Auditoria al Software SICI de la Gerencia Comercial de la EPS EMAPA HUACHO S.A.

EXAMEN ESPECIAL A LA EPS EMAPA HUACHO S.A.

PROVINCIA DE HUAURA, LIMA

“AL SISTEMA COMERCIAL INTEGRADO – SICI, DE LA GERENCIA COMERCIAL,

PERIODO 2011 Y 2012”

El presente examen especial, denominado examen especial al Sistema Comercial Integrado – SICI de la Gerencia Comercial, periodos 2011 y 2012, corresponde a una acción de control programada en el Plan Anual de Control 2013 del Órgano de Control Institucional de la EPS Emapa Huacho S.A. “Domingo Mandamiento Sipán” y tuvo como objetivo general evaluar la operatividad, utilización y vulnerabilidad del Sistema Comercial Integrado en su conjunto; asimismo establecer la veracidad de los hechos denunciados ante este Órgano de Control Institucional; comprendiendo el periodo 3 de enero de 2011 al 31 de diciembre de 2012. La comisión auditora fue acreditada con oficio n.º 048-2013-EMAPA-H-OCI de 4 de abril de 2013. 

Informes:

www.emapahuacho.com/OCI.html

www.emapahuacho.com/Transparencia2012/Generales/SINTESIS%20GERENCIAL%20DEL%20INFORME%20ADMINISTRATIVO%20004-2013-2-4564.pdf

Descargar Auditoria

NORMAS, GUIAS Y BUENAS PRACTICAS GENERALES.

iso27001 Certificates

Base de datos con todas las empresas certificadas en ISO 27001. El registro es voluntario así que no recoge todas los certificados acreditados a nivel internacional pero es una buena ayuda para consultar alcances de certificación, el rápido crecimiento del interés y adopción del estándar a nivel internacional, entre otros.

ISO

Normas ISO de descarga gratuita relativas a tecnologías de la información.

Controles ISO27002-2005.pdf

Lista en español de los controles de ISO 27002:2005.

ONGEI Norma ISO17799-001-V2.pdf

Norma Técnica Peruana NTP-ISO/IEC 17799:2007, traducción al español de ISO/IEC 27002:2005.

Praxiom

Resumen en inglés de los objetivos de control de ISO 27002:2005.

BSI Publications

Compra de normas de la "British Standards Institution".

OECD

Directrices de la OCDE para la seguridad de sistemas y redes de información: hacia una cultura de seguridad. En español.

ISM3

ISM3 (ISM Cubo) es un estándar de madurez de seguridad de la información compatible con la implantación de ISO 27001, CobiT, ITIL e ISO 9001, desarrollado por el español Vicente Aceituno.

Bundesamt für Sicherheit in der Informationstechnik- Guía

Guía en inglés de buenas prácticas de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania.

Bundesamt für Sicherheit in der Informationstechnik - Manual

"IT-Grundschutz" Manual de más de 2.300 páginas sobre gestión de seguridad de la información editado por el " Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas.

Bundesamt für Sicherheit in der Informationstechnik - Publications

Estándar de requerimientos generales de un SGSI según el "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizado con ISO 27001, entre otras normas.

Bundesamt für Sicherheit in der Informationstechnik - Methodologies

Metodología de gestión de seguridad de la información del "Bundesamt für Sicherheit in der Informationstechnik" de Alemania. Armonizada con ISO 27001, entre otras normas.

Defence Signals Directorate

Manual de seguridad TIC en inglés del gobierno australiano (ACSI 33).

ISF Security Standard

Estándar de seguridad de la información del "Information Security Forum".

ISACA - Cobit

CobiT Control Objectives for Information and related Technology. Marco para el buen gobierno de las TI. Versiones en diversos idiomas, incluido español.

ISACA - Alineamiento

Alineamiento de CobiT con múltiples estándares.

ISECOM

OSSTMM (Open Source Security Testing Methodology Manual). También en español.

