INTRODUCCION

La Informtica hoy, est subsumida en la gestin integral de la empresa, y

por eso las normas y estndares propiamente informticos deben estar, por lo

AUDITOR
A

tanto, sometidos a los generales de la misma. En consecuencia, las

organizaciones informticas forman parte de lo que se ha denominado el
"management" o gestin de la empresa. Cabe aclarar que la Informtica no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide
por s misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditora Informtica.

El trmino de Auditora se ha empleado incorrectamente con frecuencia ya

que se ha considerado como una evaluacin cuyo nico fin es detectar errores y
sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como
sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban
detectado fallas.
El concepto de auditora es mucho ms que esto. Es un examen crtico que
se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un
organismo, una entidad, etc.

OBJETIVO
Los principales objetivos que constituyen a la auditora Informtica son el
control de la funcin informtica, el anlisis de la eficiencia de los Sistemas

UNIVERSIDAD TECNOLGICA DE
CIUDAD JUREZ
general de la empresa en este mbito y la revisin de la eficaz

Informticos que comporta, la verificacin del cumplimiento de la Normativa

gestin de los

recursos materiales
humanos
informticos.
ING.y EN
TECNOLGIAS

DE LA
INFORMACIN
El auditor informtico ha de velar
por la correcta utilizacin de los amplios

recursos que la empresa pone enINTEGRADORA

juego para disponer deIIun eficiente y eficaz
Sistema de Informacin. Claro est, que para la realizacin de una auditora

ITISW41

informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya

que una Universidad, un Ministerio o un Hospital son tan empresas como una
Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar
sus "negocios" de forma rpida y eficiente con el fin de obtener beneficios
econmicos y de costes.

AUDITORIA INTERNA Y EXTERNA

La auditora interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna existe por expresa decisin de
la Empresa, o sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la
empresa auditada; es siempre remunerada. Se presupone una mayor objetividad
que en la Auditora Interna, debido al mayor distanciamiento entre auditores y
auditados.
La auditora informtica interna cuenta con algunas ventajas adicionales
muy importantes respecto de la auditora externa, las cuales no son tan
perceptibles como en las auditoras convencionales. La auditora interna tiene la
ventaja de que puede actuar peridicamente realizando Revisiones globales,
como parte de su Plan Anual y de su actividad normal. Los auditados conocen
estos planes y se habitan a las Auditoras, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e
informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz,
pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente
posible aquellas necesidades. La empresa necesita controlar su Informtica y sta
necesita que su propia gestin est sometida a los mismos Procedimientos y
estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza
en la figura del auditor interno informtico.

En cuanto a empresas se refiere, solamente las ms grandes pueden

poseer una Auditora propia y permanente, mientras que el resto acuden a las
auditoras externas. Puede ser que algn profesional informtico sea trasladado
desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta
existe. Finalmente, la propia Informtica requiere de su propio grupo de Control
Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro
de la estructura Informtica ya no sera independiente. Hoy, ya existen varias
organizaciones Informticas dentro de la misma empresa, y con diverso grado de
autonoma, que son coordinadas por rganos corporativos de Sistemas de
Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en
ocasiones contratar servicios de auditora externa. Las razones para hacerlo
suelen ser:

Necesidad de auditar una materia de gran especializacin, para la cual los

servicios propios no estn suficientemente capacitados.

Contrastar algn Informe interno con el que resulte del externo, en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con

la opinin generalizada de la propia empresa.

Servir como mecanismo protector de posibles auditoras informticas
externas decretadas por la misma empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad

exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y

poltica general de la empresa. La funcin auditora puede actuar de oficio, por
iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la
direccin o cliente.
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas
en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha
propiciado que las Comunicaciones, Lneas y Redes de las instalaciones
informticas, se auditen por separado, aunque formen parte del entorno general
de Sistemas.

Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe
verificarse en primer lugar que los Sistemas estn actualizados con las ltimas
versiones del fabricante, indagando las causas de las omisiones si las hubiera. El
anlisis de las versiones de los Sistemas Operativos permite descubrir las posibles
incompatibilidades entre otros productos de Software Bsico adquiridos por la
instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros
variables de las Libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico
que han sido facturados aparte de la propia computadora. Esto, por razones
econmicas y por razones de comprobacin de que la computadora podra
funcionar sin el producto adquirido por el cliente. En cuanto al Software
desarrollado por el personal informtico de la empresa, el auditor debe verificar
que ste no agreda ni condiciona al Sistema. Igualmente, debe considerar el
esfuerzo realizado en trminos de costes, por si hubiera alternativas ms
econmicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Bsico por su especialidad e importancia. Las
consideraciones anteriores son vlidas para ste tambin.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la
evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto.
Las acciones de tunning deben diferenciarse de los controles habituales que
realiza el personal de Tcnica de Sistemas. El tunning posee una naturaleza ms
revisora, establecindose previamente planes y programas de actuacin segn los
sntomas observados. Se pueden realizar:
Cuando existe sospecha de deterioro del comportamiento parcial o general
del Sistema

