ITBA REPORTES TECNICOS CAPIS

Introduccin a la auditora informtica

Maestrando: Lic. Marisa Haderne

Introduccin:
Desde la incorporacin de la informtica en las organizaciones, los tradicionales mtodos de
verificacin y control de los procedimientos y de los datos se ha visto alterado. De a poco las
direcciones de las organizaciones han querido poder controlar esta situacin, aparentemente
lejos de ser comprendida por cualquier persona ajena a la informtica, esta situacin dio lugar a
la aparicin de procedimientos para verificar y controlar la funcin informtica: la auditora
informtica.
El presente artculo tiene por objetivo introducir al lector en el concepto de la auditora
informtica y los principales objetivos en sus diversas reas de aplicacin.
Se acompaa el desarrollo del tema con una serie de cuestionarios que sirven de gua al
momento de auditar y de los cuales se puede obtener una idea de los objetivos perseguidos.

1. Qu es la auditora informtica?
La auditora en informtica es la revisin y evaluacin de los controles, sistemas,
procedimientos de informtica y de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, a fin de que por medio del sealamiento de cursos alternativos se logre una
utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de
decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de
cmputo o de un sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtencin de informacin. Ello debe incluir los equipos de cmputo como la
herramienta que permite obtener la informacin adecuada y la organizacin especfica
(departamento de cmputo, departamento de informtica, etc.) que har posible el uso de los
equipos de cmputo.
La auditora informtica es un examen, pues debe partir de una situacin dada; ste es
metdico, puesto que seguir un plan de trabajo perfectamente sistematizado que permite llegar
a conclusiones suficientemente justificadas (est es una conclusin exigible a cualquier
auditora); es puntual ya que se da un corte en el calendario para llevarla a cabo, y es extraa al
servicio de informtica, para obtener la objetividad requerida, por lo que ser ejecutada por
personas ajenas al departamento independientes de las funciones a auditar.
El examen de una auditora informtica abarca una serie de controles, verificaciones, juicios,
etc. para concluir en un conjunto de recomendaciones y un plan de accin. Es la elaboracin de
este plan de accin lo que diferencia la auditora informtica de una auditora de gestin. La
auditora tradicional concluye emitiendo un juicio del estado de todo aquello que se ha
verificado, la auditora informtica avanza un paso ms y se atreve a elaborar un plan de
accin.
Como se ve la evaluacin a desarrollar para la realizacin de la auditora en informtica
deben hacerla personas con alto grado de conocimiento en informtica y con mucha experiencia
en el rea.

2. Metodologa y fases de la auditora informtica

1/ 1
ITBA REPORTES TECNICOS CAPIS

Se presentar una pequea gua a seguir en la realizacin de una auditora informtica,

con independencia, claro est, de que luego en una aplicacin real puedan obviarse algunos
elementos, en funcin de las caractersticas del problema a auditar.
Las fases que puede comprender una auditora son:

Fase 1. Toma de contacto

Esta etapa tendr lgicamente sentido si el equipo auditor es externo a la organizacin, ya que
en ella se recaba toda la informacin, relativa a la empresa a auditar.
Las actividades a realizar en esta fase permitirn al auditor adquirir el suficiente grado de
conocimiento del servicio donde se ubicar para realizar su examen.

Fase 2. Planificacin de la operacin de la auditora

Una vez que el auditor ha completado la etapa anterior y conoce al menos con que se
enfrenta, est en condiciones de comentar y exponer si ha habido problemas en la etapa anterior
(falta de comprensin o colaboracin en algn nivel de la organizacin) as como de definir los
resultados esperados en la operacin.
Concluidas estas dos etapas, el equipo auditor debe disponer de toda la informacin
necesaria: manuales, conocimiento de personas, movilidad de la organizacin, etc., como para
estar en condiciones de abordar la siguiente fase ya propiamente de desarrollo de la auditora.

Fase 3. Desarrollo de la auditora.

