www.monografias.

com

Auditoria de Sistemas
1.
2.
3.
4.
5.
6.

Introduccin
El problema de investigacin
Bases tericas
Auditora de Sistemas en el contexto del centro de comunicaciones
Conclusin
Bibliografia

INTRODUCCION
Los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar
uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los
Sistemas de Informacin de la empresa.
La Informtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y
estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la
misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha
denominado la gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la
empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su
importancia en el funcionamiento de una empresa, existe la auditoria Informtica.
El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado
como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha
tomado la frase "Tiene Auditoria" como sinnimo de que, en dicha entidad, antes de realizarse la
auditoria, ya se haban detectado fallas.
El concepto de auditoria es mucho ms que esto.
La palabra auditoria proviene del latn auditorius, y de esta proviene la palabra auditor, que se
refiere a todo aquel que tiene la virtud de or.
Por otra parte, tambin se define como: Revisor de Cuentas colegiado. En un principio esta
definicin carece de la explicacin del objetivo fundamental que persigue todo auditor: evaluar la
eficiencia y eficacia.
La auditoria no es una actividad meramente mecnica que implique la aplicacin de ciertos
procedimientos cuyos resultados, una vez llevado a cabo son de carcter indudable", de esta
manera es definido el termino auditor segn las Normas de auditoria del Instituto mexicano de
contadores.
La auditoria es un examen, que no implica la preexistencia de fallas en la entidad auditada y que
persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo.
El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz sistema de informacin. Claro est, que para
la realizacin de una auditoria informtica eficaz, se debe entender a la empresa en su ms amplio
sentido, ya que una universidad, un ministerio o un hospital son tan empresas como una sociedad
annima o empresa Pblica, al igual que en este caso, un Centro de Comunicaciones, no importa
al sector al cual pertenezca el ente que va a ser auditado sea publico o privado, ambos utilizan la
informtica para gestionar sus negocios de forma rpida y eficiente, con el fin de obtener beneficios
econmicos y reduccin de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas, Tarifas, Sueldos,
etc.), los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera
estarlo.
CAPITULO I: EL PROBLEMA DE INVESTIGACIN
Auditoria de Sistemas
1.1.- PLANTEAMIENTO DEL PROBLEMA

El avance de la informtica, los sistemas, las telecomunicaciones, y otras aplicaciones de

tecnologa, han permitido a la sociedad moderna a travs de entes pblicos y privados
desarrollarse rpidamente, en todos los mbitos y sentidos, en especial har nfasis en el
desarrollo de los negocios, el cual esta ntimamente relacionado con la tecnologa de informacin, y
a su permitido la evolucin en la forma de llevar los procesos.
Dicha tecnologa, ha permitido que los sistemas informticos estn sometidos al control
correspondiente. La importancia de llevar un control de esta herramienta se puede deducir de
varios aspectos. He aqu algunos:
Las computadoras y los centros de proceso de datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo (delitos
informticos y otros).
Las computadoras creadas para procesar y difundir resultados o informacin elaborada
pueden producir resultados o informacin errnea si dichos datos son, a su vez,
errneos. Este concepto obvio es a veces olvidado por las mismas empresas que
terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
sistemas informticos, con la posibilidad de que se provoque un efecto cascada y
afecte a aplicaciones independientes.
Un sistema informtico mal diseado puede convertirse en una herramienta muy
peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes
recibidas y la modelizacin de la empresa est determinada por las computadoras que
materializan los sistemas de informacin, la gestin y la organizacin de la empresa no
puede depender de un software y hardware mal diseados.
El desarrollo de este informe ser enfocado a un Centro de Comunicaciones, el cual se divide en
dos ambientes, el rea de navegacin (internet) y el rea de telefona,
La auditoria de sistemas, permite mostrar las debilidades y las fortalezas de esta empresa, con
respecto a los controles que se estn empleando, a los sistemas y procedimientos de la
informtica, los equipos de cmputo que se emplean, su utilizacin, eficiencia y seguridad. Para
ello se realiza una inspeccin pormenorizada de los sistemas de informacin, desde sus entradas,
procedimientos, comunicacin, controles, archivos, seguridad, personal y obtencin de la
informacin, cabe recalcar que, la auditoria inicia su actividad cuando los sistemas estn operativos
y el principal objetivo es el de mantener tal como esta la situacin para comenzar el levantamiento
de informacin. Posteriormente la auditoria generara un informe, para que las debilidades que son
detectadas, sean corregidas y se establecen nuevos mtodos de prevencin con el fin de mejorar
los procesos, aumentar la confiabilidad en los sistemas y reducir los riesgos.
1.2.- Objetivos del Informe
1.2.1.- Objetivo General
Determinar las posibles vulnerabilidades del sistema y plataforma tecnolgicas utilizadas
en el centro de comunicaciones, con el fin de hacer las recomendaciones que dieran lugar.
1.2.2.- Objetivos Especficos
Incrementar la satisfaccin de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante
la recomendacin de seguridades y controles.
Conocer la situacin actual del rea de navegacin y del rea de telefona del Centro de
Comunicaciones, as como tambin, las actividades que se desarrollan y los esfuerzos que
se realizan para lograr los objetivos propuestos en dicha empresa.
Reducir riesgos y aumentar los controles.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico.
Capacitacin y educacin sobre controles en los sistemas de informacin.
BASES TEORICAS
Auditoria
La auditoria nace como un rgano de control de algunas instituciones estatales y privadas. Su
funcin inicial es estrictamente econmico-financiera.
La funcin auditora debe ser absolutamente independiente; no tiene carcter ejecutivo, ni son
vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La

auditoria contiene elementos de anlisis, de verificacin y de exposicin de debilidades y

