INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado
general del área, su situación dentro de la
organización, si existe la información solicitada, si es o no
necesaria y la fecha de su última
actualización.
Se debe hacer la investigación preliminar solicitando y
revisando la información de cada una de las áreas
basándose en los siguientes puntos:
ADMINISTRACIÓN
Se recopila la información para obtener una
visión general del departamento por medio de
observaciones, entrevistas
preliminares y solicitud de documentos para
poder definir
el objetivo y
alcances del departamento.
Para analizar y dimensionar la estructura por
auditar se debe solicitar a nivel del área de informática
Objetivos a corto y largo plazo.
Recursos materiales y
técnicos
Solicitar documentos sobre los equipos, número de
ellos, localización y características.
Estudios de viabilidad.
Número de equipos, localización y las
características (de los equipos instalados y por instalar
y programados)
Fechas de instalación de los equipos y planes de
instalación.
Contratos vigentes de compra, renta y servicio de
mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras
instalaciones.
Configuración de los equipos y capacidades
actuales y máximas.
Planes de expansión.
Ubicación general de los equipos.
Políticas de operación.
Políticas de uso de los equipos.
SISTEMAS
Descripción general de los sistemas
instalados y de los que estén por instalarse que contengan
volúmenes de información.
Manual de formas.
Manual de procedimientos de
los sistemas.
Descripción genérica.
Diagramas de entrada, archivos,
salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos
sistemas.
En el momento de hacer la planeación
de la auditoria o bien su realización, debemos evaluar que
pueden presentarse las siguientes situaciones.
Se solicita la información y se ve
que:
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la información pero:
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y
está completa.
En el caso de No se tiene y no se necesita, se debe
evaluar la causa por la que no es necesaria. En el caso de No se
tiene pero es necesaria, se debe recomendar que se elabore de
acuerdo con las necesidades y con el uso que se le va a dar. En
el caso de que se tenga la información pero no se utilice,
se debe analizar por que no se usa. En caso de que se tenga la
información, se debe analizar si se usa, si está
actualizada, si es la adecuada y si está
completa.
El éxito
del análisis crítico depende de las
consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta
los rumores ni la información sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria,
preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los
datos
recabados.
PERSONAL
PARTICIPANTE
Una de las partes más importantes dentro de la
planeación de la auditoria en informática es el
personal que
deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un
adecuado control es que el
personal que intervengan esté debidamente capacitado, con
alto sentido de moralidad, al
cual se le exija la optimización de recursos
(eficiencia) y
se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las
características de conocimientos, práctica
profesional y capacitación que debe tener el personal que
intervendrá en la auditoria. En primer lugar se debe
pensar que hay personal asignado por la organización, con el suficiente nivel para
poder coordinar el desarrollo de
la auditoria, proporcionar toda la información que se
solicite y programar las reuniones y entrevistas
requeridas.
Éste es un punto muy importante ya que, de no
tener el apoyo de la alta dirección, ni contar con un grupo
multidisciplinario en el cual estén presentes una o varias
personas del área a auditar, sería casi imposible
obtener información en el momento y con las
características deseadas.
También se debe contar con personas asignadas por
los usuarios para que en el momento que se solicite
información o bien se efectúe alguna
entrevista de comprobación de
hipótesis, nos proporcionen aquello que se
esta solicitando, y complementen el grupo multidisciplinario, ya
que se debe analizar no sólo el punto de vista de la
dirección de informática, sino también el
del usuario del sistema.
Para completar el grupo, como colaboradores directos en
la realización de la auditoria se deben tener personas con
las siguientes características:
Técnico en informática.
Experiencia en el área de
informática.
Experiencia en operación y análisis de
sistemas.
Conocimientos de los sistemas más
importantes.
En caso de sistemas complejos se deberá contar
con personal con conocimientos y experiencia en áreas
específicas como base de datos,
redes, etc. Lo
anterior no significa que una sola persona tenga los
conocimientos y experiencias señaladas, pero si deben
intervenir una o varias personas con las características
apuntadas.
