1) La auditoría informática es un proceso que evalúa los sistemas de información de una organización para determinar si protegen los activos, mantienen la integridad de los datos y cumplen con las leyes y regulaciones.
2) Dentro de una organización, una auditoría informática es necesaria cuando hay desorganización, disminución de la productividad, insatisfacción de clientes o problemas de seguridad.
3) Un auditor informático debe tener conocimientos de auditoría, informática y administración de empresas, y especializarse en áreas como
1. República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Superior
Instituto Universitario Politécnico “Santiago Mariño”
Maracaibo Estado Zulia
Cátedra: Auditoria y Evaluación de Sistemas
Auditoria Informática
Elaborado por:
Antonio Bracamonte
CI: 21.358.043
Maracaibo, Abril de 2015
2. Esquema
Concepto de Auditoria y Auditor.
Reseña histórica y Evolución de la auditoria Según Carlos Muñoz Razo.
Clasificación de los tipos de Auditoria Según Carlos Muñoz Razo.
Ventajas y desventajas de la Auditoría Interna y Externa.
Definición de Auditoria informática y establezca su alcance e importancia dentro
de una organización.
Cuadro comparativo donde se muestre las diferencias entre Auditoria en Sistemas
de Información y Auditoría Informática.
Características y objetivos de la Auditoria informática.
Explique los síntomas de necesidad de una auditoria informática dentro de una
organización.
Describa con sus propias palabras el perfil profesional de un auditor Informático.
3. Desarrollo
Concepto de Auditoria y Auditor.
Auditoria:
Según la definición de Eurípides Rojas: “La auditoria de sistemas es la parte
de la auditoría interna que se encarga de llevar a cabo la evaluación de normas,
controles, técnicas y procedimientos que se tienen establecidos en una empresa
para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la
información que se procesa a través de computadores.”
Con base a la definición anterior se puede concluir que la auditoria de
sistemas se encarga de La verificación de controles en el procesamiento de la
información, desarrollo de sistemas e instalación con el objetivo de evaluar su
efectividad y presentar recomendaciones a la Gerencia. Además evalúa los
procesos del Área de Procesamiento automático de Datos y de la utilización de los
recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia,
efectividad y economía de los sistemas computarizados en una empresa y
presentar conclusiones y recomendaciones encaminadas a corregir las
deficiencias existentes y mejorarlas.
Auditor:
Persona capacitada y experimentada que se designa por una autoridad
competente, para revisar, examinar y evaluar los resultados de la gestión
administrativa y financiera de una dependencia o entidad, con el propósito de
informar o dictaminar acerca de ellas, realizando las observaciones y
recomendaciones pertinentes para mejorar su eficacia y eficiencia en su
desempeño.
4. Reseña histórica y Evolución de la auditoria Según Carlos Muñoz Razo.
La Primera Auditoria nació en el momento que fue necesario rendir
cuentas de un negocio o revisar que estas fueran correctas, es evidente que dicha
función fue evolucionando, a la par que el crecimiento de la actividad de registros
de operaciones mercantiles. Sin embargo los primeros antecedentes de auditoría,
esta nació antes que la teneduría de libros a finales del siglo xv.
1284 Al subir al trono Sancho “El Bravo” quien ordeno que algunos de
sus hombres de confianza que controlaran el destino de los caudales públicos.
1800 Revolución Industrial, algunas empresas alcanzaron gran auge en
las actividades fabriles y mercantiles.
1942 Descubrimiento de América, la corona envió visitadores a revisar las
cuentas y resultados de sus colonias, dichos visitadores supervisaban que el
manejo y registro de las cuentas fueran correctas.
1988 Origen de los Auditores. (ESPASA, CALPE), Es la curia romana
tiene su origen en la edad media, el auditor daba consejos en materia de teología
luego ejercía el poder civil y eclesiástico.
Antecedentes en el Siglo xx
1912 El instituto de contadores públicos de España, surge en forma colegiada la
actividad del auditor, la cual tuvo una duración muy efímera.
1917 Colegio de censores de Bilbao.
1932 T. C. Rose, consultor ingles en el instituto de administración industrial,
propuso una tesis “independientemente la actividad de la auditoría financiera,
también es útil la actividad administrativa.
1932 James Mckinsey, llega a la conclusión de que la empresa tenía que hacer
periódicamente una auditoria.
