APUNTES DE AUDITORIA EN INFORMATICA

APUNTES DE AUDITORIA EN INFORMATICA

GABRIEL ROMERO ROSALES

APUNTES DE AUDITORIA EN INFORMATICA FUNDAMENTOS DE AUDITORIA EN INFORMATICA AUDITORA: Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mediante la integridad de datos, lleva a cabo eficazmente los recursos y cumple con las leyes y regulaciones establecidas. As mismo una auditora propone una solucin al problema detectado. AUDITOR: Persona encargada de estudiar, analizar sistemas o elementos de un sistema para encontrar posibles fallas y proponer diferentes soluciones las cuales ayuden a innovar y solucionar el problema. TCNICA: Es el mtodo que se utiliza para la realizacin de una tarea especfica. ESTNDAR: Es la implantacin de nicas reglas dentro de la institucin con el fin de unificar recursos, procesos y objetos de una empresa. ELEMENTOS DE UN SISTEMA Son 3 elementos fundamentales Sujetos: Usuario desarrollador del sistema Objetos: Hardware mbitos: Son los datos a procesar y los procedimientos a realizar (Software) TIPOS DE SISTEMAS 1. 2. 3. 4. Abiertos Cerrados Sistemas hechos a la medida Sistemas de apoyo a la toma de decisiones Sistemas expertos o de inteligencia artificial Sistemas transaccionales

Sistemas transaccionales: Son aquellos que sirven para procesar grandes cantidades de informacin y ejecutan tareas de carcter rutinario (paquetera) Sistemas hechos a la medida: Son sistemas desarrollados para realizar procesos especficos dentro de una empresa u organizacin.

APUNTES DE AUDITORIA EN INFORMATICA Sistema de apoyo para la toma de decisiones: Estos permiten ingresar una serie de datos los cuales son procesados para obtener informacin til. Sistemas expertos o de inteligencia artificial: Son aquellos que generan y procesan su propia informacin para desarrollar una tarea especfica. (PLC) Requerimiento: Es una necesidad. SEGURIDAD FSICA Pulsera antiesttica Zapatos Casco Lentes Mascarillas Guantes Sistema de alarmas Sensor de temperatura Sensor de personas en movimiento Sensor de humo Sensor de fuego Sensor de peso Sensor de sonido Tipo de cableado Piso falso Techo falso Canaleta Rejilla

SINIESTROS Sismos Incendios Inundaciones Secuestros Humedad

APUNTES DE AUDITORIA EN INFORMATICA CONTEXTO DE LA AUDITORIA EN INFORMATICA AUDITORA EN SISTEMAS Software Licencias Facturas Sistema operativo Software de teleproceso

AUDITORA EN EL AREA DE CMPUTO Redes Software Hardware Seguridad Servidores Personal Base de datos Sistemas integrales Telecomunicaciones Usuarios

CICLO DE VIDA DE UN SISTMA Planeacin Anlisis y diseo Desarrollo Implantacin Termina cuando es desechado

AUDITORIA INFORMTICA se refiere a la revisin prctica que se realiza sobre los recursos informticos con que cuenta una entidad con el fin de emitir un informe o dictamen sobre la situacin en que se desarrollan y se utilizan esos recursos.

APUNTES DE AUDITORIA EN INFORMATICA COMPONENTES DE LA AUDITORA EN INFORMTICA Auditor: sujeto Algo: objeto de estudio Objeto: objetivo-opinin. Proceso: Inicio- Ejecucin-Finalizacin. Razonabilidad: cuando la distancia entre lo auditado (real) y el estndar (normal base) es tal, que no se hace cam biar de opinin. Es la solucin al problema