Se efectuarn las entrevistas previstas en la fase de planificacin.
Se completarn los cuestionarios que conlleva el auditor.
Se observarn las situaciones deficientes, no slo las aparentes sino las que hasta
ahora no hayan sido detectadas, para lo que se podr llegar a simular situaciones lmite.
Se observarn los procedimientos, tanto en los informticos como en los usuarios.
Se ejecutarn, por lo tanto, todas las previsiones efectuadas en la fase anterior con el
objeto de llegar a la siguiente etapa en condiciones de diagnosticar sobre la situacin
encontrada.

Fase 4. Fase de diagnstico

Cuando ya se han efectuado todas las revisiones, el equipo auditor debe reunirse sin la
intervencin de la empresa auditada, para poder analizar e interpretar todos los datos obtenidos
en el punto anterior y ser capaces de concluir con un diagnstico de la situacin real encontrada.
Para ello se servirn de su propia experiencia en situaciones anteriores, as como de los
modelos que tengan establecidos, contra los que poder contrastar los resultados de
observaciones, pudiendo comparar cantidades cuantificables, ratios, ndices, etc. contra los
ptimos (en apariencia).
Como resultado de esta etapa, han de quedar claramente definidos los puntos dbiles y
por contrapunto los fuertes, los riesgos eventuales, y en una primera instancia, unos posibles
tipos de solucin o mejora.

Fase 5. Presentacin de conclusiones

Es el momento en que los responsables comprometidos conozcan las conclusiones
obtenidas por los auditores en la realizacin de la fase anterior.
Estas conclusiones, por supuesto, se discutirn con las personas afectadas, por lo que
han de ir los suficientemente argumentadas, probadas y documentadas como para que no puedan
ser refutadas en las primeras discusiones.
Esta fase es claramente una fase delicada por cuanto es el momento en el que se
presentan deficiencias, situaciones anmalas o cuanto menos mejorables. Es por ello
recomendable que los auditores tengan el suficiente tacto como para presentar estas
conclusiones como un plan de mejoras en beneficio de todos, ms que como una reprobacin de
los afectados.

2/ 2
ITBA REPORTES TECNICOS CAPIS
Fase 6. Formacin del plan de mejoras
Llegados a este ltimo punto, la direccin ya conoce las deficiencias que el equipo
auditor ha observado. Ahora es cuando los auditores han de demostrar su experiencia en
situaciones anteriores exitosas y ser capaces de adjuntar, junto con el informe de auditora, el
plan de mejoras que permitir solventar las deficiencias encontradas.
El informe comprender estas deficiencias encontradas en los pasos anteriores abordando los
puntos relativos a auditora funcional, como son la gestin de recursos humanos, la seguridad
fsica, los costos, etc., y abordando tambin aspectos de auditora operativo tales como el
cumplimiento de plazos, los procedimientos de control, la calidad y fiabilidad, etc.
El plan de mejoras abarcar todas las recomendaciones que vengan a intentar soslayar las
deficiencias detectadas en la realizacin de la auditora. Para ello se tendrn en cuenta los
recursos disponibles, o al menos potencialmente disponibles, por parte de la empresa objeto de
la auditora.
De cara a la ejecucin de las recomendaciones contenidas en el plan, es posible distinguir
entre las medidas que es posible realizar a corto plazo, de las que lo son a medio y por ltimo de
las ejecutables a largo plazo.
Entre las primeras se incluirn aquellas mejoras puntuales y de fcil realizacin como son las
mejoras en plazo, calidad, planificacin o formacin. Las medidas a medio plazo necesitarn de
uno a dos aos para poderse concretar. Aqu pues, caben ya mejoras algo ms profundas y con
mayor necesidad de recursos, como la optimizacin de programas, o de la documentacin, e
incluso de algunos aspectos de diseo del sistema.
Para concluir, las consideraciones a largo plazo, como cabe pensar fcilmente, pueden llevar
a cambios sustanciales en las polticas, medios o incluso estructuras del servicio de informtica.
Lgicamente con ms tiempo y ms medios de por medio es posible afrontar profundas
modificaciones si con ello se consiguen las mejoras redactadas por el equipo auditor. Estas
mejoras pueden pasar por la reconsideracin de los sistemas en uso o de los medios, humanos y
materiales, con que se cuenta, llegando si es preciso a una seria reconsideracin del plan
informtico. Todo esto comporta, claro est, un riesgo adicional, por lo que se requiere una
profunda reflexin por parte de la empresa, as como un considerable grado de confianza en el
equipo auditor.

