Professional Documents
Culture Documents
Introduccin:
Desde la incorporacin de la informtica en las organizaciones, los tradicionales mtodos de
verificacin y control de los procedimientos y de los datos se ha visto alterado. De a poco las
direcciones de las organizaciones han querido poder controlar esta situacin, aparentemente
lejos de ser comprendida por cualquier persona ajena a la informtica, esta situacin dio lugar a
la aparicin de procedimientos para verificar y controlar la funcin informtica: la auditora
informtica.
El presente artculo tiene por objetivo introducir al lector en el concepto de la auditora
informtica y los principales objetivos en sus diversas reas de aplicacin.
Se acompaa el desarrollo del tema con una serie de cuestionarios que sirven de gua al
momento de auditar y de los cuales se puede obtener una idea de los objetivos perseguidos.
1. Qu es la auditora informtica?
La auditora en informtica es la revisin y evaluacin de los controles, sistemas,
procedimientos de informtica y de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, a fin de que por medio del sealamiento de cursos alternativos se logre una
utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de
decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de
cmputo o de un sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtencin de informacin. Ello debe incluir los equipos de cmputo como la
herramienta que permite obtener la informacin adecuada y la organizacin especfica
(departamento de cmputo, departamento de informtica, etc.) que har posible el uso de los
equipos de cmputo.
La auditora informtica es un examen, pues debe partir de una situacin dada; ste es
metdico, puesto que seguir un plan de trabajo perfectamente sistematizado que permite llegar
a conclusiones suficientemente justificadas (est es una conclusin exigible a cualquier
auditora); es puntual ya que se da un corte en el calendario para llevarla a cabo, y es extraa al
servicio de informtica, para obtener la objetividad requerida, por lo que ser ejecutada por
personas ajenas al departamento independientes de las funciones a auditar.
El examen de una auditora informtica abarca una serie de controles, verificaciones, juicios,
etc. para concluir en un conjunto de recomendaciones y un plan de accin. Es la elaboracin de
este plan de accin lo que diferencia la auditora informtica de una auditora de gestin. La
auditora tradicional concluye emitiendo un juicio del estado de todo aquello que se ha
verificado, la auditora informtica avanza un paso ms y se atreve a elaborar un plan de
accin.
Como se ve la evaluacin a desarrollar para la realizacin de la auditora en informtica
deben hacerla personas con alto grado de conocimiento en informtica y con mucha experiencia
en el rea.
1/ 1
ITBA REPORTES TECNICOS CAPIS
2/ 2
ITBA REPORTES TECNICOS CAPIS
Fase 6. Formacin del plan de mejoras
Llegados a este ltimo punto, la direccin ya conoce las deficiencias que el equipo
auditor ha observado. Ahora es cuando los auditores han de demostrar su experiencia en
situaciones anteriores exitosas y ser capaces de adjuntar, junto con el informe de auditora, el
plan de mejoras que permitir solventar las deficiencias encontradas.
El informe comprender estas deficiencias encontradas en los pasos anteriores abordando los
puntos relativos a auditora funcional, como son la gestin de recursos humanos, la seguridad
fsica, los costos, etc., y abordando tambin aspectos de auditora operativo tales como el
cumplimiento de plazos, los procedimientos de control, la calidad y fiabilidad, etc.
El plan de mejoras abarcar todas las recomendaciones que vengan a intentar soslayar las
deficiencias detectadas en la realizacin de la auditora. Para ello se tendrn en cuenta los
recursos disponibles, o al menos potencialmente disponibles, por parte de la empresa objeto de
la auditora.
De cara a la ejecucin de las recomendaciones contenidas en el plan, es posible distinguir
entre las medidas que es posible realizar a corto plazo, de las que lo son a medio y por ltimo de
las ejecutables a largo plazo.
Entre las primeras se incluirn aquellas mejoras puntuales y de fcil realizacin como son las
mejoras en plazo, calidad, planificacin o formacin. Las medidas a medio plazo necesitarn de
uno a dos aos para poderse concretar. Aqu pues, caben ya mejoras algo ms profundas y con
mayor necesidad de recursos, como la optimizacin de programas, o de la documentacin, e
incluso de algunos aspectos de diseo del sistema.