disfunciones. Aunque pueden aparecer sugerencias y planes de accin para eliminar las
disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el
nombre de Recomendaciones.
Las funciones de anlisis y revisin que el auditor informtico realiza, puede chocar con la
psicologa del auditado, ya que es un informtico y tiene la necesidad de realizar sus tareas con
racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El
nivel tcnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a
los plazos demasiado breves de los que suelen disponer para realizar su tarea.
Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario.
Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas
auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser
comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se
pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List
puede llegar a explicar cmo ocurren los hechos pero no por qu ocurren. El cuestionario debe
estar subordinado a la regla, a la norma, al mtodo. Slo una metodologa precisa puede
desentraar las causas por las cuales se realizan actividades tericamente inadecuadas o se
omiten otras correctas.
El auditor slo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situacin analizada por l mismo.
Auditoria Interna y Auditoria Externa
La auditoria interna es la realizada con recursos materiales y personas que pertenecen a la
empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La
auditoria interna existe por expresa decisin de la Empresa, o sea, que puede optar por su
disolucin en cualquier momento.
Por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada; es
siempre remunerada. Se presupone una mayor objetividad que en la Auditoria Interna, debido al
mayor distanciamiento entre auditores y auditados.
La auditoria informtica interna cuenta con algunas ventajas adicionales muy importantes respecto
de la auditoria externa, las cuales no son tan perceptibles como en las auditorias convencionales.
La auditoria interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones
globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos
planes y se habitan a las Auditorias, especialmente cuando las consecuencias de las
Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las
posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informtica
trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita
controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos
Procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades
cristaliza en la figura del auditor interno informtico.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una auditoria propia y
permanente, mientras que el resto acuden a las auditorias externas. Puede ser que algn
profesional informtico sea trasladado desde su puesto de trabajo a la auditoria interna de la
empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de
control interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la
estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones
informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas
por rganos corporativos de Sistemas de Informacin de las Empresas.
Una empresa o institucin que posee auditoria interna puede y debe en ocasiones contratar
servicios de auditoria externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los servicios
propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos
de emisin interna de graves recomendaciones que chocan con la opinin
generalizada de la propia empresa.

Servir como mecanismo protector de posibles auditorias informticas externas

decretadas por la misma empresa.
Aunque la auditoria interna sea independiente del Departamento de Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias
externas como para tener una visin desde afuera de la empresa.
La auditoria informtica, tanto externa como interna, debe ser una actividad exenta de cualquier
contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin
auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es,
por encargo de la direccin o cliente.
Alcance de la Auditoria Informtica
El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria
informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el
Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se
ha llegado, sino cuales materias fronterizas han sido omitidas.
Caractersticas de la Auditoria Informtica
La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo
Real de la misma, como sus stocks o materias primas si las hay. Por ende, han de realizarse
inversiones informticas, materia de la que se ocupa la Auditoria de Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello
se debe la existencia de la auditoria de seguridad informtica en general, o a la auditoria de
seguridad de alguna de sus reas, como pudieran ser desarrollo o tcnica de sistemas.
Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su
funcin: se est en el campo de la auditoria de Organizacin Informtica.
Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria
parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la
Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias,
debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Sntomas de Necesidad de una auditoria informtica:
Las empresas acuden a las auditorias externas cuando existen sntomas bien perceptibles de
debilidad. Estos sntomas pueden agruparse en clases:
Sntomas de descoordinacin y desorganizacin:
- No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.
- Los estndares de productividad se desvan sensiblemente de los promedios conseguidos
habitualmente.
Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna
rea o en la modificacin de alguna Norma importante
Sntomas de mala imagen e insatisfaccin de los usuarios:
- No se atienden las peticiones de cambios de los usuarios.
- No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El
usuario percibe que est abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en
los resultados de Aplicaciones crticas y sensibles.
Sntomas de debilidades econmico-financiero:
- Incremento desmesurado de costes.
- Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente
convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de
Proyectos y al rgano que realiz la peticin).
Sntomas de Inseguridad: Evaluacin de nivel de riesgos
- Seguridad Lgica
- Seguridad Fsica
- Confidencialidad

Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal
son especialmente confidenciales.
- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las
estrategias de continuidad entre fallos mediante Planes de Contingencia
Totales y Locales
- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera
prcticamente intil la auditoria. Esa es la razn por la cual, en este caso, el sntoma debe ser
sustituido por el mnimo indicio.
Planes de Contingencia:
Si se produce la inoperancia de sistemas en la empresa principal, se utilizara el backup para
seguir operando en las oficinas paralelas. Los backups se pueden acumular durante dos meses, o
el tiempo que estipule la empresa, y despus se van reciclando.
Tipos y clases de auditorias
El departamento de Informtica posee una actividad proyectada al exterior, al usuario, aunque el
"exterior" siga siendo la misma empresa. He aqu, la auditoria Informtica de Usuario. Se hace esta
distincin para contraponerla a la informtica interna, en donde se hace la informtica cotidiana y
real. En consecuencia, existe una auditoria Informtica de actividades internas.
El control del funcionamiento del departamento de informtica con el exterior, con el usuario se
realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de
interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el apoyo
continuado de su Direccin frente al "exterior". Revisar estas interrelaciones constituye el objeto de
la auditoria Informtica de Direccin. Estas tres auditorias, mas la auditoria de Seguridad, son las
cuatro reas Generales de la auditoria Informtica ms importantes.
Dentro de las reas generales, se establecen las siguientes divisiones de Auditoria Informtica: de
Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las reas
Especificas de la Auditoria Informtica ms importantes.
reas
Especficas

reas Generales
Interna

Direccin

Usuario

Seguridad

Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
Cada rea especfica puede ser auditada desde los siguientes criterios generales:
Desde su propio funcionamiento interno.
Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento
de las directrices de sta.
Desde la perspectiva de los usuarios, destinatarios reales de la informtica.
Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama
auditada.
Estas combinaciones pueden ser ampliadas y reducidas segn las caractersticas de la empresa
auditada.
Objetivo fundamental de la auditoria informtica
Operatividad
La operatividad es una funcin de mnimos consistente en que la organizacin y las maquinas
funcionen, siquiera mnimamente. No es admisible detener la maquinaria informtica para descubrir
sus fallos y comenzar de nuevo. La auditoria debe iniciar su actividad cuando los Sistemas estn