CORDIS EU

ITSEC (Information Technology Security Evaluation Criteria; 1991) e ITSEM (Information Technology Security Evaluation Manual; 1993 ). Editados por la Comisión Europea.

The IIA - Guides GAIT

Guide to the Assessment of IT Risk (GAIT) del Institute of Internal Auditors. Metodología de evaluación de controles de tecnologías de la información. Sirve de apoyo para la implantación de Sarbanes-Oxley.

NIST DocsGuide

Resumen de todas las guías publicadas por NIST (National Institute of Standards and Technology de EEUU).

NIST Serie 800

Guía de métricas de seguridad. Publicada por NIST (National Institute of Standards and Technology de EEUU).

ISO27000.ES - Implantación de métricas en controles

Versión en español de la guía de implantación y de métricas para cada objetivo de control de ISO 27002 publicada por el "ISO27k implementers’ forum".

ISACA - SOX

IT Control Objectives for Sarbanes-Oxley. Publicada por IT Governance Institute.

NSA guides

Guías de configuración de seguridad de la National Security Agency de EEUU.

Information Security Guide

Guía de prácticas y soluciones de seguridad TI en base al estándar ISO/IEC 27002 (inglés).

ENISA CSIRT
Guía en español de creación de un equipo de respuesta a incidentes de seguridad informática.

QUE ES COBIT ?

El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa.

Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares).

Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO 27001.

CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio.

No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified Information Security Manager” (CISM) y "Certified in the Governance of Enterprise IT"CGEIT.

Fuente: www.iso27000.es



Blog re-estructurado!!!

Estimados lectores, antes que nada, mil dispensas, por la larga ausencia, pero ahora estamos regresando con mayores innovaciones y novedades, de acuerdo a los nuevos requerimientos y entorno de las TICs, por lo cual dentro de poco tendremos un Blog mas dinamico, y aprovecho para los que deseen enviar sus comentarios y sugerencias, hacerlas y con el mayor gusto seran atendidas y publicadas, pueden escribir directamente a este Blog o al correo richardhuaranga@gmail.com.

Cordiales saludos,

Ing. Richard Huaranga Arana
CIP, ISACA, CCL

Nueva version ISO 17799:2005

Aunque hace ya buen tiempo de la publicación de la nueva versión de la norma, este texto resume muy bien el nuevo enfoque de la norma y las principales novedades.

A continuación reseño las mejores partes del texto.

- Se ha incluido en la norma un capítulo destinado al análisis de riesgos. Este hecho pone de manifiesto la importancia del análisis de riesgos, como herramienta que debe servir a la Dirección para mejorar la gestión de la seguridad de sus sistemas de información.

El siguiente aspecto que nos gustaría destacar es la inclusión de dos conceptos puntuales que han sido elementos claves:

- Que la política de seguridad de la información tiene que estar alineada con los requerimientos del negocio (dentro de la corriente denominada IT Governance) y con las leyes y regulaciones relevantes (seguro que a más de uno ya se nos ha ocurrido alguna ley que nos trae de cabeza en esta materia).

- Que a los usuarios hay que darles formación, y concienciarles continuamente en esta materia, lo que les permitirá realizar las acciones necesarias para conseguir una óptima protección.

Solo una revisión de los grandes números:

- Hemos pasado de 127 controles en la edición de 2000 a 133 controles en 2005. Los 10 dominios de 2000 han crecido hasta 11 en la reciente edición.

Al margen de la adición, modificación y eliminación de objetivos de control puntuales, se han producido dos grandes reestructuraciones dentro de la norma:

- Los objetivos de control de “Monitorización” han pasado de “Control de Accesos” a “Gestión de comunicaciones y operaciones”.