De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso

sus acciones son repetitivas y estn planificados y organizados de antemano.
El auditor deber conocer el nmero de Tunning realizados en el ltimo ao,
as como sus resultados. Deber analizar los modelos de carga utilizados y los
niveles e ndices de confianza de las observacio-nes.
Optimizacin de los Sistemas y Subsistemas:
Tcnica de Sistemas debe realizar acciones permanentes de optimizacin
como consecuencia de la realizacin de tunnings preprogramados o especficos.
El auditor verificar que las acciones de optimizacin* fueron efectivas y no
comprometieron la Operatividad de los Sistemas ni el plan crtico de produccin
diaria de Explotacin.
*Optimizacin:
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no
tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va
cargando, la Aplicacin se va poniendo cada vez ms lenta; porque todas las
referencias a tablas es cada vez ms grande, la informacin que est moviendo es
cada vez mayor, entonces la Aplicacin se tiende a poner lenta. Lo que se tiene
que hacer es un anlisis de performance, para luego optimizarla, mejorar el
rendimiento de dicha Aplicacin.
Administracin de Base de Datos:
El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha
convertido en una actividad muy compleja y sofisticada, por lo general
desarrollada en el mbito de Tcnica de Sistemas, y de acuerdo con las reas de
Desarrollo y usuarios de la empresa. Al conocer el diseo y arquitectura de stas
por parte de Sistemas, se les encomienda tambin su administracin. Los
auditores de Sistemas han observado algunas disfunciones derivadas de la
relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la
problemtica general de los usuarios de Bases de Datos.

La administracin tendra que estar a cargo de Explotacin. El auditor de

Base de Datos debera asegurarse que Explotacin conoce suficientemente las
que son accedidas por los Procedimientos que ella ejecuta. Analizar los Sistemas
de salvaguarda existentes, que competen igualmente a Explotacin. Revisar
finalmente la integridad y consistencia de los datos, as como la ausencia de
redundancias entre ellos.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas,
saben que sus propios efectivos estn desarrollando Aplicaciones y utilidades que,
concebidas inicialmente para su uso interno, pueden ser susceptibles de
adquisicin por otras empresas, haciendo competencia a las Compaas del ramo.
La auditora informtica deber cuidar de que la actividad de Investigacin y
Desarrollo no interfiera ni dificulte las tareas fundamentales internas.

HERRAMIENTAS Y TCNICAS PARA LA AUDITORA

INFORMTICA
Cuestionarios:
Las auditoras informticas se materializan recabando informacin y
documentacin de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la
informacin necesaria para la emisin de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados tambin evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de
cuestionarios preimpresos que se envan a las personas concretas que el auditor
cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas reas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones

distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en
su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo
que tal anlisis determine a su vez la informacin que deber elaborar el propio
auditor. El cruzamiento de ambos tipos de informacin es una de las bases
fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores
hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran
proporcionado.
Entrevistas:
El auditor comienza a continuacin las relaciones personales con el
auditado. Lo hace de tres formas:

Mediante la peticin de documentacin concreta sobre alguna materia de

su responsabilidad.
Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un

mtodo estricto de sometimiento a un cuestionario.

Por medio de entrevistas en las que el auditor sigue un mtodo
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del

auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la

proporcionada por medios propios puramente tcnicos o por las respuestas
escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor
y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que
hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto
entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversacin correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de

preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo

aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y
que es diferente para cada caso particular.
Checklist:
El auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita
saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis,
cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversar y har preguntas "normales", que en realidad
servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus
Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran
que leerle una pila de preguntas recitadas de memoria o ledas en voz alta
descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente
falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de
informacin a fin de obtener respuestas coherentes que permitan una correcta
descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya que superan en
riqueza y generalizacin a cualquier otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado
responder desde posiciones muy distintas y con disposicin muy variable. El
auditado, habitualmente informtico de profesin, percibe con cierta facilidad el
perfil tcnico y los conocimientos del auditor, precisamente a travs de las
preguntas que ste le formula. Esta percepcin configura el principio de autoridad
y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo
y el orden de su formulacin. Las empresas externas de Auditora Informtica
guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y
oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases
de autoridad, prestigio y tica.
El auditor deber aplicar la Checklist de modo que el auditado responda
clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente
en los casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor
amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la
presin sobre el mismo.
Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados
genricamente <paquetes de auditora>, capaces de generar programas para
auditores escasamente cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos
estadsticos que permitieran la obtencin de consecuencias e hiptesis de la
situacin real de una instalacin.
En la actualidad, los productos Software especiales para la auditora
informtica se orientan principalmente hacia lenguajes que permiten la
interrogacin de ficheros y bases de datos de la empresa auditada. Estos
productos son utilizados solamente por los auditores externos, por cuanto los
internos disponen del software nativo propio de la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa
"Cliente-Servidor", han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que el
auditor informtico copia en su propia PC la informacin ms relevante para su
trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen
datos e informacin parcial generada por la organizacin informtica de la
Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor
se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar
informacin de los mencionados usuarios finales, lo cual puede realizar con suma
facilidad con los polivalentes productos descritos. Con todo, las opiniones ms
autorizadas indican que el trabajo de campo del auditor informtico debe
realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi
imprescindible una cierta soltura en el manejo de Procesadores de Texto,
paquetes de Grficos, Hojas de Clculo, etc.

CONCLUSIN
Principalmente, con la realizacin de este trabajo prctico, la principal
conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada,
que posean Sistemas de Informacin medianamente complejos, deben de
someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da,
el 90 por ciento de las empresas tienen toda su informacin estructurada en
Sistemas Informticos, de aqu, la vital importancia que los sistemas de
informacin

funcionen

correctamente.

La

empresa

hoy,

debe/precisa

informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas

de informacin. Una empresa puede tener un staff de gente de primera, pero tiene
un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay
un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto
al trabajo de la auditora en s, podemos remarcar que se precisa de gran
conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad;
la auditora de Sistemas debe hacerse por gente altamente capacitada, una

auditora mal hecha puede acarrear consecuencias drsticas para la empresa

auditada, principalmente econmicas.