operativos, es el principal objetivo el de mantener tal situacin. Tal objetivo debe conseguirse tanto
a nivel global como parcial.
La operatividad de los Sistemas ha de constituir entonces la principal preocupacin del auditor
informtico. Para conseguirla hay que acudir a la realizacin de Controles Tcnicos Generales de
Operatividad y Controles Tcnicos Especficos de Operatividad, previos a cualquier actividad de
aquel.
Los Controles Tcnicos Generales son los que se realizan para verificar la
compatibilidad de funcionamiento simultneo del Sistema Operativo y el Software de
base con todos los subsistemas existentes, as como la compatibilidad del Hardware y
del Software instalados. Estos controles son importantes en las instalaciones que
cuentan con varios competidores, debido a que la profusin de entornos de trabajo
muy diferenciados obliga a la contratacin de diversos productos de Software bsico,
con el consiguiente riesgo de abonar ms de una vez el mismo producto o
desaprovechar parte del Software abonado. Puede ocurrir tambin con los productos
de Software bsico desarrollados por el personal de Sistemas Interno, sobre todo
cuando los diversos equipos estn ubicados en Centros de Proceso de Datos
geogrficamente alejados. Lo negativo de esta situacin es que puede producir la
inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo
trabajando independientemente, pero no ser posible la interconexin e
intercomunicacin de todos los Centros de Proceso de Datos si no existen productos
comunes y compatibles.
Los Controles Tcnicos Especficos, de modo menos acusado, son igualmente
necesarios para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede
encontrar mal son parmetros de asignacin automtica de espacio en disco que
dificulten o impidan su utilizacin posterior por una Seccin distinta de la que lo gener.
Tambin, los periodos de retencin de ficheros comunes a varias Aplicaciones pueden
estar definidos con distintos plazos en cada una de ellas, de modo que la prdida de
informacin es un hecho que podr producirse con facilidad, quedando inoperativa la
explotacin de alguna de las Aplicaciones mencionadas.

Revisin de Controles de la Gestin Informtica

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoria es la
verificacin de la observancia de las normas tericamente existentes en el departamento de
Informtica y su coherencia con las del resto de la empresa. Para ello, habrn de revisarse
sucesivamente y en este orden:
1. Las Normas Generales de la Instalacin Informtica. Se realizar una revisin inicial sin
estudiar a fondo las contradicciones que pudieran existir, pero registrando las reas que
carezcan de normativa, y sobre todo verificando que esta Normativa General Informtica
no est en contradiccin con alguna Norma General no informtica de la empresa.
2. Los Procedimientos Generales Informticos. Se verificar su existencia, al menos en los
sectores ms importantes. Por ejemplo, la recepcin definitiva de las mquinas debera
estar firmada por los responsables de Explotacin. Tampoco el alta de una nueva
Aplicacin podra producirse si no existieran los Procedimientos de Backup y Recuperacin
correspondientes.
3. Los Procedimientos Especficos Informticos. Igualmente, se revisara su existencia en las
reas fundamentales. As, Explotacin no debera explotar una Aplicacin sin haber exigido
a Desarrollo la pertinente documentacin. Del mismo modo, deber comprobarse que los
Procedimientos Especficos no se opongan a los Procedimientos Generales. En todos los
casos anteriores, a su vez, deber verificarse que no existe contradiccin alguna con la
Normativa y los Procedimientos Generales de la propia empresa, a los que la Informtica
debe estar sometida.
Auditoria Informtica de Explotacin
La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo: listados
impresos, ficheros soportados magnticamente para otros informticos, ordenes automatizadas
para lanzar o modificar procesos industriales, etc. La explotacin informtica se puede considerar

como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la
Explotacin Informtica se dispone de una materia prima, los Datos, que es necesario transformar,
y que se someten previamente a controles de integridad y calidad. La transformacin se realiza por
medio del proceso informtico, el cual est gobernado por programas. Obtenido el producto final,
los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente,
al usuario.
Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. La
Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte
Tcnico, en la que cada cual tiene varios grupos.
Control de Entrada de Datos:
Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento
de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre
entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de
acuerdo a Norma.
Planificacin y Recepcin de Aplicaciones:
Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su
cumplimiento y su calidad de interlocutor nico. Debern realizarse muestreos selectivos de la
Documentacin de las Aplicaciones explotadas. Se inquirir sobre la anticipacin de contactos con
Desarrollo para la planificacin a medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente, la
explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch), o en tiempo real
(Tiempo Real*). Mientras que las Aplicaciones de Teleproceso estn permanentemente activas y la
funcin de Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una
buena parte de los efectivos de Explotacin. En muchos Centros de Proceso de Datos, ste rgano
recibe el nombre de Centro de Control de Batch. Este grupo determina el xito de la explotacin,
en cuanto que es uno de los factores ms importantes en el mantenimiento de la produccin.
Batch y Tiempo Real:
Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin durante el da y
durante la noche se corre un proceso enorme que lo que hace es relacionar toda la informacin,
calcular cosas y obtener como salida, por ejemplo, reportes. O sea, recolecta informacin durante
el da, pero todava no procesa nada. Es solamente un tema de "Data Entry" que recolecta
informacin, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al da
siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber ingresado la
informacin correspondiente, inmediatamente procesan y devuelven un resultado. Son Sistemas
que tienen que responder en Tiempo Real.
Operacin
Salas de Ordenadores:
Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios, as como la
equidad en la asignacin de turnos de trabajo. Se verificar la existencia de un responsable de
Sala en cada turno de trabajo. Se analizar el grado de automatizacin de comandos, se verificara
la existencia y grado de uso de los Manuales de Operacin. Se analizar no solo la existencia de
planes de formacin, sino el cumplimiento de los mismos y el tiempo transcurrido para cada
Operador desde el ltimo Curso recibido. Se estudiarn los montajes diarios y por horas de cintas o
cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema
hasta el montaje real. Se verificarn las lneas de papel impresas diarias y por horas, as como la
manipulacin de papel que comportan.
Centro de Control de Red y Centro de Diagnosis (Help Desk):
El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin. Sus
funciones se refieren exclusivamente al mbito de las Comunicaciones, estando muy relacionado
con la organizacin de Software de Comunicaciones de Tcnicas de Sistemas. Debe analizarse la
fluidez de esa relacin y el grado de coordinacin entre ambos. Se verificar la existencia de un
punto focal nico, desde el cual sean perceptibles todas las lneas asociadas al Sistema. El Centro
de Diagnosis (Help Desk) es el ente en donde se atienden las llamadas de los usuarios-clientes
que han sufrido averas o incidencias, tanto de Software como de Hardware. El Centro de

