Auditora Informtica

Tema:

Introduccin: Desde que la informtica se enfoc hacia el apoyo de la sistematizacin en las reas del negocio, se empezaron a implantar aplicaciones administrativas como contabilidad, nmina, etc., lo que origin el proceso conocido como auditoria a sistemas de informacin. Posteriormente, el uso de la informtica cubri las reas de negocio en todos los niveles por medio de productos y servicios variados; proliferaron las mini computadoras o equipos departamentales; despus aparecieron las microcomputadoras o computadoras personales e interrumpieron de lleno las redes locales, la integracin empresarial a travs de las telecomunicaciones y un sin nmero de componentes de tecnologa. Tal tecnificacin del medio imposibilit al responsable de informtica y a los auditores de sistemas tradicionales continuar evaluando este campo con mtodos y procedimientos anticuados y se convirti en una necesidad el replanteamiento del fondo y forma de la auditora en informtica. Todo lo que se planea debe ejecutarse con formalidad y oportunidad, lo que se relaciona con el hecho de que cualquier organizacin desea mantener sus activos en las mejores condiciones posibles y salvaguardar su integridad. La funcin del auditor en informtica no es fungir como capataz o polica del negocio, como tantas veces se ha planteado en forma sarcstica o costumbrista en las organizaciones. Este profesionista se orienta a funcionar como un punto de control y confianza para la alta direccin, adems busca ser un facilitador de soluciones. Por analoga el auditor se asemeja al mdico que evala al paciente y le recomienda el tratamiento idneo para estar en ptimas condiciones de salud. Segn la situacin del enfermo, recomendar tratamientos ligeros o fuertes y estrictos. Lo importante es lograr que el paciente sepa que puede mejorar su salud. Esa es la orientacin del auditor en auditora en informtica: Conducir a la empresa a la bsqueda permanente de la salud de los recursos de informtica y de aquellos elementos que se relacionan con ella. No hay que pensar que este proceso cambiar la cultura organizacional de la noche a la maana, los mtodos de trabajo, la mala calidad ni la improductividad en las reas relacionadas con la informtica; es un elemento estratgico directo que apoya la eliminacin de cada una de las debilidades mencionadas. Sin embargo ha de coexistir con personal responsable y profesional, as como con directores y accionistas comprometidos con la productividad, calidad y otros factores recomendados para ser empresas de clase mundial. Se espera que cada auditor sea un profesional, un experto, pero sobre todo que sea un ser sensible, humano, que entienda el contexto real del negocio. Su principal objetivo es conferir la dimensin justa a cada problemtica, convirtindola en un rea de oportunidad y orientndola hacia una solucin del negocio. Conviene recordar que en las empresas existen objetivos comunes a los rubros referentes a los recursos de informtica; por ejemplo, el mximo uso y aprovechamiento de la tecnologa

mediante polticas, procedimientos y mtodos apropiados. En ese sentido, la funcin de la auditora en informtica es uno de los medios ms importantes y especializados para lograr su fin. Conceptos de Auditora en informtica: a) Es el proceso formal ejecutado por especialistas del rea de auditora e informtica; se orienta a la verificacin y aseguramiento para que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa informtica en la organizacin se realiza de manera oportuna y eficiente. b) Es el conjunto de actividades ejecutadas por los profesionales del rea de auditora e informtica encaminados a evaluar el grado de cumplimiento de polticas, controles y procedimientos correspondiente al uso de recursos de informtica por el personal de la empresa (usuarios, informticos, alta direccin, etc.). c) Es el conjunto de acciones que realiza el personal de auditora e informtica para el aseguramiento continuo de que los recursos en informtica operen en un ambiente de seguridad y control eficientes. Objetivos de la Auditora Informtica:

oportunamente.

Importancia de la Auditora Informtica: La tecnologa de informtica, traducida en hardware, software, sistemas de informacin, investigacin tecnolgica, redes locales, bases de datos, ingeniera de software, telecomunicaciones, servicios y organizacin de informtica, es una herramienta estratgica que brinda rentabilidad y ventajas competitivas a los negocios frente a sus similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado. De los extremos sealados surge de inmediato un par de preguntas: respuesta siempre ha existido: mediante evaluaciones oportunas y completas de dicha funcin por personal calificado, consultores externos, auditores e informtica o evaluaciones peridicas realizadas por el mismo personal de informtica, entre otras estrategias. Es necesario auditar o evaluar la funcin de informtica? Y quines lo haran? Aqu la respuesta depende de cada organizacin y de sus necesidades por conocer el estado real de su tecnologa en informtica. Lo que resulta innegable es que la informtica se convierte cada da en una herramienta permanentemente de los procesos principalmente de los negocios, en una fuerza estratgica, en un aliado confiable y oportuno. Lo anterior es posible si se implantan en la empresa los controles y esquemas de seguridad requeridos para su aprovechamiento ptimo. Este personal especializado en informtica y auditora que se encuentra profesionalmente preparado para auditar en este campo. Lo primero que deben realizar las organizaciones es la

