siguientes etapas:
Alcance y Objetivos de la Auditora Informtica
Estudio inicial del entorno auditable
Determinacin de los recursos necesarios para realizar la auditora
Elaboracin del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditora
Confeccin y redaccin del Informe Final
Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe
final
Fase 1: Definicin de Alcance y Objetivos

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo
muy preciso entre auditores y clientes sobre las funciones, las materias y las
organizaciones a auditar.
Las personas que realizan la auditora han de conocer con la mayor exactitud
posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos
y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los
objetivos generales y comunes de a toda auditora Informtica: La operatividad de
los Sistemas y los Controles Generales de Gestin Informtica.

Fase 2: Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades
generales de la informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin
ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
2) Departamentos:
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
4) Flujos de Informacin:
5) Nmero de Puestos de trabajo
6) Nmero de personas por Puesto de Trabajo


Fase 3: Entorno Operacional

El equipo de auditora informtica debe poseer una adecuada referencia del
entorno en el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los
siguientes extremos:
a. Situacin geogrfica de los Sistemas:
b. Arquitectura y configuracin de Hardware y Software:
c. Inventario de Hardware y Software:
d. Comunicacin y Redes de Comunicacin:
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informticos realizados en la empresa auditada. Para ello
debern conocer lo siguiente:
a. Volumen, antigedad y complejidad de las Aplicaciones
b. Metodologa del Diseo
c. Documentacin
d. Cantidad y complejidad de Bases de Datos y Ficheros.

Fase 4: Determinacin de recursos de la Auditora Informtica

Mediante los resultados del estudio inicial realizado se procede a determinar
los recursos humanos y materiales que han de emplearse en la auditora.
- Recursos humanos
- Recursos materiales

Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son
proporcionados por el cliente. Las herramientas de software propias del equipo
van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse
en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software
Programas propios de la auditora: Son muy potentes y Flexibles.
Habitualmente se aaden a las ejecuciones de los procesos del cliente para
verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la
actividad de Tcnica de Sistemas del auditado y de la cantidad y calidad de los
datos ya existentes.
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.
Para lo cual habr de convenir el, tiempo de mquina, espacio de disco,
impresoras ocupadas, etc.

Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y
perfiles del personal seleccionado depende de la materia auditable.
Es igualmente sealable que la auditora en general suele ser ejercida por
profesionales universitarios y por otras personas de probada experiencia
multidisciplinaria.

Elaboracin del Plan y de los programas de trabajo
Una vez asignados los recursos, el responsable de la auditora y sus
colaboradores establecen un plan de trabajo. Decidido ste, se procede a la
programacin del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisin debe realizarse por reas generales o reas especficas. En el
primer caso, la elaboracin es ms compleja y costosa.
b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina
no solamente el nmero de auditores necesarios, sino las especialidades
necesarias del personal.
En el Plan no se consideran calendarios, porque se manejan recursos
genricos y no especficos
En el Plan se establecen los recursos y esfuerzos globales que van a ser
necesarios
En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisin.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.
Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta
ha de ser lo suficientemente como para permitir modificaciones a lo largo del
proyecto.


Fase 5: Actividades de la Auditora Informtica

Auditora por temas generales o por reas especficas:
La auditora Informtica general se realiza por reas generales o por reas
especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y
el empleo de ms tiempo total y mayores recursos.
Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas
las peculiaridades que afectan a la misma, de forma que el resultado se obtiene
ms rpidamente y con menor calidad.
Tcnicas de Trabajo:
Anlisis de la informacin recabada del auditado
Anlisis de la informacin propia
Cruzamiento de las informaciones anteriores
Entrevistas
Simulacin
Muestreos
Herramientas:
Cuestionario general inicial
Cuestionario Checklist
Estndares
Monitores
Simuladores (Generadores de datos)
Paquetes de auditora (Generadores de Programas)
Matrices de riesgo

Fase 6: Informe Final

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la
elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales
previos al informe final, los que son elementos de contraste entre opinin entre
auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la auditora y la fecha de
redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de
todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y
puesto de trabajo que ostente.
Definicin de objetivos y alcance de la auditora.
Enumeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente
posible todos los temas objeto de la auditora.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual. Cuando se trate de una revisin peridica, en la que se
analiza no solamente una situacin sino adems su evolucin en el tiempo,
se expondr la situacin prevista y la situacin real
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
c) Puntos dbiles y amenazas
d) Recomendaciones y planes de accin. Constituyen junto con la
exposicin de puntos dbiles, el verdadero objetivo de la auditora
informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.


