A.U.D.IT.O.R.I.A 
D.E S.I.S.T.E.M.A.S

La palabra auditaría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.

A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:

• La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
• La actividad dirigida a verificar y juzgar información.
• El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Objetivos Generales de una Auditoría de Sistemas

• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
• Incrementar la satisfacción de los usuarios de los sistemas computarizados
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
• Seguridad de personal, datos, hardware, software e instalaciones
• Apoyo de función informática a las metas y objetivos de la organización
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
• Minimizar existencias de riesgos en el uso de Tecnología de información
• Decisiones de inversión y gastos innecesarios
• Capacitación y educación sobre controles en los Sistemas de Información.

Justificativos para efectuar una Auditoría de Sistemas

• Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
• Desconocimiento en el nivel directivo de la situación informática de la empresa
• Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información.
• Descubrimiento de fraudes efectuados con el computador
• Falta de una planificación informática
• Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
• Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
• Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.

TIPOS Y CLASES DE AUDITORIA 
DE SISTEMAS

Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, et.

Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas.

Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN).

Auditoria Informática De Comunicación Y Redes: Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada.

Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones.

EL AUDITOR DE SISTEMAS

El auditor de sistemas ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información.

Características del auditor de sistemas

1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Seguridad física, Administración de Datos, Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc.

2) Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial.

3) Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.

4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.

Responsabilidades del auditor de sistemas

1. Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.

2. Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración.

3. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.

4. Auditoría del riesgo operativo de los circuitos de información

5. Análisis de la administración de los riesgos de la información y de la seguridad implícita.

6. Verificación del nivel de continuidad de las operaciones.

7. Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear.

8. Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa

9. También el auditor informático es responsable de establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno.

Principios éticos del auditor de sistemas

Principio de beneficio del auditado

El auditor deberá conseguir la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada El auditor deberá evitar estar ligado a determinados intereses.

Principio de comportamiento profesional

Exige al auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias (acudiendo a expertos si necesario) dejando constancia de esa circunstancia y reflejando en forma diferenciada, en sus informes y dictámenes, las opiniones y conclusiones propias y las emitidas por los mismo. Debe guardar un escrupuloso respeto por la política de la empresa que audita

Principio de concentración en el trabajo

El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas

Nunca copiar conclusiones de otros informes de auditorías pasadas por la acumulación de trabajo

Principio de confianza:

El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional

Principio de criterio propio:

El auditor deberá actuar con criterio propio y no permitir que este este subordinado al de otros profesionales

Principio de discreción:

El auditor deberá mantener una cierta discreción en la divulgación de datos

Principio de información suficiente:
Obliga al auditor aportar en forma clara, precisa e inteligible para el auditado la información

Principio de integridad moral:

Obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a las normas morales, de justicia y probidad, y a evitar participar en actos de corrupción personal o a terceras personas.

Principio de legalidad:

El auditor deberá evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravención de la legalidad vigente.

Principio de precisión:

Exige del auditor la no conclusión de su trabajo hasta estar convencido de la viabilidad de sus propuestas

Principio de secreto profesional:

La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el auditado, e imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional

Principio de veracidad:

El auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto, corrección y secreto

Principio de servicio público:

Incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los intereses de su cliente, para evitar daños sociales como los que pueden producirse en los casos en que, durante la ejecución de la auditoría, descubra elementos de software dañinos (virus) que puedan propagarse a otros sistemas informáticos diferentes al auditado.

METODOLOGÍAS DE AUDITORIA DE SISTEMAS

Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática.

Existen algunas metodologías de Auditarías de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

1. Estudio preliminar.
2. Revisión y evaluación de controles y seguridades.
3. Examen detallado de áreas criticas.
4. Comunicación de resultados.

Estudio preliminar. Incluye definir el grupo de trabajo, el Programa de Auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.

Revisión y evaluación de controles y seguridades. Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas criticas. Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la Auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

Comunicación de resultados. Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría.
• Objetivos.
• Alcance.
• Estructura Orgánico-Funcional del área Informática.
• Configuración del Hardware y Software instalado.
• Control Interno.
• Resultados de la Auditoría.

