1. REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITECNICO
“SANTIAGO MARIÑO”
Autor
Auditoría Informática
Eduardo Prado
Maracaibo 18 de Octubre de 2014
2. Auditoria
Se entiende por auditoria al proceso de revisión de las actividades de una organización
dependiendo del área donde esta se desempeñe.
Auditor
Es aquella persona encargada de la revisión de los procesos de una empresa
Mapa cronológico donde se reseñe la historia y evolución de la auditoria según Carlos Muños
Razo.
La auditoría nació a
finales del siglo XV
Los primeros antecedentes
formales se encuentran en
1284
Con el descubrimiento de
América en 1492 contribuyo al
crecimiento de esta actividad
A mediados del siglo XIX el
Reino Unido estableció la
auditoria como una obligación
para obtener resultados
financieros
Se conocieron auditores de la
marina de guerra en 1894 y se le
considera responsables del
cumplimento de la leyes y
principios de esta disciplina
Auditoria a sistemas,
se carece de
evidencia
comprobable de sus
orígenes. Pero se
tiene registros de
actividades
realizadas desde
1988
Auditoria en el siglo XX. Se tomaron en
cuenta las tesis presentadas para la
época.
3. Mapa conceptual donde se observe la clasificación de los diferentes tipos de auditoría según
Carlos Muñoz Razo.
Cuadro comparativo entre las ventajas y desventajas de las auditorías externas e internas.
Auditoria Externas Auditorías Internas
Ventajas Ventajas
Son totalmente independientes y
libres de cualquier injerencia.
Utilizan técnicas y herramientas que
ya fueron probadas en otras
empresas
Están apoyadas por una mayor
experiencia por parte del auditor.
Son de gran aceptación por las
empresas para certificar registros
contables.
El autor pertenece a la empresa y
conoce sus actividades y operaciones
El contenido del informe de la
auditoria es mucho más valiosa
La información es de carácter interno
y no sale de la empresa.
La auditoria solo consume recursos
internos.
De gran utilidad para la buena
marcha de la empresa.
Desventajas Desventajas
El auditor conoce poco de la empresa
y puede estar limitada su evaluación.
Depende de la cooperación que
reciba de parte de los auditados
En algunos casos son costosas.
Su veracidad, alcance y confiabilidad
pueden estar limitadas.
Puede haber cierta injerencia por
parte de las autoridades.
Se puede presentar vicios del trabajo
del auditor.
Auditoría por su
lugar de aplicación
Auditoría por su
área de aplicación
Auditorias
especializadas en
áreas especificas
Auditorias
computacionales
Auditaría externa
Auditoría interna
Auditoria financiera,
administrativa, integral,
gubernamental y de
sistemas
Auditoria en el
área médica,
fiscal, laboral y
caja mayor
Auditoria
informática,
sistemas de
Cómputo
4. Auditoria informática y establezca su alcance e importancia dentro de una organización.
L auditoria informática comprende todas aquellas acciones dirigidas a la revisión y evaluación
técnica e integral de todos los sistemas informáticos, controles, procedimientos, software,
equipos de cómputo y demás componentes que funcionan dentro de una empresa, con el
objeto de comprobar si sus actividades se desarrollan de acuerdo a las normas informáticas y a
los fines de la organización.
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la
auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar
expresamente en el Informe Final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.
Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? ¿Se
comprobará que los controles de validación de errores son adecuados y suficientes*? La
indefinición de los alcances de la auditoría compromete el éxito de la misma.
Su importancia radica en que a través de este tipo de auditoría se puede emitir informes sobre
la situación que se desarrolla y utilizan los recursos informáticos, lo que facilita la detección de
problemas en los sistemas que puedan a la largar entorpecer el trabajo de quienes emplean
estas herramientas.
Cuadro comparativo donde se muestre las diferencias entre Auditoria en Sistemas de
Información y Auditoría Informática
Auditoria de sistemas Auditoria Informática
Revisión de las normas, controles, técnicas
que se tiene establecidas para procesar la
información de la empresa.
Revisión técnica y especializada que se realiza
en los sistemas de computo, software e
información.
Requiere de una especialización en sistemas
de información.
Requieres de una especialización avanzada de
sistemas computacionales.
El auditor evalúa tanto los elementos
técnicos como humanos que intervienen en
el procesamiento de la información.
El auditor evalúa los sistemas y equipos de
cómputo, así como también los sistemas de
información en general (entrada,
procesamiento, controles, seguridad y
obtención de la información).
Características y objetivos de la Auditoria informática.
La información de la empresa y para la empresa, siempre importante , se ha convertido en un
Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión
Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a
ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría
de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
5. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su
función: se está en el campo de la Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una
auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de
ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de
ellas.
Objetivos de la auditoria informática
Los principales objetivos son:
El control de la función informática
Análisis de la eficacia del sistema informático
Verificación de la implantación de la normativa de la organización
Revisión de la gestión de los recursos informáticos
Organización del personal
Planificación
Desarrollo y mantenimiento de software
Síntomas de necesidad de una auditoria informática dentro de una organización
Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en clases:
Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos
habitualmente.
Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de
alguna área o en la modificación de alguna Norma importante
Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en
los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben
ponerse diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El
usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Peque ñas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en
los resultados de Aplicaciones críticas y sensibles.
6. Síntomas de debilidades económico-financieras:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
Perfil profesional de un auditor Informático.
Un auditor informático debe ser un profesional integro, con un conocimiento completo en
cuanto a los sistemas, procedimientos y manipulación de equipos de computación. Po otra
parte debe tener la capacidad de detectar y producir soluciones para los problemas que
presenten los sistemas de cómputo e información mediante la evaluación general.