II UNIDAD: CARACTERISTICAS DE LA AUDITORIA DE INFORMATICA

¿Qué características tiene la Auditoria Informática en Redes y

Telecomunicaciones?
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias
primas si las hay. Por ende, han de realizarse inversiones informáticas,
materia de la que se ocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo
global y particular: a ello se debe la existencia de la Auditoría de Seguridad
Informática en general, o a la auditoría de Seguridad de alguna de sus áreas,
como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza
de alguna forma su función: se está en el campo de la Auditoría de
Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se
realizan en una auditoría parcial. De otra manera: cuando se realiza una
auditoria del área de Desarrollo de Proyectos de la Informática de una
empresa, es porque en ese Desarrollo existen, además de ineficiencias,
debilidades de organización, o de inversiones, o de seguridad, o alguna
mezcla de ellas.
¿Cuál es el perfil del Auditor Informático en Redes y
Telecomunicaciones?
El perfil de un auditor informático en redes y telecomunicaciones es el que
corresponde a un Ingeniero en Informática o en Sistemas especializado en
el área de telemática.
El auditor de informático especializado en esta área deberá inquirir sobre
los índices de utilización de las líneas contratadas con información
abundante sobre tiempos de desuso. Deberá proveerse de la topología de la
Red de Comunicaciones, actualizada, ya que la desactualización de esta
documentación significaría una grave debilidad. La inexistencia de datos
sobre la cuantas líneas existen, cómo son y donde están instaladas,
supondría que se bordea la Inoperatividad Informática. Sin embargo, las
debilidades más frecuentes o importantes se encuentran en las disfunciones
organizativas.
2.- USO
¿Por qué y Para qué se hace la Auditoria Informática en Redes y
Telecomunicaciones? a) Asegurar la integridad, confidencialidad y
confiabilidad de la información. b) Minimizar existencias de riesgos en el uso
de Tecnología de información
Auditoria de Sistemas (Tendencias y Clasificación)
Auditor
En tiempo histórico, auditor es aquella persona a quien le leían los ingresos
gastos producidos por un establecimiento.

Proviene del latín audire, oír escuchar.

Se puede intuir que la primera auditoria nació en el momento en que fue

necesario rendir cuentas de algún negocio y revisar que estas fueran
correctas.

Auditoria de Sistemas
Conjunto de procedimientos y técnicas para evaluar y controlar total o
parcialmente un sistema informático con el fin de proteger sus activos y
recursos, verificar si sus actividades se desarrollan eficientemente de
acuerdo con las normas informáticas y generales existentes en cada
empresa.

Un sistema informático mal diseñado puede convertirse en una herramienta

peligrosa para la persona, puesto que las máquinas obedecen las órdenes
recibidas y la modelización de la empresa está determinada por las
computadoras que materializan los sistemas de información, por lo tanto la
gestión y la organización de la empresa no pueden depender de un
SOFTWARE o un HARDWARE mal diseñado.
Características de la Auditoria de Sistemas
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus stocks o materias
primas si las hay. Por ende, han de realizarse inversiones informáticas,
materia de la que se ocupa la Auditoria de Inversión Informática.

Tendencias de la Auditoría de Sistemas

Entendemos que una tendencia es una inclinación hacia algo, en nuestro
caso lo que nos interesa conocer es hacia qué está inclinada la auditoria de
sistemas, es por ello que se nos hace necesario saber qué es y cómo
funciona.

Clasificación de Tipos de Auditoria

Auditorías por su lugar de aplicación

Auditoría externa: La principal característica de este tipo de auditoría es que

la realizan auditores totalmente ajenos a la empresa.

Auditoría interna: En la realización de estos tipos de evaluación, el auditor

que lleva a cabo la auditoría labora en la empresa donde se realiza la misma.

Auditorías por su área de aplicación

Auditoría financiera: en este tipo de auditoría la principal actividad del

auditor consiste en revisar la correcta y oportuna aplicación de los registros
contables y operaciones financieras de las empresas.

• Auditoría administrativa
• Auditoría operacional
• Auditoría integral
• Auditoría gubernamental
• Auditoría de sistemas

Auditorías especializadas en áreas específicas

Auditoría al área médica (evaluación médico-sanitaria)

• Auditoría al desarrollo de obras y construcciones (evaluación de
ingeniería)
• Auditoría fiscal
• Auditoría laboral
• Auditoría de proyectos de inversión
• Auditoría a la caja chica o caja mayor (arqueos)
• Auditoría al manejo de mercancías (inventarios)
• Auditoría ambiental
• Auditoría de sistemas

Auditoría de sistemas computacionales

• Auditoría informática
• Auditoría con la computadora
• Auditoría sin la computadora
• Auditoría a la gestión informática
• Auditoría al sistema de cómputo
• Auditoría alrededor de la computadora
• Auditoría de la seguridad de sistemas computacionales
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputo
• Auditoría ISO-9000 a los sistemas computacionales
• Auditoría outsourcing
Auditoría ergonómica de sistemas computacionales

Síntomas de Necesidad de una Auditoría Informática:

Las empresas acuden a las auditorías externas cuando existen síntomas

bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

· Síntomas de descoordinación y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la propia

Compañía.