- Los objetivos de control relativos a “Gestión de incidentes de seguridad de la información” se han independizado de la “Seguridad de los Recursos Humanos”, y se han constituido como capítulo con entidad propia dentro de la norma. Este hecho unido a la circunstancia de que el apartado de “Seguridad de los Recursos Humanos” mantiene su peso relativo dentro de la norma, significa que han aumentado los objetivos de control en este apartado significativamente."

METODOLOGIA DE DESARROLLO DE UNA AUDITORIA DE SISTEMAS

Diferentes autores proponen metodologías de desarrollo de auditorias de sistemas, en general la mayoría de ellos coinciden en las siguientes fases:

Fase 1. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)

En esta fase se determinan los límites y el entorno en que se realizará la auditoría, es el momento donde se determina hasta donde debe llegar la tarea, debe existir un acuerdo muy preciso entre autoridades y clientes sobre las funciones (seguridad, dirección, etc.), las materias (sistemas operativos, bases de datos, etc.) y los departamentos o áreas a auditar (sistemas, comunicaciones, etc.). El éxito del proceso de auditoría depende de una clara definición de esta fase.

Fase 2. Realizar el Estudio Inicial del entorno a auditar

Para realizar dicho estudio es necesario examinar las funciones y actividades generales de la organización a auditar y en particular de las relacionadas con las tecnologías de la información, se deberá obtener información sobre:

Organización

- Se debe definir la estructura organizativa del Departamento o área de Informática a auditar.
- Organigrama, se trata de la estructura formal de la organización a auditar.
- Departamentos, entendiendo como departamentos a las áreas que siguen a la dirección; en el estudio inicial se deberá definir la función de cada uno de ellos.
- Relaciones funcionales y jerárquicas entre las distintas áreas de la organización; el auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas, o por el contrario, detectará, cualquier anomalía como por ejemplo, si algún empleado tiene dos jefes.
- Flujo de información, la calidad de este flujo tiene un enorme impacto sobre la eficacia y eficiencia de la gestión, deberá investigar sobre posibles canales alternativos o no formales de comunicación.
- Numero de puestos de trabajo y personas por puesto de trabajo
- Distribución de recursos ineficiente
- Necesidad de reorganización

Entorno Operativo

El equipo de auditoría informático debe poseer antes de comenzar la tarea una información fiable del entorno en el que se va ha desarrollar las actividades. Se debe considerar:

- Situación geográfica de las áreas de sistemas a auditar, verificando la existencia de los responsables y la estructura interna del área informática, así como el uso de estándares de trabajo formales o informales, los planes de capacitación y las políticas de ingreso de personal a las áreas de sistemas.
- Arquitectura y configuración de hardware y software: Inventario completo del hardware y software, incluyendo procesadores, periféricos, software de base y aplicación, legalidad del mismo, etc.
- Telecomunicaciones: topología, proveedores, servicios que se brindan, seguridad, etc.
- Aspectos relacionados con la seguridad y planes de contingencia.

Aplicaciones informáticas, bases de datos y archivos

- Se deben determinar los sistemas informáticos implementados en la empresa.
- Volumen, Antigüedad y Complejidad de las aplicaciones
- Metodología de desarrollo de aplicaciones
- Metodología de mantenimiento de las aplicaciones.
- Documentación de aplicaciones
- Cantidad y complejidad de bases de datos, tamaño y características de bases de datos, número de accesos a BD, frecuencia de actualización
- Planes de desarrollo
- Políticas de backup.

Muchos autores sugieren que en el final de esta etapa es necesario realizar un Análisis de Riesgo, que será el que guié el proceso de auditoría.

Fase 3. Determinación de los recursos necesarios para realizar la auditoría de sistemas.

Después de realizar el estudio preliminar se debe determinar los recursos materiales y humanos necesarios para implementar el plan de auditoría.

- Recursos Materiales
- Software: paquetes de auditoría del equipo auditor, compiladores
- Hardware: PC’s, impresoras, líneas de comunicación.
- Se debe establecer quién provee estos recursos
- Recursos Humanos

La Auditoría de sistemas en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria y en algunos casos se requiere que los profesionales estén certificados por ISACA (Asociación de Auditoría y Control de Sistemas de Información).

