AUDITORA DE SIST E MAS CO NT ABLES Hoy, la importancia creciente de las telecomunicaciones ha llevado a que las comunicaciones, lneas y redes

de instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de sistemas de informacin (SI). Su finalidad es examinar y analizar los procedimientos administrativos y los sistemas de control interno de la empresa auditada. Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos dbiles que hayan podido detectar, as como las recomendaciones sobre los cambios convenientes a introducir al interior de la empresa. Normalmente, las empresas funcionan con polticas generales, pero hay procedimientos y mtodos, que son ms operativos y, por lo tanto, se podran realizar las sugerencias propuestas por los auditores. Informacin; como recurso bsico En el contexto de la organizacin moderna, la informacin puede ser definida como los datos que han sido recogidos, procesados, almacenados y recuperados con el propsito de tomar decisiones financieras y econmicas o para el soporte de una produccin y distribucin eficientes de bienes y/o servicios. La informacin tiene que ser considerada como un recurso bsico en una organizacin, junto con los humanos, el capital, materias primas y equipos. Es importante y clave para la organizacin tanto para su supervivencia como para mejorar su posicionamiento en la industria. Debe obtenerse a tiempo para su uso eficaz. Debe ser utilizada eficientemente para un retorno ptimo sobre su costo. Clases de informacin: a) Informacin estratgica; permite a la alta direccin definir los objetivos de la organizacin, la cantidad y clase de recursos necesarios para alcanzar los objetivos y las polticas que gobiernan su uso. La alta direccin tiene que tomar decisiones econmicas importantes basadas en las condiciones de los cambiantes mercados e innovacin tecnolgica. Este tipo de informacin procede en su mayor parte de fuentes externas a la organizacin, en particular de su propio sector industrial y est relacionada con factores como cuota de mercado, elasticidad de la demanda, legislacin y entorno poltico. En el caso de la planificacin estratgica, el horizonte temporal de la informacin es mayor a un ao. b) Informacin para el control de gestin; ayuda a los mandos medios especialmente a tomar decisiones en el perodo actual, normalmente un ao, para que sean consistentes con los objetivos estratgicos, incluyendo comparaciones entre los resultados actuales y objetivos, presupuestos y medidas de rendimiento. c) Informacin tcnica u operacional; es la informacin que se produce por rutina, da a da e incluye datos de contabilidad, control de inventario, programacin de la produccin, planificacin de las necesidades de materiales, normas y gestin del personal, control del flujo de caja, logstica, ingeniera, fabricacin, recepcin, distribucin, ventas y todo el conjunto de operaciones que son necesarias para mantener la empresa en funcionamiento.

d) Informacin contable y financiera; es la informacin que se genera con el propsito de control e informacin financiera, este tipo de informacin se recoge de acuerdo con los Principios de Contabilidad Generalmente Aceptados y son aplicados por los profesionales contables. La informacin es valiosa en la toma de decisiones, ya que es sta una de las tareas vitales que debe realizar un directivo organizacional. La calidad de las decisiones tomadas depende directamente de la calidad de la informacin que las soporta; estas decisiones requieren de un profundo conocimiento de las circunstancias que rodean un problema, conocimiento de las alternativas disponibles y estrategias competitivas. Atributos de la informacin Completa; si la informacin se pierde u oculta a quin toma la decisin, el resultado de la decisin ser pobre. Exacta; errores en la entrada, conversin o procesos pueden dar como resultado conclusiones invalidas que darn lugar a decisiones errneas. Autorizada; la informacin puede ser semnticamente correcta, pero representar transacciones invalidas o no autorizadas. Auditable; la informacin debe ser seguible a travs de los documentos fuente o su ejecucin seguida mediante sistemas de control monitoreados y pre-verificados. Econmica; el costo de producir la informacin debera no exceder su valor cuando se utiliza. Adecuada; informacin especfica debe estar disponible solamente para aquellos que la necesitan, para asegurar una gestin eficiente; demasiada informacin irrelevante a disposicin de quin debe tomar la decisin puede ocultar el proceso. Puntual; la informacin pierde su valor cuando llega a quin tiene que tomar la decisin, despus de que la necesita. Segura; la informacin debe ser protegida de su difusin a personas no autorizadas, sin ello puede dar lugar a prdidas econmicas en la organizacin; debe estar protegida contra destrucciones accidentales o voluntarias. Informacin; como un recurso crtico Los estudios realizados en varias universidades (Minnesota, Texas, ect.) revelan que en los sectores financieros, fabricacin y distribucin, una cada total del computador entre tres y cuatro das puede dar lugar a grandes prdidas en el negocio de la organizacin. Igualmente, la prdida de confidencialidad en las bases de datos de investigacin o en el plan estratgico, puede proporcionar a los competidores una ventaja definitiva. a) Est la informacin y los sistemas de informacin suficientemente protegidos? La respuesta a esta pregunta descansa en las dos reas de control de los sistemas de informacin ms importantes; Plan de recuperacin de desastres; muchas organizaciones no desean describir su estado de preparacin para estos casos, las respuestas a encuestas sobre este tema muestran que son pocas las que estn preparadas para estas circunstancias. Mecanismo de control de acceso lgicos y fsicos; hay pocas estadsticas disponibles sobre el uso del software de control de acceso en cuanto a sus polticas de utilizacin y calidad de su administracin.
2