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones definidas en las técnicas. Las herramientas utilizadas son:

• Cuestionarios 
• Entrevistas 
• Checklist 
• Trazas y software de interrogación.

LOS CUESTIONARIOS:

Es la herramienta punto de partida que permiten obtener información y
documentación de todo el proceso de una organización, que piensa ser auditado.

El auditor debe realizar una tarea de campo para obtener la información necesaria, basado en evidencias o hechos demostrables. Inicia su trabajo solicitando que se cumplimenten los cuestionarios enviados a las personas correspondientes, marcadas por el auditor.

Los cuestionarios no tienen que ser los mismos en caso de organizaciones distintas, ya que deben ser específicos para cada situación.

La fase de cuestionarios puede omitirse si el auditor ha podido recabar la información por otro medio.

LA ENTREVISTA:

En la que llega a obtener información más específica que la obtenida mediante cuestionarios, utilizando el método del interrogatorio, con preguntas variadas y sencillas, pero que han sido convenientemente elaboradas.

EL CHECKLIST: 

Conjunto de preguntas respondidas en la mayoría de las veces oralmente, destinados principalmente a personal técnico. Por estos motivos deben ser realizadas en un orden determinado, muy sistematizadas, coherentes y clasificadas por materias, permitiendo que el auditado responda claramente.

Existen dos tipos de filosofía en la generación de checklists:

De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de 1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva)

Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya respuesta puede ser Si o No.

La primera filosofía permite una mayor precisión en la evaluación, aunque depende, claro está, del equipo auditor. Los binarios, con una elaboración más compleja, deben ser más precisos.No existen checklists estándares, ya que cada organización y su auditoría tienen sus peculiaridades.

LAS TRAZAS:

Se basa en el uso de software, que permiten conocer todos los pasos seguidos por la información, sin interferir el sistema. Además del uso de las trazas, el auditor utilizará, los ficheros que el próximo sistema genera y que recoge todas las actividades que se realizan y la modificación de los datos, que se conoce con el nombre de log. El log almacena toda aquella información que ha ido cambiando y como ha ido cambiando, de forma cronológica.

En los últimos años se ha utilizado el software de interrogación para auditar ficheros y bases de datos de la organización.

Las herramientas de productividad permiten optimizar recursos en el desarrollo del proyecto. Las más comunes son:

Procesadores de datos: incluye la documentación, entrevistas, los cuestionarios.
Diagramas: flujo, de organización.
Gráficas: de estadísticas, de tiempo.
Productos CASE para el modelo de datos, procesos.
Impresoras y ordenadores
Protocolos de seguridad informática.

SOFTWARE DE AUDITORIA

El software de auditoria se refiere a los programas computacionales sofisticados que tienen la capacidad realizar cálculos a una gran velocidad, tomando como base archivos de información de diferentes plataformas y formatos. 

El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención, localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios.

Además permiten extraer información para su revisión, comparación y así obtener resultados previos al análisis realizado; estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas.

Permiten al auditor obtener información de los sistemas automatizados como evidencias de las pruebas que se diseñen y planeen antes de ejecutar el software de auditoria.

La utilización de estos programas permite el manejo de una gran cantidad de información, adicionalmente permite implementar procesos automáticos rutinarios que ahorran tiempo y permiten tener documentados los procesos a realizar. 

Objetivos

A continuación veremos una lista de los objetivos de la auditoria del entorno software: 

· Revisar la seguridad lógica sobre ficheros de datos y programas. 

· Revisar las librerías utilizadas por los programadores. 

· Examinar que los programas realizan lo que realmente se espera de ellos.

· Revisar el inventario de software.

· Comprobar la seguridad de datos y software. 

· Examinar los controles sobre los datos. 

· Revisar los procedimientos de entrada y salida. 

· Verificar las previsiones y procedimientos de back-up. 