CLASIFICACIN DE LA AUDITORA Interna: la desarrollan personas que pueden o no depender de la entidad y actan revisando aspectos que interesan particularmente a la administracin. Externa o Auditoria Independiente: la efectan profesionistas que no dependen de la empresa, ni econmicamente ni bajo cualquier otro concepto, y a los que se conoce un juicio imparcial merecedor de la confianza de terceros. El objetivo de su trabajo es la emisin de un dictamen. CLASIFICACIN DE LAS NORMAS Interna: la desarrollan personas que pueden o no depender de la entidad y actan revisando aspectos que interesan particularmente a la administracin. Externa o Auditoria Independiente: la efectan profesionistas que no dependen de la empresa, ni econmicamente ni bajo cualquier otro concepto, y a los que se conoce un juicio imparcial merecedor de la confianza de terceros. El objetivo de su trabajo es la emisin de un dictamen. Normas de ejecucin del trabajo: Son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditora. Planeacin y supervisin Estudio y evaluacin del control interno Obtencin de evidencia suficiente y competente

APUNTES DE AUDITORIA EN INFORMATICA Normas de informacin: son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, tambin es conocido como informe o dictamen. Emitir reporte escrito. Los auditores analizan conclusiones y recomendaciones antes de emitir el reporte final. Los reportes deben ser objetivos, claros, concisos, constructivos y oportunos. El responsable de la funcin de auditora debe revisar y aprobar el reporte final. ESTNDARES Los estndares ms conocidos para aplicacin de auditora Informtica y de sistemas son los relacionados con el anlisis de riesgos como el COSO, el MAGERIT, el SAR, entre otros y ligados lgicamente por el estndar COBIT en el cual se realiza el programa de auditora. Si de auditar se trata, el auditor dependiendo del elemento auditable debe ser capaz de elegir cul de ellos debe aplicar pues cada uno de ellos es aplicable a casos diferentes. AUDITORA INFORMTICA EN LAS PYMES En la PyME, la funcin de auditora informtica debe jugar el rol de realizar evaluaciones peridicas a las TI para conocer el grado de cumplimiento de la labor realizada por el rea de sistemas como un aporte eficaz al logro de los objetivos y metas de la organizacin. Si no existen esas evaluaciones no conocemos si realmente las actividades realizadas por ste departamento est contribuyendo de manera efectiva al negocio. Adems de conocer si las soluciones tecnolgicas estn alineadas con la estrategia PyME. AUDITORA EN SISTEMAS La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la gerencia. La actividad dirigida a verificar y juzgar informacin. El examen y evaluacin de los procesos del rea de procesamiento automtico de datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

APUNTES DE AUDITORIA EN INFORMATICA OBJETIVOS GENERALES DE UNA AUDITORA EN SISTEMAS Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD Incrementar la satisfaccin de los usuarios de los sistemas computarizados. Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea de informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. La auditora en sistemas se lleva a cabo en las siguientes reas: Software. Licencias-Sistemas operativos. Actualizacin de sistemas operativos. Software temporal.

AUDITORIA EN LA AREA DE CMPUTO Comprende todo el centro de cmputo: Hardware-Numero de serie. Base de datos, Seguridad, Redundancia de informacin, etc. Servidores. Licencias. Personal. Sistemas. Usuarios y teleprocesos.

CICLO DE VIDA DE LOS SISTEMAS: Planeacin. Anlisis. Desarrollo. Implantacin. Termina cuando el sistema es desechado.

APUNTES DE AUDITORIA EN INFORMATICA VENTAJAS Y LIMITACIONES: Factor humano-tica profesional. Factor ambiental-Incendios, sismos hay que contemplarlos. Factor fsico-Limitacin; cableado, aire y fuente de alimentacin. MARCO JURIDICO: Todo se rige por normas. Marco de informacin en informtica. Nuestras propias leyes. Robo de informacin (castigo por medio de la ley).

INFORMATICA FORENCE: Analiza el historial de las computadoras.