Fase 7: Carta de Introduccin o Presentacin del Informe Final

La carta de introduccin tiene especial importancia porque en ella ha de resumirse
la auditora realizada. Se destina exclusivamente al responsable mximo de la
empresa, o a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como solicite el cliente, la
auditora no har copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios
Incluir fecha, naturaleza, objetivos y alcance
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran
debilidad.
Presentar las debilidades en orden de importancia y gravedad.
En la carta de Introduccin no se escribirn nunca recomendaciones.



Herramientas y Tcnicas para la Auditora Informtica

Cuestionarios
Las auditoras informticas se materializan recabando informacin y
documentacin de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la
informacin necesaria para la emisin de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados tambin evidencias.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones
distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados
en su fondo y su forma.
Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado.
Lo hace de tres formas:
1. Mediante la peticin de documentacin concreta sobre alguna materia
de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor;
en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por
medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.
Checklist
El auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita
saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis,
cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversar y har preguntas "normales", que en realidad
servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus
Checklists.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de
"filosofa" de calificacin o evaluacin:
a. Checklist de rango
Ejemplo de Checklist de rango:
Se supone que se est realizando una auditora sobre la seguridad fsica de
una instalacin y, dentro de ella, se analiza el control de los accesos de
personas y cosas al Centro de Computos. Podran formularse las preguntas
que figuran a continuacin, en donde las respuestas tiene los siguientes
significados:
1 : Muy deficiente
2 : Deficiente
3 : Mejorable
4 : Aceptable
5 : Correcto
Se figuran posibles respuestas de los auditados. Las preguntas deben
sucederse sin que parezcan clasificadas previamente. Basta con que el auditor
lleve un pequeo guin. La cumplimentacin del Checklist no debe realizarse
en presencia del auditado.
b. Checklist Binario
Es el constituido por preguntas con respuesta nica y excluyente: Si o
No. Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binario:
Se supone que se est realizando una Revisin de los mtodos de pruebas de
programas en el mbito de Desarrollo de Proyectos.


Trazas y/o Huellas
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de
los Sistemas como de usuario, realizan exactamente las funciones previstas, y no
otras. Para ello se apoya en productos Software muy potentes y modulares que,
entre otras funciones, rastrean los caminos que siguen los datos a travs del
programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las
validaciones de datos previstas. Las mencionadas trazas no deben modificar en
absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables
de carga, se convendr de antemano las fechas y horas ms adecuadas para su
empleo.
Software de Interrogacin
Hasta hace ya algunos aos se han utilizado productos software llamados
genricamente paquetes de auditora, capaces de generar programas para
auditores escasamente cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos
estadsticos que permitieran la obtencin de consecuencias e hiptesis de la
situacin real de una instalacin.
En la actualidad, los productos Software especiales para la auditora informtica
se orientan principalmente hacia lenguajes que permiten la interrogacin de
ficheros y bases de datos de la empresa auditada. Estos productos son utilizados
solamente por los auditores externos, por cuanto los internos disponen del
software nativo propio de la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-
Servidor", han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que el
auditor informtico copia en su propia PC la informacin ms relevante para su
trabajo.


Ciclo de Seguridad
El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de
eficiencia de la misma en los rganos ms importantes de la estructura informtica.
Para ello, se fijan los supuestos de partida:
El rea auditada es la Seguridad. El rea a auditar se divide en: Segmentos.
Los segmentos se dividen en: Secciones.
Las secciones se dividen en: Subsecciones.
De este modo la auditora se realizara en 3 niveles.
Los segmentos a auditar, son:
Segmento 1: Seguridad de cumplimiento de normas y estndares
Segmento 2: Seguridad de Sistema operativo
Segmento 3: Seguridad de Software.
Segmento 4: Seguridad de Comunicaciones.
Segmento 5: Seguridad de Base de Datos.
Segmento 6: Seguridad de Proceso.
Segmento 7: Seguridad de Aplicaciones.
Segmento 8: Seguridad Fsica.