· Revisar los procedimientos de planificación, adecuación y mantenimiento del software del sistema. 

· Revisar la documentación sobre software de base. 

· Revisar los controles sobre programas producto (paquetes externos). 

· Examinar la utilización de estos paquetes.

ENTRE ELLOS MENCIONAMOS LOS SIGUIENTES:

ManagePC 2.5.0.18

ManagePC es un programa para hacer inventarios de todos los aspectos de las máquinas que pertenecen a un mismo dominio.

Con ManagePC puedes conocer el hardware disponible en cada uno de las máquinas, los servicios operativos, el software instalado, los procesos activos en cada momento y administrar los usuarios y los grupos habilitados en el dominio.

WinAudit 2.28.2

WinAudit es para conocer exactamente qué programas tienes instalados en tu PC y los componentes de hardware?

WinAudit te inventariará toda la información. Se trata de un programa totalmente gratuito que analiza tu PC y en pocos segundos te muestra toda la información referente a programas instalados, sistema operativo, procesador, memoria, discos duros, etc.

Su uso e instalación no pueden ser más sencillos. Una vez descargado el programa descomprímelo, no requiere instalación, y comienza a inventariar (pulsando Recolectar). En breves instantes tendrás una impresionante lista, con todos los datos perfectamente agrupados, con todo lo que habita en tu PC.

Inventory 7.0.1.12

Inventory es una utilidad que te permitirá realizar audiciones o inventarios de los programas y el hardware instalado en una red de ordenadores.

Con Inventory puedes averiguar, para cada uno de los terminales de una misma red, las versiones y programas que tienen instalados, los respectivos números de serie y las características técnicas de cada máquina.

Inventory permite guardar los listados en una base de datos Access, en formato MS SQL o MSDE. De esta manera, es posible servir los informes a terceros sin realizar conversiones adicionales que puedan modificar su estructura original.

SEGURIDAD INFORMÁTICA

Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.

Cada día más y más personas mal intencionadas intentan tener acceso a los datos de nuestros ordenadores.

El acceso no autorizado a una red informática o a los equipos que en ella se encuentran pueden ocasionar en la gran mayoría de los casos graves problemas.

Uno de las posibles consecuencias de una intrusión es la pérdida de datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de las copias de seguridad. Y aunque estemos al día, no siempre es posible recuperar la totalidad de los datos.

Otro de los problemas más dañinos es el robo de información sensible y confidencial. La divulgación de la información que posee una empresa sobre sus clientes puede acarrear demandas millonarias contra esta, o un ejemplo mas cercano a usted es el de nuestras contraseñas de las cuentas de correo por las que intercambiamos información con otros.

Con la constante evolución de las computadoras es fundamental saber que recursos necesitar para obtener seguridad en los sistemas de información.

La importancia de seguridad informática, haremos referencias sobre a las formas que existen para proteger los sistemas informáticos y la información que contienen sobre accesos no autorizados, daños, modificaciones o destrucciones

OBJETIVOS

• El presente informe tiene como objetivo comprender los conceptos básicos de seguridad informática
• Describir los principales problemas de seguridad informática con los que se enfrentas los usuarios de computadoras.
• Conocer los conceptos de Integridad, confiabilidad y disponibilidad de la información.
• Conocer los factores de riegos
• Conocer los mecanismos de seguridad informática existentes.
• Concientizar sobre los riesgos a los que las organizaciones y usuarios de computadoras se enfrentan en materia de seguridad de la información
• Y por ultimo ampliar o enriquecer los conocimientos a cerca de la seguridad informática.

La seguridad informática es la disciplina que se Ocupa de diseñar las normas, procedimientos,métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos.

consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Principios de Seguridad Informática:

Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:

1. Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios , computadores y datos residen en localidades diferentes , pero están física y lógicamente interconectados.
2. Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios , computadores y procesos comparten la misma información.
3. Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente.