METODOLOGIA

INVESTIGACIN PRELIMINAR En el caso de la auditora en informtica debemos comenzar la investigacin preliminar con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de documentos. La investigacin preliminar se debe hacer solicitando y revisando la informacin de cada una de las reas, basndose en los siguientes puntos: Administracin. Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento Para poder analizar y dimensionar la estructura a auditar se debe solicitar: A nivel organizacin total: Objetivos a corto y largo plazos Manual de la organizacin Antecedentes o historia del organismo Polticas generales

APUNTES DE AUDITORIA EN INFORMATICA A nivel del rea de informtica: Objetivos a corto y largo plazos. Manual de organizacin del rea que incluye puestos, funciones, niveles jerrquicos y tramos de mando. Manual de polticas, reglamentos internos y lineamientos generales. Nmero de personas y puestos en el rea. Procedimientos administrativos del rea. Presupuestos y costos del rea. PLANEACIN EN AUDITORIA INFORMTICA Para hacer una adecuada planeacin de la auditora en informtica hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. La planeacin de la auditora deber ser documentada e incluir: El establecimiento de los objetivos y el alcance del trabajo. La obtencin de informacin de apoyo sobre las actividades que se auditarn. La determinacin de los recursos necesarios para realizar la auditora. El establecimiento de la comunicacin necesaria con todos los que estarn involucrados en la auditora. La realizacin, en la forma ms apropiada, de una inspeccin fsica para familiarizarse con las actividades y controles a auditar, as como identificacin de las reas en las que se deber hacer nfasis al realizar la auditora y promover comentarios y la promocin de los auditados. La preparacin por escrito del programa de auditora. La determinacin de cmo, cundo y a quien se le comunicarn los resultados de la auditora. La obtencin de la aprobacin del plan de trabajo de la auditora. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de varios objetivos: Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones). Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas de la informacin

APUNTES DE AUDITORIA EN INFORMATICA OBTENCIN DE INFORMACIN El objetivo de la revisin preliminar es el de obtener la informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditora. Revisin preliminar Significa la recoleccin de evidencias por medio de entrevistas con el personal de la instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin preliminar. Las evidencias se pueden recolectar por medio de cuestionarios inciales, o bien por medio de entrevistas, o con documentacin narrativa. Debemos considerar que sta ser slo una informacin inicial que nos permitir elaborar el plan de trabajo, la cual se profundizar en el desarrollo de la auditora. Elaborada por un auditor interno difiere de la realizada por un auditor externo en tres aspectos. En primer lugar, el auditor interno normalmente requiere de menos revisiones y trabajos, especialmente en la parte gerencial y de organizacin, ya que l es parte de la organizacin y est familiarizado con la misma. En segundo, el auditor externo se enfoca ms en las causas de las prdidas y en los controles necesarios para justificar sus decisiones; el auditor interno tiene una amplia perspectiva, la cual incorpora en sus consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero, si el auditor interno supone serias debilidades en los controles internos, en lugar de proceder directamente con las pruebas sustantivas, deber continuar con la fase de revisin detallada para sealar recomendaciones para mejorar los controles internos. ANLISIS, EVALUACIN Y PRESENTACIN DE LA AUDITORIA Una de las formas de evaluar la importancia que puede tener para la organizacin un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadamente, la prdida de la informacin o bien el que sea usado por personal ajeno a la organizacin.

10

APUNTES DE AUDITORIA EN INFORMATICA Algunos sistemas de aplicaciones son de ms alto riesgo que otros debido a que: Son susceptibles a diferentes tipos de prdida econmica. Ejemplo: Fraudes y desfalcos entre los cuales estn los sistemas financieros. El auditor debe de poner especial atencin a aquellos sistemas que requieran de un adecuado control financiero. Ejemplo: Flujo de caja, inversiones cuentas por pagar y cobrar, nmina. Las fallas pueden impactar grandemente a la organizacin. Ejemplo: Una falla en el procesamiento de la nmina puede tener como consecuencia el que se tenga una huelga. Interfieren con otros sistemas, y los errores generados permean a otros sistemas. Potencialmente, alto riesgo debido a daos en la competencia. Algunos sistemas le dan a la organizacin un nivel competitivo muy alto dentro de un mercado. Ejemplo: Sistema de planeacin estratgica. Patentes, derechos de autor, los cuales son las mayores fuentes de recursos de la organizacin. Otros a travs de los cuales su prdida puede destruir la imagen de la organizacin. Sistemas de tecnologa de punta o avanzada. Ejemplo: sistemas de bases de datos, sistemas distribuidos o de comunicacin, tecnologa sobre la cual la organizacin tenga muy poca experiencia o respaldo, la cual es ms probable que sea una fuente de problemas de control. Sistemas de alto costo. Sistemas que son muy costosos de desarrollar, los cuales son frecuentemente sistemas complejos que pueden presentar muchos problemas de control. DICTAMEN DE AUDITORIA La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor. Estructura del informe final El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.

