Auditoria de Sistemas

2. El problema de
   investigación
3. Bases
   teóricas
4. Auditoría de Sistemas
   en el contexto del centro de comunicaciones
5. Conclusión
6. Bibliografia

INTRODUCCION

Los Sistemas
Informáticos se han constituido en las herramientas
más poderosas para materializar uno de los conceptos
más vitales y necesarios para cualquier organización empresarial, los Sistemas de
Información de la
empresa.

La Informática hoy, está subsumida en
la gestión
integral de la empresa, y por
eso las normas y
estándares propiamente informáticos deben estar,
por lo tanto, sometidos a los generales de la misma. En
consecuencia, las organizaciones
informáticas forman parte de lo que se ha denominado la
gestión
de la empresa. Cabe
aclarar que la Informática no gestiona propiamente la
empresa, ayuda
a la toma de
decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa,
existe la auditoria Informática.

El término de Auditoria se ha empleado
incorrectamente con frecuencia ya que se ha considerado como una
evaluación cuyo único fin es
detectar errores y señalar fallas. A causa de esto, se ha
tomado la frase "Tiene Auditoria" como sinónimo de que, en
dicha entidad, antes de realizarse la auditoria, ya se
habían detectado fallas.

El concepto de
auditoria es mucho más que esto.

La palabra auditoria proviene del latín
auditorius, y de esta proviene la palabra auditor, que se refiere
a todo aquel que tiene la virtud de oír.

Por otra parte, también se define como:
Revisor de Cuentas
colegiado. En un principio esta definición carece de la
explicación del objetivo
fundamental que persigue todo auditor: evaluar la eficiencia y
eficacia.

"La auditoria no es una actividad meramente mecánica que implique la aplicación
de ciertos procedimientos
cuyos resultados, una vez llevado a cabo son de carácter
indudable", de esta manera es definido el termino auditor
según las Normas de
auditoria del Instituto mexicano de contadores.

La auditoria es un examen, que no implica la
preexistencia de fallas en la entidad auditada y que persigue el
fin de evaluar y mejorar la eficacia y
eficiencia de
una sección o de un organismo.

El auditor informático ha de velar por la
correcta utilización de los amplios recursos que la
empresa pone en juego para
disponer de un eficiente y eficaz sistema de
información. Claro está, que para la
realización de una auditoria informática eficaz, se
debe entender a la empresa en su más amplio sentido, ya
que una universidad, un
ministerio o un hospital son tan empresas como una
sociedad
anónima o empresa Pública, al igual que en este
caso, un Centro de Comunicaciones, no importa al sector al cual
pertenezca el ente que va a ser auditado sea publico o privado,
ambos utilizan la informática para gestionar sus negocios de
forma rápida y eficiente, con el fin de obtener beneficios
económicos y reducción de costes.

Por eso, al igual que los demás órganos
de la empresa (Balances y Cuentas, Tarifas,
Sueldos, etc.), los Sistemas
Informáticos están sometidos al control
correspondiente, o al menos debería
estarlo.

CAPITULO I: EL PROBLEMA DE
INVESTIGACIÓN

Auditoria de Sistemas

1.1.- PLANTEAMIENTO DEL PROBLEMA

El avance de la informática, los sistemas, las
telecomunicaciones, y otras aplicaciones de
tecnología, han permitido a la sociedad moderna
a través de entes públicos y privados desarrollarse
rápidamente, en todos los ámbitos y sentidos, en
especial hará énfasis en el desarrollo de
los negocios, el
cual esta íntimamente relacionado con la tecnología
de información, y a su permitido la evolución en la forma de llevar los
procesos.

Dicha tecnología, ha
permitido que los sistemas informáticos estén
sometidos al control
correspondiente. La importancia de llevar un control de esta
herramienta se puede deducir de varios aspectos. He aquí
algunos:

• Las computadoras
  y los centros de proceso de
  datos se
  convirtieron en blancos apetecibles no solo para el espionaje,
  sino para la delincuencia
  y el terrorismo
  (delitos
  informáticos y otros).
• Las computadoras
  creadas para procesar y difundir resultados o información elaborada pueden producir
  resultados o información errónea si dichos
  datos son, a su
  vez, erróneos. Este concepto obvio
  es a veces olvidado por las mismas empresas que
  terminan perdiendo de vista la naturaleza y
  calidad de los
  datos de entrada a sus sistemas informáticos, con la
  posibilidad de que se provoque un efecto cascada y afecte a
  aplicaciones independientes.
• Un sistema
  informático mal diseñado puede convertirse en una
  herramienta muy peligrosa para la empresa: como las maquinas
  obedecen ciegamente a las órdenes recibidas y la
  modelización de la empresa está determinada por
  las computadoras que materializan los sistemas de
  información, la gestión y la
  organización de la empresa no puede depender de un
  software y
  hardware mal
  diseñados.

El desarrollo de
este informe
será enfocado a un Centro de Comunicaciones, el cual se divide en dos
ambientes, el área de navegación (internet) y el área
de telefonía,

La auditoria de sistemas, permite mostrar las debilidades y
las fortalezas de esta empresa, con respecto a los controles que
se estén empleando, a los sistemas y procedimientos de
la informática, los equipos de cómputo que se
emplean, su utilización, eficiencia y seguridad. Para
ello se realiza una inspección pormenorizada de los
sistemas de información, desde sus entradas,
procedimientos, comunicación, controles, archivos,
seguridad,
personal y
obtención de la información, cabe recalcar que, la
auditoria inicia su actividad cuando los sistemas están
operativos y el principal objetivo es el
de mantener tal como esta la situación para comenzar el
levantamiento de información. Posteriormente la auditoria
generara un informe, para que
las debilidades que son detectadas, sean corregidas y se
establecen nuevos métodos de
prevención con el fin de mejorar los procesos,
aumentar la confiabilidad en los sistemas y reducir los riesgos.

1.2.- Objetivos del
Informe

1.2.1.- Objetivo General

• Determinar las posibles vulnerabilidades del sistema y
  plataforma tecnológicas utilizadas en el centro de
  comunicaciones, con el fin de hacer las recomendaciones que
  dieran lugar.

1.2.2.- Objetivos
Específicos

• Incrementar la satisfacción de los usuarios de los
  sistemas computarizados.
• Asegurar una mayor integridad, confidencialidad y
  confiabilidad de la información mediante la
  recomendación de seguridades y controles.
• Conocer la situación actual del área de
  navegación y del área de telefonía del Centro de Comunicaciones,
  así como también, las actividades que se
  desarrollan y los esfuerzos que se realizan para lograr los
  objetivos propuestos en dicha empresa.
• Reducir riesgos y
  aumentar los controles.
• Seguridad, utilidad,
  confianza, privacidad y disponibilidad en el ambiente
  informático.
• Capacitación y educación sobre controles en los sistemas
  de información.

BASES
TEORICAS

Auditoria

La auditoria nace como un órgano de control de algunas
instituciones
estatales y privadas. Su función
inicial es estrictamente económico-financiera.

La función
auditora debe ser absolutamente independiente; no tiene carácter
ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de
la empresa tomar las decisiones pertinentes. La auditoria
contiene elementos de análisis, de verificación y de
exposición de debilidades y disfunciones.
Aunque pueden aparecer sugerencias y planes de acción para
eliminar las disfunciones y debilidades antedichas; estas
sugerencias plasmadas en el Informe final reciben el nombre de
Recomendaciones.

Las funciones de
análisis y revisión que el auditor
informático realiza, puede chocar con la psicología del
auditado, ya que es un informático y tiene la necesidad de
realizar sus tareas con racionalidad y eficiencia. La reticencia
del auditado es comprensible y, en ocasiones, fundada. El nivel
técnico del auditor es a veces insuficiente, dada la gran
complejidad de los Sistemas, unidos a los plazos demasiado breves
de los que suelen disponer para realizar su tarea.

Además del chequeo de los Sistemas, el auditor somete
al auditado a una serie de cuestionario.
Dichos cuestionarios, llamados Check List, son guardados
celosamente por las empresas auditoras, ya que son activos
importantes de su actividad. Las Check List tienen que ser
comprendidas por el auditor al pie de la letra, ya que si son mal
aplicadas y mal recitadas se pueden llegar a obtener resultados
distintos a los esperados por la empresa auditora. La Check List
puede llegar a explicar cómo ocurren los hechos pero no
por qué ocurren. El cuestionario
debe estar subordinado a la regla, a la norma, al método.
Sólo una metodología precisa puede
desentrañar las causas por las cuales se realizan
actividades teóricamente inadecuadas o se omiten otras
correctas.

El auditor sólo puede emitir un juicio global o parcial
basado en hechos y situaciones incontrovertibles, careciendo de
poder para
modificar la situación analizada por él mismo.

Auditoria Interna y Auditoria Externa

La auditoria interna es la realizada con recursos materiales y
personas que pertenecen a la empresa auditada. Los empleados que
realizan esta tarea son remunerados económicamente. La
auditoria interna existe por expresa decisión de la
Empresa, o sea, que puede optar por su disolución en
cualquier momento.

Por otro lado, la auditoria externa es realizada por personas
afines a la empresa auditada; es siempre remunerada. Se presupone
una mayor objetividad que en la Auditoria Interna, debido al
mayor distanciamiento entre auditores y auditados.