- Los estándares de productividad se desvían sensiblemente de los

promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una

reestructuración fallida de alguna área o en la modificación de alguna
Norma importante]

· Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos:

cambios de Software en las terminales de usuario, refrescamiento de
paneles, variación de los archivos que deben ponerse diariamente a su
disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y desatendido
permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados

periódicos. Pequeñas desviaciones pueden causar importantes desajustes
en la actividad del usuario, en especial en los resultados de Aplicaciones
críticas y sensibles.

· Síntomas de debilidades económico-financieras:

- Incremento desmesurado de costos.

- Necesidad de justificación de Inversiones Informáticas (la empresa no está

absolutamente convencida de tal necesidad y decide contrastar opiniones).

- Desviaciones Presupuestarias significativas.

- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a

Desarrollo de Proyectos y al órgano que realizó la petición).

· Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica

- Seguridad Física

- Confidencialidad

[Los datos son propiedad inicialmente de la organización que los genera. Los
datos de personal son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto aún más importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situación llegara a

percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la
cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

*Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo

sigo operando en otro lugar? Lo que generalmente se pide es que se hagan
Backups de la información diariamente y que aparte, sea doble, para tener
un Backup en la empresa y otro afuera de ésta. Una empresa puede tener
unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua)
distintos de los de la empresa principal, es decir, si a la empresa principal
le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso,
si se produce la inoperancia de Sistemas en la empresa principal, se
utilizaría el Backup para seguir operando en las oficinas paralelas. Los
Backups se pueden acumular durante dos meses, o el tiempo que estipule
la empresa, y después se van reciclando.

Síntomas de Necesidad de una Auditoría Informática:

Las empresas acuden a las auditorías externas cuando existen síntomas

bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

· Síntomas de descoordinación y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la propia

Compañía.
- Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una

reestructuración fallida de alguna área o en la modificación de alguna
Norma importante]

· Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos:

cambios de Software en las terminales de usuario, refrescamiento de
paneles, variación de los archivos que deben ponerse diariamente a su
disposición, etc.

- No se reparan las averías de Hardware ni se resuelven incidencias en

plazos razonables. El usuario percibe que está abandonado y desatendido
permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados

periódicos. Pequeñas desviaciones pueden causar importantes desajustes
en la actividad del usuario, en especial en los resultados de Aplicaciones
críticas y sensibles.

· Síntomas de debilidades económico-financieras:

- Incremento desmesurado de costos.

- Necesidad de justificación de Inversiones Informáticas (la empresa no está

absolutamente convencida de tal necesidad y decide contrastar opiniones).

- Desviaciones Presupuestarias significativas.

- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).

· Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica

- Seguridad Física

- Confidencialidad

[Los datos son propiedad inicialmente de la organización que los genera. Los
datos de personal son especialmente confidenciales]

- Continuidad del Servicio. Es un concepto aún más importante que la

Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situación llegara a

percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la
cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

*Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo
sigo operando en otro lugar? Lo que generalmente se pide es que se hagan
Backups de la información diariamente y que aparte, sea doble, para tener
un Backup en la empresa y otro afuera de ésta. Una empresa puede tener
unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua)
distintos de los de la empresa principal, es decir, si a la empresa principal
le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso,
si se produce la inoperancia de Sistemas en la empresa principal, se
utilizaría el Backup para seguir operando en las oficinas paralelas. Los
Backups se pueden acumular durante dos meses, o el tiempo que estipule
la empresa, y después se van reciclando.
PRUEBAS SUSTANTIVAS DE AUDITORIA INFORMÁTICA

Son aquellas pruebas que diseña el auditor como el objeto de conseguir

evidencia referida a la información financiera auditada. Están relacionadas
con la integridad, la exactitud y la validez de la información financiera
auditada.
Los procedimientos sustantivos intentan dar validez y fiabilidad a toda la
información que generan los estados contables y en concreto a la exactitud
monetaria de las cantidades reflejadas en los estados financieros. Las
pruebas sustanciales se orientan a obtener evidencia de la siguiente
manera:
1. evidencia física: permite identificar la existencia física de activos,
cuantificar las unidades en poder de la empresa, y en ciertos casos
especificar la calidad de los activos
2. evidencia documental: consistente en verificar documentos (financieros,
nominas, etc.)
3. evidencia por medio de libros diarios y mayores: resume todo el proceso
de contabilización de las operaciones contabilizadas por la empresa y
además son elementos imprescindibles para la preparación de los estados
financieros
4. evidencia por medio de comparaciones y ratios: es un medio de localizar
cambios significativos que deberán ser explicados al auditor
5. evidencia por medio de cálculos: realización de cálculos y pruebas
globales para verificar la precisión aritmética de saldos, registros y
documentos
6. evidencia verbal: por medio de preguntas a empleados y ejecutivos
7. el control interno como evidencia: es un medio de obtener evidencia
sustantiva y al mismo tiempo de determinar el alcance e intensidad con el
que se deben aplicar los otros tipos de evidencia indicados
Se pueden identificar 4 diferentes pruebas sustantivas:
1 -pruebas para identificar errores en el procesamiento o de falta de
seguridad o confidencialidad.

2 -prueba para asegurar la calidad de los datos.

3 -pruebas para identificar la inconsistencia de datos.

4 -prueba para comparar con los datos o contadores físicos.