5. 1945 El Instituto de Auditores Internos, en estados unidos proporciono los
primeros escritos sobre la auditoria de operaciones.
1950 Jackson Martindell fundado de american Intitute of management, desarrollo
uno de los primeros programas de auditoría administrativa.
1980 Whitmore C.M. Expone que la auditoria administrativa se utiliza para apoyar
funcionarios públicos y gerentes de empresas privadas.
1984 Robert Thierauf, hablo sobre la auditoria como una técnica utilizada para
evaluar las aéreas operacionales de una organización, enfocando su trabajo
desde el punto de vista administrativo.
1988 Echenique publico su libro auditoria de sistemas, el cual establece las
principales bases para el desarrollo, de una auditoria de sistemas
computacionales.
1992 Lee presento un libro el cual enuncia los principales aspectos de evaluar en
una auditoria de sistemas
1993 Rosalba Escobedo Valenzuela presenta una tesis de auditoría a los centros
de cómputo como apoyo a la gerencia
1996 Hernández Hernández propone la auditoría en informática, en la cual da
ciertos aspectos relacionados con esta disciplina.
1998 Mario Paitini y Emilio del Peso, presenta auditoría en informática, enfoque
práctico.
Clasificación de los tipos de Auditoria Según Carlos Muñoz Razo.
Auditoria por su lugar de aplicación: Auditoría externa e interna.
Auditoria por su área de aplicación: auditoría financiera, administrativa,
operacional, integral gubernamental y de sistemas.
6. Auditoria especializadas en áreas especificas: Medica, desarrollo de obras y
construcciones, fiscal, laboral, proyectos de inversión, ambiental y de sistemas.
Auditoria de sistemas computacionales: Informática, con la computadora, sin la
computadora, gestión informática, sistema de cómputos, seguridad de sistemas
computacionales, sistemas de redes y centros de computo.
Ventajas y desventajas de la Auditoría Interna y Externa
Ventajas Auditorias Interna:
· Se practica dentro de la propia empresa.
· La lleva a cabo personal de la misma empresa.
· Se tiene acceso a toda la información y documentación
· Son conocidos y dominados los procedimientos y el control interno
· Los fallos detectados son corregidos inmediatamente
· No se necesita todo un protocolo para iniciar la revisión
· Se puede seleccionar a personal de la misma empresa para cumplir con esta
función.
Desventajas Auditorias Interna:
· Los ejecutores de la revisión podrían utilizarla como medio de poder.
· Los ejecutores no tienen independencia profesional.
· Los ejecutores junior pueden caer en medios coercitivos.
· Los ejecutores senior pueden tender a magnificar los resultados en busca de
mejores posiciones en la empresa.
Ventajas Auditorias Externa:
· El auditor tiene independencia profesional
· Su amplia experiencia en otras empresas le permite analizar la aplicación de
los procedimientos generales.
· Pueden ser contratados para un trabajo específico.
7. · Sus resultados son relevantes en el medio económico
· Sus sugerencias tienden a una estandarización preestablecida.
Desventajas Auditorias Externa:
· Son contratados por un precio y tiempo determinado.
· La calidad profesional a intervenir depende del punto anterior
· No toda la información está a su alcance.
· Los resultados pueden ser negociados o manejables por la empresa
contratante.
· El tiempo es una presión para su revisión.
· En su afán de justificarse, suelen perderse en trivialidades
Definición de Auditoria informática y establezca su alcance e importancia
dentro de una organización.
La auditoría informática es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente
los fines de la organización, utiliza eficientemente los recursos, y cumple con las
leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso
de los recursos y los flujos de información dentro de una organización y determinar
qué información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan
flujos de información eficientes.
Su Principal importancia en las organizaciones se debe a:
Mejora la imagen pública.
Genera confianza en los usuarios sobre la seguridad y control de los servicios
de TI.
Optimiza las relaciones internas y del clima de trabajo.
8. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre
otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
Por lo anterior, se puede afirmar que el éxito de un organismo depende de
los controles de evaluación de la eficacia y eficiencia de sus sistemas de TI. Hoy
en día, las organizaciones estructuran su información en sistemas de TI, debido a
ello, es de vital importancia que éstos funcionen de forma correcta e
ininterrumpida para la productividad y supervivencia futura de una organización.
Cuadro comparativo donde se muestre las diferencias entre Auditoria en
Sistemas de Información y Auditoría Informática.