La auditoria informática interna cuenta con algunas
ventajas adicionales muy importantes respecto de la auditoria
externa, las cuales no son tan perceptibles como en las auditorias
convencionales. La auditoria interna tiene la ventaja de que
puede actuar periódicamente realizando Revisiones
globales, como parte de su Plan Anual y de
su actividad normal. Los auditados conocen estos planes y se
habitúan a las Auditorias,
especialmente cuando las consecuencias de las Recomendaciones
habidas benefician su trabajo.

En una empresa, los
responsables de Informática escuchan, orientan e informan
sobre las posibilidades técnicas y
los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informática trata de satisfacer lo más
adecuadamente posible aquellas necesidades. La empresa necesita
controlar su Informática y ésta necesita que su
propia gestión esté sometida a los mismos
Procedimientos y estándares que el resto de aquella. La
conjunción de ambas necesidades cristaliza en la figura
del auditor interno informático.

En cuanto a empresas se refiere, solamente las más
grandes pueden poseer una auditoria propia y permanente, mientras
que el resto acuden a las auditorias externas. Puede ser que
algún profesional informático sea trasladado desde
su puesto de trabajo a la auditoria interna de la empresa cuando
ésta existe. Finalmente, la propia Informática
requiere de su propio grupo de
control
interno, con implantación física en su estructura,
puesto que si se ubicase dentro de la estructura
Informática ya no sería independiente. Hoy, ya
existen varias organizaciones
informáticas dentro de la misma empresa, y con diverso
grado de autonomía, que son coordinadas por órganos
corporativos de Sistemas de Información de las
Empresas.

Una empresa o institución que posee auditoria interna
puede y debe en ocasiones contratar servicios de
auditoria externa. Las razones para hacerlo suelen ser:

• Necesidad de auditar una materia de
  gran especialización, para la cual los servicios
  propios no están suficientemente capacitados.
• Contrastar algún Informe interno con el que resulte
  del externo, en aquellos supuestos de emisión interna de
  graves recomendaciones que chocan con la opinión
  generalizada de la propia empresa.
• Servir como mecanismo protector de posibles auditorias
  informáticas externas decretadas por la misma
  empresa.
• Aunque la auditoria interna sea independiente del
  Departamento de Sistemas, sigue siendo la misma empresa, por lo
  tanto, es necesario que se le realicen auditorias externas como
  para tener una visión desde afuera de la empresa.

La auditoria informática, tanto externa como interna,
debe ser una actividad exenta de cualquier contenido o matiz
"político" ajeno a la propia estrategia y
política
general de la empresa. La función auditora puede actuar de
oficio, por iniciativa del propio órgano, o a instancias
de parte, esto es, por encargo de la dirección o cliente.

Alcance de la Auditoria Informática

El alcance ha de definir con precisión el entorno y los
límites
en que va a desarrollarse la auditoria informática, se
complementa con los objetivos de ésta. El alcance ha de
figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas.

Características de la Auditoria
Informática

La información de la empresa y para la empresa, siempre
importante, se ha convertido en un Activo Real de la misma, como
sus stocks o materias primas si las hay. Por ende, han de
realizarse inversiones
informáticas, materia de la
que se ocupa la Auditoria de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de
protegerse de modo global y particular: a ello se debe la
existencia de la auditoria de seguridad
informática en general, o a la auditoria de seguridad
de alguna de sus áreas, como pudieran ser desarrollo o
técnica de sistemas.

Cuando se producen cambios estructurales en la
Informática, se reorganiza de alguna forma su
función: se está en el campo de la auditoria de
Organización Informática.

Estos tres tipos de auditorias engloban a las actividades
auditoras que se realizan en una auditoria parcial. De otra
manera: cuando se realiza una auditoria del área de
Desarrollo de Proyectos de la
Informática de una empresa, es porque en ese Desarrollo
existen, además de ineficiencias, debilidades de
organización, o de inversiones, o
de seguridad, o alguna mezcla de ellas.

Síntomas de Necesidad de una auditoria
informática:

Las empresas acuden a las auditorias externas cuando existen
síntomas bien perceptibles de debilidad. Estos
síntomas pueden agruparse en clases:

• Síntomas de descoordinación y
  desorganización:

– No coinciden los objetivos de la Informática de la
Compañía y de la propia
Compañía.

– Los estándares de productividad
se desvían sensiblemente de los promedios conseguidos
habitualmente.

Puede ocurrir con algún cambio masivo
de personal, o en
una reestructuración fallida de alguna área o en la
modificación de alguna Norma importante

• Síntomas de mala imagen e
  insatisfacción de los usuarios:

– No se atienden las peticiones de cambios de los
usuarios.

– No se reparan las averías de Hardware ni se
resuelven incidencias en plazos razonables. El usuario percibe
que está abandonado y desatendido permanentemente.

– No se cumplen en todos los casos los plazos de entrega de
resultados periódicos. Pequeñas desviaciones
pueden causar importantes desajustes en la actividad del
usuario, en especial en los resultados de Aplicaciones
críticas y sensibles.

• Síntomas de debilidades
  económico-financiero:

– Incremento desmesurado de costes.

– Necesidad de justificación de Inversiones
Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).

– Desviaciones Presupuestarias significativas.

– Costes y plazos de nuevos proyectos
(deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la
petición).

• Síntomas de Inseguridad:
  Evaluación de nivel de riesgos

– Seguridad Lógica

– Seguridad Física

– Confidencialidad

Los datos son propiedad
inicialmente de la
organización que los genera. Los datos de personal
son especialmente confidenciales.

– Continuidad del Servicio. Es
un concepto aún más importante que la Seguridad.
Establece las estrategias de
continuidad entre fallos mediante Planes de Contingencia

• Totales y Locales

– Centro de Proceso de
Datos fuera de control. Si tal situación llegara a
percibirse, sería prácticamente inútil la
auditoria. Esa es la razón por la cual, en este caso, el
síntoma debe ser sustituido por el mínimo
indicio.

Planes de Contingencia:

Si se produce la inoperancia de sistemas en la empresa
principal, se utilizaría el backup para seguir operando en
las oficinas paralelas. Los backups se pueden acumular durante
dos meses, o el tiempo que
estipule la empresa, y después se van reciclando.

Tipos y clases
de auditorias

El departamento de Informática posee una actividad
proyectada al exterior, al usuario, aunque el "exterior" siga
siendo la misma empresa. He aquí, la auditoria
Informática de Usuario. Se hace esta distinción
para contraponerla a la informática interna, en donde se
hace la informática cotidiana y real. En consecuencia,
existe una auditoria Informática de actividades
internas.

El control del funcionamiento del departamento de
informática con el exterior, con el usuario se realiza por
medio de la Dirección. Su figura es importante, en
tanto en cuanto es capaz de interpretar las necesidades de la
Compañía. Una informática eficiente y eficaz
requiere el apoyo continuado de su Dirección frente al
"exterior". Revisar estas interrelaciones constituye el objeto de
la auditoria Informática de Dirección. Estas tres
auditorias, mas la auditoria de Seguridad, son las cuatro
áreas Generales de la auditoria Informática
más importantes.

Dentro de las áreas generales, se establecen las
siguientes divisiones de Auditoria Informática: de
Explotación, de Sistemas, de Comunicaciones y de
Desarrollo de Proyectos. Estas son las Áreas Especificas
de la Auditoria Informática más importantes.

Cada área específica puede
ser auditada desde los siguientes criterios generales:

• Desde su propio funcionamiento interno.
• Desde el apoyo que recibe de la Dirección y,
  en sentido ascendente, del grado de cumplimiento de las
  directrices de ésta.
• Desde la perspectiva de los usuarios, destinatarios
  reales de la informática.
• Desde el punto de vista de la seguridad que ofrece la
  Informática en general o la rama auditada.

Estas combinaciones pueden ser ampliadas y reducidas
según las características de la empresa
auditada.

Objetivo fundamental de la auditoria
informática

Operatividad

La operatividad es una función de mínimos
consistente en que la organización y las maquinas
funcionen, siquiera mínimamente. No es admisible detener
la maquinaria informática para descubrir sus fallos y
comenzar de nuevo. La auditoria debe iniciar su actividad cuando
los Sistemas están operativos, es el principal objetivo el
de mantener tal situación. Tal objetivo debe conseguirse
tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir
entonces la principal preocupación del auditor
informático. Para conseguirla hay que acudir a la
realización de Controles Técnicos Generales de
Operatividad y Controles Técnicos Específicos de
Operatividad, previos a cualquier actividad de aquel.