Diagnosis est especialmente indicado para informticos grandes y con usuarios dispersos en un
amplio territorio. Es uno de los elementos que ms contribuyen a configurar la imagen de la
Informtica de la empresa. Debe ser auditada desde esta perspectiva, desde la sensibilidad del
usuario sobre el servicio que se le dispone. No basta con comprobar la eficiencia tcnica del
centro, es necesario analizarlo simultneamente en el mbito de Usuario.
Auditoria Informtica de Desarrollo de Proyectos o Aplicaciones:
La funcin de Desarrollo es una evolucin del llamado Anlisis y Programacin de Sistemas y
Aplicaciones. A su vez, engloba muchas reas, tantas como sectores informatizables tiene la
empresa. Muy escuetamente, una Aplicacin recorre las siguientes fases:
Pre-requisitos del Usuario (nico o plural) y del entorno
Anlisis funcional
Diseo
Anlisis orgnico (Preprogramacin y Programacin)
Pruebas
Entrega a Explotacin y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del
disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la auditoria
deber comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados
por la maquina sean exactamente los previstos y no otros.
Una auditoria de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de cuatro
consideraciones:
1. Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se asegure la
modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento
de las mismas.
2. Control Interno de las Aplicaciones: se debern revisar las mismas fases que
presuntamente han debido seguir el rea correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicacin: Importante para Aplicaciones largas,
complejas y caras.
Definicin Lgica de la Aplicacin: Se analizar que se han observado los
postulados lgicos de actuacin, en funcin de la metodologa elegida y la
finalidad que persigue el proyecto.
Desarrollo Tcnico de la Aplicacin: Se verificar que ste es ordenado y
correcto. Las herramientas tcnicas utilizadas en los diversos programas
debern ser compatibles.
Diseo de Programas: Debern poseer la mxima sencillez, modularidad y
economa de recursos.
Mtodos de Pruebas: Se realizarn de acuerdo a las Normas de la Instalacin.
Se utilizarn juegos de ensayo de datos, sin que sea permisible el uso de
datos reales.
Documentacin: Cumplir la Normativa establecida en la Instalacin, tanto la
de Desarrollo como la de entrega de Aplicaciones a Explotacin.
Equipo de Programacin: Deben fijarse las tareas de anlisis puro, de
programacin y las intermedias. En Aplicaciones complejas se produciran
variaciones en la composicin del grupo, pero estos debern estar previstos.
3. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada,
deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La
aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitar
reprogramaciones y disminuir el mantenimiento de la Aplicacin.
4. Control de Procesos y Ejecuciones de Programas Crticos: El auditor no debe descartar la
posibilidad de que se est ejecutando un mdulo que no se corresponde con el programa
fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones. Se ha de
comprobar la correspondencia biunvoca y exclusiva entre el programa codificado y su
compilacin. Si los programas fuente y los programa mdulo no coincidieran podra
provocar, desde errores de bulto que produciran graves y altos costes de mantenimiento,

hasta fraudes, pasando por acciones de sabotaje, espionaje industrial-informativo, etc. Por
ende, hay normas muy rgidas en cuanto a las Libreras de programas; aquellos programas
fuente que hayan sido dados por bueno por Desarrollo, son entregados a Explotacin con
el fin de que ste:
Copie el programa fuente en la Librera de Fuentes de Explotacin, a la que
nadie ms tiene acceso
Compile y monte ese programa, depositndolo en la Librera de Mdulos de
Explotacin, a la que nadie ms tiene acceso.
Copie los programas fuente que les sean solicitados para modificarlos,
arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigir pasar
nuevamente por el punto 1.
Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante ardua y compleja,
hoy (algunas empresas lo usarn, otras no) se utiliza un sistema llamado U.A.T (User Acceptance
Test). Este consiste en que el futuro usuario de esta Aplicacin use la Aplicacin como si la
estuviera usando en Produccin para que detecte o se denoten por s solos los errores de la
misma. Estos defectos que se encuentran se van corrigiendo a medida que se va haciendo el
U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto est bien").
Todo este testeo, auditora lo tiene que controlar, tiene que evaluar que el testeo sea correcto, que
exista un plan de testeo, que est involucrado tanto el cliente como el desarrollador y que estos
defectos se corrijan. Auditora tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del
usuario sea un Sign Off por todo.
Es aconsejable que las Empresas cuenten con un Departamento QA (Quality Assurance
Aseguramiento de la Calidad) que tendra la funcin de controlar que el producto que llegue al
usuario sea el correcto en cuanto a funcionamiento y prestaciones, antes del U.A.T.
Auditoria Informtica de Sistemas:
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas.
Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones,
Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte
del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que
los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de
las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos permite
descubrir las posibles incompatibilidades entre otros productos de Software Bsico adquiridos por
la instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros variables de
las Libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados
por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido facturados
aparte de la propia computadora. Esto, por razones econmicas y por razones de comprobacin de
que la computadora podra funcionar sin el producto adquirido por el cliente. En cuanto al Software
desarrollado por el personal informtico de la empresa, el auditor debe verificar que ste no agreda
ni condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en trminos de costes,
por si hubiera alternativas ms econmicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Bsico por su especialidad e importancia. Las consideraciones
anteriores son vlidas para ste tambin.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del
comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben
diferenciarse de los controles habituales que realiza el personal de Tcnica de Sistemas. El tunning
posee una naturaleza ms revisora, establecindose previamente planes y programas de actuacin
segn los sntomas observados. Se pueden realizar:
Cuando existe sospecha de deterioro del comportamiento parcial o general del
Sistema