Una vez que se ha hecho la planeación, se puede
utilizar el formato señalado en el anexo 1, el figura el
organismo, las fases y subfases que comprenden la descripción de la actividad, el
número de personas participantes, las fechas estimadas de
inicio y terminación, el número de días
hábiles y el número de días/hombre
estimado. El control del avance de la auditoria lo podemos llevar
mediante el anexo 2, el cual nos permite cumplir con los
procedimientos de control y asegurarnos que
el trabajo se está llevando a cabo
de acuerdo con el programa de
auditoria, con los recursos estimados y en el tiempo
señalado en la planeación.
El hecho de contar con la información del avance
nos permite revisar el trabajo
elaborado por cualquiera de los asistentes.
PASOS A
SEGUIR
Se requieren varios pasos para realizar una auditoria.
El auditor de sistemas debe evaluar los riesgos
globales y luego desarrollar un programa de auditoria que consta
de objetivos de
control y procedimientos de auditoria que deben satisfacer esos
objetivos. El proceso de
auditoria exige que el auditor de sistemas reúna
evidencia, evalúe fortalezas y debilidades de los
controles existentes basado en la evidencia recopilada, y que
prepare un informe de
auditoria que presente esos temas en forma objetiva a la gerencia.
Asimismo, la gerencia de auditoria debe garantizar una
disponibilidad y asignación adecuada de recursos para
realizar el trabajo de auditoria además de las revisiones
de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.
INFORME
En si todos los encuestados respondieron la totalidad de
las preguntas. Todos tienen la misma respuesta en la pregunta
sobre la inteligencia
artificial, todos dicen prácticamente lo mismo acerca de
lo que es la auditoria de sistemas en que es un sistema de
revisión, evaluación, verificación y
evalúa la eficiencia y eficacia con que
se está operando los sistemas y corregir los errores de
dicho sistema. Todos los encuestados mostraron una
características muy similares de las personas que van a
realizan la auditoria; debe haber un contador, un ingeniero de
sistemas, un técnico y que debe tener conocimientos,
práctica profesional y capacitación para poder
realizar la auditoria.
Todos los encuestados conocen los mismos tipos de
auditoria, Económica, Sistemas, Fiscal,
Administrativa.
el principal objetivo de la auditoria de sistemas es
Asegurar una mayor integridad, confidencialidad y confiabilidad
de la información mediante la recomendación de
seguridades y controles.
Mirando en general a todos los encuestados se puede ver
que para ellos la auditoria de sistemas es muy importante porque
en los sistemas esta toda la información de la empresa y del
buen funcionamiento de esta depende gran parte del funcionamiento
de una empresa y que
no solo se debe comprender los equipos de computo sino
también todos los sistemas de información desde sus
entradas, procedimientos, controles, archivos, seguridad y
obtención de información.
La auditoria de los sistemas de informática es de
mucha importancia ya que para el buen desempeño de los sistemas de
información, ya que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad.
¿Que sabe usted de la Auditoria de
sistemas?
La auditoria de sistemas es la revisión y la
evaluación de los controles, sistemas, procedimientos de
informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la
organización que participan en el procesamiento de la
información, a fin de que por medio del
señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la
información que servirá para
Una adecuada toma de
decisiones.
¿Cree usted que el personal participante en la
auditoria es importante si o no?
Si por que una de las partes más importantes
dentro de la planeación de la auditoria sistemas es el
personal que deberá participar y sus
características.
¿Qué características cree usted que
debe tener estas personas?
Se debe considerar las características de
conocimientos, práctica profesional y capacitación
que debe tener el personal que intervendrá en la
auditoria. En primer lugar se debe pensar que hay personal
asignado por la empresa. Como el
ingeniero en sistemas y Técnicos
¿Como planificaría usted una auditoria de
sistemas?
Yo la haría siguiendo una serie de pasos previos
que me permitan dimensionar el tamaño y
características de área dentro del organismo a
auditar, sus sistemas, organización y equipo.
¿Que haría Usted para que la
planeación de los sistemas de auditoria fueran cada vez
mejor?