11

APUNTES DE AUDITORIA EN INFORMATICA ORGANIZACIN DEL REA DE AUDITORIA EN LA INFORMTICA. Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en: Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar. Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal circunstancia. Departamentos: Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El equipo auditor describir brevemente las funciones de cada uno de ellos.

EVALUACION DE SISTEMAS

Deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: Requerimientos del usuario. Estudio de factibilidad. Diseo general. Diseo lgico. Desarrollo fsico. Pruebas. Implementacin. Evaluacin. Modificacin. Instalacin.

El costo: Debe considerar el uso de los equipos (compilaciones, programas, pruebas) tiempo personal y operacin. Los beneficios: Pueden ser el ahorro en los costos de operacin la reduccin de tiempo de proceso de un sistema.

12

APUNTES DE AUDITORIA EN INFORMATICA DOCUMENTACION Y ESTANDARES Es la evidencia que sirve de soporte para las debilidades encontradas y las conclusiones del autor. Debe disear y organizar segn las circunstancias y necesidades del auditor. CONTROLES DE PROCESAMIENTO Se refiere al ciclo que sigue la informacin desde la entrada hasta la salida lo que conlleva al establecimiento de una serie de seguridades. CONTROLES EN EL USO DEL MICROCOMPUTADOR Son equipos ms vulnerables de fcil acceso de fcil explotacin pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la informacin. CONFIDENCIALIDAD DE LOS SISTEMAS Un mtodo eficaz para proteger sistemas de computo es el software de control de acceso, protegen el contra el acceso no autorizado pues piden del usuario una contrasea antes de permitir el acceso a informacin confidencial. ESTUDIO COSTO/BENEFICIO Se debe evaluar el nivel de riesgo que puede tener la informacin Clasificar la instalacin en trminos de riesgo Cuantificar el impacto en caso de suspensin del servicio Formular las medidas de seguridad necesarias La justificacin del costo de implantar las medidas de seguridad Hay que elaborar una lista de los sistemas con las medidas preventivas que se deben tomar.

SEGURIDAD DE LOS SISTEMAS Consiste en asegurar la confidencialidad, integridad y disponibilidad de los sistemas y redes Son medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permiten resguardar y proteger la informacin buscando mantener la confidencialidad, la utilidad e integridad de la misma.

13

APUNTES DE AUDITORIA EN INFORMATICA Seguridad: Es una forma de proteccin contra los riesgos, los responsables de la ejecucin y gestin de sistemas de informacin deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas. ANALISIS COSTO/BENEFICIO DE LOS SISTEMAS Disciplina formal (tcnica) a utilizarse para evaluar (evaluacin de proyecto) Un planteamiento informal para tomar decisiones de algn tipo pro naturaleza inherente a toda accin humana. OBJETIVO DEL COSTO/BENEFICIO Es proporcionar una medida de los costos en que se incurren en la realizacin de la propuesta de implementacin de un rea de auditora en informtica, a su vez para comparar dichos costos previstos con los beneficios esperados de la realizacin del proyecto definiendo la factibilidad de las alternativas. ENTREVISTAS A USUARIOS Compara datos proporcionados y la situacin de la direccin de informtica desde el punto de vista de los usuarios. Objetivo: Conocer la opinin que tienen los usuarios sobre los servicios proporcionados as como la difusin de las aplicaciones de la computadora y de los sistemas en operacin. VERIFICACIN DE SERVICIOS Se debe considerar la siguiente informacin: Descripcin de los servicios prestados Criterios de evaluacin que utilizan los usuarios para evaluar el nivel del servicio prestado Reporte peridico del uso y concepto del usuario sobre el servicio Registro de los requerimientos planeados por el usuario. Con sta informacin se puede realizar la entrevista.