necesidad de contar con una funcin que evale de manera satisfactoria los recursos de informtica, as como los elementos inherentes a ellos. Una vez que la alta direccin tome conciencia de lo saludable y productivo que resulta contar con un rea independiente que asegure y promueva el buen uso y aprovechamiento de la tecnologa de informtica, el siguiente paso es delegar la responsabilidad en personal altamente capacitado para ejercer la auditora en informtica dentro de la organizacin formal y permanentemente. Reafirmando la necesidad de Auditar Las empresas y organismos interesados en que la informtica contine creciendo para beneficio de la humanidad (educacin, productividad, calidad, ecologa, etc.) desean que este incremento se controle y oriente de manera profesional: se debe obtener el resultado planeado y esperado de cada inversin. Con el paso de los aos la informtica y los elementos tecnolgicos que la rodean han creado necesidades en cada sector social y se han tornado en un requerimiento permanente para alcanzar soluciones. A continuacin se mencionan algunas consideraciones que corresponden a una necesidad real y no a una tendencia: informtica. e diferentes marcas y capacidades asi como las bases de datos y los sistemas de informacin, deben ser una solucin integrada. otros recursos tecnolgicos deben estar interrelacionados para explotar al mximo sus capacidades y dar soluciones a los sectores. tecnologa de informacin. ran penetracin de la informtica en todos los niveles del sector educativo, as como en los sectores social y cultural. de informtica. informtica. El incremento persistente de las expectativas y necesidades relacionadas con la informtica, al igual que la actualizacin continua de los elementos que componen la tecnologa de este campo, obligan a las entidades que las aplican a disponer de controles, polticas y procedimientos que aseguren la alta direccin de los recursos humanos, materiales y financieros involucrados para que se protejan adecuadamente y se oriente a la rentabilidad y competitividad del negocio. Si la respuesta que brinde a cualquiera de las siguientes preguntas es negativa, le convendra reafirmar o considerar la necesidad de asumir la responsabilidad del control y otorgamiento de seguridad permanente a los recursos de informtica

AUDITORIA DE SISTEMAS La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. La auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software). PLANEACIN DE LA AUDITORA EN INFORMTICA Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin Evaluacin

de los sistemas y procedimientos. de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. INVESTIGACIN PRELIMINAR Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos:

ADMINISTRACIN Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR: A NIVEL DEL REA DE INFORMTICA Objetivos a corto y largo plazo. RECURSOS MATERIALES Y TECNICOS Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos. SISTEMAS Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa. Es incompleta. No esta actualizada.

No es la adecuada. Se usa, est actualizada,

es la adecuada y est completa. En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa. El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados. PERSONAL PARTICIPANTE Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus caractersticas. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las caractersticas de conocimientos, prctica profesional y capacitacin que debe tener el personal que intervendr en la auditora. En primer lugar se debe pensar que hay personal asignado por la organizacin, con el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionar toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, sera casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para completar el grupo, como colaboradores directos en la realizacin de la auditora se deben tener personas con las siguientes caractersticas:
Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes.

En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias sealadas, pero si deben intervenir una o varias personas con las caractersticas apuntadas. Una vez que se ha hecho la planeacin, se puede utilizar el formato sealado en el anexo 1, el figura el organismo, las fases y subfases que comprenden la descripcin de la actividad, el nmero de personas participantes, las fechas estimadas de inicio y terminacin, el nmero de das hbiles y el nmero de das/hombre estimado. El control del avance de la auditora lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se est llevando a cabo de acuerdo con el programa de auditora, con los recursos estimados y en el tiempo sealado en la planeacin. El hecho de contar con la informacin del avance nos permite revisar el trabajo elaborado por cualquiera de los asistentes. Como ejemplo de propuesta de auditora en informtica.

OBJETIVOS DEL PLAN DE AUDITORA INFORMTICA. OBJETIVO GENERAL. Proveer un manual de auditara informtica del tipo educativo, en el que se detalle cada aspecto a evaluar en la ejecucin de un plan que examine la efectividad administrativa en el uso de los equipos de cmputos y recursos tecnolgicos, en donde adems se identifiquen los problemas, las deficiencias tcnicas y adems proponer soluciones para que se tomen las decisiones adecuadas. OBJETIVOS ESPECFICOS. Evaluar los diferentes aspectos que involucran el buen funcionamiento de un centro de cmputo y aula informtica (tales como: Infraestructura, entorno, mobiliario y equipo, otros). Evaluar la efectividad administrativa que desarrollan los responsables de centros de cmputos educativos, sobre el uso de los equipos informticos entre otros recursos tecnolgicos con los que cuentan. Optimizar tiempo y recursos por parte de los encargados e instructores, en el desempeo de la administracin de un centro de cmputo o aula informtica.