Auditora Informtica Es el conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control

eficacia, seguridad y adecuacin del servicio informtico en la empresa, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico, con vistas a mejorar en: - Rentabilidad - Seguridad - Eficacia La Auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De esta forma la auditora informtica sustenta y confirma la consecucin de los objetivos tradicionales de auditora. El auditor evala y comprueba en determinados momentos del tiempo los controles y procedimientos informativos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso de software. El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el diseo y el funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada. Se pueden establecer tres grupos de funciones a realizar por un auditor informtico: 1. Participar en las revisiones durante y despus del diseo, realizacin, implantacin y explotacin de aplicaciones informticas, as como en las fases anlogas de realizacin de cambios importantes. 2. Revisar y juzgar los controles implantados en los sistemas informticos para verificar su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de confidencialidad y cobertura de errores y fraudes. 3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacin.la informtica crea unos riesgos informticos de los que hay que proteger y preservar a la entidad con un conjunto de medidas o controles, y la calidad y eficacia de las mismas es el objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos. Esta es una de las funciones de los auditores informticos. OBJETIVOS DE LA AUDITORIA INFORMATICA Los principales objetivos que constituyen a la auditora Informtica son el control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos que comporta, la verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos informticos. La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o

procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en generaldes de sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, y aque proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software). reas de Aplicacin La funcin de auditora informtica se aplica en diferentes entornos o reas, cada una de las cuales tiene sus propios objetivos y estndares de aplicacin, estas reas son: - Auditora a la Direccin o Administracin informtica - Auditora a la Seguridad Informtica - Auditora al Desarrollo de Aplicaciones - Auditora a las Aplicaciones en Produccin - Auditora al Centro de Computo - Auditora de Redes - Auditora de Bases de Dato

[bib-imcp] Normas y procedimientos de auditora. Instituto Mexicano de Contadores Pblicos (IMCP).

Normas. Segn se describe en [bib-imcp], las normas de auditora son los requisitos mnimos de calidad relativos a la personalidad del auditor, al trabajo que desempea ya la informacin que rinde como resultado de este trabajo. Las normas de auditora se clasifican en: a. Normas personales. b. Normas de ejecucin del trabajo. c. Normas de informacin. Normas personales son cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados en un sus conocimientos profesionales as como en un entrenamiento tcnico, que le permita ser imparcial a la hora de dar sus sugerencias. Normas de ejecucin del trabajo son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditora. Normas de informacin son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, tambin es conocido como informe o dictamen.

Tcnicas. Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las circunstancias. Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa u organizacin a ser auditada, que pudieran nesecitar una mayor atencin. Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor. Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisin del contenido de documentos y por examen fsico. Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la siguiente manera:

Estudio General Anlisis Inspeccin Confirmacin Investigacin Declaracin Certificacin Observacin Clculo

Procedimientos. Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de procedimientos de auditora en informtica. La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al conjunto de programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una estrategia y organizacin de la propia auditora. El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacin simultnea. En General los procedimientos de auditora permiten:

Obtener conocimientos del control interno. Analizar loas caractersticas del control interno. Verificar los resultados de control interno.

Fundamentar conclusiones de la auditora.

Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de auditora sern los mas indicados par obtener su opinin. Anlisis de datos. Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de auditora, de los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o informacin son de tal importancia que es necesario verificarlos y comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de utilizar diversas tcnicas para el anlisis de datos, basados en [bib-solis-2002], las cuales se describen a continuacin. Comparacin de programas esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias. Mapeo y rastreo de programas esta tcnica emplea un software especializado que permite analizar los programas en ejecucin, indicando el nmero de veces que cada lnea de cdigo es procesada y las de las variables de memoria que estuvieron presentes. Anlisis de cdigo de programas Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo ejecutable). Datos de prueba Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie de transacciones que contienen tanto datos correctos como datos errneos predeterminados. Datos de prueba integrados Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa dentro de los sistemas de informacin. Anlisis de bitcoras Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tales como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados. Simulacin paralela Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen a los programas de un sistema en produccin. El objetivo es procesar los dos programas o mdulos de forma paralela e identificar diferencias entre los resultados de ambos.

Monitoreo. Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo:

M1 Monitoreo del proceso. M2 Evaluar lo adecuado del control Interno. M3 Obtencin de aseguramiento independiente. M4 Proveer auditora independiente.