Se darn los resultados globales de todos los segmentos y se realizar un
tratamiento exhaustivo del Segmento 8, a nivel de seccin y subseccin.
El siguiente ejemplo se puede desarrollar en 4 fases bien diferenciadas:
Fase 0. Causas de la realizacin del ciclo de seguridad.
Fase 1. Estrategia y logstica del ciclo de seguridad.
Fase 2. Clculos y resultados del ciclo de seguridad.
Fase 3. Confeccin del informe del ciclo de seguridad.
A su vez, las actividades auditoras se realizan en el orden siguiente:
1. Comienzo del proyecto de Auditora Informtica
2. Asignacin del equipo auditor
3. Asignacin del equipo interlocutor del cliente.
4. Cumplimentacin de formularios globales y parciales por parte del cliente.
5. Asignacin de pesos tcnicos por parte del equipo auditor.
6. Asignacin de pesos polticos por parte del cliente.
7. Asignacin de pesos finales a segmentos y secciones.
8. Preparacin y confirmacin de entrevistas.
9. Entrevistas, confrontaciones y anlisis y repaso de documentacin.
10. Clculo y ponderacin de subsecciones, secciones y segmentos.
11. Identificacin de reas mejorables.
12. Eleccin de las reas de actuacin prioritaria.
13. Preparacin de recomendaciones y borrador de informe
14. Discusin de borrador con cliente.
15. Entrega del informe
La Informtica Forense
Es la que se encarga de analizar sistemas informticos en busca de evidencia que
colabore a llevar adelante una causa judicial o una negociacin extrajudicial.
Es la aplicacin de tcnicas y herramientas de hardware y software para determinar datos
potenciales o relevantes.
Tambin puede servir para informar adecuadamente al cliente acerca de las posibilidades
reales de la evidencia existente o supuesta.
Los naturales destinatarios de este servicio son los estudios jurdicos aunque cualquier
empresa o persona puede contratarlo.
La necesidad de este servicio se torna evidente desde el momento en que la enorme
mayora de la informacin generada est almacenada por medios electrnicos.
En la recuperacin de informacin nos enfrentamos con informacin que no es accesible
por medios convencionales, ya sea por problemas de funcionamiento del dispositivo que
lo contiene, ya sea porque se borraron o corrompieron las estructuras administrativas de
software del sistema de archivos. La informacin se perdi por un problema de fallo de la
tecnologa de hard y/o soft o bien por un error humano. El usuario nos indica su versin
de los hechos y a menudo encontramos sobre la falla original otras que el usuario o sus
prestadores tcnicos agregaron en un intento de recuperacin. As es que debemos
figurarnos a partir del anlisis del medio qu ocurri desde el momento en que todo
funcionaba bien y la informacin era accesible.
En informtica forense hablamos ya no slo de recuperacin de informacin sino
de descubrimiento de informacin dado que no hubo necesariamente una falla del
dispositivo ni un error humano sino una actividad subrepticia para borrar, adulterar u
ocultar informacin. Es por lo tanto esperable que el mismo hecho de esta adulteracin
pase desapercibido.
La informtica forense apela a nuestra mxima aptitud dado que enfrentamos desde
casos en que el dispositivo fue borrado, golpeado y daado fsicamente hasta ligeras
alteraciones de informacin que pueden constituir un crimen.
Este servicio es de utilidad a empresas que llevan adelante juicios laborales con sus
empleados, o con sus asociados por conflictos de intereses, a estudios jurdicos que
necesitan recabar informacin ya sea para presentarla frente a un tribunal o bien para
negociar con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de
utilidad a los organismos judiciales y policiales que buscan evidencias de todo tipo de
crmenes. Es un componente indispensable en litigios civiles.