• Los Controles Técnicos Generales son los que
  se realizan para verificar la compatibilidad de funcionamiento
  simultáneo del Sistema
  Operativo y el Software de
  base con todos los subsistemas existentes, así como la
  compatibilidad del Hardware y del Software instalados. Estos
  controles son importantes en las instalaciones que cuentan con
  varios competidores, debido a que la profusión de
  entornos de trabajo muy diferenciados obliga a la
  contratación de diversos productos de
  Software básico, con el consiguiente riesgo de
  abonar más de una vez el mismo producto o
  desaprovechar parte del Software abonado. Puede ocurrir
  también con los productos de
  Software básico desarrollados por el personal de
  Sistemas Interno, sobre todo cuando los diversos equipos
  están ubicados en Centros de Proceso de Datos
  geográficamente alejados. Lo negativo de esta
  situación es que puede producir la inoperatividad del
  conjunto. Cada Centro de Proceso de Datos tal vez sea operativo
  trabajando independientemente, pero no será posible la
  interconexión e intercomunicación de todos los
  Centros de Proceso de Datos si no existen productos comunes y
  compatibles.
• Los Controles Técnicos Específicos, de
  modo menos acusado, son igualmente necesarios para lograr la
  Operatividad de los Sistemas. Un ejemplo de lo que se puede
  encontrar mal son parámetros de asignación
  automática de espacio en disco que dificulten o impidan
  su utilización posterior por una Sección distinta
  de la que lo generó. También, los periodos de
  retención de ficheros comunes a varias Aplicaciones
  pueden estar definidos con distintos plazos en cada una de
  ellas, de modo que la pérdida de información es
  un hecho que podrá producirse con facilidad, quedando
  inoperativa la explotación de alguna de las Aplicaciones
  mencionadas.
• Revisión de Controles de la
  Gestión Informática

Una vez conseguida la Operatividad de los Sistemas, el
segundo objetivo de la auditoria es la verificación de la
observancia de las normas teóricamente existentes en el
departamento de Informática y su coherencia con las del
resto de la empresa. Para ello, habrán de revisarse
sucesivamente y en este orden:

1. Las Normas Generales de la Instalación
   Informática. Se realizará una revisión
   inicial sin estudiar a fondo las contradicciones que pudieran
   existir, pero registrando las áreas que carezcan de
   normativa, y sobre todo verificando que esta Normativa General
   Informática no está en contradicción con
   alguna Norma General no informática de la
   empresa.
3. Los Procedimientos Generales Informáticos. Se
   verificará su existencia, al menos en los sectores
   más importantes. Por ejemplo, la recepción
   definitiva de las máquinas
   debería estar firmada por los responsables de
   Explotación. Tampoco el alta de una nueva
   Aplicación podría producirse si no existieran los
   Procedimientos de Backup y Recuperación
   correspondientes.
4. Los Procedimientos Específicos
   Informáticos. Igualmente, se revisara su existencia en
   las áreas fundamentales. Así, Explotación
   no debería explotar una Aplicación sin haber
   exigido a Desarrollo la pertinente documentación. Del mismo modo,
   deberá comprobarse que los Procedimientos
   Específicos no se opongan a los Procedimientos
   Generales. En todos los casos anteriores, a su vez,
   deberá verificarse que no existe contradicción
   alguna con la Normativa y los Procedimientos Generales de la
   propia empresa, a los que la Informática debe estar
   sometida.

Auditoria
Informática de Explotación

La Explotación Informática se ocupa de producir
resultados informáticos de todo tipo: listados impresos,
ficheros soportados magnéticamente para otros
informáticos, ordenes automatizadas para lanzar o
modificar procesos industriales, etc. La explotación
informática se puede considerar como una fabrica con
ciertas peculiaridades que la distinguen de las reales. Para
realizar la Explotación Informática se dispone de
una materia prima,
los Datos, que es necesario transformar, y que se someten
previamente a controles de integridad y calidad. La
transformación se realiza por medio del proceso
informático, el cual está gobernado por programas.
Obtenido el producto
final, los resultados son sometidos a varios controles de calidad
y, finalmente, son distribuidos al cliente, al
usuario.

Auditar Explotación consiste en auditar las secciones
que la componen y sus interrelaciones. La Explotación
Informática se divide en tres grandes áreas:
Planificación, Producción y Soporte Técnico, en la
que cada cual tiene varios grupos.

Control de Entrada de Datos:

Se analizará la captura de la información en
soporte compatible con los Sistemas, el cumplimiento de plazos y
calendarios de tratamientos y entrega de datos; la correcta
transmisión de datos entre entornos diferentes. Se
verificará que los controles de integridad y calidad de
datos se realizan de acuerdo a Norma.

Planificación y Recepción de
Aplicaciones:

Se auditarán las normas de entrega de Aplicaciones por
parte de Desarrollo, verificando su cumplimiento y su calidad de
interlocutor único. Deberán realizarse muestreos
selectivos de la Documentación de las Aplicaciones
explotadas. Se inquirirá sobre la anticipación de
contactos con Desarrollo para la planificación a medio y largo plazo.

Centro de Control y Seguimiento de Trabajos:

Se analizará cómo se prepara, se lanza y se
sigue la producción diaria. Básicamente, la
explotación Informática ejecuta procesos por
cadenas o lotes sucesivos (Batch), o en tiempo real
(Tiempo Real*). Mientras que las Aplicaciones de Teleproceso
están permanentemente activas y la función de
Explotación se limita a vigilar y recuperar incidencias,
el trabajo
Batch absorbe una buena parte de los efectivos de
Explotación. En muchos Centros de Proceso de Datos,
éste órgano recibe el nombre de Centro de Control
de Batch. Este grupo
determina el éxito
de la explotación, en cuanto que es uno de los factores
más importantes en el mantenimiento
de la producción.

Batch y Tiempo Real:

Las Aplicaciones que son Batch son Aplicaciones que cargan
mucha información durante el día y durante la noche
se corre un proceso enorme que lo que hace es relacionar toda la
información, calcular cosas y obtener como salida, por
ejemplo, reportes. O sea, recolecta información durante el
día, pero todavía no procesa nada. Es solamente un
tema de "Data Entry" que recolecta información, corre el
proceso Batch (por lotes), y calcula todo lo necesario para
arrancar al día siguiente.

Las Aplicaciones que son Tiempo Real u Online, son las que,
luego de haber ingresado la información correspondiente,
inmediatamente procesan y devuelven un resultado. Son Sistemas
que tienen que responder en Tiempo Real.

Operación

Salas de Ordenadores:

Se intentarán analizar las relaciones personales y la
coherencia de cargos y salarios,
así como la equidad en la asignación de turnos de
trabajo. Se verificará la existencia de un responsable de
Sala en cada turno de trabajo. Se analizará el grado de
automatización de comandos, se
verificara la existencia y grado de uso de los Manuales de
Operación. Se analizará no solo la existencia de
planes de formación, sino el cumplimiento de los mismos y
el tiempo transcurrido para cada Operador desde el último
Curso recibido. Se estudiarán los montajes diarios y por
horas de cintas o cartuchos, así como los tiempos
transcurridos entre la petición de montaje por parte del
Sistema hasta el montaje real. Se verificarán las
líneas de papel impresas
diarias y por horas, así como la manipulación de
papel que
comportan.

Centro de Control de Red y Centro de Diagnosis
(Help Desk):

El Centro de Control de Red suele ubicarse en el
área de producción de Explotación. Sus
funciones se
refieren exclusivamente al ámbito de las Comunicaciones,
estando muy relacionado con la organización de Software de
Comunicaciones de Técnicas
de Sistemas. Debe analizarse la fluidez de esa relación y
el grado de coordinación entre ambos. Se
verificará la existencia de un punto focal único,
desde el cual sean perceptibles todas las líneas asociadas
al Sistema. El Centro de Diagnosis (Help Desk) es el ente en
donde se atienden las llamadas de los usuarios-clientes que han
sufrido averías o incidencias, tanto de Software como de
Hardware. El Centro de Diagnosis está especialmente
indicado para informáticos grandes y con usuarios
dispersos en un amplio territorio. Es uno de los elementos que
más contribuyen a configurar la imagen de la
Informática de la empresa. Debe ser auditada desde esta
perspectiva, desde la sensibilidad del usuario sobre el servicio que
se le dispone. No basta con comprobar la eficiencia
técnica del centro, es necesario analizarlo
simultáneamente en el ámbito de Usuario.

Auditoria Informática de
Desarrollo de Proyectos o Aplicaciones:

La función de Desarrollo es una evolución del llamado Análisis y
Programación de Sistemas y Aplicaciones. A
su vez, engloba muchas áreas, tantas como sectores
informatizables tiene la empresa. Muy escuetamente, una
Aplicación recorre las siguientes fases:

• Pre-requisitos del Usuario (único o plural) y del
  entorno
• Análisis funcional
• Diseño
• Análisis orgánico (Preprogramación y
  Programación)
• Pruebas
• Entrega a Explotación y alta para el Proceso.

Estas fases deben estar sometidas a un exigente control
interno, caso contrario, además del disparo de los
costes, podrá producirse la insatisfacción del
usuario. Finalmente, la auditoria deberá comprobar la
seguridad de los programas en el
sentido de garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.