Factores de Riesgo:

Ambientales/Físicos : factores externos , lluvias, inundaciones , terremotos, tormentas, rayos, humedad, calor entre otros.

Tecnológicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informático, etc.

Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, alteraciones etc.

Mecanismos de seguridad

Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad , la integridad y/o la disponibilidad de un sistema informático.

Existen muchos y variados mecanismos de seguridad informática. Su selección depende del tipo de sistema, de su función y de los factores de riesgo que lo amenazan.

Clasificación según su función:

Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados.

Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la incidencia.

Correctivos: Actúan luego de ocurrido el hecho y su función es corregir la consecuencias.

Según un informe del año 1991 del Congressional Research Service, las computadoras tienen dos características inherentes que las dejan abiertas a ataques o errores operativos

1.-Una computadora hace exactamente lo que está programada para hacer, incluyendo la revelación de información importante. Un sistema puede ser reprogramado por cualquier persona que tenga los conocimientos adecuados.

2.-Cualquier computadora puede hacer sólo aquello para lo que está programada , no puede protegerse a sí misma contra un mal funcionamiento o un ataque deliberado a menos que este tipo de eventos haya sido previsto de antemano y se hayan puesto medidas necesarias para evitarlos.

Los propietarios de computadoras y los administradores utilizan una gran variedad de técnicas de seguridad para protegerse:

1. Restricciones al acceso Físico: Esta consiste en la aplicación de barreas y procedimientos de control , como medidas de prevención y contramedidas ante amenazas a los recursos de información confidencial.

ESTÁNDARES Y METODOLOGÍAS INTERNACIONALES DE AUDITORIA DE SISTEMAS

Utilización de metodologías, instrumentos y procedimientos operativos propios. En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas. 

Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: 

ISACA - Asociación de Auditoría y Control de Sistemas de Información 

ISO – Organización Internacional para la estandarización. 

NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos. 

En la actualidad existen tres tipos de metodologías de auditoría informática: 

R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen. 

CHECKLIST o cuestionarios. 

AUDITORIA DE PRODUCTOS (por ejemplo, Red Loca Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.). Metodología 

En sí las tres metodologías están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen. En consecuencia el auditor deberá revisar estos controles y su funcionamiento. 

Las metodologías de auditoría de SI son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua.

Esta metodología tiene tres etapas fundamentales:

1. ETAPA: Planeación de Auditoria de Sistemas Computacionales
2. ETAPA: Ejecución de la Auditoria de Sistemas Computacionales
3. ETAPA: Dictamen de la Auditoria de Sistemas Computacionales

1ERA. ETAPA: PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES: 

El primer paso para realizar una auditoría en sistemas computacionales es definir las actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada planeación de éstas; es decir, se deben identificar claramente las razones por las que se va a realizar la auditoría y la determinación del objetivo de la misma, así como el diseño de los métodos, técnicas y procedimientos necesarios para llevarla a cabo y para preparar los documentos que servirán de apoyo para su ejecución, culminando con la elaboración documental de los planes, programas y presupuestos para dicha auditoría. 

Concretamente, el responsable de la planeación de esta primera etapa de la metodología para realizar una auditoría de sistemas computacionales deberá iniciar con el planteamiento de los siguientes interrogantes: 

¿Por qué se realizará la auditoría? 

¿Se debe hacer una visita preliminar al área de sistemas? 

¿Cuál es el objetivo que se pretende alcanzar con esta auditoría? 

Debido a que existen múltiples métodos y técnicas de planeación, así como una abundante literatura al respecto, a continuación únicamente utilizaremos los principales conceptos que fueron definidos en el inciso anterior y que, de alguna manera, intervienen en la planeación de una auditoría de sistemas computacionales, a fin de identificar aquellos puntos que se pueden establecer como la base fundamental para definir las etapas y eventos que sirvan para planear el desarrollo de la auditoría. Esta fase de planeación culmina con la elaboración formal de planes, programas y presupuestos en documentos que sirven para consulta y control de las actividades de la revisión. 