De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus
acciones son repetitivas y estn planificados y organizados de antemano.
El auditor deber conocer el nmero de tunning realizados en el ltimo ao, as como sus
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza de
las observaciones.
Optimizacin de los Sistemas y Subsistemas:
Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como consecuencia de
la realizacin de tunnings preprogramados o especficos. El auditor verificar que las acciones de
optimizacin fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crtico
de produccin diaria de Explotacin.
Administracin de Base de Datos:
El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en una actividad
muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de
acuerdo con las reas de Desarrollo y usuarios de la empresa. Al conocer el diseo y arquitectura
de stas por parte de Sistemas, se les encomienda tambin su administracin. Los auditores de
Sistemas han observado algunas disfunciones derivadas de la relativamente escasa experiencia
que Tcnica de Sistemas tiene sobre la problemtica general de los usuarios de Bases de Datos.
La administracin tendra que estar a cargo de Explotacin. El auditor de Base de Datos debera
asegurarse que Explotacin conoce suficientemente las que son accedidas por los Procedimientos
que ella ejecuta. Analizar los Sistemas de salvaguarda existentes, que competen igualmente a
Explotacin. Revisar finalmente la integridad y consistencia de los datos, as como la ausencia de
redundancias entre ellos.
Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que sus propios
efectivos estn desarrollando Aplicaciones y utilidades que, concebidas inicialmente para su uso
interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo competencia a las
Compaas del ramo. La auditoria informtica deber cuidar de que la actividad de Investigacin y
Desarrollo no interfiera ni dificulte las tareas fundamentales internas.
Auditoria Informtica de Comunicaciones y Redes
Para el informtico y para el auditor informtico, el entramado conceptual que constituyen las redes
nodales, lneas, concentradores, multiplexores, redes locales, etc. no son sino el soporte fsicolgico del tiempo real. El auditor tropieza con la dificultad tcnica del entorno, pues ha de analizar
situaciones y hechos alejados entre s, y est condicionado a la participacin del monopolio
telefnico que presta el soporte. Como en otros casos, la auditoria de este sector requiere un
equipo de especialistas, expertos simultneamente en comunicaciones y en redes locales (no hay
que olvidarse que en entornos geogrficos reducidos, algunas empresas optan por el uso interno
de redes locales, diseadas y cableadas con recursos propios).
El auditor de comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas
contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la
topologa de la red de comunicaciones, actualizada, ya que la desactualizacin de esta
documentacin significara una grave debilidad. La inexistencia de datos sobre cuantas lneas
existen, cmo son y donde estn instaladas, supondra que se bordea la Inoperatividad Informtica.
Sin embargo, las debilidades ms frecuentes o importantes se encuentran en las disfunciones
organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de los Puestos de
Trabajo correspondientes (pantallas, servidores de redes locales, computadoras con tarjetas de
comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y de ser
posible, dependientes de una sola organizacin.
Auditoria de la Seguridad informtica:
La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser
confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a
personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que
provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser
de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente
costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay
que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes
intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin (piratas)
y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado
que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no
exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza
desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por
va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La
seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la
de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios,
sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos,
procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la
informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso.
Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado,
pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial.
Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras
grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo que hace es
auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a
directorios, que usuario lo hizo, si tena o no tena permiso, si no tena permiso porque fall,
entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password
equivocada, cambios de password, etc. La Aplicacin lo puede graficar, tirar en nmeros, puede
hacer reportes, etc.
La seguridad informtica se la puede dividir como rea general y como rea especfica (seguridad
de Explotacin, seguridad de las Aplicaciones, etc.). As, se podrn efectuar auditorias de la
Seguridad Global de una Instalacin Informtica (Seguridad General) y auditorias de la Seguridad
de un rea informtica determinada (Seguridad Especifica).
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se han ido
originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los accesos y conexiones
indebidos a travs de las Redes de Comunicaciones, han acelerado el desarrollo de productos de
Seguridad lgica y la utilizacin de sofisticados medios criptograficos.
El sistema integral de seguridad debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,
tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.
La decisin de abordar una auditoria Informtica de Seguridad Global en una empresa, se
fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Se
elaboran "matrices de riesgo", en donde se consideran los factores de las "Amenazas" a las que
est sometida una instalacin y los "Impactos" que aquellas puedan causar cuando se presentan.
Las matrices de riesgo se representan en cuadros de doble entrada Amenaza-Impacto, en donde
se evalan las probabilidades de ocurrencia de los elementos de la matriz.
Herramientas y Tcnicas para la Auditoria Informtica:
Cuestionarios:

Las auditorias informticas se materializan recabando informacin y documentacin de todo tipo.

Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones
de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en
lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado
en hechos demostrables, llamados tambin evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios
preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y
muy especficos para cada situacin, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos
tipos de informacin es una de las bases fundamentales de la auditoria.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro
medios la informacin que aquellos preimpresos hubieran proporcionado.
Entrevistas:
El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres
formas:
1. Mediante la peticin de documentacin concreta sobre alguna materia de su
responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo
estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de
antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste
recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente
tcnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se
interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso
sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y
lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas
variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una
preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular
Checklist:
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin
de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son
vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya
de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la
cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no
es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una
correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas
muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists
deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra
forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde posiciones
muy distintas y con disposicin muy variable. El auditado, habitualmente informtico de profesin,
percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs
de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio
que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin.
Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco sirven si el
auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora se
ejerce sobre bases de autoridad, prestigio y tica.
El auditor deber aplicar el Checklist de modo que el auditado responda clara y escuetamente. Se
deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se
aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a
que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar
absolutamente la presin sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En
efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a
distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn
descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de
las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones,
hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y
nunca escribir cruces ni marcar cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa" de
calificacin o evaluacin:
a. Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo,
de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)
Ejemplo de Checklist de rango:
Se supone que se est realizando una auditora sobre la seguridad fsica de una instalacin y,
dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Clculo.
Podran formularse las preguntas que figuran a continuacin, en donde las respuestas tiene los
siguientes significados:
1: Muy deficiente.
2: Deficiente.
3: Mejorable.
4: Aceptable.
5: Correcto.
Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan
encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeo guin. La
complementacin del Checklist no debe realizarse en presencia del auditado.
b. Checklist Binaria
Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmticamente,
equivalen a 1(uno) o 0(cero), respectivamente.
Los Checklists de rango son adecuados si el equipo auditor no es muy grande y mantiene criterios
uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la evaluacin que
en los checklist binarios. Sin embargo, la bondad del mtodo depende excesivamente de la
formacin y competencia del equipo auditor.
Los Checklists Binarios siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de
gran precisin, como corresponde a la suma precisin de la respuesta. Una vez construidas, tienen
la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genrico del si o no
frente a la mayor riqueza del intervalo.
No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar.
Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin
correspondientes en las preguntas a realizar.
Trazas y/o Huellas:
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en
productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que
siguen los datos a travs del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de
datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las
fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que
comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros
variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar
dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios
especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn cuales
tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se
traspasan los lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditoria
informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que
proporciona el propio Sistema: As, los ficheros de Accounting o de contabilidad, en donde se
encuentra la produccin completa de aqul, y los Log (historial) de dicho Sistema, en donde se
recogen las modificaciones de datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de
errores de maquina central, perifricos, etc.
La auditoria financiero-contable convencional emplea trazas con mucha frecuencia. Son programas
encaminados a verificar lo correcto de los clculos de nminas, primas, etc.].
Software de Interrogacin:
Hasta hace ya algunos aos se han utilizado productos software llamados genricamente paquetes
de auditoria, capaces de generar programas para auditores escasamente cualificados desde el
punto de vista informtico.
Dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la
obtencin de consecuencias e hiptesis de la situacin real de una instalacin.
En la actualidad, los productos Software especiales para la auditora informtica se orientan
principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la
empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto
los internos disponen del software nativo propio de la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "Cliente-Servidor", han
llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras
personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin
ms relevante para su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin
parcial generada por la organizacin informtica de la Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por
este, que son tratados posteriormente en modo PC. El auditor se ve obligado a recabar informacin
de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes
productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del
auditor informtico debe realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente
determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el
manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.
Metodologa de Trabajo de Auditoria Informtica
El mtodo de trabajo del auditor pasa por las siguientes etapas:
1. Alcance y Objetivos de la Auditoria Informtica.
2. Estudio inicial del entorno auditable.
3. Determinacin de los recursos necesarios para realizar la auditoria.
4. Elaboracin del plan y de los Programas de Trabajo.
5. Actividades propiamente dichas de la auditoria.
6. Confeccin y redaccin del Informe Final.
7. Carta de introduccin o presentacin del informe final.
1. Alcance y Objetivos de la Auditoria Informtica:

El alcance de la auditoria expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditoria, es decir cuales materias, funciones u organizaciones no
van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditoria han de conocer con la mayor exactitud posible los objetivos
a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma
que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales
y comunes de a toda auditoria Informtica: La operatividad de los Sistemas y los Controles
Generales de Gestin Informtica.
2. Estudio Inicial del entorno auditable:
Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la
informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal
circunstancia.
2) Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El
equipo auditor describir brevemente las funciones de cada uno de ellos.
3) Relaciones Jerrquicas y funcionales entre rganos de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones funcionales y Jerrquicas previstas por el
organigrama, o por el contrario detectar, por ejemplo, si algn empleado tiene dos jefes.
Las de Jerarqua implican la correspondiente subordinacin. Las funcionales por el contrario,
indican relaciones no estrictamente subordinables.
4) Flujos de Informacin:
Adems de las corrientes verticales intra=departamentales, la estructura organizativa cualquiera
que sea, produce corrientes de informacin horizontales y oblicuas extra=departamentales.
Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente
gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama.
En ocasiones, las organizaciones crean espontneamente canales alternativos de informacin, sin
los cuales las funciones no podran ejercerse con eficacia; estos canales alternativos se producen
porque hay pequeos o grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparicin de flujos de informacin no previstos obedece a afinidades personales o
simple comodidad. Estos flujos de informacin son indeseables y producen graves perturbaciones
en la organizacin.
5. Nmero de Puestos de trabajo
El equipo auditor comprobar que los nombres de los Puesto de los Puestos de Trabajo de la
organizacin corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idnticas, lo cual indica la
existencia de funciones operativas redundantes.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal
circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes.
6. Nmero de personas por Puesto de Trabajo
Es un parmetro que los auditores informticos deben considerar. La inadecuacin del personal
determina que el nmero de personas que realizan las mismas funciones rara vez coincida con la
estructura oficial de la organizacin.
Entorno Operacional
El equipo de auditoria informtica debe poseer una adecuada referencia del entorno en el que va a
desenvolverse.

Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

a. Situacin geogrfica de los Sistemas:
Se determinar la ubicacin geogrfica de los distintos Centros de Proceso de Datos en la
empresa. A continuacin, se verificar la existencia de responsables en cada unos de ellos, as
como el uso de los mismos estndares de trabajo.
b- Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos, ya
que los mismos deben constituir un sistema compatible e intercomunicado. La configuracin de los
sistemas esta muy ligada a las polticas de seguridad lgica de las compaas.
Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de los
equipos.
c. Inventario de Hardware y Software:
El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y
lgicos de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control
local y remotas, perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del Sistema, desde el
software bsico hasta los programas de utilidad adquiridos o desarrollados internamente.
Suele ser habitual clasificarlos en facturables y no facturables.
d. Comunicacin y Redes de Comunicacin:
En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas
principales de las lneas, as como de los accesos a la red pblica de comunicaciones.
Igualmente, poseern informacin de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general
de los procesos informticos realizados en la empresa auditada. Para ello debern conocer
lo siguiente:
A. Volumen, antigedad y complejidad de las Aplicaciones
B. Metodologa del Diseo
Se clasificar globalmente la existencia total o parcial de metodologa en el desarrollo de
las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondr de manifiesto.
C. Documentacin
La existencia de una adecuada documentacin de las aplicaciones proporciona beneficios
tangibles e inmediatos muy importantes.
La documentacin de programas disminuye gravemente el mantenimiento de los mismos.
D, Cantidad y complejidad de Bases de Datos y Ficheros.
El auditor recabar informacin de tamao y caractersticas de las Bases de Datos,
clasificndolas en relacin y jerarquas. Hallar un promedio de nmero de
accesos a ellas por hora o das. Esta operacin se repetir con los ficheros, as
como la frecuencia de actualizaciones de los mismos.
Estos datos proporcionan una visin aceptable de las caractersticas de la carga
informtica.
3. Determinacin de los recursos necesarios para realizar la auditoria
Mediante los resultados del estudio inicial realizado se procede a determinar los
recursos humanos y materiales que han de emplearse en la auditoria.
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo van a
utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo
posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
A, Recursos materiales Software
Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se
aaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad
de Tcnica de Sistemas del auditado y de la cantidad y calidad de los datos ya
existentes.

B. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente.
Los procesos de control deben efectuarse necesariamente en las Computadoras
del auditado.
Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresoras
ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y
perfiles del personal seleccionado depende de la materia auditable.
Es igualmente reseable que la auditora en general suele ser ejercida por
profesionales universitarios y por otras personas de probada experiencia
multidisciplinaria.
12. Perfiles Profesionales de los auditores informticos
Profesin

Actividades y conocimientos deseables

Informtico Generalista

Con experiencia amplia en ramas distintas. Deseable

que su labor se haya desarrollado en Explotacin y en
Desarrollo de Proyectos. Conocedor de Sistemas.

Experto en Desarrollo de Proyectos

Amplia experiencia como responsable de proyectos.

Experto analista. Conocedor de las metodologas de
Desarrollo ms importantes.

Tcnico de Sistemas

Experto en Sistemas Operativos y Software Bsico.

Conocedor de los productos equivalentes en el
mercado. Amplios conocimientos de Explotacin.

Experto en Bases de Datos

Administracin de las mismas.
Experto en Software de Comunicacin

y Con experiencia en el mantenimiento de Bases de

Datos. Conocimiento de productos compatibles y
equivalentes. Buenos conocimientos de explotacin
Alta especializacin dentro de la tcnica de sistemas.
Conocimientos profundos de redes. Muy experto en
Subsistemas de teleproceso.

Experto en Explotacin y Gestin de Responsable de algn Centro de Clculo. Amplia

CPDS
experiencia en Automatizacin de trabajos. Experto en
relaciones humanas. Buenos conocimientos de los
sistemas.
Tcnico de Organizacin

Experto organizador y coordinador. Especialista en el

anlisis de flujos de informacin.

Tcnico de evaluacin de Costes

Economista con conocimiento de Informtica. Gestin

de costes.

4. Elaboracin del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un
plan de trabajo. Decidido ste, se procede a la programacin del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer
caso, la elaboracin es ms compleja y costosa.
b) Si la auditoria es global, de toda la Informtica, o parcial. El volumen determina no
solamente el nmero de auditores necesarios, sino las especialidades necesarias del
personal.

En el plan no se consideran calendarios, porque se manejan recursos

genricos y no especficos.
En el Plan se establecen los recursos y esfuerzos globales que van a ser
necesarios.
En el Plan se establecen las prioridades de materias auditables, de acuerdo
siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisin.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.
Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del proyecto.
5. Actividades propiamente dichas de la Auditoria
Auditoria por temas generales o por reas especficas:
La auditoria Informtica general se realiza por reas generales o por reas especficas. Si se
examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y
mayores recursos.
Cuando la auditoria se realiza por reas especficas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms
rpidamente y con menor calidad.
Tcnicas de Trabajo:
- Anlisis de la informacin recabada del auditado.
- Anlisis de la informacin propia.
- Cruzamiento de las informaciones anteriores.
- Entrevistas.
- Simulacin.
- Muestreos.
Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.
- Estndares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditoria (Generadores de Programas).
- Matrices de riesgo.
6. Confeccin y redaccin del Informe Final
La funcin de la auditoria se materializa exclusivamente por escrito. Por lo tanto la elaboracin final
es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final,
los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir
fallos de apreciacin en el auditor.
Estructura del informe final:
El informe comienza con la fecha de comienzo de la auditoria y la fecha de redaccin del mismo.
Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con
indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definicin de objetivos y alcance de la auditoria.
Enumeracin de temas considerados:
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los
temas objeto de la auditoria.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a. Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no
solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin
prevista y la situacin real.

b. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras.

c. Puntos dbiles y amenazas.
d. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos
dbiles, el verdadero objetivo de la auditora informtica.
e. Redaccin posterior de la Carta de Introduccin o Presentacin.
Modelo conceptual de la exposicin del informe final
- El informe debe incluir solamente hechos importantes.
La inclusin de hechos poco relevantes o accesorios desva la atencin del lector.
- El Informe debe consolidar los hechos que se describen en el mismo.
El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de
estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al
menos los siguientes criterios:
El hecho debe poder ser sometido a cambios.
Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situacin.
No deben existir alternativas viables que superen al cambio propuesto.
La recomendacin del auditor sobre el hecho debe mantener o mejorar las
normas y estndares existentes en la instalacin.
La aparicin de un hecho en un informe de auditoria implica necesariamente la existencia de una
debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1 Hecho encontrado.
- Ha de ser relevante para el auditor y pera el cliente.
- Ha de ser exacto, y adems convincente.
- No deben existir hechos repetidos.
2 Consecuencias del hecho
- Las consecuencias deben redactarse de modo que sean directamente deducibles del
hecho.
3 Repercusin del hecho
- Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos
informticos u otros mbitos de la empresa.
4 Conclusin del hecho
- No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido
muy extensa o compleja.
5 Recomendacin del auditor informtico
- Deber entenderse por s sola, por simple lectura.
- Deber estar suficientemente soportada en el propio texto.
- Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
- La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.
7. Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditoria
realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona
concreta que encargo o contrato la auditoria.
As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har
copias de la citada carta de Introduccin.
La carta de introduccin poseer los siguientes atributos:
Tendr como mximo 4 folios.
Incluir fecha, naturaleza, objetivos y alcance.
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran
debilidad.

Presentar las debilidades en orden de importancia y gravedad.