Fase 4. Elaborar el Plan de Trabajo

En esta fase se define el calendario de actividades a realizar, formalizando el mismo para la aprobación por parte de las autoridades.

El plan de la auditoría en muchos casos es guiado por las recomendaciones que brinda ISACA a través de sus guías y contempla:

- Conocimiento de la organización y de sus procesos, para identificar problemas potenciales, alcance, etc.
- Programa de auditoría: Calendario de trabajo (tareas y recursos) y su seguimiento. Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente:
Tema de auditoría: Donde se identifica el área a ser auditada.
Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar.
Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado.
Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.
Procedimientos de auditoría: para:
- Recopilación de datos.
- Identificación de lista de personas a entrevistar.
- Identificación y selección del enfoque del trabajo
- Identificación y obtención de políticas, normas y directivas.
- Desarrollo de herramientas y metodología para probar y verificar los controles existentes.
- Procedimientos para evaluar los resultados de las pruebas y revisiones.
- Procedimientos de comunicación con la gerencia.
- Procedimientos de seguimiento.
- Evaluación interna del control, mediante pruebas de cumplimiento de los controles.

Modelo
ENTIDAD: MUNICIPALIDAD DISTRITAL DE PUENTE PIEDRA
Área : Gerencia de Informática y Estadística

I. VISITA PRELIMINAR
- Solicitud de Manuales y Documentaciones.
- Elaboración de los cuestionarios.
- Recopilación de la información organizacional: estructura orgánica, recursos humanos, presupuestos.

II. DESARROLLO DE LA AUDITORIA
- Aplicación del cuestionario al personal.
- Entrevistas a líderes y usuarios mas relevantes de la dirección.
- Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.
- Evaluación de la estructura orgánica: departamentos, puestos, funciones, autoridad y responsabilidades.
- Evaluación de los Recursos Humanos y de la situación Presupuestal y Financiera: desempeño, capacitación, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos.
- Evaluación de los sistemas: relevamiento de Hardware y Software, evaluación del diseño lógico y del desarrollo del sistema.
- Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo.

III. REVISION Y PRE-INFORME
- Revisión de los papeles de trabajo.
- Determinación del Diagnostico e Implicancias.
- Elaboración de la Carta de OCI.
- Elaboración del Borrador.

IV. INFORME
- Elaboración y presentación del Informe.

Fase 5. Realizar las Actividades de Auditoría

Es el momento donde se hacen efectivas las actividades planificadas en la fase anterior, aplicando distintas técnicas y utilizando herramientas que garanticen el cumplimiento de los objetivos planteados, se documenta esta etapa, monitoreando las posibles desviaciones que se detecten en relación con la planificación original.

Fase 6. Realizar el Informe Final

El objetivo final del auditor es entregar por escrito un informe, en donde se harán las conclusiones y recomendaciones. El auditor justifica personalmente su auditoría en forma documentada. La elaboración del Informe Final es la única referencia constatable de toda auditoría, y el exponente de su calidad. Por lo tanto es muy importante que su contenido sea claro y estructurado de tal manera que responda a las expectativas del cliente en cuanto al cumplimiento de los objetivos planteados.

Modelo de Estructura de un Informe Final

- Definición de objetivos y alcance de la auditoría.
- Enumeración de temas considerados
- Cuerpo expositivo
a) Situación actual. Cuando se trate de una Revisión periódica.
b) Tendencias. Se tratarán de hallar parámetros de correlación.
c) Puntos débiles y amenazas.
d) Recomendaciones y Planes de Acción. Constituyen, junto con la exposición de puntos débiles, el verdadero objeto de la auditoría informática. Es importante considerar que el objetivo final debe ser el de crear un ambiente de control dentro de la empresa y las recomendaciones deben estar orientadas en este sentido.