Iniciaremos nuestro estudio de esta etapa de planeación con los siguientes puntos: 

1. Identificar el origen de la auditoría
2. Realizar una visita preliminar al área que será evaluada
3. Establecer los objetivos de la auditoría
4. Determinar los puntos que serán evaluados en la auditoría
5. Elaborar planes, programas y presupuestos para realizar la auditoría
6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría
7. Asignar los recursos y sistemas computacionales para la auditoría

2DA. ETAPA: EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES 

El siguiente paso después de la planeación de la auditoría es su ejecución, la cual estará determinada por las características concretas, los puntos y requerimientos que se estimaron en la etapa de planeación. 

Debido a que esta etapa es de realización especial, de acuerdo con la planeación de la auditoría, en este inciso sólo se indican sus puntos más importantes, en la inteligencia de que se aplicará verdaderamente de acuerdo a las características específicas de la auditoría que se trate. Los principales puntos son los siguientes. 

1. Realizar las acciones programadas para la auditoría
2. Aplicar los instrumentos y herramientas para la auditoría
3. Identificar y elaborar los documentos de desviaciones encontradas
4. Elaborar el dictamen preliminar y presentarlo a discusión
5. Integrar el legajo de papeles de trabajo de la auditoría

3RA. ETAPA: DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES: 

El último paso de la metodología que hemos estudiado es emitir el dictamen, el cual es el resultado final de la auditoría de sistemas computacionales. Para ello presentamos los siguientes puntos: 

1. Analizar la información y elaborar un informe de situaciones detectadas 

2. Elaborar el dictamen final 

3. Presentar el informe de auditoría 

1. Analizar la información y elaborar un informe de situaciones detectadas 

La actividad previa, o más bien paralela, a la detección de las desviaciones, es el análisis de los papeles de trabajo y la elaboración en borrador de las llamadas situaciones detectadas; el propósito es que el auditor elabore su borrador y comente las desviaciones con los auditados. Después de comentarlas, debe elaborar las modificaciones pertinentes, así como el informe definitivo de las situaciones encontradas. 

Es necesario advertir que el fin de una auditoría de sistemas computacionales no es encontrar culpables, sino ayudar a corregir las desviaciones encontradas en la operación normal de dichos sistemas; esto se logra comentando las desviaciones con los responsables directos, con el fin de que las conozcan y tomen las acciones necesarias para su corrección. 

En la realización de la auditoria de Sistemas computacionales debemos de realizarlo considerando las normas y estándares internacionales, de los cuales expondremos a continuación.

COBIT (OBJETIVOS DE CONTROL PARA TECNOLOGÍA DE INFORMACIÓN Y TECNOLOGÍAS RELACIONADAS)

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control; COBIT, basado en la filosofía de que los recursos de TI, consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

Se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. 

Misión
COBIT investiga, desarrolla, publica y promueve un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores. 

Usuarios
Los usuarios de COBIT son aquellos quienes desean mejorar y garantizar la seguridad de sus sistemas bajo un estricto método control de tecnología de información como lo es COBIT:

1. La gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. 
2. Los usuarios finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. 
3. Los auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. 

Los responsables de TI: para identificar los controles que requieren en sus áreas.

Características de COBIT

• Orientado al negocio. 
• Alineado con estándares y regulaciones "de facto". 
• Basado en una revisión crítica y analítica de las tareas y actividades en TI. 
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA). 

Principios de COBIT
El enfoque del control en TI (Tecnología de información) se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con la tecnología de información que deben ser administrados por procesos de TI.

• Procesos de TI 
• Requerimientos de información del negocio 
• Recursos de TI

NORMA ISO 17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigida a los responsables de iniciar, implantar o mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

La seguridad de la información se define como la preservación de: 

• Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. 
• Integridad: Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento. 
• Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. 