M1 Monitoreo del proceso Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos. Para ello la gerencia podr definir indicadores claves de desempeo y factores crticos de xito y compararlos con los niveles propuestos para evaluar el desempeo de los procesos de la organizacin. M2 Evaluar lo adecuado del control Interno Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello se debe monitorear la efectividad de los controles internos a travs de actividades administrativas, de supervisin, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en forma regular[38]. M3 Obtencin de aseguramiento independiente Incrementa los niveles de confianza entre la organizacin, clientes y proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo. Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos, as como para trabajar con nuevos proveedores de servicios de tecnologa de informacin, luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los servicios de tecnologa de informacin, de los proveedores de estos servicios as como tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa de informacin y de los proveedores de dichos servicios. M4 Proveer auditora independiente. Incrementa los niveles de confianza de recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a intervalos regulares de tiempo.

Para ello la gerencia deber establecer los estatutos para la funcin de auditora, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditora. El auditor deber ser independiente del auditado, esto significa que los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propia empresa, esta auditora deber respetar la tica y los estndares profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditora informtica. La funcin de la auditora informtica deber proporcionar un reporte que muestre los objetivos, perodo de cobertura, naturaleza y trabajo de auditora realizado, as como tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de auditora informtica llevado a cabo. Anlisis de bitcoras. Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el nmero de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de computo as como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis de las mismas. El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una gran cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, as como para el auditor. Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera los cuales pueden ser:

Fecha y hora. Direcciones IP origen y destino. Direccin IP que genera la bitcora. Usuarios. Errores.

La importancia de las bitcoras es la de recuperar informacin ante incidentes de seguridad, deteccin de comportamiento inusual, informacin para resolver problemas, evidencia legal, es de gran ayuda en las tareas de cmputo forense. Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes:

Para UNIX, Logcheck, SWATCH. Para Windows, LogAgent

Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que estn teniendo mucha relevancia, como evidencia en aspectos legales. El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo para mantener un control de las mismas.

Tcnicas de auditora asistida por computadora La utilizacin de equipos de computacin en las organizaciones, ha tenido una repercusin importante en el trabajo del auditor, no slo en lo que se refiere a los sistemas de informacin, sino tambin al uso de las computadoras en la auditora. Al llevar a cabo auditoras donde existen sistemas computarizados, el auditor se enfrenta a muchos problemas de muy diversa condicin, uno de ellos, es la revisin de los procedimientos administrativos de control interno establecidos en la empresa que es auditada. La utilizacin de paquetes de programas generalizados de auditora ayuda en gran medida a la realizacin de pruebas de auditora, a la elaboracin de evidencias plasmadas en los papeles de trabajo. Segn [bib-zavaro-martinez] las tcnicas de auditora Asistidas por Computadora (CAAT) son la utilizacin de determinados paquetes de programas que actan sobre los datos, llevando a cabo con ms frecuencia los trabajos siguientes:

Seleccin e impresin de muestras de auditoras sobre bases estadsticas o no estadsticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por los auditores. Verificacin matemtica de sumas, multiplicaciones y otros clculos en los archivos del sistema auditado. Realizacin de funciones de revisin analtica, al establecer comparaciones, calcular razones, identificar fluctuaciones y llevar a cabo clculos de regresin mltiple. Manipulacin de la informacin al calcular subtotales, sumar y clasificar la informacin, volver a ordenar en serie la informacin, etc. Examen de registros de acuerdo con los criterios especificados. Bsqueda de alguna informacin en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases de datos del sistema que se audita.

Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor, evaluar las mltiples aplicaciones especficas del sistema que emplea la unidad auditada, el examinar un diverso nmero de operaciones especficas del sistema, facilitar la bsqueda de evidencias, reducir al mnimo el riesgo de la auditora para que los resultados expresen la realidad objetiva de las deficiencias, as como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo. Teniendo en cuenta que se haca imprescindible auditar sistemas informticos; as como disear programas auditores, se deben incorporar especialistas informticos, formando equipos multidisciplinarios capaces de incursionar en las auditoras informticas y comerciales, independientemente de las contables, donde los auditores que cumplen la funcin de jefes de equipo, estn en la obligacin de documentarse sobre todos los temas auditados. De esta forma los auditores adquieren ms conocimientos de los diferentes temas, pudiendo incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en

ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros industriales, abogados, especialistas de recursos humanos o de normalizacin del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes. Evaluacin del control interno. En un ambiente de evolucin permanente, determinado por las actuales tendencias mundiales, las cuales se centran en el plano econmico soportadas por la evolucin tecnolgica, surge la necesidad de que la funcin de auditora pretenda el mejoramiento de su gestin. La prctica de nuevas tcnicas para evaluar el control interno a travs de las cuales, la funcin de auditora informtica pretende mejorar la efectividad de su funcin y con ello ofrecer servicios ms eficientes y con un valor agregado. La evolucin de la teora del control interno se defini en base a los principios de los controles como mecanismos o prcticas para prevenir, identificar actividades no autorizadas, ms tarde se incluy el concepto de lograr que las cosas se hagan; la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de la organizacin. En este proceso evolutivo se considera actualmente, y en muchas organizaciones que el director de finanzas, contralor o al director de auditora como los responsables principales del correcto diseo y adecuado funcionamiento de los controles internos. Benchmarking Las empresas u organizaciones deben buscar formas o frmulas que las dirijan hacia una mayor calidad, para poder ser competitivos, una de estas herramientas o frmulas es el Benchmarking. Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de definiciones de lo que es benchmarking, a continuacin se presentan algunas definiciones. Benchmarking es el proceso continuo de medir productos, servicios y prcticas contra los competidores o aquellas compaas reconocidas como lderes en la industria.[39] Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya que benchmarking no slo es un proceso que se hace una vez y se olvida, sino que es un proceso continuo y constante. Segn la definicin anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las organizaciones, y finalmente la definicin implica que el benchmarking se debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores. Entre otras definiciones tenemos la extrada del libro Benchmarking de Bengt, la cual es: benchmarking es un proceso sistemtico y contino para comparar nuestra propia eficiencia en trminos de productividad, calidad y prcticas con aquellas compaas y organizaciones que representan la excelencia.

Como vemos en esta definicin se vuelve a mencionar el hecho de que benchmarking es un proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la importancia de la medicin dentro del benchmark. Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la productividad de las mismas, considerando el valor que tienen dichas acciones en contra de los costos de su realizacin lo cual representa la calidad, y la relacin entre los bienes producidos y los recursos utilizados para su produccin, lo cual se refiere a la productividad. Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque difieren en algunos aspectos tambin se puede notar que concuerdan o presentan una serie de elementos comunes. Para empezar en la mayora de ellas se resalta el hecho de que benchmarking es un proceso continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un proceso que se aplicar una y otra vez ya que dicho proceso est en bsqueda constante de las mejores prcticas de la industria, y como sabemos la industria est en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que no se puede asegurar que las mejores prcticas de hoy lo sern tambin de maana. Tambin se vio en las diferentes definiciones que este proceso no slo es aplicable a las operaciones de produccin, sino que puede aplicarse a todas la fases de las organizaciones, por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la calidad y la productividad en el negocio. De igual manera podemos concluir que es de suma importancia como una nueva forma de administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras operaciones en base a estndares impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria. Dentro del benchmarking existen los siguientes tipos:[40] Benchmarking interno en la mayor parte de las grandes organizaciones con mltiples divisiones o internacionales hay funciones similares en diferentes unidades de operacin, una de las investigaciones de benchmarking ms fcil es comparar estas operaciones internas, tambin debe contarse con facilidad con datos e informacin y no existir problemas de confidencialidad y los datos ser tan amplios y completos como se desee. Este primer paso en las investigaciones de benchmarking es una base excelente no slo para descubrir diferencias de inters sino tambin centrar la atencin en los temas crticos a que se enfrentara o que sean de inters para comprender las practicas provenientes de investigaciones externas, tambin pueden ayudar a definir el alcance de un estudio externo. Benchmarking competitivo los competidores directos de productos son contra quienes resulta ms obvio llevar a cabo el benchmarking, ellos cumpliran, o deberan hacerlo, con todas las pruebas de comparabilidad, en definitiva cualquier investigacin de benchmarking debe mostrar cuales son las ventajas y desventajas comparativas entre los competidores directos.

Uno de los aspectos ms importantes dentro de este tipo de investigacin a considerar es el hecho que puede ser realmente difcil obtener informacin sobre las operaciones de los competidores, quiz sea imposible obtener informacin debido a que est patentada y es la base de la ventaja competitiva de la empresa. Benchmarking genrico algunas funciones o procesos en las organizaciones son las mismas, el beneficio de esta forma de benchmarking, es que se pueden descubrir prcticas y mtodos que no se implementan en la organizacin propia del investigador. Este tipo de investigacin tiene la posibilidad de revelar lo mejor de las mejores prcticas, la necesidad de objetividad y receptividad por parte del investigador. Que mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el hecho de que la tecnologa ya se ha probado y se encuentra en uso en todas partes, el benchmarking genrico requiere de una amplia conceptualizacin, pero con una comprensin cuidadosa del proceso genrico.

[37] [38] [39] [40]

[bib-imcp] Http://Ilustrados.com/Publicaciones/Epyfapup.php [bib-kearns-1994] http://Monografias.com/Trabajos4.html