Una vez que se es consciente de que tal software puede ser instalado y utilizado de distintas maneras, es ms evidente que poseer este software, por si mismo, no garantiza la seguridad sino que la administracin es la clave del xito. Aun cuando el software de control de acceso est instalado y bien administrado, hay numerosas vas por las cuales, los programadores de sistemas desde dentro y los hackers desde fuera de la organizacin pueden burlar los mecanismos de seguridad. b) Est considerara la informacin como un recurso crtico y es reconocido como tal por las organizaciones? Las grandes organizaciones producen informes anuales con una gran variedad de documentos que tratan de reflejar la calidad y el dinamismo del equipo de direccin; Para asegurar la objetividad de estos informes est estipulado que un auditor externo independiente emita su opinin sobre la bondad de dichos informes que representan la actuacin de la administracin y que estn elaborados de acuerdo con los Principios de Contabilidad Generalmente Aceptados por las organizaciones pblicas responsables de estas actividades. Estos principios no tienen en cuenta el valor de la informacin ni aun la valoran como un activo intangible. El valor de la informacin, como un tangible, algunas veces activo irremplazable y ms valioso que muchos de los otros activos, puede solamente ser estimado indirectamente por el impacto que su prdida, destruccin o distribucin no autorizada, que puede tener sobre las organizaciones. Los informes de los auditores no reconocen la informacin como un recurso crtico, excepto con relacin a la informacin financiera. Esta informacin, sin embargo, es altamente vulnerable a muchos riesgos que estn incontrolados en el caso de una organizacin. Un plan inadecuado de recuperacin de desastres o programas de seguridad eficaces. Tales situaciones no sern informadas por el auditor externo, que adicionalmente podra rechazar y/o aceptar responsabilidades en el caso de que las cosas fueran realmente mal. Esta situacin seria, cuando se considera que a menudo los auditores externos son la nica forma de influir, independientemente, sobre la empresa. Finalmente, la respuesta es que la informacin no se reconoce como un recurso crtico en los informes de las empresas. Aunque hay otros mecanismos de control como son el control de cambios de programas, el aseguramiento de calidad y polticas de seguridad y procedimientos, aquellos son los indicadores fundamentales de una adecuada proteccin. Dificultades para gestionar y controlar adecuadamente los S.I. a) Percepcin de la funcin de los sistemas de informacin Es muy comn que se perciba a esta funcin como un servicio de soporte de las funciones de lnea, por lo que los recursos que se asignan y la atencin de la direccin se dirigen a las lneas en teora ms importante, aun en una gran mayora se mantiene. Muchos usuarios ven a la funcin de los sistemas de informacin como un restaurante de cocina rpida. Las necesidades de los clientes son siempre inmediatas y tiene prioridad nmero uno, sobre cualquier tema de gestin interna de la funcin.
3

As es frecuente encontrar; documentacin escasa de operacin y soporte de explotacin, gestin eficiente del almacenamiento, planificacin de la capacidad, seguimiento y gestin del rendimiento de los equipos, instalacin desactualizada de versiones y correcciones de errores en el software proporcionado por los vendedores, procedimientos de control de cambios en aplicaciones, planes de recuperacin en caso de desastres y prueba de los mismos, revisiones peridicas de las libreras crticas para asegurar que rutinas no autorizadas no se han insertado en programas por programaciones de sistemas u otros profesionales y seguimiento de los informes de intentos de violacin de seguridad. b) Excesivo poder de los informticos Los sistemas de informacin son, por su naturaleza, un tema esotrico y los tcnicos lo saben y han ejercido un tremendo poder debido a su experiencia. La naturaleza tcnica, complejidad y rpida evolucin de los sistemas de informacin, crean una barrera formidable para los que son ajenos a la funcin. La alta direccin carece de tiempo y de inclinacin a educarse tales reas tcnicas. Los directivos informticos raramente son promocionados a posiciones de alta direccin debido a su falta de experiencia en el negocio. c) Abdicacin de la alta direccin La alta direccin generalmente abdica de sus responsabilidades sobre los sistemas de informacin. Los directivos de las empresas se pueden clasificar en tres categoras: Aquellos que desearan que la tecnologa desapareciera. Los que piensan que este trabajo debera ser elevado en su categora y delegado en una persona importante dentro de la organizacin, alguien que se ocupe de ello y le mantenga informado y alejado de los problemas. Los que perciben la tecnologa como una parte integral del da a da y reconocen que el director de sistemas de informacin debe formar parte del equipo de la alta direccin. d) Los usuarios tienen dificultad para definir sus necesidades Los usuarios tienen serias dificultades en la definicin de sus necesidades. La dificultad humana bsica, es especificar requisitos para sistemas abstractos, tales como especificar por adelantado los criterios positivos para evaluar los sistemas actuales. As mismo, se demuestra que los usuarios estn ms capacitados para identificar fallas, esto es, capacidad que posee un usuario para sealar, cundo el sistema no es capaz de resolver su problema como l esperaba. e) Resistencia de los usuarios al cambio La tecnologa de la informacin es, a menudo, aplicada inapropiadamente y desperdiciada muchas de sus potencialidades debido a los procedimientos obsoletos de trabajo utilizado por los usuarios y su resistencia al cambio. Una nueva aplicacin se desarrolla, de acuerdo con las especificaciones de los usuarios, ya que estos estn muy interesados en mantener las relaciones actuales de dependencia, se evitan cambios fundamentales en el trabajo.

f)