3. Las diversas reas de aplicacin de la auditora informtica:

- Planificacin: donde se pasa revista a las distintas fases de la planificacin.
- Organizacin y administracin: en esta rea se examinarn aspectos como las relaciones con
los usuarios, con los proveedores, asignacin de recursos, procedimientos, etc.
- Construccin de sistemas: rea importante donde la auditora velar por la adecuacin de la
informtica a las necesidades reales de la empresa. Labor que no siempre es fcil.
- Explotacin: aqu se analizarn los procedimientos de operacin y explotacin en el centro
de proceso de datos.
- Entorno hardware: donde se vigilar, entre otras cosas, los locales del C.P.D., el acceso a
stos, alarmas, sistemas anti-incendios, proteccin de los sistemas, fiabilidad del hardware, etc.
- Entorno software: en este rea la auditora informtica analizar los sistemas de prevencin y
deteccin de fraudes, los exmenes a aplicaciones concretas, los controles a establecer y ms; en
definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.

3.1 Auditora informtica en el rea de planificacin

Algunos de los objetivos que podemos mencionar son:

- Determinar que planes del proceso de datos estn coordinados con los planes generales
de la organizacin.
- Revisar los planes de informtica.
- Contrastar el plan con su realizacin.

3/ 3
ITBA REPORTES TECNICOS CAPIS
- Determinar el grado de participacin y responsabilidad de directivos y usuarios en la
aplicacin.
- Participar en el proceso de planificacin.
- Revisar los planes de desarrollo del software de aplicaciones.
- Revisar los procedimientos de planificacin del software del sistema (software de base)
- Comprobar la ejecucin del plan en cualquiera de sus niveles (estratgico, tctico,
operacional)

El auditor cuando se encuentre examinando la validez de la planificacin de la informtica

dentro de la organizacin, centrar especialmente su atencin en:
- El sistema de informacin
- La planificacin del desarrollo.
- La planificacin de proyectos
- La definicin y distribucin de las distintas aplicaciones.

Ejemplo de un cuestionario de auditora correspondiente al rea de planificacin:

1. Sistemas de informacin
1.1 La direccin general y ejecutiva ha considerado la importancia que tiene el estudio
del sistema de informacin?
1.2 Se establecen los requisitos de informacin a largo plazo?
1.3 Se ha realizado una planificacin estratgica del sistema de informacin para la
empresa?
1.4 Existe una metodologa para llevar a cabo tal planificacin?
1.5 Est definida la funcin del director del sistema de informacin?
1.6 Existe un plan estratgico del departamento de sistema de informacin?
2. Recursos humanos
2.1 Se estudia la evolucin del mercado y la adaptacin del personal a esa evolucin?
2.2 Los informticos reciben noticias del momento tecnolgico por revistas, notas
tcnicas, etc.?
2.3 Se recibe formacin y se planifica sta mediante asistencia a cursos, seminarios,
etc.?
3. Otros aspectos
3.1 Los cambios en los sistemas informticos son consecuencia de la planificacin ms
que de la presin por necesidades operativas?
3.2 Se solicitan demostraciones sobre los nuevos artculos a los proveedores?
3.3 Se ha realizado algn estudio de planificacin del posible efecto de las cargas
normales de trabajo y los picos sobre los requerimientos tanto de equipos como de
software?
3.4 La entidad dispone de un plan informtico?
3.5 Se estn siguiendo las directrices marcadas por el plan?
3.6 El plan recoge todos los diferentes aspectos relacionados con la funcin
informtica?

3.2 Auditora informtica en el rea de organizacin y administracin

Una buena administracin redundar en un buen servicio a los usuarios y sus necesidades
estarn cubiertas por un importante grado de satisfaccin.
La labor del auditor en el entorno de trabajo en que ahora se est moviendo, se centrar en
los aspectos primordiales de una buena gestin del departamento de informtica, aspectos
tales como la dotacin de recursos humanos (polticas de personal), procedimientos,
relaciones con proveedores y usuarios, comits , estructura, etc.

