Este documento presenta una introducción a la auditoría informática. En primer lugar, define lo que es un auditor e introduce los conceptos clave de auditoría. Luego, describe los diferentes tipos de auditoría, incluida la auditoría interna y externa, y la auditoría financiera, administrativa y de sistemas. Finalmente, explica la importancia de la auditoría informática en una organización y sus características y objetivos principales.
1. REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACION
INSTITUTO UNIVERSITARIO POLITÉCNICO SANTIAGO MARIÑO
EXTENSIÓN PORLAMAR - SEDE GENOVÉS
AUDITORÍA INFORMÁTICA
AUTOR:
FREDDY JAVIER MORENO BRAVO
C.I.: 18.058.745
AUDITORIA Y EVALUACIÓN DE SISTEMAS (SAIA)
PORLAMAR, SEPTIEMBRE DE 2012
2. Introducción
En este informe se presentan diversos puntos correspondientes al tema de
la auditoría, iniciándose desde su historia y evolución hasta describir el perfil
profesional de un auditor Informático.
Cabe destacar que la auditoria tiene ciertas variedades, es por esto que se
ha desarrollado el presente trabajo con la intención de dar a conocer el punto de
vista de su autor, sintetizando y resaltando los temas más relevantes, adecuados y
correspondientes a la computación, sistemas, y la ingeniería de estas mismas
ramas como tal.
Se realiza en palabras propias y se muestran cuadros y mapas
conceptuales para graficar las ideas a presentar y de esta manera poder hacer del
mismo, un medio informativo de fácil entendimiento para sus lectores.
3. Auditor
Un auditor es aquel que ha sido designado por una autoridad competente,
para examinar, evaluar y revisar los resultados de una gestión administrativa y/o
financiera de una institución, empresa u organización, con el fin de informar acerca
de estos procesos en busca de recomendaciones u observaciones que permitan
optimizar el desempeño de las mismas.
Auditoría
Sabiendo esto, es posible y definir a la auditoria como una función de
dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales
acciones correctivas, el control interno de las organizaciones y sus procesos.
4. Mapa cronológico de la historia y evolución de la auditoría según Carlos Muños Razo
Al subir al trono Sancho VI "El Bravo", ordeno a algunos de sus hombres de confianza que controlaran el destino de los
AÑO 1284 caudales públicos. Como resultado de esta medida y como producto de su reinado, se origino el tribunal de cuentas en
España
El descubrimiento de América, contribuyó también al crecimiento de la actividad de la auditoría, pues la
Corona envió visitadores a revisar las cuentas y resultados de sus colonias; dichos visitadores supervisaban
Año 1492 que el registro y manejo de las cuentas fueran correctos y emitían una opinión sobre la actuación de los
encargados.
Se estima que el verdadero nacimiento de la auditoria fue a finales del siglo XV cuando países
poderosos y algunos personajes influyentes de ese entonces, recurrían a los servicios de revisores
Siglo XV de cuentas, quienes se encargaban de revisar las cuentas manejadas por los administradores de
sus bienes, y se aseguraban de que no hubiera fraudes en los reportes que se les presentaban.