El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad. La norma ISO 17799 establece diez dominios de control que cubren por completo la gestión de la seguridad de la información: 

1. Política de seguridad. 
2. Aspectos organizativos para la seguridad. 
3. Clasificación y control de activos. 
4. Seguridad ligada al personal. 
5. Seguridad física y del entorno. 
6. Gestión de comunicaciones y operaciones. 
7. Control de accesos. 
8. Desarrollo y mantenimiento de sistemas. 
9. Gestión de continuidad del negocio. 
10. Conformidad con la legislación. 

De estos diez dominios se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de controles) y 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).

Normas Internacionales de Auditoría emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditoría o International Standards on Auditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras técnicas además de las manuales. 
NORMA ISA 401

SOBRE SISTEMAS DE INFORMACIÓN POR COMPUTADORA. SAS NO. 94 (THE EFFECT OF INFORMATION TECHNOLOGY ON THE AUDITOR'S CONSIDERATION OF INTERNAL CONTROL IN A FINANCIAL STATEMENT AUDIT)

Dice que en una organización que usa Tecnologías de Información, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y reporta las transacciones.

SAP 1009 

(STATEMENT OF AUDITING PRACTICE)

Denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por Computador, plantea la importancia del uso de CAAT en auditorías en un entorno de sistemas de información por computadora. 

SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditoría para procesar datos de significancia en un sistema de información. 

SAP 1009 describe los procedimientos de auditoría en que pueden ser usados los CAAT: 
Pruebas de detalles de transacciones y balances (recálculos de intereses, extracción de ventas por encima de cierto valor, etc.) 

• Procedimientos analíticos, por ejemplo identificación de inconsistencias o fluctuaciones significativas. 
• Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones. 
• Programas de muestreo para extraer datos. 
• Pruebas de control en aplicaciones. 
• Recálcalos.

ISO 27001 

(INFORMATION TECHNOLOGY – SECURITY TECHNIQUES – INFORMATION SECURITY MANAGEMENT SYSTEMS – REQUIREMENTS)

ISO / IEC 27001: 2005 cubre todos los tipos de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro). 

Especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la información documentada en el contexto de los riesgos de negocio globales de la organización. Especifica los requisitos para la aplicación de controles de seguridad adaptados a las necesidades de las organizaciones individuales o partes de los mismos.

Está diseñado para garantizar la selección de controles de seguridad adecuadas y proporcionadas para proteger los activos de información y dar confianza a las partes interesadas.

Se pretende que sea adecuado para varios tipos diferentes de uso, incluyendo los siguientes:

Usar dentro de las organizaciones para formular requisitos y objetivos de seguridad; usar dentro de las organizaciones como una forma de garantizar que los riesgos de seguridad están cuestan administrados de manera eficaz; usar dentro de las organizaciones para asegurar el cumplimiento con las leyes y reglamentos; utilizar dentro de una organización como marco para el proceso de implementación y gestión de controles para asegurar que se cumplen los objetivos específicos de seguridad de una organización; definición de nuevos procesos de gestión de seguridad de la información; identificación y clarificación de los procesos de gestión de seguridad de la información existentes; utilizar por la gestión de las organizaciones para determinar el estado de las actividades de gestión de seguridad de la información; uso de los auditores internos y externos de las organizaciones para determinar el grado de cumplimiento de las políticas, directrices y normas adoptadas por una organización; utilizar las organizaciones para proporcionar información relevante acerca de las políticas de seguridad de la información, directivas, normas y procedimientos a los socios comerciales y otras organizaciones con las que interactúan, por razones operativas o comerciales.

Implementación de seguridad de la información empresarial propicio; utilizar las organizaciones para proporcionar información relevante sobre seguridad de la información a los clientes.

ISO 27002

(INFORMATION TECHNOLOGY – SECURITY TECHNIQUES – CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT)

Hemos resumido en el siguiente diagrama la relación de requisitos específicos localizados en cláusulas del estándar ISO/IEC 27001:2005 con aquellos estándares que pueden servir de ayuda y/o desarrollo de posibles soluciones de implantación:


Estas relaciones han cambiado con la publicación de la nueva versión ISO/IEC 27001:2013 según la reorganización de las publicaciones ISO en la nueva estructura de Anexo SL que, junto a los cambios en los contenidos, ha desencadenado la actualización de las normas de la serie 27000. A continuación se muestra un diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013.