Informtica de usuario final Hoy los usuarios explotan directamente mquinas con una mnima intermediacin en infinidad de reas, cada vez son ms independientes en los trabajos que realizan. Hay tres razones importantes para ello: La acelerada evolucin de la tecnologa de computacin representada por los microprocesadores. El gran incremento de la formacin de los usuarios. El gran crecimiento de las carteras de aplicacin. Cmo mejorar la gestin y el control de las tecnologas de informacin; como hemos visto cada vez se hace ms evidente para legisladores, usuarios y proveedores de servicios la necesidad de un marco de referencia para la seguridad y el control de la tecnologa de la informacin. Un elemento crtico para el xito y la supervivencia de las organizaciones, es la gestin efectiva de la informacin y la tecnologa de informacin relacionada: La creciente dependencia de la informacin y de los sistemas que la proporcionan. La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciberamenazas y la guerra de la informacin. La escala y el costo de las inversiones actuales y futuras en la informacin y en la tecnologa de informacin. El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, as como para crear nuevas oportunidades y reducir costos. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Pero no es suficiente, tambin hay que comprender y administrar los riesgos asociados con la implantacin de las nuevas tecnologas. Por lo tanto la direccin debe; apreciar y conocer los riesgos y limitaciones de la utilizacin de la tecnologa de informacin para proporcionar una directriz efectiva y los controles adecuados; decidir la inversin razonable en seguridad y control en tecnologa de informacin y como lograr un equilibrio entre riesgos e inversiones en el control en un ambiente frecuentemente impredecible con relacin a las tecnologas de informacin. Para ello es necesario que las organizaciones puedan disponer de; una funcin de auditora informtica independiente; una utilizacin correcta de la informtica en la prctica de los distintos tipos de auditora; la definicin de unos objetivos de control de tecnologa de informacin.

Definicin de auditora de sistemas contables 1. Funcin que consiste en la revisin de la seguridad y control de los sistemas de informacin en una organizacin, efectuada mediante una metodologa de trabajo y ejecutada por un profesional. 2. Es un examen y validacin de los controles y procedimientos utilizados por el rea de informtica, a fin de verificar que los objetivos de continuidad de servicio, confidencialidad, seguridad de la informtica y la integridad y coherencia de la informacin se estn cumpliendo satisfactoriamente y de acuerdo a la normativa vigente (interna y externa). 3. Evala y comprueba los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso de software.
5

4. Es un proceso de valuacin independiente y objetiva que asegura que la informacin ha sido procesada en una manera segura e integra, que las operaciones son eficientes, efectivas y adecuadas; y, si se salvaguarda la informacin. Entonces, se entiende por auditora informtica aquella actividad auditora que trata de evaluar la adecuada utilidad, eficiencia, fiabilidad y salvaguarda de la informacin mecanizada que se produce en una determinada empresa o institucin, as como la organizacin de los servicios que la elaboran y procesan. Por lo tanto la auditora informtica debe analizar la funcin informtica, que engloba el anlisis de la organizacin, seguridad, segregacin de funciones y gestin de las actividades de proceso de datos. Podemos concluir que la auditora informtica es un examen profesional, objetivo y sistemtico de las operaciones y actividades efectuadas por una organizacin, proyecto o programa, para determinar el grado de cumplimiento y eficacia de: La planificacin, el desarrollo y la implantacin de los sistemas utilizados. La informacin producida por los sistemas y su pertinencia y confiabilidad. La documentacin bsica de cada sistema, su implantacin y la divulgacin de la misma entre los usuarios. Los mecanismos de control incorporados en los sistemas. Los recursos idneos identificados y disponibles para garantizar la continuidad de las operaciones en caso de desastres. El programa de adiestramiento al personal de sistemas de informacin, sus usuarios y los auditores. Objetivos Verificar el control de la funcin informtica, asegurando a la alta direccin y al resto de las reas de la empresa que la informacin que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes. Eliminar o reducir al mximo la posibilidad de prdida de la informacin por fallos en los equipos, en los procesos o por una gestin inadecuada de los archivos de datos. Detectar y prevenir fraudes por manipulacin de la informacin o por acceso de personas no autorizadas a transacciones que exigen traspasos de fondos.

Auditor informtico; persona que pone a disposicin de la funcin auditora, sea externa o interna, sus conocimientos tcnicos de informtica. Evala y comprueba los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas sofisticadas en algunos casos, incluyendo el uso de software, es decir, debe actuar como auditor y consultor de la empresa en materia de seguridad, control interno operativo, eficiencia y eficacia, tecnologa informtica, gestin de riesgos, etc. Es por ello que de dice que, es ms fcil que un informtico adquiera los principios del control, de la auditora y de la seguridad, que un auditor financiero llegue a adquirir el nivel tcnico informtico necesario.

Que hacen y no deben hacer los auditores informticos, entre otras acciones Deben hacer
Recomendar Ser independientes y objetivos Ser competentes Basar su opinin en evidencias Conocer perfiles de usuarios Conocer criterios y prcticas de T.I. Velar que los sistemas contengan e incorporen normas y requerimientos de informacin de la organizacin. Revisar codificacin de aplicaciones Revisar documentacin Evaluar riesgos e informar Aplicar pruebas o procedimientos de auditora.