Una auditoria de Aplicaciones pasa indefectiblemente por la
observación y el análisis de cuatro
consideraciones:

1. Revisión de las metodologías utilizadas: Se
   analizaran éstas, de modo que se asegure la modularidad
   de las posibles futuras ampliaciones de la Aplicación y
   el fácil mantenimiento de las mismas.
2. Control Interno de las Aplicaciones: se deberán
   revisar las mismas fases que presuntamente han debido seguir el
   área correspondiente de Desarrollo:

• Estudio de Vialidad de la Aplicación: Importante
  para Aplicaciones largas, complejas y caras.
• Definición Lógica de la Aplicación: Se
  analizará que se han observado los postulados
  lógicos de actuación, en función de la
  metodología elegida y la finalidad que
  persigue el proyecto.
• Desarrollo Técnico de la Aplicación: Se
  verificará que éste es ordenado y correcto. Las
  herramientas técnicas utilizadas en los
  diversos programas deberán ser compatibles.
• Diseño de Programas: Deberán poseer la
  máxima sencillez, modularidad y economía de recursos.
• Métodos de Pruebas:
  Se realizarán de acuerdo a las Normas de la
  Instalación. Se utilizarán juegos de
  ensayo de
  datos, sin que sea permisible el uso de datos reales.
• Documentación: Cumplirá la Normativa
  establecida en la Instalación, tanto la de Desarrollo
  como la de entrega de Aplicaciones a Explotación.
• Equipo de Programación: Deben fijarse las tareas
  de análisis puro, de programación y las
  intermedias. En Aplicaciones complejas se producirían
  variaciones en la composición del grupo, pero estos
  deberán estar previstos.

1. Satisfacción de usuarios: Una Aplicación
   técnicamente eficiente y bien desarrollada,
   deberá considerarse fracasada si no sirve a los
   intereses del usuario que la solicitó. La aquiescencia
   del usuario proporciona grandes ventajas posteriores, ya que
   evitará reprogramaciones y disminuirá el
   mantenimiento de la Aplicación.
2. Control de Procesos y Ejecuciones de Programas
   Críticos: El auditor no debe descartar la posibilidad de
   que se esté ejecutando un módulo que no se
   corresponde con el programa fuente
   que desarrolló, codificó y probó el
   área de Desarrollo de Aplicaciones. Se ha de comprobar
   la correspondencia biunívoca y exclusiva entre el
   programa
   codificado y su compilación. Si los programas fuente y
   los programa módulo no coincidieran podría
   provocar, desde errores de bulto que producirían graves
   y altos costes de mantenimiento, hasta fraudes, pasando por
   acciones de
   sabotaje, espionaje industrial-informativo, etc. Por ende, hay
   normas muy rígidas en cuanto a las Librerías de
   programas; aquellos programas fuente que hayan sido dados por
   bueno por Desarrollo, son entregados a Explotación con
   el fin de que éste:

• Copie el programa fuente en la Librería de
  Fuentes de
  Explotación, a la que nadie más tiene
  acceso
• Compile y monte ese programa, depositándolo en la
  Librería de Módulos de Explotación, a la
  que nadie más tiene acceso.
• Copie los programas fuente que les sean solicitados para
  modificarlos, arreglarlos, etc. en el lugar que se le
  indique. Cualquier cambio
  exigirá pasar nuevamente por el punto 1.

Como este sistema para auditar y dar el alta a una nueva
Aplicación es bastante ardua y compleja, hoy (algunas
empresas lo usarán, otras no) se utiliza un sistema
llamado U.A.T (User Acceptance Test). Este
consiste en que el futuro usuario de esta Aplicación use
la Aplicación como si la estuviera usando en
Producción para que detecte o se denoten por sí
solos los errores de la misma. Estos defectos que se encuentran
se van corrigiendo a medida que se va haciendo el U.A.T. Una vez
que se consigue el U.A.T., el usuario tiene que dar el Sign Off
("Esto está bien"). Todo este testeo, auditoría lo tiene que controlar, tiene que
evaluar que el testeo sea correcto, que exista un plan de testeo,
que esté involucrado tanto el cliente como el
desarrollador y que estos defectos se corrijan. Auditoría tiene que corroborar que el
U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off
por todo.

Es aconsejable que las Empresas cuenten con un Departamento QA
(Quality Assurance – Aseguramiento de la Calidad) que
tendría la función de controlar que el producto que
llegue al usuario sea el correcto en cuanto a funcionamiento y
prestaciones,
antes del U.A.T.

Auditoria Informática de
Sistemas:

Se ocupa de analizar la actividad que se conoce como
Técnica de Sistemas en todas sus facetas. Hoy, la
importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Líneas y Redes de las instalaciones
informáticas, se auditen por separado, aunque formen parte
del entorno general de Sistemas.

Sistemas Operativos:

Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc.
Debe verificarse en primer lugar que los Sistemas están
actualizados con las últimas versiones del fabricante,
indagando las causas de las omisiones si las hubiera. El
análisis de las versiones de los Sistemas
Operativos permite descubrir las posibles incompatibilidades
entre otros productos de Software Básico adquiridos por la
instalación y determinadas versiones de aquellas. Deben
revisarse los parámetros variables de
las Librerías más importantes de los Sistemas, por
si difieren de los valores
habituales aconsejados por el constructor.

Software Básico:

Es fundamental para el auditor conocer los productos de
software básico que han sido facturados aparte de la
propia computadora.
Esto, por razones económicas y por razones de
comprobación de que la computadora
podría funcionar sin el producto adquirido por el cliente.
En cuanto al Software desarrollado por el personal
informático de la empresa, el auditor debe verificar que
éste no agreda ni condiciona al Sistema. Igualmente, debe
considerar el esfuerzo realizado en términos de costes,
por si hubiera alternativas más económicas.

Software de Teleproceso (Tiempo Real):

No se incluye en Software Básico por su especialidad e
importancia. Las consideraciones anteriores son válidas
para éste también.

Tunning:

Es el conjunto de técnicas de observación y de medidas encaminadas a la
evaluación del comportamiento
de los Subsistemas y del Sistema en su conjunto. Las acciones de
tunning deben diferenciarse de los controles habituales que
realiza el personal de Técnica de Sistemas. El tunning
posee una naturaleza
más revisora, estableciéndose previamente planes y
programas de actuación según los síntomas
observados. Se pueden realizar:

• Cuando existe sospecha de deterioro del comportamiento parcial o general del
  Sistema
• De modo sistemático y periódico, por ejemplo cada 6 meses. En
  este caso sus acciones son repetitivas y están
  planificados y organizados de antemano.

El auditor deberá conocer el número de tunning
realizados en el último año, así como sus
resultados. Deberá analizar los modelos de
carga utilizados y los niveles e índices de confianza de
las observaciones.

Optimización de los Sistemas y Subsistemas:

Técnica de Sistemas debe realizar acciones permanentes
de optimización como consecuencia de la realización
de tunnings preprogramados o específicos. El auditor
verificará que las acciones de optimización fueron
efectivas y no comprometieron la Operatividad de los Sistemas ni
el plan crítico de producción diaria de
Explotación.

Administración de Base de Datos:

El diseño
de las Bases de Datos,
sean relaciones o jerárquicas, se ha convertido en una
actividad muy compleja y sofisticada, por lo general desarrollada
en el ámbito de Técnica de Sistemas, y de acuerdo
con las áreas de Desarrollo y usuarios de la empresa. Al
conocer el diseño
y arquitectura
de éstas por parte de Sistemas, se les encomienda
también su administración. Los auditores de Sistemas
han observado algunas disfunciones derivadas de la
relativamente escasa experiencia que Técnica de Sistemas
tiene sobre la problemática general de los usuarios de
Bases de
Datos.

La administración tendría que estar a
cargo de Explotación. El auditor de Base de Datos
debería asegurarse que Explotación conoce
suficientemente las que son accedidas por los Procedimientos que
ella ejecuta. Analizará los Sistemas de salvaguarda
existentes, que competen igualmente a Explotación.
Revisará finalmente la integridad y consistencia de los
datos, así como la ausencia de redundancias entre
ellos.

Investigación y Desarrollo:

Como empresas que utilizan y necesitan de informáticas
desarrolladas, saben que sus propios efectivos están
desarrollando Aplicaciones y utilidades que, concebidas
inicialmente para su uso interno, pueden ser susceptibles de
adquisición por otras empresas, haciendo competencia a las
Compañías del ramo. La auditoria informática
deberá cuidar de que la actividad de Investigación y Desarrollo no interfiera ni
dificulte las tareas fundamentales internas.

Auditoria
Informática de Comunicaciones y Redes

Para el informático y para el auditor
informático, el entramado conceptual que constituyen las
redes nodales,
líneas, concentradores, multiplexores,
redes locales, etc. no son sino el soporte
físico-lógico del tiempo real. El auditor tropieza
con la dificultad técnica del entorno, pues ha de analizar
situaciones y hechos alejados entre sí, y está
condicionado a la participación del monopolio
telefónico que presta el soporte. Como en otros casos, la
auditoria de este sector requiere un equipo de especialistas,
expertos simultáneamente en comunicaciones y en redes
locales (no hay que olvidarse que en entornos geográficos
reducidos, algunas empresas optan por el uso interno de redes
locales, diseñadas y cableadas con recursos propios).

El auditor de comunicaciones deberá inquirir sobre los
índices de utilización de las líneas
contratadas con información abundante sobre tiempos de
desuso. Deberá proveerse de la topología de la red de comunicaciones,
actualizada, ya que la desactualización de esta
documentación significaría una grave debilidad. La
inexistencia de datos sobre cuantas líneas existen,
cómo son y donde están instaladas, supondría
que se bordea la Inoperatividad Informática. Sin embargo,
las debilidades más frecuentes o importantes se encuentran
en las disfunciones organizativas. La contratación e
instalación de líneas va asociada a la
instalación de los Puestos de Trabajo correspondientes
(pantallas, servidores de
redes locales, computadoras con tarjetas de
comunicaciones, impresoras,
etc.). Todas estas actividades deben estar muy coordinadas y de
ser posible, dependientes de una sola organización.