Pues yo haría una planeación cada vez
mejor y eficaz.
¿Haría usted antes de cada auditoria de
sistemas una investigación preliminar si o no y como la
haría?
Si la haría observando el estado general
del área, su situación dentro de la
organización, si existe la información solicitada,
si es o no necesaria y la fecha de su última
actualización.
¿que diferencia y semejanza ve usted en la
auditoria de sistemas y la auditoria financiera?
Que la financiera se enfoca en la Veracidad de estados
financieros preparación de informes de acuerdo a principios
contables, evalúa la eficiencia, operacional y Eficacia y
la de sistemas Se preocupa de la función
informática
¿Como seria una Evaluación de
Sistemas?
La evaluación debe ser con mucho detalle, para lo
cual se debe revisar si existen realmente sistemas entrelazados
como un todo o bien si existen programas
aislados. Otro de los factores a evaluar es si existe un plan
estratégico para la elaboración de los sistemas
o si se están elaborados sin el adecuado
señalamiento de prioridades y de objetivos.
¿Cree usted que debería haber un control
de proyectos en la
auditoria de sistemas?
Si debe haber un control ya que debido a las
características propias del análisis y la programación, es muy frecuente que la
implantación de los sistemas se retrase y se llegue a
suceder que una persona lleva trabajando varios años
dentro de un sistema o bien que se presenten irregularidades en
las que los programadores se ponen a realizar actividades ajenas
a la dirección de sistemas. Para poder controlar el avance
de los sistemas, ya que ésta es una actividad de
difícil evaluación.
¿Que clases de auditoria conoce?
Financiera, Económica, Sistemas, Fiscal,
Administrativa.
¿Cuales cree usted que son los objetivos
principales de una auditoria de sistemas?
Buscar una mejor relación costo-beneficio
de los sistemas automáticos o computarizados
diseñados e implantados por el PAD
Incrementar la satisfacción de los usuarios de
los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles.
Conocer la situación actual del área
informática y las actividades y esfuerzos necesarios para
lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e
instalaciones
Apoyo de función informática a las metas y
objetivos de la organización.
2. ¿Que sabe usted de la Auditoria de
sistemas?
Es la verificación de controles en el
procesamiento de la información, desarrollo de sistemas e
instalación con el objetivo de evaluar su efectividad y
presentar recomendaciones a la Gerencia.
¿Cree usted que el personal participante en la
auditoria es importante si o no?
Si por que dentro de la planeación de la
auditoria de sistemas hay personal idóneo para desarrollar
y orientar en esta tarea.
3. ¿Qué características cree usted
que debe tener estas personas?
Debe tener conocimientos, práctica profesional y
capacitación
¿Como planificaría usted una auditoria de
sistemas?
Pues yo la Planificaría con Controles
Preventivos, Controles detectivos, y Controles
Correctivos.
¿Que haría Usted para que la
planeación de los sistemas de auditoria fueran cada vez
mejor?
Yo haría una mejor planeación o una
planeación con mas tiempo, haría una mejor
investigación de la empresa, trataría que todo lo
planificado para la auditoria fuese lo mas eficiente
posible
¿Haría usted antes de cada auditoria de
sistemas una investigación preliminar si o no y como la
haría?
Si la haría para saber bien la Descripción
general de los sistemas instalados y de los que estén por
instalarse que contengan volúmenes de
información.
¿Que diferencia y ve usted el la auditoria de
sistemas y la auditoria financiera?