No Deben hacer
Obligar, forzar o amenazar Actuar en beneficio propio Asumir responsabilidades para los cuales no est preparado. Basar su opinin en suposiciones Realizar gestin de perfiles de usuarios Realizar labores de desarrollo o gestin de tecnologa Gestin y asignacin de contraseas Hacer funciones de documentacin y anlisis Codificar, programar o documentar Garantizar inexistencia de riesgos

Etapas de auditora informtica Las nicas metodologas que se pueden encontrar en la auditora informtica son dos familias distintas; las auditorias de controles generales como producto estndar de auditorias profesionales, que son una homologacin de las mismas a nivel internacional, y las metodologas de auditores internos. El objetivo de las auditorias de controles generales es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera. El resultado externo es un escueto informe como parte del informe de auditora, donde se destacan la vulnerabilidad encontrada. Estn basadas en pequeos cuestionarios estndares que dan como resultado informes muy generales. Tienen apartados para definir pruebas y anotar sus resultados. La auditora debe demostrar con pruebas todas las afirmaciones, y por ello siempre debe contener dicho apartado. Estas metodologas estn muy cuestionadas, pero no porque sean malas en s mismas, sino porque dependen mucho de la experiencia de los profesionales que las usan y existe una prctica de utilizarlas profesionales sin ninguna experiencia. Todas estas anomalas nacen de la dificultad que tiene un profesional sin experiencia que asume la funcin auditora y busca una frmula fcil que le permita empezar su trabajo rpidamente. Esto es una utopa, el auditor informtico necesita una larga experiencia y gran formacin tanto auditora como informtica. Y esta formacin debe ser adquirida mediante el estudio y la prctica. Dado lo anterior, es necesario decir que la metodologa del auditor interno debe ser diseada y desarrollada por el propio auditor, y sta ser la significacin de su grado de experiencia y habilidad. El auditor de TI debe evaluar los riesgos globales y luego desarrollar un programa de auditora que consta de objetivos de control y procedimientos de auditora que deben satisfacer esos objetivos. El proceso de auditora exige que el auditor de TI rena evidencia, evale fortalezas y
7

debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditora que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditora debe garantizar una disponibilidad y asignacin adecuada de recursos para realizar el trabajo de auditora adems de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. En general el proceso seguido en una auditora es similar al siguiente; 1. Planificacin de la auditora; una planificacin adecuada es el primer paso necesario para realizar auditorias de TI eficaces. El auditor de TI debe comprender el ambiente del negocio en el que se ha de realizar la auditora as como los riesgos del negocio y control asociado. Comprensin del negocio y de su ambiente; al planificar la auditora, el auditor de TI debe tener una comprensin general de las diversas prcticas comerciales y funciones relacionadas con el tema de la auditora, as como los tipos de sistemas que se utilizan. El auditor de TI tambin debe comprender el ambiente normativo en el que opera el negocio. Riesgo y materialidad de la auditora; se puede definir los riesgos de auditora como aquellos riesgos de que la informacin pueda tener errores materiales o que el auditor de TI no pueda detectar un error que ha ocurrido. Los riesgos en auditora pueden tener diversas clasificaciones. El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad los hay. La palabra material utilizada con cada uno de los riesgos evaluados, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditora. En una auditora de TI, la definicin de riesgos materiales depende del tamao o importancia del objeto auditado as como de otros factores. El auditor de TI debe tener una cabal comprensin de los riesgos de auditora al planificar. Una auditora tal vez no detecte cada uno de los potenciales errores en un universo. Pero, s el tamao de la muestra es lo suficientemente grande, o se utilizan procedimientos estadsticos adecuados se llega a minimizar la probabilidad del riesgo de deteccin. De manera similar al evaluar los controles internos, el auditor de TI debe percibir que en un sistema dado se puede detectar un error mnimo, pero ese error combinado con otros, puede convertirse en un error material para todo el objeto auditado. Tcnicas de evaluacin de riesgos; al determinar que reas funcionales o temas de auditora que deben auditarse, el auditor de TI puede enfrentarse a una gran variedad de temas candidatos a ser auditados, el auditor debe evaluar esos riesgos y determinar cuales de esas reas de alto riesgo debe ser auditada. Objetivos de controles y objetivos de auditora; el objetivo de un control es anular el riesgo siguiendo alguna metodologa, el objetivo de auditora es verificar la existencia de estos controles y que estn funcionando de manera eficaz, respetando las polticas de la empresa y los objetivos de la empresa. Procedimientos de auditora; algunos de los procedimientos ms utilizados son las entrevistas con los especialistas tcnicos, utilizacin de un software y diagramas de flujo. 2. Programa de auditora; un programa de auditora es un conjunto de procedimientos documentados y diseados para alcanzar los objetivos de auditora planificados. Tema de auditora; donde se identifica el rea a ser auditada.

Objetivos de auditora; donde se indica el propsito del trabajo de auditora a realizar. Alcances de auditora; aqu se identifica los sistemas especficos o unidades de la organizacin que se han de incluir en la revisin en un periodo de tiempo determinado. Planificacin previa; donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar. Procedimientos de auditora; se debe indicar como se va a desarrollar los diversos pasos de la auditora. 3. Asignacin de los recursos; la asignacin de los recursos para el trabajo de auditora debe considerar las tcnicas de administracin de proyectos las cuales tienen los siguientes pasos bsicos: Desarrollar un plan detallado; el plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto; debe existir algn mecanismo que permita comparar el progreso real con lo planificado. Ajustar el plan y tomar las acciones correctivas; si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas (el control se puede llevar en un diagrama de Gantt). Los recursos deben comprender tambin las habilidades con las que cuenta el grupo de trabajo de auditora y el entrenamiento de auditora, como los perodos de vacaciones que estos tengan, otros trabajos que estn realizando, etc. 4. Recopilacin de evidencia; la recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de TI debe tener conocimientos de cmo puede recopilar la evidencia examinada. 5. Evaluacin de fortalezas y debilidades de auditora; luego de desarrollar el programa de auditora y recopilar evidencia de auditora, el siguiente paso es evaluar la informacin recopilada con la finalidad de desarrollar una opinin. Para esto generalmente se utiliza una matriz de control con la que se evaluar el nivel de los controles identificados. En esta etapa de evaluacin de debilidades y fortalezas tambin se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditora. El auditor de TI debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello. 6. Informe de auditora; los informes de auditora son el producto final del auditor de TI, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aqu tambin se expone la opinin sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditora, no existe un formato especfico para exponer un informe de auditora de TI, pero generalmente tiene la siguiente estructura o contenido; Introduccin al informe, donde se expresara los objetivos de la auditora, el perodo o alcance cubierto por la misma, y una expresin general sobre la naturaleza o extensin de los procedimientos de auditora realizados.
9