Auditoria de la Seguridad
informática:

La computadora es
un instrumento que estructura gran cantidad de
información, la cual puede ser confidencial para
individuos, empresas o instituciones,
y puede ser mal utilizada o divulgada a personas que hagan mal
uso de esta. También puede ocurrir robos, fraudes o
sabotajes que provoquen la destrucción total o parcial de
la actividad computacional. Esta información puede ser de
suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras
personales, se ha dado otro factor que hay que considerar: el
llamado "virus" de las
computadoras, el cual, aunque tiene diferentes intenciones, se
encuentra principalmente para paquetes que son copiados sin
autorización (piratas) y borra toda la información
que se tiene en un disco. Al auditar los sistemas se debe tener
cuidado que no se tengan copias "piratas" o bien que, al
conectarnos en red con otras computadoras, no exista la
posibilidad de transmisión del virus. El uso
inadecuado de la computadora
comienza desde la utilización de tiempo de máquina
para usos ajenos de la organización, la copia de programas
para fines de comercialización sin reportar los derechos de
autor hasta el acceso por vía telefónica a
bases de datos a fin de modificar la información con
propósitos fraudulentos.

La seguridad en la informática abarca los conceptos de
seguridad física y seguridad lógica.
La seguridad física se refiere a la protección del
Hardware y de los soportes de datos, así como a la de los
edificios e instalaciones que los albergan. Contempla las
situaciones de incendios,
sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso
del software, a la protección de los datos, procesos y
programas, así como la del ordenado y autorizado acceso de
los usuarios a la información.

Un método
eficaz para proteger sistemas de computación es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso
protegen contra el acceso no autorizado, pues piden del usuario
una contraseña antes de permitirle el acceso a
información confidencial. Dichos paquetes han sido
populares desde hace muchos años en el mundo de las
computadoras grandes, y los principales proveedores
ponen a disposición de clientes algunos
de estos paquetes.

Ejemplo: Existe una Aplicación de Seguridad que se
llama SEOS, para Unix, que lo que
hace es auditar el nivel de Seguridad en todos los servidores, como
ser: accesos a archivos, accesos
a directorios, que usuario lo hizo, si tenía o no
tenía permiso, si no tenía permiso porque
falló, entrada de usuarios a cada uno de los servidores,
fecha y hora, accesos con password equivocada, cambios de
password, etc. La Aplicación lo puede graficar, tirar en
números, puede hacer reportes, etc.

La seguridad
informática se la puede dividir como área
general y como área específica (seguridad de
Explotación, seguridad de las Aplicaciones, etc.).
Así, se podrán efectuar auditorias de la Seguridad
Global de una Instalación Informática (Seguridad
General) y auditorias de la Seguridad de un área
informática determinada (Seguridad Especifica).

Con el incremento de agresiones a instalaciones
informáticas en los últimos años, se han ido
originando acciones para mejorar la Seguridad Informática
a nivel físico. Los accesos y conexiones indebidos a
través de las Redes de Comunicaciones, han acelerado el
desarrollo de productos de Seguridad lógica y la
utilización de sofisticados medios
criptograficos.

El sistema integral de seguridad debe comprender:

• Elementos administrativos
• Definición de una política de
  seguridad
• Organización y división de
  responsabilidades
• Seguridad física y contra catástrofes
  (incendio, terremotos,
  etc.)
• Prácticas de seguridad del personal
• Elementos técnicos y procedimientos
• Sistemas de seguridad (de equipos y de sistemas, incluyendo
  todos los elementos, tanto redes como terminales.
• Aplicación de los sistemas de seguridad, incluyendo
  datos y archivos
• El papel de los auditores, tanto internos como
  externos
• Planeación de programas de desastre y su
  prueba.

La decisión de abordar una auditoria Informática
de Seguridad Global en una empresa, se fundamenta en el estudio
cuidadoso de los riesgos potenciales a los que está
sometida. Se elaboran "matrices de
riesgo", en
donde se consideran los factores de las "Amenazas" a las que
está sometida una instalación y los "Impactos" que
aquellas puedan causar cuando se presentan. Las matrices de
riesgo se representan en cuadros de doble entrada
"Amenaza-Impacto", en donde se evalúan las probabilidades
de ocurrencia de los elementos de la matriz.

Herramientas y Técnicas para la
Auditoria Informática:

Cuestionarios:

Las auditorias informáticas se materializan recabando
información y documentación de todo tipo. Los
informes
finales de los auditores dependen de sus capacidades para
analizar las situaciones de debilidad o fortaleza de los
diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la información
necesaria para la emisión de un juicio global objetivo,
siempre amparado en hechos demostrables, llamados también
evidencias.

Para esto, suele ser lo habitual comenzar solicitando la
cumplimentación de cuestionarios preimpresos que se
envían a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas áreas a
auditar.

Estos cuestionarios no pueden ni deben ser repetidos para
instalaciones distintas, sino diferentes y muy específicos
para cada situación, y muy cuidados en su fondo y su
forma.

Sobre esta base, se estudia y analiza la documentación
recibida, de modo que tal análisis determine a su vez la
información que deberá elaborar el propio auditor.
El cruzamiento de ambos tipos de información es una de las
bases fundamentales de la auditoria.

Cabe aclarar, que esta primera fase puede omitirse cuando los
auditores hayan adquirido por otro medios la
información que aquellos preimpresos hubieran
proporcionado.

Entrevistas:

El auditor comienza a continuación las relaciones
personales con el auditado. Lo hace de tres formas:

1. Mediante la petición de documentación
   concreta sobre alguna materia de su responsabilidad.
2. Mediante "entrevistas"
   en las que no se sigue un plan predeterminado ni un
   método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas
   en las que el auditor sigue un método preestablecido de
   antemano y busca unas finalidades concretas.

La entrevista es
una de las actividades personales más importante del
auditor; en ellas, éste recoge más
información, y mejor matizada, que la proporcionada por
medios propios puramente técnicos o por las respuestas
escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista
entre auditor y auditado se basa fundamentalmente en el concepto
de interrogatorio; es lo que hace un auditor, interroga y se
interroga a sí mismo. El auditor informático
experto entrevista al
auditado siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación
correcta y lo menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de preguntas variadas,
también sencillas. Sin embargo, esta sencillez es solo
aparente. Tras ella debe existir una preparación muy
elaborada y sistematizada, y que es diferente para cada caso
particular

Checklist:

El auditor profesional y experto es aquél que reelabora
muchas veces sus cuestionarios en función de los
escenarios auditados. Tiene claro lo que necesita saber, y por
qué. Sus cuestionarios son vitales para el trabajo de
análisis, cruzamiento y síntesis
posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada.
Muy por el contrario, el auditor conversará y hará
preguntas "normales", que en realidad servirán para la
cumplimentación sistemática de sus Cuestionarios,
de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya
que consideran que leerle una pila de preguntas recitadas de
memoria o
leídas en voz alta descalifica al auditor
informático. Pero esto no es usar Checklists, es una
evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de información a fin de obtener
respuestas coherentes que permitan una correcta descripción de puntos débiles y
fuertes. El profesionalismo pasa por poseer preguntas muy
estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist.
Salvo excepciones, las Checklists deben ser contestadas
oralmente, ya que superan en riqueza y generalización a
cualquier otra forma.

Según la claridad de las preguntas y el talante del
auditor, el auditado responderá desde posiciones muy
distintas y con disposición muy variable. El auditado,
habitualmente informático de profesión, percibe con
cierta facilidad el perfil técnico y los conocimientos del
auditor, precisamente a través de las preguntas que
éste le formula. Esta percepción
configura el principio de autoridad y
prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de
preguntas muy sistematizadas, coherentes y clasificadas por
materias, todavía lo es más el modo y el orden de
su formulación. Las empresas externas de Auditoría
Informática guardan sus Checklists, pero de poco
sirven si el auditor no las utiliza adecuada y oportunamente. No
debe olvidarse que la función auditora se ejerce sobre
bases de autoridad,
prestigio y ética.

El auditor deberá aplicar el Checklist de modo que el
auditado responda clara y escuetamente. Se deberá
interrumpir lo menos posible a éste, y solamente en los
casos en que las respuestas se aparten sustancialmente de la
pregunta. En algunas ocasiones, se hará necesario invitar
a aquél a que exponga con mayor amplitud un tema concreto, y en
cualquier caso, se deberá evitar absolutamente la presión
sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para
cada sector, deben ser repetidas. En efecto, bajo apariencia
distinta, el auditor formulará preguntas equivalentes a
las mismas o a distintas personas, en las mismas fechas, o en
fechas diferentes. De este modo, se podrán descubrir con
mayor facilidad los puntos contradictorios; el auditor
deberá analizar los matices de las respuestas y reelaborar
preguntas complementarias cuando hayan existido contradicciones,
hasta conseguir la homogeneidad. El entrevistado no debe percibir
un excesivo formalismo en las preguntas. El auditor, por su
parte, tomará las notas imprescindibles en presencia del
auditado, y nunca escribirá cruces ni marcará
cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a
dos tipos de "filosofía" de calificación o
evaluación:

a. Checklist de rango

Contiene preguntas que el auditor debe puntuar dentro de un
rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la
respuesta más negativa y el 5 el valor
más positivo)

Ejemplo de Checklist de rango:

Se supone que se está realizando una auditoría
sobre la seguridad física de una instalación y,
dentro de ella, se analiza el control de los accesos de personas
y cosas al Centro de Cálculo.
Podrían formularse las preguntas que figuran a
continuación, en donde las respuestas tiene los siguientes
significados:

1: Muy deficiente.