Que La financiera se audita es los estados
financieros y la de sistemas se preocupa es por la parte de
informática
Auditoría de la Seguridad
informática:
La computadora es
un instrumento que estructura gran cantidad de
información, la cual puede ser confidencial para
individuos, empresas o
instituciones,
y puede ser mal utilizada o divulgada a personas que hagan mal
uso de esta. También pueden ocurrir robos, fraudes o
sabotajes que provoquen la destrucción total o parcial de
la actividad computacional. Esta información puede ser de
suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras
personales, se ha dado otro factor que hay que considerar: el
llamado "virus" de las
computadoras, el cual, aunque tiene diferentes intenciones, se
encuentra principalmente para paquetes que son copiados sin
autorización ("piratas") y borra toda la
información que se tiene en un disco. Al auditar los
sistemas se debe tener cuidado que no se tengan copias "piratas"
o bien que, al conectarnos en red con otras computadoras,
no exista la posibilidad de transmisión del virus. El uso
inadecuado de la computadora
comienza desde la utilización de tiempo de máquina
para usos ajenos de la organización, la copia de programas
para fines de comercialización sin reportar los derechos de autor hasta el
acceso por vía telefónica a bases de datos a
fin de modificar la información con propósitos
fraudulentos.
La seguridad en la informática abarca los
conceptos de seguridad física y seguridad
lógica.
La seguridad física se refiere a la protección del
Hardware y de los soportes de datos, así como a la de los
edificios e instalaciones que los albergan. Contempla las
situaciones de incendios,
sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de
uso del software, a la protección de los datos, procesos y
programas, así como la del ordenado y autorizado acceso de
los usuarios a la información.
Un método
eficaz para proteger sistemas de computación es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso
protegen contra el acceso no autorizado, pues piden del usuario
una contraseña antes de permitirle el acceso a
información confidencial. Dichos paquetes han sido
populares desde hace muchos años en el mundo de las
computadoras grandes, y los principales proveedores
ponen a disposición de clientes algunos
de estos paquetes.
Ejemplo: Existe una Aplicación de Seguridad que
se llama SEOS, para Unix, que lo
que hace es auditar el nivel de Seguridad en todos los servidores, como
ser: accesos a archivos, accesos a directorios, que usuario lo
hizo, si tenía o no tenía permiso, si no
tenía permiso porque falló, entrada de usuarios a
cada uno de los servidores, fecha y hora, accesos con password
equivocada, cambios de password, etc. La Aplicación lo
puede graficar, tirar en números, puede hacer reportes,
etc.
La seguridad
informática se la puede dividir como Area General y
como Area Especifica (seguridad de Explotación, seguridad
de las Aplicaciones, etc.). Así, se podrán efectuar
auditorias de
la Seguridad Global de una Instalación Informática
–Seguridad General- y auditorias de la Seguridad de un
área informática determinada – Seguridad
Especifica -.
Con el incremento de agresiones a instalaciones
informáticas en los últimos años, se han ido
originando acciones para mejorar la Seguridad Informática
a nivel físico. Los accesos y conexiones indebidos a
través de las Redes de Comunicaciones, han acelerado el desarrollo de
productos de
Seguridad lógica y la utilización de sofisticados
medios
criptográficos.
El sistema integral de auditoria debe
comprender:
- Elementos administrativos
- Definición de una política de
seguridad - Organización y división de
responsabilidades
Metodología de Trabajo de Auditoría Informática
El método de trabajo del auditor pasa por las
siguientes etapas:
Alcance y Objetivos de la Auditoria
Informática.
Estudio inicial del entorno auditable.
Determinación de los recursos necesarios para
realizar la auditoría.
Elaboración del plan y de los
Programas de Trabajo.
Actividades propiamente dichas de la
auditoria.
Confección y redacción del Informe Final.
Redacción de la Carta de
Introducción o Carta de
Presentación del Informe final.
Definición de Alcance y
Objetivos
El alcance de la auditoría expresa los límites de
la misma. Debe existir un acuerdo muy preciso entre auditores y
clientes sobre las funciones, las
materias y las organizaciones a
auditar.
A los efectos de acotar el trabajo, resulta muy
beneficioso para ambas partes expresar las excepciones de alcance
de la auditoría, es decir cuales materias, funciones u
organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al
comienzo del Informe Final.
Las personas que realizan la auditoría han de
conocer con la mayor exactitud posible los objetivos a los que su
tarea debe llegar. Deben comprender los deseos y pretensiones del
cliente, de forma
que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos
específicos), éstos se añadirán a los
objetivos generales y comunes de a toda auditoría
Informática: La operatividad de los Sistemas y los
Controles Generales de Gestión
Informática.