14

APUNTES DE AUDITORIA EN INFORMATICA EVALUACIN DE CMPUTO

Es la revisin y evaluacin de los controles, sistemas y procedimientos de informtica, de los equipos de cmputo y de la organizacin que participa en el procesamiento de la informacin que servir para una adecuada toma de decisiones. INVENTARIO DE EQUIPO Es una revisin del entorno hardware, de los componentes fsicos del equipo y seguridades fsicas de la instalacin donde se ubica el centro de proceso. Revisar equipo por equipo y ver las caractersticas ms relevantes. MANTENIMIENTO DE LOS EQUIPOS Es el cuidado que se le da a las computadoras para prevenir o corregir posibles fallas. Mantenimiento Preventivo: Consiste en crear un ambiente favorable para el sistema, conservar limpias todas las partes que componen una computadora. Mantenimiento Correctivo: Es la reparacin de una falla en los componentes de un equipo de cmputo. ORDEN EN EL CENTRO DE CMPUTO Un centro de cmputo debe contar con reglas relativas al orden y cuidado de departamento, debe revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cmputo para un ptimo funcionamiento. SEGURIDAD Y CONFIABILIDAD DE LOS EQUIPOS Los paquetes de control de acceso protegen contra el acceso no autorizado pues piden al usuario una contrasea antes de permitirle el acceso a informacin ya sea general o de tipo confidencial. Toda informacin es confidencial dentro de una empresa o institucin ya que puede ser usada o divulgada con fines en contra de la empresa o institucin.

15

APUNTES DE AUDITORIA EN INFORMATICA

CONTROLES Los datos son uno de los recursos mas valiosos de las organizaciones, necesitan ser controlados y auditados con el mismo cuidado que los dems inventarios de la organizacin. Los datos solo se comparten al departamento que necesite de la informacin. No se deben duplicar los datos ya que se generan problemas por no saber o no tener identificados los datos verdaderos. Los datos deben tener una clasificacin estndar y un mecanismo de identificacin para saber donde estn almacenados. PRODUCTIVIDAD Es la relacin entre la contabilidad de productos obtenidos por un sistema productivo y los recursos utilizados para obtener dicha produccin. Es definida como el indicador de eficiencia que relaciona la cantidad de recursos utilizados con la cantidad de produccin obtenida. El departamento de sistemas debe mejorar la productividad de la empresa y poner a disposicin de los trabajadores todas las herramientas en las mejores condiciones disponibles.

EVALUACIN DE REA DE CMPUTO

ORGANIZACIN DEL REA Es la creacin de una estructura, la cual determine las jerarquas necesarias y agrupacin de actividades, con el fin de simplificar las mismas y sus funciones dentro del rea de cmputo. La seleccin del lugar de ubicacin del rea de cmputo, es un factor determinante en su correcto funcionamiento, puesto que de esto depende la mayor proteccin y seguridad de una de las reas ms importantes de cualquier organizacin.