2: Deficiente.

3: Mejorable.

4: Aceptable.

5: Correcto.

Se figuran posibles respuestas de los auditados. Las preguntas
deben sucederse sin que parezcan encorsetadas ni clasificadas
previamente. Basta con que el auditor lleve un pequeño
guión. La complementación del Checklist no debe
realizarse en presencia del auditado.

b. Checklist Binaria

Es la constituida por preguntas con respuesta única y
excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o
0(cero), respectivamente.

Los Checklists de rango son adecuados si el equipo auditor no
es muy grande y mantiene criterios uniformes y equivalentes en
las valoraciones. Permiten una mayor precisión en la
evaluación que en los checklist binarios. Sin embargo, la
bondad del método depende excesivamente de la
formación y competencia del
equipo auditor.

Los Checklists Binarios siguen una elaboración inicial
mucho más ardua y compleja. Deben ser de gran
precisión, como corresponde a la suma precisión de
la respuesta. Una vez construidas, tienen la ventaja de exigir
menos uniformidad del equipo auditor y el inconveniente
genérico del "si o no" frente a la mayor riqueza del
intervalo.

No existen Checklists estándar para todas y cada una de
las instalaciones informáticas a auditar. Cada una de
ellas posee peculiaridades que hacen necesarios los retoques de
adaptación correspondientes en las preguntas a
realizar.

Trazas y/o Huellas:

Con frecuencia, el auditor informático debe verificar
que los programas, tanto de los Sistemas como de usuario,
realizan exactamente las funciones previstas, y no otras. Para
ello se apoya en productos Software muy potentes y modulares que,
entre otras funciones, rastrean los caminos que siguen los datos
a través del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar
la ejecución de las validaciones de datos previstas. Las
mencionadas trazas no deben modificar en absoluto el Sistema. Si
la herramienta auditora produce incrementos apreciables de carga,
se convendrá de antemano las fechas y horas más
adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los
auditores informáticos emplean productos que comprueban
los valores
asignados por Técnica de Sistemas a cada uno de los
parámetros variables de
las Librerías más importantes del mismo. Estos
parámetros variables deben estar dentro de un intervalo
marcado por el fabricante. A modo de ejemplo, algunas
instalaciones descompensan el número de iniciadores de
trabajos de determinados entornos o toman criterios especialmente
restrictivos o permisivos en la asignación de unidades de
servicio según cuales tipos carga. Estas actuaciones, en
principio útiles, pueden resultar contraproducentes si se
traspasan los límites.

No obstante la utilidad de las
Trazas, ha de repetirse lo expuesto en la descripción de la auditoria
informática de Sistemas: el auditor informático
emplea preferentemente la amplia información que
proporciona el propio Sistema: Así, los ficheros de
Accounting o de contabilidad,
en donde se encuentra la producción completa de
aquél, y los Log (historial) de dicho Sistema, en donde se
recogen las modificaciones de datos y se pormenoriza la actividad
general.

Del mismo modo, el Sistema genera automáticamente
exacta información sobre el tratamiento de errores de
maquina central, periféricos, etc.

La auditoria financiero-contable convencional emplea trazas
con mucha frecuencia. Son programas encaminados a verificar lo
correcto de los cálculos de nóminas,
primas, etc.].

Software de
Interrogación:

Hasta hace ya algunos años se han utilizado productos
software llamados genéricamente paquetes de auditoria,
capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático.

Dichos productos evolucionaron hacia la obtención de
muestreos estadísticos que permitieran la obtención
de consecuencias e hipótesis de la situación real de
una instalación.

En la actualidad, los productos Software especiales para la
auditoría
informática se orientan principalmente hacia lenguajes
que permiten la interrogación de ficheros y bases de datos
de la empresa auditada. Estos productos son utilizados solamente
por los auditores externos, por cuanto los internos disponen del
software nativo propio de la instalación.

Del mismo modo, la proliferación de las redes locales y
de la filosofía "Cliente-Servidor", han
llevado a las firmas de software a desarrollar interfaces de
transporte de
datos entre computadoras personales y mainframe, de modo que el
auditor informático copia en su propia PC la
información más relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios
finales poseen datos e información parcial generada por la
organización informática de la
Compañía.

Efectivamente, conectados como terminales al "Host", almacenan
los datos proporcionados por este, que son tratados
posteriormente en modo PC. El auditor se ve obligado a recabar
información de los mencionados usuarios finales, lo cual
puede realizar con suma facilidad con los polivalentes productos
descritos. Con todo, las opiniones más autorizadas indican
que el trabajo de campo del auditor informático debe
realizarse principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor
confeccione personalmente determinadas partes del Informe. Para
ello, resulta casi imprescindible una cierta soltura en el manejo
de Procesadores de
Texto, paquetes de Gráficos, Hojas de
Cálculo, etc.

Metodología de Trabajo de Auditoria
Informática

El método de trabajo del auditor pasa por las
siguientes etapas:

1. Alcance y Objetivos de la Auditoria
   Informática.
2. Estudio inicial del entorno auditable.
3. Determinación de los recursos necesarios para
   realizar la auditoria.
4. Elaboración del plan y de los Programas de
   Trabajo.
5. Actividades propiamente dichas de la auditoria.
6. Confección y redacción del Informe Final.
7. Carta de introducción o presentación del
   informe final.

1. Alcance y Objetivos de la
Auditoria Informática:

El alcance de la auditoria expresa los límites de la
misma. Debe existir un acuerdo muy preciso entre auditores y
clientes sobre las funciones, las materias y las organizaciones a
auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso
para ambas partes expresar las excepciones de alcance de la
auditoria, es decir cuales materias, funciones u organizaciones
no van a ser auditadas.

Tanto los alcances como las excepciones deben figurar al
comienzo del Informe Final.

Las personas que realizan la auditoria han de conocer con la
mayor exactitud posible los objetivos a los que su tarea debe
llegar. Deben comprender los deseos y pretensiones del cliente,
de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos
específicos), éstos se añadirán a los
objetivos generales y comunes de a toda auditoria
Informática: La operatividad de los Sistemas y los
Controles Generales de Gestión Informática.

2. Estudio Inicial del entorno
auditable:

Para realizar dicho estudio ha de examinarse las funciones y
actividades generales de la informática.

Para su realización el auditor debe conocer lo
siguiente:

Organización

Para el equipo auditor, el
conocimiento de quién ordena, quién
diseña y quién ejecuta es fundamental. Para
realizar esto en auditor deberá fijarse en:

1) Organigrama:

El organigrama
expresa la estructura oficial de la organización a
auditar.

Si se descubriera que existe un organigrama fáctico
diferente al oficial, se pondrá de manifiesto tal
circunstancia.

2) Departamentos:

Se entiende como departamento a los órganos que siguen
inmediatamente a la Dirección. El equipo auditor
describirá brevemente las funciones de cada uno de
ellos.

3) Relaciones Jerárquicas y funcionales entre
órganos de la Organización:

El equipo auditor verificará si se cumplen las
relaciones funcionales y Jerárquicas previstas por el
organigrama, o por el contrario detectará, por ejemplo, si
algún empleado tiene dos jefes.

Las de Jerarquía implican la correspondiente
subordinación. Las funcionales por el contrario, indican
relaciones no estrictamente subordinables.

4) Flujos de Información:

Además de las corrientes verticales
intra=departamentales, la estructura organizativa cualquiera que
sea, produce corrientes de información horizontales y
oblicuas extra=departamentales.

Los flujos de información entre los grupos de una
organización son necesarios para su eficiente
gestión, siempre y cuando tales corrientes no distorsionen
el propio organigrama.

En ocasiones, las organizaciones crean espontáneamente
canales alternativos de información, sin los cuales las
funciones no podrían ejercerse con eficacia; estos canales
alternativos se producen porque hay pequeños o grandes
fallos en la estructura y en el organigrama que los
representa.

Otras veces, la aparición de flujos de
información no previstos obedece a afinidades personales o
simple comodidad. Estos flujos de información son
indeseables y producen graves perturbaciones en la
organización.

5. Número de Puestos de trabajo

El equipo auditor comprobará que los nombres de los
Puesto de los Puestos de Trabajo de la organización
corresponden a las funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones
idénticas, lo cual indica la existencia de funciones
operativas redundantes.

Esta situación pone de manifiesto deficiencias
estructurales; los auditores darán a conocer tal
circunstancia y expresarán el número de puestos de
trabajo verdaderamente diferentes.

6. Número de personas por Puesto de Trabajo

Es un parámetro que los auditores informáticos
deben considerar. La inadecuación del personal determina
que el número de personas que realizan las mismas
funciones rara vez coincida con la estructura oficial de la
organización.