Objetivos

4/ 4
ITBA REPORTES TECNICOS CAPIS
- Revisin del organigrama del departamento y del general de la empresa, al objeto de conocer
al departamento, sus dependencias, funciones y operaciones.
- Comparar la estructura actual con la definida.
- Verificar los estndares de documentacin.
- Determinar los procedimientos de direccin para hacer cumplir con los criterios de
documentacin en proceso de datos.
- Confrontar las directrices sobre documentos con la realidad.
- Colaborar en la elaboracin de nuevos documentos.
- Evaluar la distribucin de funciones.
- Examinar los planes de formacin.
- Verificar los mtodos de anlisis e imputacin de costos.
- Confrontar presupuesto y realidad.
- Revisar todo tipo de contratos que afecten al departamento de informtica (servicios,
mantenimientos, seguros, etc.).
- Examinar los mtodos de trabajo: anlisis, programacin, pruebas,...
- Evaluar el grado de participacin de los usuarios.
- Evaluar el rendimiento de consultores externos.
- Conocer el grado de aceptacin o satisfaccin general con respecto al servicio informtica.
- Revisar la documentacin de usuario.
- Examinar los procedimientos usados para actualizar la documentacin.
- Determinar el impacto de servicio de proceso de datos recibido desde fuentes externas.
- Evaluar el grado de conocimiento de los usuarios implicados sobre los sistemas
automatizados.

Ejemplo de un cuestionario de auditora correspondiente al rea de organizacin y

administracin:

1. Formacin
1.1 El desarrollo de aplicaciones tiene en cuenta el nivel de adecuacin y formacin del
personal?
1.2 Existen proyectos planificados o en desarrollo que requieran el uso de categoras por
encima del nivel del personal?
1.3 Hay presupuesto tiempo y dinero- para formacin?

2. Estndares y metodologas
2.1 Existe algn procedimiento que controle y regule la introduccin de modificaciones a
proyectos ya terminados?
2.2 Hay metodologa para el anlisis de aplicaciones?
2.3 Existe alguna metodologa para el diseo de base de datos?
2.4 Se utiliza alguna metodologa de programacin?
2.5 Las ltimas pruebas se realizan con datos proporcionados por los usuarios?
3. Relacin con terceros
3.1 Hay tareas del servicio informtico que estn siendo delegadas a personal ajeno a la
empresa?
3.2 Se definieron procedimientos para la subcontratacin de tales tareas?
3.3 Los departamentos usuarios tienen una importante implicacin en la fase de anlisis
funcional?
3.4 Se incluye en esa fase una previsin del grado de asistencia que necesita el
departamento usuario?
4. Documentacin
4.1 Hay normas que definan el modo de documentar aplicaciones?
4.2 Se estn confeccionando manuales de usuario con el suficiente nivel de comprensin?
4.3 Se documentan todas y cada una de las fases del desarrollo de una aplicacin?
4.4 Hay copia de toda la documentacin?

5/ 5
ITBA REPORTES TECNICOS CAPIS

3.3 Auditora informtica en el rea de construccin de sistemas

Algunos de los objetivos de la auditora informtica son:

- Examinar la metodologa de construccin que se est utilizando, o en su defecto,
aconsejar su implantacin.
- Examinar el inventario de problemas a resolver por el sistema, dictaminando sobre la
prioridad y razonabilidad de stos.
- Verificar los medios que la organizacin ha dispuesto para la realizacin.
- Comprobar el plan de realizacin:
- Garantizar la fiabilidad y precisin del estudio econmico de costos preliminar a la
realizacin.
- Verificar los estudios de necesidades de software y hardware asociados con el proyecto.
- Evaluar los mtodos utilizados para la recogida de datos.
- Colaborar en la fase de puesta en marcha del sistema.
- Comprobar los medios de seguridad con que se va a dotar (o se ha dotado ya) al sistema
en cuestin.
- Evaluar el rendimiento de un sistema ya en marcha.
- Aconsejar, si es necesario, las modificaciones oportunas para la optimizacin del sistema
en funcionamiento.