Auditoria de Sistemas de Información Auditoria Informática
Se encarga de Evaluar
aquellos aspectos
relacionados con los recursos
informáticos de la
organización, como software,
hardware, talento humano,
funciones y procedimientos,
enfocados todos ellos desde
el punto de vista
administrativo, técnico y de
Seguridad.
Deberá comprender no solo la
evaluación de los equipos de
computo o de un sistema o
procedimiento especifico, sino
que además habrá de evaluar
los sistemas de información, en
general desde sus entradas,
procedimientos, controles
archivos, seguridad y obtención
de información.
Características y objetivos de la Auditoria informática
Características:
9. Permite una revisión técnica, especializada y exhaustiva que se realiza a
los sistemas computacionales, software e información utilizados en una
empresa.
Dicha revisión se realiza de igual manera a la gestión informática y el
aprovechamiento de sus recursos, las medidas de seguridad y los bienes
de consumo necesarios para el funcionamiento de los centros de cómputo.
Objetivo: El propósito fundamental es evaluar el uso adecuado de los sistemas
para el correcto ingreso de los datos, el procesamiento adecuado de la
información y la emisión oportuna de sus resultados en la institución, incluyendo la
evaluación en el cumplimiento de las funciones, actividades y operaciones de
funcionarios, empleados y usuarios involucrados con los servicios que
proporcionan los sistemas computacionales a la empresa.
Explique los síntomas de necesidad de una auditoria informática dentro de
una organización.
Muchos países todavía no tienen normativas reguladoras de la tecnología
informática en las empresas privadas, con lo cual los riesgos que estas empresas
privadas corren dependen totalmente de ellas mismas. Sin embargo, es
importante para estas empresas que estén atentas a las siguientes señales que
suelen detectarse en muchas de ellas:
Descoordinación y/o desorganización
Los objetivos de la empresa no coinciden con los objetivos del
departamento informático.
Disminución del redimiendo en producción
Los estándares en la producción tienden sensiblemente a decrecer cuando
se comparan con la media de producción habitual.
Insatisfacción de clientes internos/externos
10. El servicio al cliente es pobre, bien por calidad o por tiempo de respuesta.
Problemas económicos
Los costes aumentan y es difícil justificar las inversiones en tecnología
informática.
Los proyectos no cumplen los plazos establecidos.
Falta de seguridad
Inseguridad lógica, física o problemas con la confidencialidad de la
información o/y la continuidad del servicio.
Describa con sus propias palabras el perfil profesional de un auditor
Informático.
Es un profesional dedicado al análisis de sistemas de información que está
especializado en alguna de las ramas de la auditoría informática, que tiene
conocimientos generales de los ámbitos en los que ésta se mueve, además de
contar con conocimientos empresariales generales.
El auditor puede actuar como consultor con su auditado, dándole ideas de cómo
enfocar la construcción de los elementos de control y administración que le sean
propios. Además, puede actuar como consejero con la organización en la que está
desarrollando su labor. Un entorno informático bien controlado puede ser
ineficiente si no es consistente con los objetivos de la organización.
El auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo estar integrado a las corrientes organizativas
empresariales. Se deben contemplar las siguientes características de un perfil
profesional adecuado y actualizado:
1. Se deben poseer una mezcla de conocimientos de auditoría financiera y de
informática en general. En el área informática, se debe tener conocimientos
básicos de:
11. Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo)
Administración del Departamento de Informática
Análisis de riesgos en un entorno informático
Sistemas operativos
Telecomunicaciones
Administración de Bases de Datos
Redes locales
Seguridad física
Operación y planificación informática (efectividad de las operaciones y
rendimiento del sistema)
Administración de seguridad de los sistemas (planes de contingencia)
Administración del cambio
Administración de Datos
Automatización de oficinas (ofimática)
Comercio electrónico
Encriptación de datos
2. Especialización en función de la importancia económica que tienen distintos
componentes financieros dentro del entorno empresarial Por ejemplo, en un
entorno financiero pueden tener mucha importancia las comunicaciones, por lo
que se debe tener una especialización en esa rama.
3. Debe conocer técnicas de administración de empresas y de cambio, ya que las
recomendaciones y soluciones que aporte deben estar alineadas a los objetivos
de la empresa y a los recursos que se poseen.
4. Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y
trabajo sean reconocidos como un elemento valioso dentro de la empresa y que
los resultados sean aceptados en su totalidad.