A mediados del siglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, impuso la
obligación de ejecutar auditorías a los resultados financieros, el balance general, los
Siglo XIX
registros contables y las actividades financieras de las empresas públicas
Del año 1912 al 1984, desde el Instituto de Contadores Públicos de
España hasta Robert J. Thierauf, quien habló sobre la auditoria
Siglo XX administrativa como una técnica utilizada para evaluar las áreas
operacionales de una organización, enfocando su trabajo desde el punto
de vista administrativo
5. Mapa Conceptual de los diferentes tipos de Auditoría según Carlos
Muños Razo
Auditorías
Por su lugar de aplicación Por su área de aplicación
Auditoría externa Auditoría financiera
Auditoría interna Auditoría administrativa
Especializadas en áreas específicas Auditoría operacional
Auditoría al área médica Auditoría integral
(Evaluación médico-sanitaria) Auditoría gubernamental
Auditoría al desarrollo de obras y Auditoría de sistemas
Construcciones De sistemas computacionales
(Evaluación de ingeniería) Auditoría informática
Auditoría fiscal Auditoría con la computadora
Auditoría laboral Auditoría sin la computadora
Auditoría de proyectos de inversión Auditoría a la gestión informática
Auditoría a la caja chica o Auditoría al sistema de cómputo
Caja mayor (arqueos) Auditoría alrededor de la computadora
Auditoría al manejo de mercancías Auditoría de la seguridad
(inventarios) de sistemas computacionales
Auditoría ambiental Auditoría a los sistemas de redes
Auditoría de sistemas Auditoría integral a los centros de cómputo
Auditoría ISO-9000 a los sistemas computacionales
Auditoría outsourcing
Auditoría ergonómica de sistemas computacionales
6. Cuadro comparativo
Auditoria Interna Auditoria Externa
Ventajas Desventajas Ventajas Desventajas
Facilita una ayuda Tiene la desventaja que cada Las ventajas para todos El trabajo es más
primordial a la dirección al empresa tiene sus los empresarios, no arduo en la
evaluar de forma características propias y importando su tamaño, recopilación de datos
relativamente especiales de manera que localización o sector en el para explicar
independiente los deben enfocarse al tipo de que actúen sus empresas. resultados como:
sistemas de organización empresa que se trate, además
Los diversos métodos de Falta de elementos
y de administración puede modificarse por que es
trabajo empleados en las en los almacenes de
el control interno halla variado
Facilita una evaluación auditorías externas repuestos
por lo que los procedimientos
global y objetiva de los permiten su adecuación al
también serán diferentes. Falta o exceso en el
problemas de la empresa, tipo de empresa al que se
almacenaje de
que generalmente suelen dirige en cada caso. La
materias primas
ser interpretados de una auditoría empresarial
manera parcial por los puede ser aprovechada, Falta o exceso en el
departamentos afectados. entre otras cosas, en los almacenaje de
procesos siguientes: productos terminados
Pone a disposición de la
Deficiente instalación
7. dirección un profundo • Reorganización de la empresa contra incendio o mal
conocimiento de las desarrollo de Plan de
• Atribución o reparto de nuevas
operaciones de la emergencia
funciones a los empleados
empresa, proporcionado
Deficiencias en la
• Análisis de los asuntos
por el trabajo de
contabilidad
empresariales
verificación de los datos
contables y financieros. • Elaboración de descripciones de Deficiencias en
los puestos de trabajo algunas Normas ISO
Contribuye eficazmente a
evitar las actividades • Estudio de los requisitos de las Deficiencias en el
rutinarias y la inercia competencias para cada puesto plan de trabajo de
burocrática que calidad (partes diarios
• Examen de la actitud de los
generalmente se de trabajo de cada
empleados hacia el trabajo
desarrollan en las grandes departamento)
• Estudio de la motivación de los
empresas. Deficiencias en la
empleados
Favorece la protección de distribución ordenada
los intereses y bienes de de deshechos
la empresa frente a
terceros.
8. Definición de Auditoria informática
Es el conjunto de técnicas, procedimientos y actividades, destinados a
analizar y evaluar el funcionamiento de los sistemas informáticos de un ente, por
lo que comprende un examen metódico, puntual y discontinuo, con el propósito de
mejorar aspectos como: Control y seguridad de los sistemas informáticos;
Cumplimiento de la normativa tecnológica del ente; Control de planes de
contingencia; Eficacia y rentabilidad en el manejo de los sistemas.
Alcance de la auditoría informática
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoria informática, se completa con los objetivos de ésta. El
alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este
control surge al plantearse las siguientes cuestiones ¿Se someterán los registros
grabados a un control de integridad exhaustivo- ¿Se comprobará que los controles
de validación de errores son adecuados y suficientes.
La indefinición de los alcances de la auditoria compromete el éxito de la
misma. Características de la auditoría informática.
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo de la misma, como sus Stocks o materias primas si las
hay. Por ende, han de realizarse inversiones informática, materia de la que se
ocupa la Auditoria de Inversión Informática.
9. Importancia de la Auditoria Informática en una Organización
Los órganos de la los Sistemas Informáticos están sometidos al control
correspondiente, circunstancia que no se debe olvidar. La importancia de llevar un
control de esta herramienta se puede deducir de varios aspectos que a
continuación se detallaran:
- Las computadoras y los Centros de Proceso de Datos se convirtieron en
blancos apetecibles no solo para el espionaje, sino para la delincuencia y el
terrorismo. En este caso interviene la Auditoria Informática de Seguridad.