Observaciones detalladas y recomendaciones de auditora. Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas. Conclusin global del auditor expresando una opinin sobre los controles y procedimientos revisados.

7. Seguimiento a las observaciones; el trabajo de auditora es un proceso continuo, se debe entender que no servira de nada el trabajo de auditora si no se comprueba que las acciones correctivas tomadas por la gerencia, se estn realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento depender del carcter crtico de las observaciones de auditora. El nivel de revisin de seguimiento del auditor de TI depender de diversos factores, en algunos casos el auditor de TI tal vez solo necesite inquirir sobre la situacin actual, en otros casos tendr que hacer una revisin ms tcnica del sistema. Como conclusin, podemos decir que todo auditor debe crear las metodologas necesarias para auditar los distintos aspectos o reas que defina en el plan. Auditora de la funcin informtica; su finalidad es verificar la existencia de control interno en el centro de proceso de datos. Para ello, se deben analizar los riesgos inherentes a las funciones bsicas de gestin, administracin, planificacin, organizacin y normativa general, y a las ms especializadas, como son las de desarrollo y explotacin y tcnica de sistemas, as como la seguridad fsica de las instalaciones y los datos. La primera parte de este anlisis respondera al mismo esquema utilizado en cualquier otra rea de la empresa, ya que se tratara de examinar la organizacin existente con la finalidad de determinar si responde a los criterios fijados por la direccin y a las necesidades actuales y si asegura la salvaguarda fsica de la informacin de la empresa. Una segunda parte se refiere a los procedimientos de trabajo relativos tanto a la operativa informtica normal (explotacin), como al mantenimiento e implementacin de nuevos sistemas informticos (desarrollo). La tercera parte debera verificar todos los controles globales del sistema informtico y las medidas de seguridad del equipo, los programas y los datos. En sntesis, el programa de trabajo consistira en analizar; la organizacin y gestin de las actividades del centro de proceso de datos o departamento informtico, los sistemas informticos en fase de desarrollo, el mantenimiento de los sistemas informticos, la explotacin de los recursos informticos, la seguridad, los sistemas de comunicaciones, la administracin de la base de datos. Un sistema informtico es el conjunto de programas desarrollados para dar una solucin informtica a un problema concreto, dentro de un rea de actividad empresarial. Por ejemplo; contabilidad, nminas, gestin de proveedores, reservas de plazas, facturacin, etc. El auditor puede analizar; La totalidad de la aplicacin o una serie de programas relacionados con uno de estos tratamientos, segn donde se haya detectado el problema, tambin pueden evaluarse las relaciones de una aplicacin mecanizada con otras aplicaciones. Los controles que afectan a todas las aplicaciones y verificar si existe un nivel suficiente de control en todas y cada una de las reas y s stas son una garanta de que el entorno en el que van a desenvolverse las aplicaciones, es seguro y adecuado. El grado de eficiencia y utilidad de los sistemas, as como la fiabilidad y seguridad de la informacin que suministran.
10

Por lo tanto, la finalidad de la auditora de un sistema informtico es evaluar en qu medida se est garantizando el control interno con la utilizacin de esa aplicacin, la seguridad de los datos y programas, as como el rendimiento de la misma en relacin a la finalidad con la que fue diseada, en trminos de costo eficiencia. Para ello es necesario, en primer lugar, llegar a conocer el proceso, detectar los controles existentes y probar su funcionamiento. El desarrollo del trabajo sera el siguiente: Definicin de los objetivos. Anlisis de la eficacia del sistema, su eficiencia y utilidad. Identificacin del proceso, procedimientos administrativos, flujo de informacin, etc. Analizar la organizacin existente alrededor del sistema, segregacin de funciones, etc. Anlisis de la aplicacin de; controles de entrada, controles de procesamiento, controles de salida, controles generales. Identificar los controles operativos y hacer pruebas de cumplimiento. Identificar fallas de control. detectar los riesgos. Proponer sugerencias. La informtica en la auditora; nos da la posibilidad de: Profundizar en las reas ms complejas de la empresa. Reducir las horas dedicadas a trabajos respectivos. Mejorar la propia gestin de la auditora.