16

APUNTES DE AUDITORIA EN INFORMATICA

Consideraciones a tomar: El Medio ambiente externo La Distribucin en planta Local Fsico Espacio y Movilidad Paredes y Techo Piso Puertas de Acceso

El rea de Cmputo debe estructurarse de forma tal que sean claramente visibles sus dependencias jerrquicas. Debe permitir agrupar u organizar equipos de trabajo, tambin debe definir el mbito de accin de los puestos de trabajo. Para esto existen 3 tipos de estructuras o formas de organizacin: Organizacin por tarea o actividad. Organizacin por proyectos. Organizacin Mixta. PERSONAL El personal de un rea de cmputo constituye el recurso ms importante, por lo tanto se debe contar con el personal adecuado. Para alcanzar ste objetivo es necesario buscar entre los candidatos, a los mejores para cada puesto que se requiere por medio de exmenes, entrevistas, entrega de solicitud y currculo. Los beneficios que se obtienen al realizar una evaluacin al personal son los siguientes: Se tiene la oportunidad de evaluar su potencial humano a corto, mediano y largo plazo y definir la contribucin de cada individuo. Se puede identificar a los individuos que requieran perfeccionamiento en determinadas reas de actividad, seleccionar a los que tienen condiciones de promocin o transferencia.

17

APUNTES DE AUDITORIA EN INFORMATICA

Seala con claridad a los individuos sus obligaciones y lo que espera de ellos. Programa las actividades del rea, dirige controla el trabajo y establece las normas y procedimientos para su ejecucin. Invita a los individuos a participar en la solucin de problemas y consulta su opinin antes de proceder a realizar algn cambio. El desempeo insuficiente puede sealar errores en la concepcin del puesto.

CAPACITACIN Es un proceso de actualizacin constante, con la finalidad de dominar una seria de tcnicas, proceso y herramientas para un mejor desempeo laboral. La capitacin del personal es un proceso educativo a corto plazo, aplicado de manera sistemtica y organizada, mediante el cual las personas obtiene conocimientos, actitudes y habilidades. OBJETIVO Contar con personal preparado y calificado en el desarrollo de tareas especficas. Proporcionar oportunidades para el continuo desarrollo personal, no slo en sus cargos actuales sino tambin para otras funciones para las cuales el puede ser considerado. PROCEDIMIENTO Fuera del horario de trabajo, dentro del horario de trabajo. Algunos de los procedimientos de capacitacin son los siguientes: Transmisin de informaciones. Desarrollo de habilidades. Desarrollo o modificacin de actitudes Desarrollo de conceptos

18

APUNTES DE AUDITORIA EN INFORMATICA

PRESUPUESTOS Al hablar de un presupuesto forzosamente tenemos que hablar de costos, y finalmente la informacin resultante del estudio de estos dos aspectos ser un anlisis financiero, en el cual se ve reflejado cuanto tenemos que gastar, suprimir, implementar, ganar o perder. (En un lapso de tiempo definido). Para determinar qu equipo es el ms conveniente de adquirir habr que definir con claridad la capacidad y los requerimientos tcnicos de todos los mecanismos como son: velocidad, capacidad de almacenamiento, dispositivos auxiliares (Mouse, impresora, monitor), etc. Costo: Inversin que se hace para producir bienes o servicios, o para adquirir mercancas para la venta.( Erogacin o adquisicin de un bien ). Gasto: Son las salidas o prdidas, resultantes del desarrollo y del uso de sistemas. (Un gasto, regularmente no estaba contemplado). Beneficio: Son cada una de las ventajas que se obtienen de la instalacin y uso del mismo. Costos Tangible: Son las salidas en efectivo, lo que significa que se conoce y se puede estimar. (Precio de un monitor, "el salario de un empleado"). Costos Intangibles: Se sabe que existen algunos costos cuyo monto aproximado no puede determinarse con exactitud. (El perder un cliente, "el descenso de la compaa" ). Beneficios Tangible: Son aquellos que son cuantificables, (reduccin de gastos, menores tasas de error, etc.). Beneficios Intangibles: Son aquellos que no se pueden cuantificar. (Mejores condiciones de trabajo, mejor servicio a clientes, respuesta rpida a las solicitudes de los clientes). Beneficios Fijos: Son aquellos costos y beneficios de sistemas que son constantes y no cambian, sin importar cunto se utilice un sistema de informacin. Beneficios Variables: Son aquellos donde incurre en proporcin a la actividad o el tiempo.