En el informe final deben quedar claramente formalizados los siguientes puntos:
- Alcance
- Objetivos
- Período de cobertura
- Naturaleza y extensión del trabajo de auditoría
- Organización
- Destinatarios del informe
- Restricciones
- Hallazgos
- Conclusiones
- Recomendaciones

Fase 7. Carta de Presentación.

Es la última etapa de la auditoría consta de un resumen de 3 ó 4 folios del contenido del informe final, dirigido a las autoridades de la empresa u organización donde se realizó la auditoría; es conveniente que los responsables máximos de la empresa certifiquen que la tarea fue realizada de
acuerdo con lo previsto, este documento debe incluir los siguientes elementos:

- Datos generales de la auditoría como los límites de la misma, los objetivos y alcance de la auditoría.
- Cuantificación de las áreas analizadas.
- Conclusión general, puntualizando las áreas de gran debilidad.
- Presentación de las debilidades y riesgos en orden de importancia.
- Resumen de las recomendaciones realizadas.

Auditoria de Sistemas de Información

1. Introducción
2. ¿Qué es auditoria de sistemas?
3. Planeación de la Auditoria en informática
4. Investigación preliminar
5. Personal participante
6. Pasos a seguir
7. Informe
8. Conclusión

INTRODUCCIÓN
La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren el desarrollo y la promulgación de Normas Generales para la auditoria de los Sistemas de Información.
La auditoria de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
A continuación, la descripción de los dos principales objetivos de una auditoria de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.

¿QUE ES AUDITORIA DE SISTEMAS?
La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:

ADMINISTRACIÓN
Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática
Objetivos a corto y largo plazo.
Recursos materiales y técnicos
Solicitar documentos sobre los equipos, número de ellos, localización y características.
Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de los equipos.
Políticas de operación.
Políticas de uso de los equipos.

SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
En el momento de hacer la planeación de la auditoria o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.
Se solicita la información y se ve que:
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la información pero:
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE
Una de las partes más importantes dentro de la planeación de la auditoria en informática es el personal que deberá participar y sus características.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoria se deben tener personas con las siguientes características:
Técnico en informática.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.
Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, el figura el organismo, las fases y subfases que comprenden la descripción de la actividad, el número de personas participantes, las fechas estimadas de inicio y terminación, el número de días hábiles y el número de días/hombre estimado. El control del avance de la auditoria lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se está llevando a cabo de acuerdo con el programa de auditoria, con los recursos estimados y en el tiempo señalado en la planeación.
El hecho de contar con la información del avance nos permite revisar el trabajo elaborado por cualquiera de los asistentes.

PASOS A SEGUIR
Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

INFORME
En si todos los encuestados respondieron la totalidad de las preguntas. Todos tienen la misma respuesta en la pregunta sobre la inteligencia artificial, todos dicen prácticamente lo mismo acerca de lo que es la auditoria de sistemas en que es un sistema de revisión, evaluación, verificación y evalúa la eficiencia y eficacia con que se está operando los sistemas y corregir los errores de dicho sistema. Todos los encuestados mostraron una características muy similares de las personas que van a realizan la auditoria; debe haber un contador, un ingeniero de sistemas, un técnico y que debe tener conocimientos, práctica profesional y capacitación para poder realizar la auditoria.
Todos los encuestados conocen los mismos tipos de auditoria, Económica, Sistemas, Fiscal, Administrativa.
Para los encuestados el principal objetivo de la auditoria de sistemas es Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Mirando en general a todos los encuestados se puede ver que para ellos la auditoria de sistemas es muy importante porque en los sistemas esta toda la información de la empresa y del buen funcionamiento de esta depende gran parte del funcionamiento de una empresa y que no solo se debe comprender los equipos de computo sino también todos los sistemas de información desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoria de los sistemas de informática es de mucha importancia ya que para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

CONCLUSIÓN
La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).