Entorno Operacional

El equipo de auditoria informática debe poseer una
adecuada referencia del entorno en el que va a desenvolverse.

Este conocimiento
previo se logra determinando, fundamentalmente, los siguientes
extremos:

a. Situación geográfica de los Sistemas:

Se determinará la ubicación geográfica de
los distintos Centros de Proceso de Datos en la empresa. A
continuación, se verificará la existencia de
responsables en cada unos de ellos, así como el uso de los
mismos estándares de trabajo.

b- Arquitectura y
configuración de Hardware y Software:

Cuando existen varios equipos, es fundamental la
configuración elegida para cada uno de ellos, ya que los
mismos deben constituir un sistema compatible e intercomunicado.
La configuración de los sistemas esta muy ligada a las
políticas de seguridad lógica de las
compañías.

Los auditores, en su estudio inicial, deben tener en su
poder la
distribución e interconexión de los
equipos.

c. Inventario de
Hardware y Software:

El auditor recabará información escrita, en
donde figuren todos los elementos físicos y
lógicos de la instalación. En cuanto a Hardware
figurarán las CPUs, unidades de control local y remotas,
periféricos de todo tipo, etc.

El inventario de
software debe contener todos los productos lógicos del
Sistema, desde el software básico hasta los programas de
utilidad adquiridos o desarrollados internamente. Suele ser
habitual clasificarlos en facturables y no facturables.

d. Comunicación y Redes de
Comunicación:

En el estudio inicial los auditores dispondrán del
número, situación y características principales de las
líneas, así como de los accesos a la red
pública de comunicaciones.

Igualmente, poseerán información de las Redes
Locales de la Empresa.

Aplicaciones bases de datos y
ficheros

El estudio inicial que han de realizar los auditores se
cierra y culmina con una idea general de los procesos
informáticos realizados en la empresa auditada. Para
ello deberán conocer lo siguiente:

A. Volumen,
antigüedad y complejidad de las Aplicaciones

B. Metodología del Diseño

Se clasificará globalmente la existencia total o
parcial de metodología en el desarrollo de las
aplicaciones. Si se han utilizados varias a lo largo del tiempo
se pondrá de manifiesto.

C. Documentación

La existencia de una adecuada documentación de las
aplicaciones proporciona beneficios tangibles e inmediatos muy
importantes.

La documentación de programas disminuye gravemente el
mantenimiento de los mismos.

D, Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabará información de
tamaño y características de las Bases de Datos,
clasificándolas en relación y
jerarquías. Hallará un promedio de
número de accesos a ellas por hora o días. Esta
operación se repetirá con los ficheros,
así como la frecuencia de actualizaciones de los
mismos.

Estos datos proporcionan una visión aceptable de
las características de la carga
informática.

3. Determinación de los recursos necesarios para
realizar la auditoria

Mediante los resultados del estudio inicial realizado se
procede a determinar los recursos
humanos y materiales
que han de emplearse en la auditoria.

Recursos materiales

Es muy importante su determinación, por cuanto la
mayoría de ellos son proporcionados por el cliente.
Las herramientas software propias del equipo van a utilizarse
igualmente en el sistema auditado, por lo que han de
convenirse en lo posible las fechas y horas de uso entre el
auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

A, Recursos materiales Software

Programas propios de la auditoria: Son muy potentes y
Flexibles. Habitualmente se añaden a las ejecuciones
de los procesos del cliente para verificarlos.

Monitores: Se utilizan en función del grado de
desarrollo observado en la actividad de Técnica de
Sistemas del auditado y de la cantidad y calidad de los datos
ya existentes.

B. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son
proporcionados por el cliente. Los procesos de control deben
efectuarse necesariamente en las Computadoras del
auditado.

Para lo cuál habrá de convenir, tiempo de
maquina, espacio de disco, impresoras
ocupadas, etc.

Recursos Humanos

La cantidad de recursos depende del volumen
auditable. Las características y perfiles del personal
seleccionado depende de la materia auditable.

Es igualmente reseñable que la auditoría en
general suele ser ejercida por profesionales universitarios y
por otras personas de probada experiencia
multidisciplinaria.

12. Perfiles Profesionales de
los auditores informáticos

4.
Elaboración del Plan y de los programas de
trabajo

Una vez asignados los recursos, el responsable de la
auditoría y sus colaboradores establecen un plan de
trabajo. Decidido éste, se procede a la
programación del mismo.

El plan se elabora teniendo en cuenta, entre otros
criterios, los siguientes:

a) Si la Revisión debe realizarse por
áreas generales o áreas específicas. En el
primer caso, la elaboración es más compleja y
costosa.

b) Si la auditoria es global, de toda la
Informática, o parcial. El volumen determina no
solamente el número de auditores necesarios, sino las
especialidades necesarias del personal.

• En el plan no se consideran calendarios, porque se
  manejan recursos genéricos y no
  específicos.
• En el Plan se establecen los recursos y esfuerzos
  globales que van a ser necesarios.
• En el Plan se establecen las prioridades de
  materias auditables, de acuerdo siempre con las prioridades
  del cliente.
• El Plan establece disponibilidad futura de los
  recursos durante la revisión.
• El Plan estructura las tareas a realizar por cada
  integrante del grupo.
• En el Plan se expresan todas las ayudas que el
  auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la
Programación de actividades. Esta ha de ser lo
suficientemente como para permitir modificaciones a lo largo del
proyecto.

5. Actividades propiamente
dichas de la Auditoria

Auditoria por temas generales o por áreas
específicas:

La auditoria Informática general se realiza por
áreas generales o por áreas específicas. Si
se examina por grandes temas, resulta evidente la mayor calidad y
el empleo de
más tiempo total y mayores recursos.

Cuando la auditoria se realiza por áreas
específicas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el
resultado se obtiene más rápidamente y con menor
calidad.

Técnicas de Trabajo:

– Análisis de la información recabada
del auditado.

– Análisis de la información
propia.

– Cruzamiento de las informaciones
anteriores.

– Entrevistas.

– Simulación.

– Muestreos.

Herramientas:

– Cuestionario general inicial.

– Cuestionario Checklist.

– Estándares.

– Monitores.

– Simuladores (Generadores de datos).

– Paquetes de auditoria (Generadores de
Programas).

– Matrices de riesgo.

6. Confección y
redacción del Informe Final

La función de la auditoria se materializa
exclusivamente por escrito. Por lo tanto la elaboración
final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e
informes
parciales previos al informe final, los que son elementos de
contraste entre opinión entre auditor y auditado y que
pueden descubrir fallos de apreciación en el
auditor.

Estructura del informe final:

El informe comienza con la fecha de comienzo de la
auditoria y la fecha de redacción del mismo. Se incluyen
los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicación de la jefatura,
responsabilidad y puesto de trabajo que
ostente.

Definición de objetivos y alcance de la
auditoria.

Enumeración de temas considerados:

Antes de tratarlos con profundidad, se enumerarán
lo más exhaustivamente posible todos los temas objeto de
la auditoria.

Cuerpo expositivo:

Para cada tema, se seguirá el siguiente orden a
saber:

2. Situación actual. Cuando se trate de una
   revisión periódica, en la que se analiza no
   solamente una situación sino además su
   evolución en el tiempo, se expondrá la
   situación prevista y la situación
   real.

3. Tendencias. Se tratarán de hallar
   parámetros que permitan establecer tendencias
   futuras.

4. Puntos débiles y amenazas.
5. Recomendaciones y planes de acción.
   Constituyen junto con la exposición de puntos débiles, el
   verdadero objetivo de la auditoría
   informática.

6. Redacción posterior de la Carta de
   Introducción o
   Presentación.

Modelo conceptual de la exposición
del informe final

– El informe debe incluir solamente hechos
importantes.

La inclusión de hechos poco relevantes o
accesorios desvía la atención del lector.

– El Informe debe consolidar los hechos que se describen
en el mismo.

El término de "hechos consolidados" adquiere un
especial significado de verificación objetiva y de estar
documentalmente probados y soportados. La consolidación de
los hechos debe satisfacer, al menos los siguientes
criterios:

• El hecho debe poder ser sometido a
  cambios.
• Las ventajas del cambio deben superar los
  inconvenientes derivados de mantener la
  situación.
• No deben existir alternativas viables que superen
  al cambio propuesto.
• La recomendación del auditor sobre el hecho
  debe mantener o mejorar las normas y estándares
  existentes en la instalación.

La aparición de un hecho en un informe de
auditoria implica necesariamente la existencia de una debilidad
que ha de ser corregida.

Flujo del hecho o debilidad:

1 – Hecho encontrado.

– Ha de ser relevante para el auditor y pera el
cliente.

– Ha de ser exacto, y además
convincente.

– No deben existir hechos repetidos.

2 – Consecuencias del hecho

– Las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.

3 – Repercusión del hecho

– Se redactará las influencias directas que el
hecho pueda tener sobre otros aspectos informáticos u
otros ámbitos de la empresa.

4 – Conclusión del hecho

– No deben redactarse conclusiones más que en
los casos en que la exposición haya sido muy extensa o
compleja.

5 – Recomendación del auditor
informático

– Deberá entenderse por sí sola, por
simple lectura.

– Deberá estar suficientemente soportada en el
propio texto.

