Instituto Tecnolgico superior de Acatlan de Osorio Puebla

Miguel ngel Rodrguez Santiago 8 C Lic. Informtica

Introduccin a la Auditora Informtica.

1.1 Conceptos de Auditora y Auditora Informtica. 1.2 Tipos de Auditora. 1.2.1 Auditora Interna y Externa. 1.3 Campo de la Auditora Informtica. 1.4 Control Interno. 1.5 Modelos de control utilizados en auditora informtica. 1.6 Principios aplicados a los auditores informticos. 1.7 Responsabilidades de los administradores y del auditor.

1.1 Conceptos de Auditora y Auditora Informtica.

Introduccin
En su sentido ms general, se puede entender a la auditora como la investigacin, consulta, revisin, verificacin, comprobacin y obtencin de evidencia, desde una posicin de independencia, sobre la documentacin e informacin de una organizacin, realizadas por un profesional, el auditor, designado para desempear tales funciones.

El auditor, cuando acta como tal, no es responsable ni de la operacin del organismo ni del control de su funcionamiento. Tales funciones son responsabilidad de los rganos directivos del organismo auditado. La funcin del auditor es la de examinar e informar sobre la documentacin elaborada por los rganos directivos.

Objetivo de la Auditora:
El objetivo fundamental de un trabajo de auditora es permitir que el auditor llegue a estar en condiciones de informar fundadamente sobre la fidelidad y razonabilidad de la situacin que refleja la documentacin aportada por la empresa. El auditor est obligado a establecer de forma inequvoca, segn su criterio, si la imagen de la empresa es fiel y razonable en la documentacin aportada. Si no ha podido confirmar estos trminos, debe calificar su informe justificando las razones que le han llevado a considerar las desviaciones de fidelidad y razonabilidad, y en qu aspectos, y en qu medida, se ha incurrido en una formulacin errnea. El auditor debe expresar con independencia su opinin.

En resumen: En todas las definiciones anteriores de auditoria podemos encontrar varios puntos comunes:

La realizacin de un examen ordenado y planificado La comprobacin de la calidad de lo examinado, La verificacin de la fiabilidad de lo examinado en cuanto a los hechos reales que refleja, y La obligacin de informar a terceros con una opinin fundada.

Concepto de Auditora Informtica:

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

De esta forma la auditora informtica sustenta y confirma la consecucin de los objetivos tradicionales de auditora. El auditor evala y comprueba en determinados momentos del tiempo los controles y procedimientos informativos mas complejos, desarrollando y aplicando tcnicas mecanizadas de auditora, incluyendo el uso de software.

Principales objetivos que constituyen a la Auditora Informtica

El control de la funcin informtica. El anlisis de la eficacia del Sistema Informtico. La verificacin de la implantacin de la Normativa. La revisin de la gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

Eficiencia Eficacia Rentabilidad Seguridad

1.2 Tipos de Auditora

La Auditora puede clasificarse desde diversos puntos de vista, segn el sujeto que la efecta, segn el contenido y los fines, por su amplitud y por su frecuencia.

Por el sujeto que la efecta:

Auditora interna: Est a cargo de empleados de la propia empresa, encuadrados en un departamento directamente dependiente de la direccin general. Auditora externa: Est a cargo de auditores profesionales, ajenos a la empresa y totalmente independientes.

Por su contenido y fines

Auditora de gestin: Afecta a la situacin global de la empresa. Auditora organizativa: Analiza si la estructura organizativa de la empresa es la adecuada, segn las necesidades y problemas de la misma. Auditora operacional: Para determinar hasta qu punto una organizacin, una unidad o funcin dentro de una organizacin, est cumpliendo los objetivos establecidos por la gerencia; as como identificar las condiciones que necesiten mejora. Auditora financiera: Examen y verificacin de los estados financieros de la empresa, para emitir una opinin fundada sobre el grado de fiabilidad de dichos estados. Auditora contable: Analiza la adecuacin de los criterios empleados para recoger los hechos derivados de la actividad de la empresa y su representacin, mediante apuntes contables, en los estados financieros. Auditora informtica: Examen y verificacin del correcto funcionamiento y control del sistema informtico de la empresa.