ISO/IEC 12207 

(SOFTWARE LIFE CYCLE PROCESS)

ISO / IEC 12207: 2008 establece un marco común para los procesos del ciclo de vida del software, con la terminología bien definida, que puede ser referenciado por la industria del software. 

Contiene los procesos, actividades y tareas que se van a aplicar durante la adquisición de un producto de software o servicio y durante el suministro, desarrollo, operación, mantenimiento y eliminación de productos de software. 

El software incluye la parte de software de firmware. ISO / IEC 12207: 2008 se aplica a la adquisición de sistemas y productos de software y servicios, con el suministro, desarrollo, operación, mantenimiento y eliminación de productos de software y la parte de software de un sistema, bien sea interna o externamente a una organización. 

Se incluyen aquellos aspectos de la definición del sistema necesario para proporcionar el contexto para los productos y servicios de software. ISO / IEC 12207: 2008 también proporciona un procedimiento que puede ser empleado para definir, controlar y mejorar los procesos del ciclo de vida del software. Los procesos, actividades y tareas de la norma ISO / IEC 12207: 2008 - ya sea solos o en combinación con la norma ISO / IEC 15288 - También se puede aplicar durante la adquisición de un sistema que contiene el software.

COSO

El “Informe C.O.S.O.” es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes. 

El modelo coso es producto de un informe sobre control interno realizado por una comisión llamada: Sponsoring Organizations of the Treadway Comisión denominado así, porque se trata de un trabajo que encomendó el Instituto Americano de Contadores Públicos, la Asociación Americana de Contabilidad, el Instituto de Auditores Internos que agrupa alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta países, el Instituto de Administración y Contabilidad, y el Instituto de Ejecutivos Financieros. 

Ambiente de Control

El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando disciplina a la estructura. En él se apoyarán los restantes componentes, por lo que será fundamental para concretar los cimientos de un eficaz y eficiente sistema de Control Interno. Marca la pauta del funcionamiento de la Unidad e influye en la concientización de sus funcionarios.

Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores Éticos, la Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación de Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal utilizadas.

Evaluación de Riesgos

Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados. Una condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos niveles, los cuales deberán estar vinculados entre sí.

La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados. A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad disponga de mecanismos para identificar y afrontar los riesgos asociados al cambio.

En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente definidos, que los mismos sean consistentes con los objetivos institucionales, que fueran oportunamente comunicados, que fueran detectados y analizados adecuadamente los riesgos y, que se los haya clasificado de acuerdo a la relevancia y probabilidad de ocurrencia.

Actividades de Control

Las actividades de control son: Las políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados durante el proceso de Evaluación de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos por ella.

Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos, de acuerdo a lo señalado en el punto anterior.

En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron establecidas las actividades relevantes para los riesgos identificados, sino también si las mismas son aplicadas en la realidad y si los resultados obtenidos fueron los esperados.

Información y Comunicación

Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que permitan cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una comunicación eficaz -en un sentido amplio- que fluya en todas direcciones a través de todos los ámbitos de la Unidad, de forma descendente como ascendente.

La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario dentro del Sistema de Control Interno implementado. Los funcionarios tienen que comprender cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están relacionadas con el trabajo del resto.

Supervisión y Monitoreo

Los Sistemas de Control Interno requieren -principalmente- de Supervisión, es decir, un proceso que verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas.

El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control.

Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido en el estándar de referencia.

Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo.

Es un medio para un fin, no un fin en sí mismo. Efectuado por la junta directiva, gerencia u otro personal.

No es sólo normas, procedimientos y formas involucra gente. Aplicado en la definición de la estrategia y aplicado a través de la organización en cada nivel y unidad

Diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio.