1. Revista “AudiSystems” No. 1
Ingeniería de Sistemas Unefa Guacara 003-N
Abril 2011
AUDITORIA DE SISTEMAS
Material didáctico para contribuir con el aprendizaje y conocimiento de Estudiantes de la Universidad
Nacional Experimental de la Fuerza Armada y de todas aquellas personas que ingresan al blog
http://AuditoriadeSistemas-unefa.blogspot.com
Anaya Lisseth, Herrera Ernesto, Tarazona Jeniree, Tarazona Jessica
2. AudiSystems No. 1 http://AuditoriadeSistemas-unefa.blogspot.com
Contenido
Auditar....................................................................................................................................................................2
Auditoría Interna o Externa....................................................................................................................................4
Tipos y Clases de Auditoría.....................................................................................................................................5
Tipos de Controles..................................................................................................................................................7
Técnicas para el Control.........................................................................................................................................8
“No vacilará un anciano a su edad en preguntar a
un niño de siete días por el lugar de la vida, y vivirá;
pues muchos primeros vendrán a ser últimos y
terminarán siendo uno solo” Jesús; Evangelio de
Tomás
Certificado de reserva de Derechos al uso Exclusivo.
En el género de: Difusiones periódicas. Especie:
Difusión vía red de Cómputo. Titular: Ingeniería de
Sistemas Guacara 003-N Titulo “AudiSystems”
Auditar
Ingeniería de Sistemas Unefa G-003-N Página No. 2
3. AudiSystems No. 1 http://AuditoriadeSistemas-unefa.blogspot.com
Concepto
Conjunto de procedimientos y técnicas para
evaluar y controlar total o parcialmente un sistema
informático con el fin de proteger sus activos y
recursos, verificar si sus actividades se desarrollan
eficientemente de acuerdo con las normas
informáticas y gener5ales existentes en cada empresa
y para conseguir la eficacia exigida en el marco de la
organización correspondiente.
La palabra auditoría viene del latín
auditorius y de esta proviene auditor, que tiene la
virtud de oir y revisar cuentas, pero debe estar
encaminado a un objetivo específico que es el de
evaluar la eficiencia y eficacia con que se está
operando para que, por medio del señalamiento de
cursos alternativos de acción, se tomen decisiones
que permitan corregir los errores, en caso de que
existan, o bien mejorar la forma de actuación.
Algunos autores proporcionan otros conceptos
pero todos coinciden en hacer énfasis en la revisión,
evaluación y elaboración de un informe para el
ejecutivo encaminado a un objetivo específico en el
ambiente computacional y los sistemas.
A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:
Auditoría de Sistemas es:
• La verificación de controles en el procesamiento de la información, desarrollo de sistemas e
instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
• La actividad dirigida a verificar y juzgar información.
• El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y
de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de
eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
Ingeniería de Sistemas Unefa G-003-N Página No. 3
4. AudiSystems No. 1 http://AuditoriadeSistemas-unefa.blogspot.com
Auditoría Interna o Externa
La auditoria es realizada en recursos materiales y personas que estan en la empresa
auditada.
Auditoría Interna
Existe por expresa decisión de la empresa, es decir que también se
puede optar por su disolución en cualquier momento.
"Es una actividad independiente que tiene lugar dentro de la empresa y
que está encaminada a la revisión de operaciones, con la finalidad de prestar
un servicio a la dirección".
Es un control de dirección que tiene por objeto la medida y evaluación
de la eficacia de otros controles.
La auditoría interna surge con posterioridad a la auditoría externa por la
necesidad de mantener un control permanente y más eficaz dentro de la
empresa y de hacer más rápida y eficaz la función del auditor externo.
Generalmente, la auditoría interna clásica se ha venido ocupando
fundamentalmente del sistema de control interno, es decir, del conjunto de
medidas, políticas y procedimientos establecidos en las empresas para
proteger el activo, minimizar las posibilidades de fraude, incrementar la
eficiencia operativa y optimizar la calidad de la información.
Auditoría Externa
Es realizada por personas afines a la empresa se presupone una mayor
objetividad que en la auditoria interna debido Al mayor distanciamiento entre
auditor y auditado.
La Auditoría Externa examina y evalúa cualquiera de los sistemas de
información de una organización y emite una opinión independiente sobre los
mismos.
Una Auditoría Externa se lleva a cabo cuando se tiene la intención de
publicar el producto del sistema de información examinado con el fin de
acompañar al mismo una opinión independiente que le dé autenticidad y
permita a los usuarios de dicha información tomar decisiones confiando en las
declaraciones del Auditor.
Una auditoría debe hacerla una persona o firma independiente de
capacidad profesional reconocidas.
La auditoria informática tanto interna como externa debe ser una actividad exenta de
cualquier contenido o matiz político ajena a la propia estrategia y política general de la empresa.
Ingeniería de Sistemas Unefa G-003-N Página No. 4
5. AudiSystems No. 1 http://AuditoriadeSistemas-unefa.blogspot.com
Tipos y Clases de Auditoría
Auditoria Informática De Explotación
La explotación informática se ocupa de producir
resultados, tales como listados, archivos soportados
magnéticamente, órdenes automatizadas, modificación de
procesos, etc. Para realizar la explotación informática se dispone
de datos, las cuales sufren una transformación y se someten a
controles de integridad y calidad.