Por su amplitud:
Auditora total: Afecta a todos los elementos de la empresa. Auditora parcial: Se concentra en determinados elementos de la empresa.

Por su frecuencia:
Auditora permanente: Se realiza peridicamente a lo largo del ejercicio econmico. Auditora ocasional: Se realiza de forma espordica.

Beneficios de la Auditora:
Los beneficiarios de la auditora son los que tienen relacin con la empresa y necesitan informacin correcta y autntica sobre la situacin y actividades de la misma.
Auditora interna: Es la propia empresa y todos los rganos de gobierno y ejecutivos. Auditora externa: Accionistas o socios. Consejeros y ejecutivos. Proveedores, acreedores y otros. Inversores. La Banca. La Hacienda Pblica. Los empleados de la empresa. Otros organismos pblicos e institucionales.

1.3 Campo de la Auditora Informtica

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas: Gobierno corporativo. Administracin del Ciclo de vida de los sistemas. Servicios de Entrega y Soporte. Proteccin y Seguridad. Planes de continuidad y Recuperacin de desastres.

1.4 Control Interno

Una de las formas de definir el concepto de control interno es la siguiente: El control interno es un proceso que lleva a cabo el Consejo de Administracin, la direccin y el resto de los miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza en la consecucin de objetivos de fiabilidad de la informacin financiera, eficacia y eficiencia de las operaciones y cumplimiento de las leyes y las normas aplicables.

Componentes de un Sistema de Control interno:

Tradicionalmente, los principales componentes de un sistema de control interno han incluido: 1. 2. 3. 4. 5. 6. 7. 8. 9. la segregacin de funciones, la delegacin de la responsabilidad y de la autoridad, existencia de personal competente y de confianza, el sistema de autorizaciones, documentacin y registros adecuados, el control fsico sobre activos y registros, la adecuada supervisin de la gestin, la verificacin independiente de las operaciones y la comparacin peridica de los registros contabilizados con los activos.

1.5 Modelos de control utilizados en Auditora Informtica.

Las metodologas son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. La auditoria informtica solo identifica el nivel de exposicin por la falta de controles mientras el anlisis de riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologas existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio.

Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias:

Cuantitativas Cualitativas

Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn diseadas par producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numrico. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas.

1.6 Principios aplicados a los auditores informticos

Principio de beneficio de auditado. Principio de calidad. Principio de capacidad. Principio de comportamiento profesional. Principio de concentracin en el trabajo. Principio de confianza. Principio de criterio propio. Principio de discrecin.

 Principio de economa. Principio de formacin continua. Principio de fortalecimiento y respeto a la profesin. Principio de independencia. Principio de informacin suficiente. Principio de integridad moral. Principio de legalidad.

 Principio de libre competencia. Principio de no discriminacin. Principio de no injerencia. Principio de precisin. Principio de publicidad adecuada. Principio de responsabilidad. Principio de secreto profesional. Principio de servicio pblico. Principio de veracidad.

1.7 Responsabilidades de los administradores y del auditor.

El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades:

 Verificacin del control interno tanto de las aplicaciones como de los Sistemas de Informacin (SI), perifricos, etc. Anlisis de la administracin de los SI, desde un punto de vista de riesgo de seguridad, administracin y efectividad de la administracin. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de aplicaciones. Auditora del riesgo operativo de los circuitos de informacin Anlisis de la administracin de los riesgos de la informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las consecuencias empresariales que un desfase tecnolgico puede acarrear.

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR Organizacin de la funcin de Auditora Informtica La funcin de la auditora informtica se ha convertido en una funcin que desarrolla un trabajo ms acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a ser auditor y consultor de empresas en materias de:

 Seguridad Control interno operativo Eficiencia y eficacia Tecnologas de Informacin Continuidad de operaciones Administracin de riesgos

Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formacin en auditora y organizacin y con perfil informtico (especialidades).