En realidad, prcticamente todos los trabajos de auditora son susceptibles a mecanizacin, el que conceda prioridad a unos u otros depende de la organizacin interna, del inters que se tenga en potenciar cada una de esas actividades de auditora y de los medios disponibles. Teniendo esto en cuenta, se debe proceder a disear el plan informtico de auditora, que ha de ser fiel reflejo de los recursos y necesidades de cada empresa. Para desarrollar este plan se determina; su mbito o alcance, los recursos necesarios y la formacin informtica de los auditores. Se trata de examinar las distintas actividades de auditora con posibilidades de mecanizacin; es decir, los tipos de auditora susceptibles de utilizar en ellos herramientas informticas a fin de facilitar el trabajo de los auditores y ahorrar tiempo. Aqu se van a considerar las siguientes modalidades de auditora; auditora externa y auditora de gestin, asimismo, se analizar la informtica aplicada a la propia gestin de la auditora interna. Informtica para realizar auditorias externas; se trata de utilizar la informtica en la revisin de los estados financieros de las empresas, que le corresponde efectuar a la unidad de auditora interna de la empresa. En las empresas altamente mecanizadas, la informacin que ha de analizar el auditor es producto de un proceso informtico sobre documentos fuentes. En reas de alto riesgo, el auditor deber comprobar tanto los datos de entrada como los procesos para asegurarse de la fiabilidad de dicha informacin. El examen de los justificantes no puede sufrir mayor mecanizacin que la de disponer de programas que permitan hacer un muestreo representativo, segn las condiciones de la informacin a analizar.
11

En lo que se refiere a las pruebas de procesos, se puede optar entre las siguientes alternativas: Revisin del proceso; aparte de la complejidad de revisar programas desarrollados por otras personas, este sistema no suele ser el ms adecuado porque, por lo general, requiere un gran conocimiento de lenguajes de programacin, con lo que los auditores no estn habituados a trabajar. Prueba de datos reales con un programa de simulacin propio; puede ser til cuando se disponga de hardware propio. El desarrollo de estos programas de simulacin puede ser efectuado por el personal de auditora en las pocas en que haya menor carga de trabajo. Preparacin de un juego de datos de prueba; consiste en la creacin de un conjunto de datos diseados por el propio auditor que recoja las distintas situaciones que puedan darse en la realidad y de los cuales conozca con certeza el resultado del proceso. Estos datos sern cargados en el sistema a analizar y se comparar la informacin de salida con los resultados obtenidos previamente calculados. Informtica para aplicar a la auditora de gestin; la auditora de gestin de una unidad requiere no solo del anlisis de la estructura de la misma y de sus funciones, sino tambin el de la informacin que maneja y el soporte de la misma. Si esta informacin est mecanizada, ser conveniente auditar el sistema informtico que la soporta. Mediante la aplicacin de programas apropiados, el departamento de auditora podra seleccionar as la informacin y datos, relacin de datos entre ficheros, clculo de valores medios y desviaciones, detectar desajustes en la informacin, etc. El objetivo es, pues, crear un conjunto de aplicaciones informticas para auditora, de manera que sta pueda disponer directamente de la informacin, ficheros, datos y manejarlos de acuerdo con los objetivos fijados en su programa. Se trata de aplicaciones informticas especficas para cada empresa, y a veces para cada auditora, por lo que para poder utilizar las aplicaciones desarrolladas en ocasiones sucesivas, se debern utilizar sistemas muy flexibles. Informtica utilizada en la gestin de la propia auditora interna; como ayuda a la gestin de auditora, se puede desarrollar un sistema mecanizado para dar soporte de auditorias y a otros trabajos y actividades realizados por dicha seccin. Todo depender de cmo sea la organizacin y de lo que se quiera controlar. En general, se puede decir que la informtica permitir archivar de forma sistemtica toda a informacin relativa a los trabajos efectuados, para obtener posteriormente informes en funcin de las necesidades que se presenten, como podra ser; trabajos realizados, situacin de recomendaciones, planificacin a corto y largo plazo. Los controles internos en la TI; tradicionalmente se han definido los controles internos como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Los controles internos que se utilizan en el entorno informtico evolucionan continuamente a medida que los sistemas informticos se vuelven ms complejos. Histricamente, los objetivos de los controles informticos se han clasificado en las siguientes
12

categoras; Controles preventivos; para tratar de evitar un evento, como el uso de un software de seguridad que impida los accesos no autorizados al sistema. Controles detectores; cuando fallan los preventivos para tratar de conocer cuanto antes o porque ha ocurrido el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Controles correctivos; facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad. Es muy importante conocer la relacin que existe entre los mtodos de control, los objetivos de control y los objetivos de auditora. Se trata de un tema difcil por el hecho de que, histricamente, cada mtodo de control ha estado asociado unvocamente con un objetivo de control. Por ejemplo, la seguridad de ficheros se consegua manteniendo la sala de computadoras cerrada con llave. Hoy los controles informticos han evolucionados hasta convertirse en procesos integrados en los que se atenan las diferencias entre las categoras tradicionales de controles informticos. La relacin que existe entre los mtodos de control y los objetivos de control puede demostrarse mediante el siguiente ejemplo, en el que un mismo conjunto de mtodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas: Objetivo de control de mantenimiento; asegurar que las modificaciones de los procedimientos programados estn adecuadamente diseadas, probadas, aprobadas e implementadas. Objetivos de control de seguridad de programas; garantizar que no se pueden efectuar cambios no autorizados en los procedimientos programados. La especial atencin prestada a la obtencin de ventajas competitivas as como a la economa de la TI implica una dependencia creciente de la informtica por parte de las organizaciones, como el componente ms importante de la estrategia de stas, lo cual requiere la incorporacin de mecanismos de control ms poderosos en los computadores y en las redes, tanto en el hardware como en el software. Adems, las caractersticas estructurales fundamentales de estos controles estn evolucionando al mismo paso que las tecnologas de computacin y redes.

13

Control Objectives for Information and Related Technology. (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas) Ante esta situacin cambiante, as como por la proliferacin de modelos de control, cada uno de ellos con una orientacin especfica que no proporcionan un modelo de control completo y utilizable sobre TI como soporte para los procesos de negocio, se haca necesario establecer un marco de referencia de objetivos de control de las TI, conjuntamente con una investigacin continua aplicada a dichos controles basada en dicho marco. Tomando como referencia la publicacin en los EE.UU. de los modelos de control generales COSO, Information Systems Audit and Control Foundation y un grupo de empresas desarrollaron en 1998 dicho marco de referencia para la definicin de objetivos de control que recibe el nombre de COBIT; Objetivos de Control para la Informacin y Tecnologas afines, con el propsito de cubrir el vaco existente y desarrollar polticas claras y buenas prcticas para la seguridad y el control de las TI. En este marco, se define el control interno como las polticas, procedimientos, prcticas y estructuras organizativas que permiten garantizar que los objetivos de negocio sern alcanzados razonablemente mediante el uso de las TI y que eventos no deseables sern prevenidos o detectados y corregidos. Un objetivo de control es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control en una actividad particular de TI. Es muy importante que estos controles tengan como objetivo el desarrollo de polticas claras y buenas prcticas para la seguridad y el control de la TI a partir de la perspectiva de los objetivos y necesidades de la empresa. Estos objetivos estn diseados para ser utilizados por tres audiencias distintas; Gestores; ayudarles a alcanzar un equilibrio entre los riesgos y las inversiones en un ambiente tecnolgico frecuentemente impredecible. Usuarios; obtener una garanta en cuanto a seguridad y uso de los servicios de TI proporcionados internamente o por terceras partes. Auditores informticos; para dar soporte a las opiniones emitidas sobre los controles internos. Misin; soportar los objetivos empresariales mediante el desarrollo, promocin y entrega de investigaciones, estndares, competencias y prcticas para un efectivo gobierno, control y evaluacin de los sistemas de informacin y la tecnologa relacionada. Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores. Antecedentes; el gremio de profesionales en TI se mostr preocupado por la falta de una gua estndar sobre el control en TI, que sirviera para diferentes grupos de inters. LA ISACF, como rgano que agrupa a profesionales de diferentes reas, interesados en el control de TI, se dio a la tarea de desarrollar un conjunto comn de conceptos sobre la materia. COBIT integra y concilia normas y reglamentaciones existentes como; ISO (9000-3), Cdigos de Conducta del Consejo Europeo, COSO, IFAC, IIA, ISACA, AICPA y Otras. Se publica por 1a vez en Septiembre de 1996, por 2a Edicin en Abril de 1998, por 3a Edicin en Marzo de 2000.
14

Usuarios La gerencia; para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los auditores; para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los responsables de TI; para identificar los controles que requieren en sus reas. Los usuarios finales; quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Pueden ser utilizados adems dentro de la empresa por el propietario de los procesos de negocio en su responsabilidad de control sobre los aspectos de informacin del proyecto y por todos los responsables de TI en la empresa. Para cada dominio y proceso identificado est definido un objetivo de control de alto nivel para documentar el enlace con los objetivos del negocio. As, se han identificado 34 objetivos de alto nivel y 302 objetivos detallados de control. El concepto fundamental del marco de referencia de COBIT es que la definicin de un control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando que esta informacin es el resultado de la aplicacin de los recursos relacionados con la TI y de los procesos de gestin de las TI.

REQUERIMIENTOS DE INFORMACIN DEL NEGOCIO

PROCESOS DE TI RECURSOS DE TI

15

R e q u e r im ie n t o s d e la I n fo r m a c i n d e l N e g o c io
C o b iT ; c o m b in a lo s p r in c ip io s c o n te n id o s p o r e x is te n te s y c o n o c id o s , c o m o C O S O , S A C y S A S . m o d e lo s

R e q u e rim ie n to s d e C a lid a d R e q u e rim ie n to s F in a n c ie r o s (C O S O ) R e q u e rim ie n to s d e S e g u rid a d

C a lid a d . C o s to . O p o rtu n id a d . E f e c ti v id a d y e f i c i e n c i a o p e r a c io n a l. C o n f ia b ilid a d d e lo s r e p o rte s fin a n c ie r o s . C u m p lim ie n to d e le y e s y re g u la c io n e s . C o n f id e n c i a l id a d . In te g r id a d . D i s p o n i b i l id a d .

16

Otra forma de ver la relacin de los recursos de TI con respecto a la entrega de servicios se describe como;

R e c u r s o s d e T .I .

EVENTO S
O b je t iv o s d e n e g o c io O p o r tu n id a d e s d e n e g o c io R e q u e r im ie n t o s exter n os R e g u la c i n R ie s g o s

IN F O R M A C I N

D a to s A p p l i c a c io n e s T e c n o lo g a I n s t a la c i o n e s
R ecu r so H u m a n o

E f e c t iv id a d E f i c ie n c ia C o n f id e n c ia lid a d I n t e g r id a d D is p o n i b ilid a d C u m p l im ie n t o C o n fi a b il id a d

El marco de referencia consta de objetivos de control de TI de alto nivel y de una estructura general para su clasificacin y presentacin, para ello, se consideran que hay tres niveles de actividades de TI al considerar la gestin de sus recursos.

