2. Introducción a la Auditoría Informática
• Definición de Auditoría y de Auditor.
La Auditoría no es mas que un examen crítico que se realiza con objeto de evaluar la
eficiencia y eficacia de una sección o de un organismo y determinar cursos alternativos de
acción para mejorar la organización, y lograr los objetivos propuestos.
El Auditor debe poseer y mantener la educación básica suficiente y la competencia para
la realización de auditorías. Un auditor debe ser competente, ético, íntegro e imparcial. El
auditor debe conocer la legislación, normas, reglamentos, directivas y cualquier otro
documento que sirva como referencia general en el área de la auditoría. También debe conocer
los conceptos básicos, principios y técnicas de la auditoría que se encuentran descritos en
publicaciones oficiales, profesionales y especificaciones o normas de auditorías.
• Realice un cuadro comparativo entre las ventajas y desventajas de las auditorías
externas e internas.
4. La información de la empresa y para la empresa, siempre importante, se ha convertido
en un Activo de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informática, materia de la que se ocupa la Auditoría de Inversión
Informática.
Importancia de la Auditoría Informática en una Organización, los órganos de los
Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se
debe olvidar. La importancia de llevar un control de esta herramienta se puede deducir de
varios aspectos que a continuación se detallaran:
Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso
interviene la Auditoría Informática de Seguridad.
Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son,
a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas
empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de
entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un
efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la
Auditoría Informática de Datos.
Un Sistema Informático mal diseñado puede convertirse en una herramienta
harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las
órdenes recibidas y la modelización de la empresa está determinada por las
computadoras que materializan los Sistemas de Información,la gestión y la
organización de la empresa no puede depender de un Software y Hardware mal
diseñados. Estos son solo algunos de los varios inconvenientes que puede
presentar un Sistema Informático, de ahí la necesidad de la Auditoría de
Sistemas.
• Explique las características y objetivos de la Auditoría informática.
5. se puede definir como “el conjunto de procedimientos y técnicas para evaluar y
controlar un sistema informático con el fin de constatar si sus actividades son correctas y de
acuerdo a las normativas informáticas y generales en la organización”. La Auditoría
Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un
sistema o procedimiento específico, sino que además tendrá que evaluar los sistemas de
información en general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtención de información. Esta es de vital importancia para el buen desempeño de los sistemas
de información, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática,
organización de centros de información, hardware y software.
La Auditoría del Sistema de Información en la empresa, a través de la evaluación y
control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la
eficacia del sistema mecanizado de información en que se sustenta. El alcance ha de definir
con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se
complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe
Final, de modo que que de perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas.
Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo?
¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La
indefinición de los alcances de la auditoría compromete el éxito de la misma. Control de
integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si
una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va
encontrar y, por lo tanto, la aplicación no funcionaría como debería.*Control de validación de
errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
Características de la Auditoría Informática La información de la empresa y para la
empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus
Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas,
materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los
Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la
7. – Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo
de Proyectos y al órgano que realizó la petición).Síntomas de Inseguridad: Evaluación
de nivel de riesgos Seguridad Lógica y/o Seguridad Física Confidencialidad [Los datos
son propiedad inicialmente de la organización que los genera. Los datos de personal son
especialmente confidenciales]
Continuidad del Servicio. Es un concepto aún más importante que la Seguridad.
Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia
Totales y Locales.
Centro de Proceso de Datos fuera de control, Si tal situación llegara apercibirse, sería
prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma
debe ser sustituido por el mínimo indicio. El Auditor Informático debe ser una persona
con un alto grado de calificación técnica y al mismo tiempo estar integrado en las
corrientes organizativas empresariales que imperan hoy en día. Se deben de contemplar
las siguientes características para mantener el perfil profesional adecuado y actualizado:
1. La persona o personas que integren esta función deben contemplaren su formación
básica una mezcla de conocimientos de auditoría financiera y de informática en
general .Estos últimos deben contemplar conocimientos básicos de: Desarrollo
informático, gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.
Gestión del departamento de sistemas. Análisis de riesgo en un entorno informático.
Sistema operativo.
Telecomunicaciones. Gestión de base de datos. Seguridad física. Operaciones y
planificación informática. Gestión de la seguridad de los sistemas y de la continuidad
empresarial a través de planes de contingencia de la información. Gestión de problemas y de
cambios en entornos informáticos. Administración de datos. Comercio electrónico. En
criptación de datos. A estos conocimientos básicos se les deberá añadir una especialización en
función de la importancia económica que distintos componentes financieros puedan tener en
un entorno empresarial. Así en un entorno financiero pueden tener mucha importancia las
comunicaciones y será necesario que alguien dentro de la función de auditoría informática
tenga esta especialización, pero esto mismo puede no ser válido para un entorno productivo en
el que las transacciones EDI pueden ser más importantes.