19

APUNTES DE AUDITORIA EN INFORMATICA

COSTOS Costos: Se considerar lo siguiente: Condicin de pago. Local. Inclusin de entrenamiento. Costos de mantenimiento. Precios: Se debe considerar lo siguiente: Condiciones de pago. Detallado por componentes de la configuracin. Descuentos por volumen. Costo de mantenimiento.

DEONTOLOGA DEL AUDITOR INFORMTICO CDIGO DE TICA Es un conjunto de preceptos que establecen los derechos exigibles a aquellos profesionales que ejerciten una determinada actividad. Finalidad incidir en sus comportamientos profesionales estimulando que estos se ajusten a determinados principios morales que deben servirles de gua.
PRINCIPIOS DEONTOLGICOS APLICACABLES A LOS AUDITORES INFORMTICOS

PRINCIPIO DE BENEFICIO DEL AUDITADO La actividad del auditor debe estar en todo momento orientada a orientar el mximo provecho de su cliente. Cualquier actitud que anteponga intereses personales del auditor al auditado deber considerarse como no tica. El auditor deber evitar estar ligado en cualquier forma a intereses de determinadas marcas, productos o equipos del auditado con los de otros fabricantes. El auditor deber abstenerse de recomendar actuaciones innecesarias o que generen riesgos injustificados para el auditado. PRINCIPIO DE CALIDAD

20

APUNTES DE AUDITORIA EN INFORMATICA En caso de que los medios impidan o dificulten la realizacin de la auditoria deber negarse a realizarla hasta que se le garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios. Si el auditor considera conveniente ganar el informe de otros tcnicos ms cualificados sobre algn aspecto que supere su capacitacin profesional deber remitirlo a un especialista para mejor calidad de la auditoria.

PRINCIPIO DE CAPACIDADAD Principio relacionado con el de formacin continua. El auditor debe estar plenamente capacitado para la realizacin de la auditoria. El auditor puede incidir en la toma de decisiones de la mayora de sus clientes con un elevado grado de libertad dada la dificultad prctica del auditado. Debe ser consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoria evitando que una sobreestimacin personal pudiera provocar el incumplimiento parcial o total de la misma. El auditor deber procurar que sus conocimientos evolucionen con el desarrollo de las tecnologas de la informacin. PRINCIPIO DE CAUTELA Sus recomendaciones deben estar basadas en la experiencia. Debe estar al corriente del desarrollo de las tecnologas de la informacin e informar al auditado de su evolucin. Debe actuar con cierto grado de humildad evitando dar la impresin de estar al corriente de una informacin privilegiada. PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor deber actuar conforme a las normas implcitas o explicitas de dignidad de la profesin. Debe cuidar la moderacin de la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones. Debe transmitir una imagen de precisin y exactitud en sus comentarios. El comportamiento profesional exige del auditor una seguridad en sus conocimientos tcnicos. El auditor debe guardar respeto por la poltica empresarial del auditado. PRINCIPIO DE CONCENTRACIN EN EL TRABAJO El auditor deber evitar que el exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas. Deber calcular las posibles consecuencias de la acumulacin de trabajos. Evitar la prctica de ahorro de esfuerzos basada en la reproduccin de partes significativas de conclusiones obtenidos de trabajos anteriores.

21

APUNTES DE AUDITORIA EN INFORMATICA PRINCIPIO DE CONFIANZA El auditor deber facilitar e incrementar la confianza del auditado en base a una actuacin de transparencia en su actividad profesional. Para que haya confianza se requiere una disposicin de dialogo que permita aclarar las dudas por las dos partes. Debe adecuar su lenguaje a nivel de comprensin del auditado, si es necesario detallar su explicacin.