Para concluir, las consideraciones a largo plazo, como cabe pensar fcilmente, pueden llevar
a cambios sustanciales en las polticas, medios o incluso estructuras del servicio de informtica.
Lgicamente con ms tiempo y ms medios de por medio es posible afrontar profundas
modificaciones si con ello se consiguen las mejoras redactadas por el equipo auditor. Estas
mejoras pueden pasar por la reconsideracin de los sistemas en uso o de los medios, humanos y
materiales, con que se cuenta, llegando si es preciso a una seria reconsideracin del plan
informtico. Todo esto comporta, claro est, un riesgo adicional, por lo que se requiere una
profunda reflexin por parte de la empresa, as como un considerable grado de confianza en el
equipo auditor.
- Determinar que planes del proceso de datos estn coordinados con los planes generales
de la organizacin.
- Revisar los planes de informtica.
- Contrastar el plan con su realizacin.
3/ 3
ITBA REPORTES TECNICOS CAPIS
- Determinar el grado de participacin y responsabilidad de directivos y usuarios en la
aplicacin.
- Participar en el proceso de planificacin.
- Revisar los planes de desarrollo del software de aplicaciones.
- Revisar los procedimientos de planificacin del software del sistema (software de base)
- Comprobar la ejecucin del plan en cualquiera de sus niveles (estratgico, tctico,
operacional)
1. Sistemas de informacin
1.1 La direccin general y ejecutiva ha considerado la importancia que tiene el estudio
del sistema de informacin?
1.2 Se establecen los requisitos de informacin a largo plazo?
1.3 Se ha realizado una planificacin estratgica del sistema de informacin para la
empresa?
1.4 Existe una metodologa para llevar a cabo tal planificacin?
1.5 Est definida la funcin del director del sistema de informacin?
1.6 Existe un plan estratgico del departamento de sistema de informacin?
2. Recursos humanos
2.1 Se estudia la evolucin del mercado y la adaptacin del personal a esa evolucin?
2.2 Los informticos reciben noticias del momento tecnolgico por revistas, notas
tcnicas, etc.?
2.3 Se recibe formacin y se planifica sta mediante asistencia a cursos, seminarios,
etc.?
3. Otros aspectos
3.1 Los cambios en los sistemas informticos son consecuencia de la planificacin ms
que de la presin por necesidades operativas?
3.2 Se solicitan demostraciones sobre los nuevos artculos a los proveedores?
3.3 Se ha realizado algn estudio de planificacin del posible efecto de las cargas
normales de trabajo y los picos sobre los requerimientos tanto de equipos como de
software?
3.4 La entidad dispone de un plan informtico?
3.5 Se estn siguiendo las directrices marcadas por el plan?
3.6 El plan recoge todos los diferentes aspectos relacionados con la funcin
informtica?
Una buena administracin redundar en un buen servicio a los usuarios y sus necesidades
estarn cubiertas por un importante grado de satisfaccin.
La labor del auditor en el entorno de trabajo en que ahora se est moviendo, se centrar en
los aspectos primordiales de una buena gestin del departamento de informtica, aspectos
tales como la dotacin de recursos humanos (polticas de personal), procedimientos,
relaciones con proveedores y usuarios, comits , estructura, etc.
Objetivos
4/ 4
ITBA REPORTES TECNICOS CAPIS
- Revisin del organigrama del departamento y del general de la empresa, al objeto de conocer
al departamento, sus dependencias, funciones y operaciones.
- Comparar la estructura actual con la definida.
- Verificar los estndares de documentacin.
- Determinar los procedimientos de direccin para hacer cumplir con los criterios de
documentacin en proceso de datos.
- Confrontar las directrices sobre documentos con la realidad.
- Colaborar en la elaboracin de nuevos documentos.
- Evaluar la distribucin de funciones.
- Examinar los planes de formacin.
- Verificar los mtodos de anlisis e imputacin de costos.
- Confrontar presupuesto y realidad.
- Revisar todo tipo de contratos que afecten al departamento de informtica (servicios,
mantenimientos, seguros, etc.).
- Examinar los mtodos de trabajo: anlisis, programacin, pruebas,...
- Evaluar el grado de participacin de los usuarios.
- Evaluar el rendimiento de consultores externos.
- Conocer el grado de aceptacin o satisfaccin general con respecto al servicio informtica.
- Revisar la documentacin de usuario.
- Examinar los procedimientos usados para actualizar la documentacin.
- Determinar el impacto de servicio de proceso de datos recibido desde fuentes externas.
- Evaluar el grado de conocimiento de los usuarios implicados sobre los sistemas
automatizados.
1. Formacin
1.1 El desarrollo de aplicaciones tiene en cuenta el nivel de adecuacin y formacin del
personal?
1.2 Existen proyectos planificados o en desarrollo que requieran el uso de categoras por
encima del nivel del personal?
1.3 Hay presupuesto tiempo y dinero- para formacin?
2. Estndares y metodologas
2.1 Existe algn procedimiento que controle y regule la introduccin de modificaciones a
proyectos ya terminados?
2.2 Hay metodologa para el anlisis de aplicaciones?
2.3 Existe alguna metodologa para el diseo de base de datos?
2.4 Se utiliza alguna metodologa de programacin?
2.5 Las ltimas pruebas se realizan con datos proporcionados por los usuarios?
3. Relacin con terceros
3.1 Hay tareas del servicio informtico que estn siendo delegadas a personal ajeno a la
empresa?
3.2 Se definieron procedimientos para la subcontratacin de tales tareas?
3.3 Los departamentos usuarios tienen una importante implicacin en la fase de anlisis
funcional?
3.4 Se incluye en esa fase una previsin del grado de asistencia que necesita el
departamento usuario?
4. Documentacin
4.1 Hay normas que definan el modo de documentar aplicaciones?
4.2 Se estn confeccionando manuales de usuario con el suficiente nivel de comprensin?
4.3 Se documentan todas y cada una de las fases del desarrollo de una aplicacin?
4.4 Hay copia de toda la documentacin?
5/ 5
ITBA REPORTES TECNICOS CAPIS
6/ 6
ITBA REPORTES TECNICOS CAPIS
largo etctera que, junto con unas adecuadas validaciones de los datos, deben estar presentes en
el sistema. El auditor verificar que as sea, o colaborar en su implantacin basndose en su
experiencia.
Es tambin oportuno la fijacin de unos estndares de auditora, una vez que el sistema est
en marcha, con objeto de que la direccin tenga fcil y rpido conocimiento de los rendimientos
en materia de precisin.
No siempre el sistema produce resultados que ayuden realmente a resolver los problemas que
tiene el usuario; por lo tanto, el trabajo de auditora de la eficacia se centrar en localizar todas
aquellas deficiencias que estn restando (o vayan a restar) eficiencia al sistema y que pueden
estar ubicados en los datos, los programas o en el propio equipo. El auditor trabajar muy cerca
del usuario, especialmente en la fase de diseo (es mucho menos costoso modificar sobre diseo
que sobre lo implantado) identificando la informacin que debe proporcionar el sistema as
como a aquellas personas destinatarias de cada una de estas informaciones. Esto ayudar a
definir con toda precisin y sin equvocos los informes necesarios as como a ubicarlos en los
departamentos de la organizacin sin duplicidades de papel innecesarias. Una herramienta que
nos puede ayudar en este caso es la matriz de recepcin y distribucin de documentos
Una forma objetiva de evaluar la informacin que se encuentra en un sistema es emplear la
matriz de recepcin y distribucin de documentos, en la cual se define de modo grfico la
distribucin de documentos y los resultados obtenidos en un proceso.
En la grfica podremos ver la forma de estructurar la matriz de recepcin y distribucin de
documentos. En la zona 1 se anotan los nombres de los departamentos que intervienen en el
proceso; en la zona 2, los nombres de los documentos fuente que forman parte del sistema; en la
zona 3, el nombre de los informes que son emitidos. En el cuadrante (zona 4) que une la zona 1
con la zona 2, se pone una X en aquellos departamentos que producen determinado documento
o tienen injerencia en su generacin.