El auditor que examina la construccin del sistema, bien en el momento de su desarrollo o

bien cuando ste ya est funcionando, debe concluir garantizando la calidad del proyecto o
enumerando las deficiencias que hacen que el sistema se aleje de lo que a su juicio debera ser
un sistema capaz de satisfacer las necesidades a cubrir. Juzgar, pues, sobre la calidad del
sistema que est examinando, para lo cual fijar su atencin en comprobar que los resultados
que proporciona el sistema son efectivamente aquellos que se esperaban de l en funcin de
cmo fue diseado y que, adems, desde su fase de diseo, el sistema no ha sido degradado por
causa alguna en ninguna de sus partes.
Para que el sistema cumpla con los estndares de calidad exigibles son necesarias tres
condiciones: en primera instancia que est bien planificado, despus que sea bien controlado y
por ltimo que se administre adecuadamente.
As pues debe auditarse cada una de estas condiciones con el objeto de garantizar el xito
final: una mala planificacin en los momentos iniciales de la concepcin del sistema es una bola
de nieve cayendo por una montaa; las deficiencias van engordando a medida que se completan
fases.
Pero, una vez que el auditor ha examinado la planificacin, debe efectuar un seguimiento del
desarrollo que se est realizando, debe controlar la construccin de acuerdo con los modelos y
normas preestablecidos e igualmente se cuidar de que los recursos asignados estn siendo
utilizados de una forma adecuada.
El auditor se fijar en criterios tales como: precisin, eficacia, seguridad y fraude.
La auditora de la precisin debe tener en cuenta la precisin con que se desarroll el
estudio del sistema y la precisin que se le prev cuando ste funcione (no es tan infrecuente
encontrar sistemas operando en forma muy diferente a como fueron pensados).
Evidentemente, la calidad de la informacin que circula y aporta el sistema es algo que
preocupa especialmente cuando se est diseando. Existen una serie de procedimientos de
control que contribuyen a garantizar la precisin del sistema, tales como los contadores de
registros, totales y subtotales por lotes, dgitos de control y verificacin en la codificacin y un

6/ 6
ITBA REPORTES TECNICOS CAPIS
largo etctera que, junto con unas adecuadas validaciones de los datos, deben estar presentes en
el sistema. El auditor verificar que as sea, o colaborar en su implantacin basndose en su
experiencia.
Es tambin oportuno la fijacin de unos estndares de auditora, una vez que el sistema est
en marcha, con objeto de que la direccin tenga fcil y rpido conocimiento de los rendimientos
en materia de precisin.
No siempre el sistema produce resultados que ayuden realmente a resolver los problemas que
tiene el usuario; por lo tanto, el trabajo de auditora de la eficacia se centrar en localizar todas
aquellas deficiencias que estn restando (o vayan a restar) eficiencia al sistema y que pueden
estar ubicados en los datos, los programas o en el propio equipo. El auditor trabajar muy cerca
del usuario, especialmente en la fase de diseo (es mucho menos costoso modificar sobre diseo
que sobre lo implantado) identificando la informacin que debe proporcionar el sistema as
como a aquellas personas destinatarias de cada una de estas informaciones. Esto ayudar a
definir con toda precisin y sin equvocos los informes necesarios as como a ubicarlos en los
departamentos de la organizacin sin duplicidades de papel innecesarias. Una herramienta que
nos puede ayudar en este caso es la matriz de recepcin y distribucin de documentos
Una forma objetiva de evaluar la informacin que se encuentra en un sistema es emplear la
matriz de recepcin y distribucin de documentos, en la cual se define de modo grfico la
distribucin de documentos y los resultados obtenidos en un proceso.
En la grfica podremos ver la forma de estructurar la matriz de recepcin y distribucin de
documentos. En la zona 1 se anotan los nombres de los departamentos que intervienen en el
proceso; en la zona 2, los nombres de los documentos fuente que forman parte del sistema; en la
zona 3, el nombre de los informes que son emitidos. En el cuadrante (zona 4) que une la zona 1
con la zona 2, se pone una X en aquellos departamentos que producen determinado documento
o tienen injerencia en su generacin.
En los cuadrantes de la zona 5, se pone una X, en las uniones que indican los documentos
fuentes (zona 2) que produce un determinado informe (zona 3); y en el cuadrante de la zona 6 se
pone una X en la interseccin del departamento (zona l) y los informes que utiliza (zona 3).
Como informacin adicional se puede poner una L en lugar de X en caso de que la informacin
que se obtiene sea en lnea (por pantalla).
Con la matriz de recepcin y distribucin de documentos podemos ver de una manera fcil y
rpida los documentos que son producidos por cada departamento (zona 4).
Los informes que produce cada documento (zona 5) y que departamentos los usan (zona 6).