PRINCIPIO DE CRITERIO PROPIO Este principio est relacionado con el principio de independencia. El auditor deber actuar con criterio propio y no permitir que este dependa de otros profesionales an de reconocido prestigio. En caso de que aprecie diferencias de criterio con otros profesionales deber reflejar dichas diferencias dejando de manifiesto su criterio. PRINCIPIO DE ECONOMA El auditor deber proteger los derechos econmicos del auditado evitando generar gastos innecesarios. Debe procurar evitar retrasos innecesarios en la realizacin de la auditoria. Tener en cuenta la economa de medios materiales o humanos. Debe delimitar de forma concreta el alcance y lmites de la auditora. Deber rechazar las ampliaciones de trabajo que no estn directamente relacionados con la auditoria an a peticin del auditado. FORTALECIMIENTO Y RESPETO DE LA PROFESIN Deber cuidar del reconocimiento del valor de su trabajo. La remuneracin por su actividad profesional debera estar acorde con la preparacin del auditor. Debe evitar competir deslealmente con sus compaeros rebajando sus precios a lmites impropios. Deber promover el respeto mutuo y la no confrontacin entre compaeros PRINCIPIO DE INTEGRIDAD MORAL Obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin. Evitar participar voluntaria o inconscientemente en cualquier acto de corrupcin personal o de terceras personas. No aprovechar los conocimientos adquiridos durante la auditoria para utilizarlos en contra del auditado. Deber emplear la mxima diligencia, dedicacin y precisin utilizando su saber y entender. PRINCIPIO DE LEGALIDAD

22

APUNTES DE AUDITORIA EN INFORMATICA El auditor deber evitar utilizar sus conocimientos para facilitar a los auditados o terceras personas la desobediencia de la legalidad vigente. No consentir ni colaborar en la eliminacin de dispositivos de seguridad ni intentar obtener cdigos o claves de acceso a sectores restringidos de informacin. Debe abstenerse de intervenir lneas de comunicacin o controlar actividades que generen vulneracin.

PRINCIPIO DE PRECISIN Relacionado con el principio de calidad exige al auditor la no conclusin de su trabajo hasta estar convencido. En la exposicin de sus conclusiones debe ser crtico. Debe indicar como ha evaluado nicamente aquello que haya comprobado u observad o de forma absoluta. PRINCIPIO DE RESPONSABILIDAD El auditor debe responsabilizarse de lo que haga, diga o aconseje. Est obligado a hacerse cargo de daos o prejuicios que pueden derivarse de una actuacin culpable. PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza son caractersticas esenciales de las relaciones entre el auditor y el auditado. El auditor no debe difundir a terceras personas ningn dato que haya visto, odo o deducido durante el desarrollo de su trabajo. Imponer medidas y mecanismos de seguridad para garantizar al auditado que la informacin documentada va a estar segura. PRINCIPIO DE VERACIDAD Debe siempre asegurar la veracidad de sus manifestaciones con los lmites impuestos por los deberes de respeto, correccin y secreto profesional. PRINCIPIOS DEONTOLGICOS Debe considerarse que todo cdigo deontolgico, entendido como el conjunto de preceptos que establecen los deberes exigibles a aquellos profesionales que desarrollan cierta actividad, tiene como finalidad teolgica la de incidir en sus comportamientos profesionales, estimulando que stos se ajusten a determinados principios morales, mismos que deben servirles como gua. Son ciertas normas de conducta que mejoren su prestigio y calidad profesional. Sirven para establecer para el ejercicio de la profesin, estndares mnimos de conducta basados en la

23

APUNTES DE AUDITORIA EN INFORMATICA moral colectiva del grupo al que van dirigidos. Estos preceptos de conducta van ms all de una Constitucin Poltica, Cdigo Civil, Ley Laboral, Ley Mercantil y otros ordenamientos legales. Su base es la moral profesional como gua para distinguir cuando una conducta o comportamiento profesional es bueno o malo o sea moralmente beneficioso y moralmente admisible o moralmente inadmisible y perjudicial. Existen medidas disciplinarias que van desde apercibimientos, reprensiones pblicas o privadas, y en casos de mayor gravedad y reiterado incumplimiento, hasta el retiro de la licencia de trabajo profesional.

24