– Deberá ser concreta y exacta en el tiempo,
para que pueda ser verificada su
implementación.

– La recomendación se redactará de forma
que vaya dirigida expresamente a la persona o
personas que puedan implementarla.

7. Carta de
introducción o presentación del informe
final:

La carta de
introducción tiene especial importancia porque en ella ha
de resumirse la auditoria realizada. Se destina exclusivamente al
responsable máximo de la empresa, o a la persona concreta
que encargo o contrato la
auditoria.

Así como pueden existir tantas copias del informe
Final como solicite el cliente, la auditoría no
hará copias de la citada carta de
Introducción.

La carta de introducción poseerá los
siguientes atributos:

• Tendrá como máximo 4
  folios.
• Incluirá fecha, naturaleza, objetivos y
  alcance.
• Cuantificará la importancia de las
  áreas analizadas.
• Proporcionará una conclusión general,
  concretando las áreas de gran debilidad.
• Presentará las debilidades en orden de
  importancia y gravedad.
• En la carta de
  Introducción no se escribirán nunca
  recomendaciones.

Definición de la
metodología CRMR

CRMR son las siglas de Computer resource management
review, su traducción más adecuada,
Evaluación de la gestión de recursos
informáticos. En cualquier caso, esta terminología
quiere destacar la posibilidad de realizar una evaluación
de eficiencia de utilización de los recursos por medio del
management.

Una revisión de esta naturaleza no tiene en
sí misma el grado de profundidad de una auditoria
informática global, pero proporciona soluciones
más rápidas a problemas
concretos y notorios.

Supuestos de
aplicación:

En función de la definición dada, la
metodología abreviada CRMR es aplicable más a
deficiencias organizativas y gerenciales que a problemas de
tipo técnico, pero no cubre cualquier área de un
Centro de Procesos de Datos.

El método CRMR puede aplicarse cuando se producen
algunas de las situaciones que se citan:

• Se detecta una mala respuesta a las peticiones y
  necesidades de los usuarios.
• Los resultados del Centro de Procesos de Datos no
  están a disposición de los usuarios en el momento
  oportuno.
• Se genera con alguna frecuencia información
  errónea por fallos de datos o proceso.
• Existen sobrecargas frecuentes de capacidad de
  proceso.
• Existen costes excesivos de proceso en el Centro de
  Proceso de Datos.

Efectivamente, son éstas y no otras las
situaciones que el auditor informático encuentra con mayor
frecuencia. Aunque pueden existir factores técnicos que
causen las debilidades descritas, hay que convenir en la mayor
incidencia de fallos de gestión.

Áreas de
aplicación:

Las áreas en que el método CRMR puede ser
aplicado se corresponden con las sujetas a las condiciones de
aplicación señaladas en puntos
anteriores:

• Gestión de Datos.
• Control de Operaciones.
• Control y utilización de recursos materiales y
  humanos.
• Interfaces y relaciones con usuarios.
• Planificación.
• Organización y
  administración.

Ciertamente, el CRMR no es adecuado para evaluar la
procedencia de adquisición de nuevos equipos (Capacity
Planning) o para revisar muy a fondo los caminos críticos
o las holguras de un Proyecto complejo.

Objetivos:

CRMR tiene como objetivo fundamental evaluar el grado de
bondad o ineficiencia de los procedimientos y métodos de
gestión que se observan en un Centro de Proceso de Datos.
Las Recomendaciones que se emitan como resultado de la
aplicación del CRMR, tendrán como finalidad algunas
de las que se relacionan:

• Identificar y fijas responsabilidades.
• Mejorar la flexibilidad de realización de
  actividades.
• Aumentar la productividad.
• Disminuir costes
• Mejorar los métodos y procedimientos de
  Dirección.

Alcance

Se fijarán los límites que abarcará
el CRMR, antes de comenzar el trabajo.

Se establecen tres clases:

1. Reducido. El resultado consiste en señalar las
   áreas de actuación con potencialidad inmediata de
   obtención de beneficios.
3. Medio. En este caso, el CRMR ya establece
   conclusiones y Recomendaciones, tal y como se hace en la
   auditoria informática ordinaria.
4. Amplio. El CRMR incluye Planes de Acción,
   aportando técnicas de implementación de las
   Recomendaciones, a la par que desarrolla las
   conclusiones.

AUDITORIA DE SISTEMAS EN EL
CONTEXTO

DEL
CENTRO DE COMUNICACIONES

Referente a la empresa en donde se aplicara la
auditoria, debemos mencionar algunas características de la
empresa:

1. Es una empresa joven, la ventaja de este punto es
que los sistemas se están diseñando y
adecuándose a sus necesidades, no existen trabas por
sistemas antiguos o sistemas complejos.

2. La empresa cuenta con dos en dos ambientes, el
área de navegación (internet) y el área
de telefonía.

3. La empresa esta utilizando un software de
facturación o sistema de control, para ambas áreas,
lo cual les permite llevar de una manera ordenada los controles
administrativos.

La empresa comete a simple viste grandes errores,
quizás por ser nueva, quizás por no tener la
accesoria adecuada, ello dan pie a algunas
recomendaciones:

– Debe respaldarse la información del
sistema de facturación.

– Deben crearse diferentes niveles de usuarios
(administrador,
operadores).

– Adquirir las licencias de todo el software con
los cuales funcionan, para evitar inconvenientes y permanecer
dentro de los márgenes de la ley.

En otro orden de ideas, en lo referente al servicio
que prestan al usuario, respecto a cualquiera de los dos
ambientes, el servicio puede ser catalogado como aceptable, ya
que son procesos muy simples, los cuales son controlados por el
software de facturación, ya sea en el área de
llamadas o de navegación, el programa tarifa el tiempo e
imprime un reporte (factura) con
lo cual no existe ningún problema en estas áreas.
Para incrementar la satisfacción del usuario podría
habilitarse una opción de prepago tanto en llamadas como
en navegación de forma tal que las personas puedan
controlar el monto que van a gastar.

Importante es, que los datos de la facturación
solo sean manejados por personas calificadas, es decir, no por
empleados, sino por el gerente o jefe
de área, para ello se propone que deben crearse niveles de
usuarios.

Con las recomendaciones dadas anteriormente, se
garantiza el mejor servicio por parte de la empresa y sobretodo,
la seguridad de los datos, el control de los datos y la
reducción del entorno que los puede manejar, logrando
privacidad y confiabilidad de estos.

CONCLUSION

Hacemos énfasis en la importancia de la
auditoria como herramienta gerencial para la toma de
decisiones y para poder verificar los puntos débiles
de las organizaciones con el fin de tomar medidas y precauciones
a tiempo. Principalmente, la conclusión a la que hemos
podido llegar, es que toda empresa, pública o privada, que
posean sistemas de información medianamente complejos,
deben de someterse a un control estricto de evaluación de
eficacia y eficiencia. Hoy en día, un alto porcentaje de
las empresas tienen toda su información estructurada en
sistemas informáticos, de aquí, la vital
importancia que los sistemas de información funcionen
correctamente. La empresa hoy, debe y precisa informatizarse. El
éxito
de una empresa depende de la eficiencia de sus sistemas de
información. Una empresa puede tener un staff de gente de
primera, pero tiene un sistema informático propenso a
errores, lento, vulnerable e inestable; si no hay un balance
entre estas dos cosas, la empresa nunca saldrá a adelante.
En cuanto al trabajo de la auditoria en sí, podemos
remarcar que se precisa de gran conocimiento de
Informática, seriedad, capacidad, minuciosidad y
responsabilidad; la auditoria de Sistemas debe hacerse por gente
altamente capacitada, una auditoria mal hecha puede acarrear
consecuencias drásticas para la empresa auditada,
principalmente económicas.

BIBLIOGRAFIA

Auditoria de Sistemas. [ON LINE] Disponible
en:

http://www.geocities.com/lsialer/NotasInteresantes.htm

ALONSO RIVAS, GONZALO
Auditoria Informática.
Díaz de Santos. Madrid 1998. 187
págs.

JUAN RIVAS, ANTONIO DE y PÉREZ PASCUAL,
AURORA
La Auditoria en el desarrollo de Proyectos
Informáticos.
Díaz de Santos. Madrid 1998. 178
págs.

MILLS, DAVID
Manual de Auditoria de la calidad.
Gestión 2000. Barcelona 1997.
242 págs.

PIATTINI VELTHUIS, MARIO y OTROS
Auditing Information Systems.
Idea Group Publishing. Hershey, London 2000. 246
págs.

PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO
EMILIO (Editores)
Auditoria Informática: Un enfoque
práctico.
Alfaomega. México
1998. 609 págs. PIATTINI VELTHUIS, MARIO y
DEL

PIATTINI VELTHUIS, MARIO y DEL PESO NAVARRO
EMILIO (Editores)
Auditoria Informática: Un enfoque práctico
(2ª Edición).
Ra-ma. Madrid 2001. 660 págs.

PLANS, JOSE
La práctica de la Auditoria Informática.
Instituto de Censores Jurados de Cuentas de España.
Madrid 1986. 159 págs.

THOMAS, A.J. y DOUGLAS I.J.
Auditoria Informática.
Paraninfo. Madrid 1987. 214 págs.

Integrantes

Angulo, Jenny

Moreno, Deibis

Jorge Hernández