LA AUDITORA La Auditora es una funcin de direccin cuya finalidad es analizar y apreciar, con vistas alas eventuales las acciones

correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su informacin y el mantenimiento de la eficacia de sus sistemas de gestin. Auditora informtica

LA AUDITORIA INFORMATICA

La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.

Los objetivos de la auditora Informtica son:

El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

Desempeo Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes areas:

Gobierno corporativo Administracin del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Proteccin y Seguridad Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL.

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

Alcance de la Auditora Informtica:

El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditora informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo*? Se comprobar que los controles de validacin de errores son adecuados y suficientes*? La indefinicin de los alcances de la auditora compromete el xito de la misma.

*Control de integridad de registros:

Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin no tiene integrado un registro comn, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicacin no funcionara como debera.

*Control de validacin de errores:

Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente. Objetivo fundamental de la auditora informtica: Operatividad

La operatividad es una funcin de mnimos consistente en que la organizacin y las maquinas funcionen, siquiera mnimamente. No es admisible detener la maquinaria informtica para descubrir sus fallos y comenzar de nuevo. La auditora debe iniciar su actividad cuando los Sistemas estn operativos, es el principal objetivo el de mantener tal situacin. Tal objetivo debe conseguirse tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del auditor informtico. Para conseguirla hay que acudir a la realizacin de Controles Tcnicos Generales de Operatividad y Controles Tcnicos Especficos de Operatividad, previos a cualquier actividad de aquel.

Los Controles Tcnicos Generales son los que se realizan para verificar la compatibilidad de funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los subsistemas existentes, as como la compatibilidad del Hardware y del Software instalados. Estos controles son importantes en las instalaciones que cuentan con varios competidores, debido a que la profusin de entornos de trabajo muy diferenciados obliga a la contratacin de diversos productos de Software

bsico, con el consiguiente riesgo de abonar ms de una vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir tambin con los productos de Software bsico desarrolla-dos por el personal de Sistemas Interno, sobre todo cuando los diversos equipos estn ubicados en Centros de Proceso de Datos geogrficamente alejados. Lo negativo de esta situacin es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no ser posible la interconexin e intercomunicacin de todos los Centros de Proceso de Datos si no existen productos comunes y compatibles. Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal son parmetros de asignacin automtica de espacio en disco* que dificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo gener. Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos plazos en cada una de ellas, de modo que la prdida de informacin es un hecho que podr producirse con facilidad, quedando inoperativa la explotacin de alguna de las Aplicaciones mencionadas.

*Parmetros de asignacin automtica de espacio en disco:

Todas las Aplicaciones que se desarrollan son super-parametrizadas , es decir, que tienen un montn de parmetros que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicacin va a usar para tal y tal cosa cierta cantidad de espacio en disco. Si uno no analiz cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado, y se pone un valor muy chico, puede ocurrir que un da la Aplicacin reviente, se caiga. Si esto sucede en medio de la operatoria y la Aplicacin se cae, el volver a levantarla, con la nueva asignacin de espacio, si hay que hacer reconversiones o lo que sea, puede llegar a demandar muchsimo tiempo, lo que significa un riesgo enorme.

A continuacion se especifican a manera de caracteristicas cada uno de los principios propios del auditor informatico.

Principio de Beneficio del auditado. Aqui se refiere al hecho de que se debe de obtener el maximo beneficio con el equipo con que se cuenta, adems de que el auditor debe ser ajeno a la empresa y sus integrantes adems de que no debe de salir beneficiado con la auditoria. Principio de calidad.El auditor debe brindar un trabajo de calidad con las herramientas que tiene, pues tiene la libertad de utilizar todo lo que cra necesario y con las condiciones tecnicas adecuadas. Principio de capacidad. El auditor debe de ser capaz de realizar su tarea, adems de estar consiente de sus capacidades y aptitudes. Principio de cautela. Debe de ser cuidadoso a la hora de expresarse para no inducir a gastos o acciones innecesarias.

Principio de comportamiento profesional. Exige estar consiente de sus virtudes y deficiencias, adems de que debe saber pedir ayuda y dar el credito a quien lo merezca y asi mismo debe de respetar la politica y puntos de vista de la empresa que audita. Principio de concentracion en el trabajo. Involucra poner enfasis y dedicar tiempo a cada tarea, no copy-paste. Principio de confianza. El auditor debe ser confiable, tanto de hechos y palabra. Principio de criterio propio. El auditor NO debe dejarse influir por las opiniones o instrucciones de otros, debe de actuar segn su propia opinion. Principio de discrecion. Debe de ser reservado tanto en hechos y palabras, no hablar de ms. Principio de economia. No debe inducir a gastos innecesarios. Principio de capacitacion continua. Esta obligado a seguirse preparando dentro de su rubro. Principio de fortalecimiento y respeto a u profesion. Debe de cuidar el valor de sus trabajos y conclusiones. Principio de Independencia. Debe de ser autonomo, autosuficiente y no depender de otros para realizar su tarea. Principio de informacion suficiente. El auditor debe de brindar informacion suficiente, clara y precisa en sus resltados. Principio de Integridad Moral. El auditor debe de ser integro y evitar participar en actos de corrupcion personal y a terceros.