5
1 3
Departamentos Informes

Documentos
4 2 6

7/ 7
ITBA REPORTES TECNICOS CAPIS

Consideremos un ejemplo sencillo de su aplicacin:

Departamentos
Informes

X X
X X
X X

Documentos

Es tambin importante la colaboracin que debe ofrecer el auditor a la hora de precisar

los elementos necesarios para la obtencin de los resultados esperados. Puede recomendar
acerca de los procedimientos de obtencin de datos mediante cuestionarios, entrevistas, etc.
y los procesos que utilizarn esos datos.

Un ltimo elemento que debe examinar el auditor en lo concerniente a la eficacia del

sistema es su grado de integracin con los restantes sistemas de la organizacin. Esto, que
parece bastante evidente, en muchos casos se demuestra en la prctica que no es as. Un mal
estudio del grado de integracin del sistema conduce a malgastar dispositivos de
almacenamiento adems de provocar problemas de inconsistencia e integridad, ya que no
siempre se actualizan de igual modo todas las repeticiones que puedan existir de un mismo
dato.

La fase de desarrollo es el momento oportuno para establecer una serie de controles

tendientes a garantizar la seguridad del sistema, dado que tal establecimiento sera mucho
ms costoso en fases posteriores, bien por la propia filosofa de la construccin o bien
porque la omisin haya degenerado en consecuencias desastrosas.
El auditor debe garantizar que los controles se implantan en la fase de construccin y es
de esperar que su propia experiencia le haga recomendar no slo los controles especficos de
la aplicacin o sistema en s, sino tambin una serie de controles generales comunes
prcticamente a la totalidad de los sistemas mecanizados (accesos, recuperacin de datos,
etctera.).

8/ 8
ITBA REPORTES TECNICOS CAPIS
La prevencin del fraude es muy compleja de establecer en la etapa de construccin, pero
s conviene que el auditor centre su atencin en el establecimiento de controles en aquellos
puntos del sistema que sean ms proclives en un futuro a la comisin del fraude (transacciones
econmicas, redondeo de importes, etc.).
Ser de gran utilidad el estudio de fraudes conocidos en sistemas de caractersticas
similares al que se est construyendo.

3.4 Auditora informtica en el rea de explotacin

Algunos de sus objetivos son:- Comprobar la existencia de normas generales

escritas para el personal de explotacin en lo que se refiere a sus funciones.- Verificar la
existencia de estndares de documentacin en el departamento.
- Comprobar que en ningn caso los operadores acceden a documentacin de programas
que no sea la exclusiva para su explotacin.
- Verificar que los programadores no tienen acceso a la operacin del ordenador cuando
corren sus programas.
- Examinar que las versiones de programas y ficheros activos en explotacin son
efectivamente las versiones que deben ser las vigentes.
- Como consecuencia de lo anterior, revisar que existen procedimientos que impidan que
puedan correrse versiones de programas no activos.
- Investigar el diario de explotacin y los archivos log.
- Verificar los procedimientos segn los cuales se incorporan nuevos programas a las
libreras productivas.
- Examinar la adecuacin de los locales en que se guardan los medios magnticos de
almacenamiento, as como la perfecta y visible identificacin de estos medios.
- Investigar los estndares en tiempo de ejecucin de la instalacin, comparando stos
con las observaciones reales efectuadas.
- Verificar los planes de mantenimiento preventivo de la instalacin.
- Comprobar que existen normas escritas que regulen perfectamente todo lo relativo a
copias de seguridad: manejo, autorizacin de obtencin, destruccin, etc.
- Inspeccionar el cumplimiento de sus funciones, adems de la idoneidad de stas, de la
persona encargada de mantener la biblioteca de medios magnticos.
- Comprobar que existen mtodos adecuados que permitan verificar un seguimiento de
los trabajos en el ordenador.
- Examinar e incluso participar en la elaboracin de los presupuestos del centro de
explotacin si stos son independientes del resto del servicio informtico.