(Integridad nos sirve a nosotros; la calidad es que sirven los
datos, pero pueden que no sirvan; estos dos juntos realizan una
información buena).
Auditoria Informática De Desarrollo De Proyectos O Aplicaciones
La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así
por ejemplo una aplicación podría tener las siguientes fases:
• Prerrequisitos del usuario y del entorno.
• Análisis funcional.
• Diseño.
• Análisis orgánico (pre programación y programación).
• Pruebas.
• Explotación.
Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden
producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la
auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio
ejecutado por la máquina, los resultados sean exactamente los previstos y no otros (El nivel
organizativo es medio por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar
cuadrada)
Auditoria Informática De Sistemas
Se ocupa de analizar la actividad que se conoce como técnica
de sistemas, en todos sus factores. La importancia creciente de las
telecomunicaciones o propicia de que las comunicaciones, líneas y
redes de las instalaciones informáticas s e auditen por separado,
aunque formen parte del entorno general del sistema (Ej. De auditar el
cableado estructurado, ancho de banda de una red LAN).
Ingeniería de Sistemas Unefa G-003-N Página No. 5
6. AudiSystems No. 1 http://AuditoriadeSistemas-unefa.blogspot.com
Auditoria Informática De Comunicación Y Redes
Este tipo de auditoría deberá inquirir o actuar sobre
los índices de utilización de las líneas contratadas con
información sobre tiempos de uso y de no uso, deberá
conocer la topología de la red de comunicaciones, ya sea la
actual o la desactualizada. Deberá conocer cuantas líneas
existen, como son, donde están instaladas, y sobre ellas
hacer una suposición de inoperatividad informática. Todas
estas actividades deben estar coordinadas y dependientes
de una sola organización (Debemos conocer los tipos de
mapas actuales y anteriores, como son las líneas, el ancho
de banda, suponer que todas las líneas están mal, la
suposición mala confirmarlo).
Auditoria De La Seguridad Informática
Se debe tener presente la cantidad de información
almacenada en el computador, la cual en muchos casos
puede ser confidencial, ya sea para los individuos, las
empresas o las instituciones, lo que significa que se debe
cuidar del mal uso de esta información , de los robos, los
fraudes, sabotajes y sobre todo de la destrucción parcial o
total. En la actualidad se debe también cuidar la información
de los virus informáticos, los cuales permanecen ocultos y
dañan sistemáticamente los datos.
Ingeniería de Sistemas Unefa G-003-N Página No. 6
7. AudiSystems No. 1 http://AuditoriadeSistemas-unefa.blogspot.com
Tipos de Controles
Existen 3 tipos de control que son: El control preliminar, el concurrente, y el de
retroalimentación.
Control preliminar: Este tipo de control, tiene lugar antes de que
principien las operaciones e incluye la creación de políticas, procedimientos
y reglas diseñadas para asegurar que las actividades planeadas serán
ejecutadas con prioridad. En vez de esperar los resultados y comprarlos
con los objetivos es posible ejercer una influencia controladora limitando las
actividades por adelantado.
Son deseables debido a que permite a la administración evitar
problemas en vez de corregirlos después, pero desafortunadamente este
tipo de control requiere tiempo e información oportuna y precisa que suele
ser difícil de desarrollar.
Control Concurrente: Este tipo de control
tiene lugar durante la fa se de la acción de ejecutar
los planes e incluye la dirección, vigilancia y
sincronización de las actividades según ocurran, en
otras palabras, pueden ayudar a garantizar que el
plan será llevado a cabo en el tiempo específico y
bajo las condiciones requeridas.
La forma mejor conocida del control concurrente es la
supervisión directa. Cuando un administrador
supervisa las acciones de un empleado de manera
directa, el administrador puede verificar de forma
concurrente las actividades del empleado y corregir
los problemas que puedan ser presentados.
Control de retroalimentación: Indica que se han reunido algunos
datos, se han analizado y se han regresados los resultados a
alguien o a algo en el proceso que se está controlando de manera
que puedan hacerse correcciones.
El principal inconveniente de este tipo de control es que en el
momento en que el administrador tiene la información el daño ya
está hecho, es decir, se lleva a cabo después de la acción.
Ingeniería de Sistemas Unefa G-003-N Página No. 7
8. AudiSystems No. 1 http://AuditoriadeSistemas-unefa.blogspot.com
Técnicas para el Control
Entre las diferentes técnicas de control se pueden mencionar las siguientes:
• Contabilidad
• Presupuestos
• Reportes, informes
• Formas
• Archivos (memorias de expedientes)
• Computarizados
• Mecanizados
• Gráficas y diagramas.
• Proceso, procedimientos, Gannt, etc.
• Procedimiento hombre maquina, mano izquierda, mano derecha
etc.
• Estudio de métodos, tiempos y movimientos, etc.
• Métodos cuantitativos.
• Redes.
• Modelos matemáticos.
• Investigación de operaciones.
• Estadística.
• Cálculos probabilísticas.
------------------------------------------------------------------------------------------------
Ingeniería de Sistemas Unefa G-003-N.
Cualquier duda, comentario o sugerencia, dirígete http://AuditoriadeSistemas-unefa.blogspot.com
donde se te responderá a la mayor brevedad posible. ¡Comparte esta enseñanza envíasela a un
amigo! o envíanos sus datos y con gusto se la enviaremos
Ingeniería de Sistemas Unefa G-003-N Página No. 8