L o s T r e s N iv e le s
D o m in io s P ro c eso s
C o n j u n t o s o ser ie s d e a c t iv id a d e s u n id a s c o n d e li m i t a c i n o c o r t e s d e c o n t r o l . A g r u p a c i n N a t u ra l de p ro ce so s, n o r m a lm e n t e co rre sp o n d en a un d o m in io o una r e s p o n s a b ili d a d o r g a n iz a c io n a l

A c t i v id a d e s o t a rea s

A c c io n e s r e q u er id a s p a r a lo g r a r u n r e s u l t a d o m e d i b le . L a s A c t i v i d a d e s . T i e n e n u n c i c l o d e v id a m i e n t r a s q u e la s t a r e a s s o n d iscr e t a s .

17

Si analizamos la ilustracin anterior debemos comenzar por la base, en la cual encontraremos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades a realizar se agrupan dentro de un ciclo de vida y cuentan con requisitos de control distinto a las tareas que son actividades discretas. Ejemplo; las actividades de desarrollo de sistemas, gestin de configuraciones o control de cambios. La segunda categora incluye tareas llevadas a cabo como soporte para la planificacin estratgica de TI, evaluacin de riesgos, planificacin de la calidad, gestin de la capacidad o evaluacin de desempeo. Constituyen los procesos que se encuentran en un nivel superior, se definen como un conjunto de actividades, que requieren un conjunto de controles. A un nivel ms alto, los procesos se agrupan en dominios de responsabilidad en una estructura organizativa, que estn alineados con un ciclo aplicable a los procesos de TI. Estos tres puntos estratgicos son descritos en el cubo COBIT que se muestra a continuacin;

P r o ceso s T I

D o m in io s D a tos

P r o ceso s A c tiv id a d e s

18

A p p l ic a c io n e s

T e c n o lo g a

R e cu rso H u m a n o

I n s t a l a c io n e s

C U B O d e C o b iT R e l a c i n e n tr e l o s c o m p o n e n te s

C r it e r io s d e la I n f o r m a c i n ( 7 )

O b jetivo s d e l N eg o cio
S e gu im ie n to de lo s p ro ce so sE va lu a r lo a d ec u a d o de l c on tr ol In te r no O b te n e r a se gu r a m ie n to innd e pe nd ie n te P r ov ee r un a a ud itor a in de p e nd ie nte

C o b iT

D e f in ir un p la n e s tra t gic o d e T I D e f in ir la a rqu ite c tu ra d e in fo rm ac in D e te rm ina r la d ir e cc in tec no lg ica D e f in ir la or g a n iz ac in y r e lac ion e s d e T I M a n e jo d e la in ve rsin e n T I C o m un icac in d e la dir ec tr ice s G e re n c ia le s A d m inis trac in d e l R e c urso H u m a no A se gu ra r e l c um p lir re qu e rim ie n to s e xte rno s E v a lu ac in d e Rie s go s A d m inis trac in d e P r o yec to s A d m inis trac in d e C a lid a d

R eq . In fo r m a c i n

S eg u im ie n to

E fec ti v id a d , E fici en c ia , C on fi d en c ia li d ad , In teg ri d ad , D is pon ib i lid ad , C u m p li m i en t o , C on fi ab i li d ad

P la n e a c i n y O r ga n iz a c i n

R ec u rso s d e T I
D e f in ic in d e l n iv e l de se r v ic io A d m istrac in d e l se rvic io d e te r ce ro s A d m on d e la ca p ac id a d y e l d e se m p e o A se gu ra r e l se rv ic io c o ntinuo G a r a ntiza r la se gu rid a d d e l siste m a I de ntificac i n y a sig na c in d e c o sto s C a p ac itac in d e u su a r ios S opo rte a los c lie n te s d e T I A d m istrac in d e la c on f igu rac in A d m inis trac in d e pr ob le m a s e inc id e n te s A d m inis trac in d e da to s A d m inis trac in d e In sta lac ion e s A d m inis trac in d e O p e r ac io ne s

D at o s, A p li cac ion e s T ec no log a, In sta la ci on es, R e cu rso H u m ano

A d q u isici n e Im p le m e n ta ci n

S er v icio s y S o p o r te

I de ntificac i n de so luc ion e s A d qu isic in y m a n te nim ie n to d e S W a p lica tivo A d qu isic in y m a n te nim ie n to d e a rqu itec tu r a T I D e sa rro llo y m a n te n im ie nto d e P ro ce d im ie n to s d e T I I nsta lac i n y A c re ditac in d e sis te m a s A d m inis trac in d e C a m b ios

Si observamos la ilustracin anterior no daremos cuenta que los cuatro grandes dominios identificados son; planificacin y organizacin, adquisicin e implementacin, entrega y soporte, y seguimiento. Planificacin y organizacin; este dominio cubre la estrategia y la tctica, y se refiere a la identificacin de la manera en que la TI puede contribuir de la mejor manera al logro de los objetivos de negocio. Adems, la consecucin de la visin estratgica necesita ser planificada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura adecuadas. Adquisicin e implementacin; para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso de negocio. Adems este dominio cubre los cambios y el mantenimiento realizado a sistemas existentes. Entrega y soporte; en este dominio se hace referencia a la entrega de los servicios requeridos y abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicaciones, frecuentemente clasificados como controles de aplicacin. Seguimiento y evaluacin; todos los procesos necesitan ser evaluados regularmente a travs del tiempo para verificar su calidad y suficiencia en cuanto a los requisitos de control. Debe tenerse en cuenta que estos procesos pueden ser aplicados a distintos niveles dentro de una organizacin. Ejemplo, algunos de estos procesos sern aplicados a nivel corporativo, otros a nivel de la funcin de sistemas de informacin, otro a nivel de propietario de los procesos de negocio.
19

20