En los cuadrantes de la zona 5, se pone una X, en las uniones que indican los documentos
fuentes (zona 2) que produce un determinado informe (zona 3); y en el cuadrante de la zona 6 se
pone una X en la interseccin del departamento (zona l) y los informes que utiliza (zona 3).
Como informacin adicional se puede poner una L en lugar de X en caso de que la informacin
que se obtiene sea en lnea (por pantalla).
Con la matriz de recepcin y distribucin de documentos podemos ver de una manera fcil y
rpida los documentos que son producidos por cada departamento (zona 4).
Los informes que produce cada documento (zona 5) y que departamentos los usan (zona 6).
5
1 3
Departamentos Informes
Documentos
4 2 6
7/ 7
ITBA REPORTES TECNICOS CAPIS
Departamentos
Informes
X X
X X
X X
Documentos
8/ 8
ITBA REPORTES TECNICOS CAPIS
La prevencin del fraude es muy compleja de establecer en la etapa de construccin, pero
s conviene que el auditor centre su atencin en el establecimiento de controles en aquellos
puntos del sistema que sean ms proclives en un futuro a la comisin del fraude (transacciones
econmicas, redondeo de importes, etc.).
Ser de gran utilidad el estudio de fraudes conocidos en sistemas de caractersticas
similares al que se est construyendo.
1. Intervencin de operadores
1.1 Hay necesidad de que el operador responda a mensajes tomando l la iniciativa?
1.2 Se ha detectado una excesiva intervencin del operador en la ejecucin de trabajos?
2. Organizacin
2.1 Estn claramente definidas las funciones y responsabilidades del personal de
explotacin?
2.2 Existen procedimientos de cobertura por vacaciones o enfermedad?
2.3 Se considera adecuada la estructura del departamento de explotacin?
2.4 El usuario est satisfecho del rendimiento de la explotacin?
2.5 Se utilizan todos los recursos de explotacin de que dispone el sistema?
3. Otros aspectos
3.1 Son frecuentes las averas en algn componente del sistema?
3.2 Se est realizando regularmente un mantenimiento preventivo?
3.3 Se han definido planes de evolucin y estudios de posibilidades de ampliacin de los
equipos?
9/ 9
ITBA REPORTES TECNICOS CAPIS
Objetivos:
- Determinar si el hardware se utiliza eficientemente.
- Revisar los informes de la direccin sobre la utilizacin del hardware.
- Revisar si el equipo se utiliza por el personal autorizado.
- Examinar los estudios de adquisicin, seleccin y evolucin del hardware.
- Comprobar las condiciones ambientales.
- Revisar el inventario hardware.
- Verificar los procedimientos de seguridad fsica.
- Examinar los controles de acceso fsico.
- Revisar la seguridad fsica de los componentes de la red de teleproceso.
- Revisar los controles sobre la transmisin de los datos entre los perifricos y el ordenador.
- Comprobar los procedimientos de prevencin/deteccin/correccin frente a cualquier tipo
de desastre.
Colaborar en la confeccin de un plan de contingencias y desastres.
Objetivos:
Conclusiones: Debemos tener en cuenta que la auditora no tiene como objetivo castigar a
nadie, si bien sta es la idea de muchas de las personas que trabajan en una empresa, pues quin
haya sido auditado alguna vez sabe lo que este sentimiento significa. Debemos pensar en la
realizacin de auditoras constructivas y no destructivas. Su objetivo fundamental es
descubrir deficiencias que sern corregidas, en beneficio de la organizacin y por lo tanto del
personal involucrado.
Bibliografa:
Auditora Informtica de Gonzalo Alonso Rivas. Editorial: Ediciones Diaz de Santo S.A.
1989
Auditora en informtica Jos Antonio Echenique. Editorial: Mc.Graw Hill 1ra. edicin 1994
Auditora informtica A.J.Thomas, I.J.Douglas. Editorial: Parafino 2da. edicin 1988
10/ 10