Ing.

Orlando Marcano

Papel de auditor debe estar encaminado hacia la bsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.

Ver cuando se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada
Establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin del sistema auditado con la finalidad de que cumpla para lo que fue diseado Abstenerse de recomendar actuaciones innecesariamente onerosas, daina, o que genere riesgo in justificativo para el auditado El auditor al igual que otros profesionales pueden incidir en la toma de decisiones en la mayora de sus clientes con un elevado grado de autonoma

 Prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor Actuar con cierto grado de humildad evitando dar la impresin de estar al corriente de una informacin privilegiada sobre nuevas tecnologas a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. Actuar conforme a las normas implcitas o explcitas de dignidad de la profesin y de correccin en el trato personal Facilitar e incrementar la confianza de auditado en base a una actuacin de transparencia, en su actividad profesional sin alardes cientfico- tcnico.

Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema informtico con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente.

Se ocupa de producir resultados, tales como listados, archivos soportados magnticamente, rdenes automatizadas, modificacin de procesos, etc. Para realizar la explotacin informtica se dispone de datos, las cuales sufren una transformacin y se someten a controles de integridad y calidad.

Es una evaluacin del llamado Anlisis de programacin y sistemas. As por ejemplo una aplicacin podra tener las siguientes fases: Pre-requisitos del usuario y del entorno Anlisis funcional Diseo Anlisis orgnico (pre programacin y programacin) Explotacin

Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfaccin del cliente, insatisfaccin del usuario, altos costos, etc

Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en todos sus factores

Este tipo de auditora deber inquirir o actuar sobre los ndices de utilizacin de las lneas contratadas con informacin sobre tiempos de uso y de no uso, deber conocer la topologa de la red de comunicaciones, ya sea la actual o la desactualizada

Se debe tener presente la cantidad de informacin almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de los robos, los fraudes, sabotajes y sobre todo de la destruccin parcial o total.

Su campo de accin ser:

a) Evaluacin administrativa del rea de informtica. b) Evaluacin de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la informacin. c) Evaluacin del proceso de datos y de los equipos de procesamiento.

Se debe recopilar informacin para obtener una visin general del rea a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, as como el programa detallado de la investigacin.

La planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Las auditoras informticas se materializan recabando informacin. Lo habitual es comenzar solicitando la cumplimentacin de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma.

El auditor comienza a continuacin las relaciones personales con el auditado unas de las formas mas comunes de hacerlo es mediante entrevistas La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo

El auditor conversar y har preguntas "normales", que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa" de calificacin o evaluacin: Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo) Checklist Binario Es el constituido por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Dichos Software es conocido como trazas o huellas.

En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.

PLANIFICACIN: Donde se pasa revista a las distintas fases de la planificacin. ORGANIZACIN Y ADMINISTRACIN: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignacin de recursos, procedimientos, etc. DESARROLLO DE SISTEMAS: rea importante donde la auditora deber velar por la adecuacin de la informtica a las necesidades reales de la Empresa. EXPLOTACIN: aqu se analizarn los procedimientos de operacin y explotacin en el centro de proceso de datos.

ENTORNO DE HARDWARE: donde se vigilar entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, proteccin de los sistemas, fiabilidad del Hardware, etc. ENTORNO DEL SOFTWARE: en esta rea la Auditoria Informtica analizar los sistemas de prevencin y deteccin de fraudes, los exmenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.

Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos.

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en s una actividad altamente propensa a errores.

Autenticidad Exactitud Totalidad Redundancia Privacidad Existencia Proteccin de Activos Efectividad Eficiencia

Periodicidad de cambio de claves de acceso Combinacin de alfanumricos en claves de acceso Individuales Conteo de registros Confidenciales No significativas Verificacin de datos de entrada Totales de Control Verificacin de limites Verificacin de secuencias Dgito autoverificador Utilizar software de seguridad en los microcomputadores

La mxima autoridad del rea de Informtica de una empresa o institucin debe implantar los siguientes controles que se agruparan de la siguiente forma:

1. Controles de Preinstalacin 2. Controles de Organizacin y Planificacin 3. Controles de Sistemas en Desarrollo Produccin 4. Controles de Procesamiento 5. Controles de Operacin 6. Controles de uso de Microcomputadores

Se refiere a la definicin clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del rea PAD, en labores tales como: Disear un sistema Elaborar los programas Operar el sistema Control de calidad