Estudio Inicial
Para realizar dicho estudio ha de examinarse las
funciones y actividades generales de la
informática.
Para su realización el auditor debe conocer lo
siguiente:
Organización:
Para el equipo auditor, el
conocimiento de quién ordena, quién
diseña y quién ejecuta es fundamental. Para
realizar esto en auditor deberá fijarse en:
1) Organigrama:
El organigrama expresa la estructura oficial de la
organización a auditar.
Si se descubriera que existe un organigrama
fáctico diferente al oficial, se pondrá de
manifiesto tal circunstancia.
2) Departamentos:
Se entiende como departamento a los órganos que
siguen inmediatamente a la Dirección. El equipo auditor
describirá brevemente las funciones de cada uno de
ellos.
3) Relaciones Jerárquicas y funcionales entre
órganos de la Organización:
El equipo auditor verificará si se cumplen las
relaciones funcionales y Jerárquicas previstas por el
organigrama, o por el contrario detectará, por ejemplo, si
algún empleado tiene dos jefes.
Las de Jerarquía implican la correspondiente
subordinación. Las funcionales por el contrario, indican
relaciones no estrictamente subordinables.
Flujos de Información:
Además de las corrientes verticales
intradepartamentales, la estructura organizativa cualquiera que
sea, produce corrientes de información horizontales y
oblicuas extradepartamentales.
Los flujos de información entre los grupos de una
organización son necesarios para su eficiente
gestión, siempre y cuando tales corrientes no distorsionen
el propio organigrama.
En ocasiones, las organizaciones crean
espontáneamente canales alternativos de
información, sin los cuales las funciones no
podrían ejercerse con eficacia; estos canales alternativos
se producen porque hay pequeños o grandes fallos en la
estructura y en el organigrama que los representa.
Otras veces, la aparición de flujos de
información no previstos obedece a afinidades personales o
simple comodidad. Estos flujos de información son
indeseables y producen graves perturbaciones en la
organización.
Número de Puestos de trabajo
El equipo auditor comprobará que los nombres de
los Puesto de los Puestos de Trabajo de la organización
corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen
funciones idénticas, lo cual indica la existencia de
funciones operativas redundantes.
Esta situación pone de manifiesto deficiencias
estructurales; los auditores darán a conocer tal
circunstancia y expresarán el número de puestos de
trabajo verdaderamente diferentes.
Número de personas por Puesto de
Trabajo
Es un parámetro que los auditores
informáticos deben considerar. La inadecuación del
personal determina que el número de personas que realizan
las mismas funciones rara vez coincida con la estructura oficial
de la organización.
Conclusión
La auditoria en informática es la revisión
y la evaluación de los controles, sistemas, procedimientos
de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la
organización que participan en el procesamiento de la
información, a fin de que por medio del
señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la
información que servirá para una adecuada toma de
decisiones.
La auditoria en informática deberá comprender no
sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento
específico, sino que además habrá de evaluar
los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención
de información.
La auditoria en informática es de vital importancia para
el buen desempeño de los sistemas de información,
ya que proporciona los controles necesarios para que los sistemas
sean confiables y con un buen nivel de seguridad. Además
debe evaluar todo (informática, organización de
centros de información, hardware y software).
Bibliografía
Cohen Karen, Daniel, Sistemas de Información
Gerencial
McGraw Hill.
2000
Cambridge: Harvard Business School Press.
1991
Keen, Meter G. W. Shaping the future: Business Design
through Information Technology.
O´ Brien, James. Bases de los Sistemas de
Información.
McGraw Hill.
2000.
http://www.gestiopolis.com/canales/gerencial/articulos/59/pronosfut.htm
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
Betancourt Henry
Instituto Universitario De Tecnología de
Administración Industrial
Especialidad: Administración. De Empresas
Sección: 144-A1
Unidad curricular: Sistemas y Procedimientos
Administrativos
Caracas, Junio del 2007
 Página anterior | Volver al principio del trabajo | Página siguiente  |