En la carta de Introduccin no se escribirn nunca recomendaciones.

Definicin de la metodologa CRMR

CRMR son las siglas de Computer resource management review, su traduccin ms adecuada,
Evaluacin de la gestin de recursos informticos. En cualquier caso, esta terminologa quiere
destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por
medio del management.
Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditoria
informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios.
Supuestos de aplicacin:
En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias
organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un
Centro de Procesos de Datos.
El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:
Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios
en el momento oportuno.
Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso.
Existen sobrecargas frecuentes de capacidad de proceso.
Existen costes excesivos de proceso en el Centro de Proceso de Datos.
Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor
frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que
convenir en la mayor incidencia de fallos de gestin.
reas de aplicacin:
Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las
condiciones de aplicacin sealadas en puntos anteriores:
Gestin de Datos.
Control de Operaciones.
Control y utilizacin de recursos materiales y humanos.
Interfaces y relaciones con usuarios.
Planificacin.
Organizacin y administracin.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos
equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de un
Proyecto complejo.
Objetivos:
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los
procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las
Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como
finalidad algunas de las que se relacionan:
Identificar y fijas responsabilidades.
Mejorar la flexibilidad de realizacin de actividades.
Aumentar la productividad.
Disminuir costes
Mejorar los mtodos y procedimientos de Direccin.
Alcance
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad
inmediata de obtencin de beneficios.
2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como
se hace en la auditoria informtica ordinaria.

3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las

Recomendaciones, a la par que desarrolla las conclusiones.
AUDITORIA DE SISTEMAS EN EL CONTEXTO
DEL CENTRO DE COMUNICACIONES
Referente a la empresa en donde se aplicara la auditoria, debemos mencionar algunas
caractersticas de la empresa:
1. Es una empresa joven, la ventaja de este punto es que los sistemas se estn diseando y
adecundose a sus necesidades, no existen trabas por sistemas antiguos o sistemas complejos.
2. La empresa cuenta con dos en dos ambientes, el rea de navegacin (internet) y el rea de
telefona.
3. La empresa esta utilizando un software de facturacin o sistema de control, para ambas reas,
lo cual les permite llevar de una manera ordenada los controles administrativos.
La empresa comete a simple viste grandes errores, quizs por ser nueva, quizs por no tener la
accesoria adecuada, ello dan pie a algunas recomendaciones:
- Debe respaldarse la informacin del sistema de facturacin.
- Deben crearse diferentes niveles de usuarios (administrador, operadores).
- Adquirir las licencias de todo el software con los cuales funcionan, para evitar
inconvenientes y permanecer dentro de los mrgenes de la ley.
En otro orden de ideas, en lo referente al servicio que prestan al usuario, respecto a cualquiera de
los dos ambientes, el servicio puede ser catalogado como aceptable, ya que son procesos muy
simples, los cuales son controlados por el software de facturacin, ya sea en el rea de llamadas o
de navegacin, el programa tarifa el tiempo e imprime un reporte (factura) con lo cual no existe
ningn problema en estas reas. Para incrementar la satisfaccin del usuario podra habilitarse una
opcin de prepago tanto en llamadas como en navegacin de forma tal que las personas puedan
controlar el monto que van a gastar.
Importante es, que los datos de la facturacin solo sean manejados por personas calificadas, es
decir, no por empleados, sino por el gerente o jefe de rea, para ello se propone que deben
crearse niveles de usuarios.
Con las recomendaciones dadas anteriormente, se garantiza el mejor servicio por parte de la
empresa y sobretodo, la seguridad de los datos, el control de los datos y la reduccin del entorno
que los puede manejar, logrando privacidad y confiabilidad de estos.
CONCLUSION
Hacemos nfasis en la importancia de la auditoria como herramienta gerencial para la toma de
decisiones y para poder verificar los puntos dbiles de las organizaciones con el fin de tomar
medidas y precauciones a tiempo. Principalmente, la conclusin a la que hemos podido llegar, es
que toda empresa, pblica o privada, que posean sistemas de informacin medianamente
complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en
da, un alto porcentaje de las empresas tienen toda su informacin estructurada en sistemas
informticos, de aqu, la vital importancia que los sistemas de informacin funcionen
correctamente. La empresa hoy, debe y precisa informatizarse. El xito de una empresa depende
de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de
primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no
hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de
la auditoria en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad,
capacidad, minuciosidad y responsabilidad; la auditoria de Sistemas debe hacerse por gente
altamente capacitada, una auditoria mal hecha puede acarrear consecuencias drsticas para la
empresa auditada, principalmente econmicas.
BIBLIOGRAFIA
Auditoria de Sistemas. [ON LINE] Disponible en:
http://www.geocities.com/lsialer/NotasInteresantes.htm

ALONSO RIVAS, GONZALO

Auditoria Informtica.
Daz de Santos. Madrid 1998. 187 pgs.
JUAN RIVAS, ANTONIO DE y PREZ PASCUAL, AURORA
La Auditoria en el desarrollo de Proyectos Informticos.
Daz de Santos. Madrid 1998. 178 pgs.
MILLS, DAVID
Manual de Auditoria de la calidad.
Gestin 2000. Barcelona 1997. 242 pgs.
PIATTINI VELTHUIS, MARIO y OTROS
Auditing Information Systems.
Idea Group Publishing. Hershey, London 2000. 246 pgs.
PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO EMILIO (Editores)
Auditoria Informtica: Un enfoque prctico.
Alfaomega. Mxico 1998. 609 pgs. PIATTINI VELTHUIS, MARIO y DEL
PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO EMILIO (Editores)
Auditoria Informtica: Un enfoque prctico (2 Edicin).
Ra-ma. Madrid 2001. 660 pgs.
PLANS, JOSE
La prctica de la Auditoria Informtica.
Instituto de Censores Jurados de Cuentas de Espaa. Madrid 1986. 159 pgs.
THOMAS, A.J. y DOUGLAS I.J.
Auditoria Informtica.
Paraninfo. Madrid 1987. 214 pgs.
Integrantes
Angulo, Jenny
Moreno, Deibis
Jorge Hernndez
jrhg17@gmail.com