Ejemplo de un cuestionario de auditora correspondiente al rea de explotacin:

1. Intervencin de operadores
1.1 Hay necesidad de que el operador responda a mensajes tomando l la iniciativa?
1.2 Se ha detectado una excesiva intervencin del operador en la ejecucin de trabajos?
2. Organizacin
2.1 Estn claramente definidas las funciones y responsabilidades del personal de
explotacin?
2.2 Existen procedimientos de cobertura por vacaciones o enfermedad?
2.3 Se considera adecuada la estructura del departamento de explotacin?
2.4 El usuario est satisfecho del rendimiento de la explotacin?
2.5 Se utilizan todos los recursos de explotacin de que dispone el sistema?
3. Otros aspectos
3.1 Son frecuentes las averas en algn componente del sistema?
3.2 Se est realizando regularmente un mantenimiento preventivo?
3.3 Se han definido planes de evolucin y estudios de posibilidades de ampliacin de los
equipos?

9/ 9
ITBA REPORTES TECNICOS CAPIS

3.5 Auditora informtica del entorno operativo hardware

Objetivos:
- Determinar si el hardware se utiliza eficientemente.
- Revisar los informes de la direccin sobre la utilizacin del hardware.
- Revisar si el equipo se utiliza por el personal autorizado.
- Examinar los estudios de adquisicin, seleccin y evolucin del hardware.
- Comprobar las condiciones ambientales.
- Revisar el inventario hardware.
- Verificar los procedimientos de seguridad fsica.
- Examinar los controles de acceso fsico.
- Revisar la seguridad fsica de los componentes de la red de teleproceso.
- Revisar los controles sobre la transmisin de los datos entre los perifricos y el ordenador.
- Comprobar los procedimientos de prevencin/deteccin/correccin frente a cualquier tipo
de desastre.
Colaborar en la confeccin de un plan de contingencias y desastres.

3.6 Auditora informtica del entorno operativo software

Objetivos:

- Revisar las libreras utilizadas por los programadores.

- Examinar que los programas realizan lo que realmente se espera de ellos.
- Revisar el inventario de software.
- Comprobar la seguridad de datos y ficheros.
- Examinar los controles sobre los datos.
- Revisar los procedimientos de entrada y salida.
- Verificar las previsiones y procedimientos de back-up.
- Revisar los procedimientos de planificacin, adecuacin y mantenimiento del software del
sistema.
- Revisar la documentacin sobre software de base.
- Revisar los controles sobre programas producto (paquetes externos).
- Examinar la utilizacin de estos paquetes.
- Verificar peridicamente el contenido de los ficheros de usuario.
- Determinar que el proceso para usuarios est sujeto a los controles adecuados.
- Supervisar el uso de las herramientas potentes al servicio de los usuarios.
- Comprobar la seguridad e integridad de las bases de datos.

Conclusiones: Debemos tener en cuenta que la auditora no tiene como objetivo castigar a
nadie, si bien sta es la idea de muchas de las personas que trabajan en una empresa, pues quin
haya sido auditado alguna vez sabe lo que este sentimiento significa. Debemos pensar en la
realizacin de auditoras constructivas y no destructivas. Su objetivo fundamental es
descubrir deficiencias que sern corregidas, en beneficio de la organizacin y por lo tanto del
personal involucrado.

Bibliografa:
Auditora Informtica de Gonzalo Alonso Rivas. Editorial: Ediciones Diaz de Santo S.A.
1989
Auditora en informtica Jos Antonio Echenique. Editorial: Mc.Graw Hill 1ra. edicin 1994
Auditora informtica A.J.Thomas, I.J.Douglas. Editorial: Parafino 2da. edicin 1988

10/ 10