- Las computadoras creadas para procesar y difundir resultados o
información elaborada pueden producir resultados o información errónea si dichos
datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las
mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los
datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se
provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso
interviene la Auditoria Informática de Datos.
- Un Sistema Informático mal diseñado puede convertirse en una
herramienta harto peligrosa para la empresa: como las maquinas obedecen
ciegamente a las órdenes recibidas y la modelización de la empresa está
determinada por las computadoras que materializan los Sistemas de Información,
la gestión y la organización de la empresa no puede depender de un Software y
Hardware mal diseñados.
Estos son solo algunos de los varios inconvenientes que puede presentar
un Sistema Informático, de ahí la necesidad de la Auditoría de Sistemas.
10. Auditoria Informática y Auditoria de Sistemas de Información
Similitudes Diferencias
No se requieren nuevas normas de auditoría, Se establecen algunos nuevos
son las mismas. procedimientos de auditoría.
Los elementos básicos de un buen sistema de Hay diferencias en las técnicas
control contable interno siguen siendo los destinadas a mantener un adecuado
mismos; por ejemplo, la adecuada segregación control interno contable.
de funciones.
Los propósitos principales del estudio y la Hay alguna diferencia en la manera de
evaluación del control contable interno son la estudiar y evaluar el control interno
obtención de evidencia para respaldar una contable.
opinión y determinar la base, oportunidad y
extensión de las pruebas futuras de auditoría. El énfasis en la evaluación de los
sistemas manuales esta en la evaluación
de transacciones, mientras que el énfasis
en los sistemas informáticos, está en la
evaluación del control interno.
Características y Objetivos de la Auditoría Informática
La Auditoría Informática se puede definir como “el conjunto de
procedimientos y técnicas para evaluar y controlar un sistema informático con el
fin de constatar si sus actividades son correctas y de acuerdo a las normativas
informáticas y generales en la organización”.
La Auditoría Informática deberá comprender no sólo la evaluación de los
equipos de cómputo, de un sistema o procedimiento específico, sino que además
tendrá que evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.
Esta es de vital importancia para el buen desempeño de los sistemas de
información, ya que proporciona los controles necesarios para que los sistemas
sean confiables y con un buen nivel de seguridad. Además debe evaluar todo:
informática, organización de centros de información, hardware y software.
11. La Auditoría del Sistema de Información en la empresa, a través de la
evaluación y control que realiza, tiene como objetivo fundamental mejorar la
rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en
que se sustenta.
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El
alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los
registros grabados a un control de integridad exhaustivo? ¿Se comprobará que los
controles de validación de errores son adecuados y suficientes? La indefinición de
los alcances de la auditoría compromete el éxito de la misma.
Control de integridad de registros: Hay Aplicaciones que comparten
registros, son registros comunes. Si una Aplicación no tiene integrado un registro
común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación
no funcionaría como debería.*Control de validación de errores: Se corrobora que
el sistema que se aplica para detectar y corregir errores sea eficiente.
Características de la Auditoría Informática
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias primas si
las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se
ocupa la Auditoría de Inversión Informática.Del mismo modo, los Sistemas
Informáticos han de protegerse de modo global y particular: a ello se debe la
existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de
Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de
Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza
de alguna forma su función: se está en el campo de la Auditoría de Organización
Informática.Estos tres tipos de auditorías engloban a las actividades auditoras que
se realizan en una auditoría parcial. De otra manera: cuando se realiza una
12. auditoria del área de Desarrollo de Proyectos de la Informática de una empresa,
es porque en ese desarrollo existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Síntomas de Necesidad de una Auditoría Informática
Las empresas acuden a las auditorías externas cuando existen síntomas
bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
Síntomas de descoordinación y desorganización
- No coinciden los objetivos de la Informática de la Compañía y de la propia
Compañía.- Los estándares de productividad se desvían sensiblemente de los
promedios conseguidos habitualmente.[Puede ocurrir con algún cambio masivo de
personal, o en una restructuración fallida de alguna área o en la modificación de
alguna Norma importante]
Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de paneles,
variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No
se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la
actividad del usuario, en especial en los resultados de Aplicaciones críticas y
sensibles.
Síntomas de debilidades económico-financieras:
- Incremento desmesurado de costes. Necesidad de justificación de
Inversiones Informáticas (la empresa no está absolutamente convencida de tal
13. necesidad y decide contrastar opiniones).Desviaciones Presupuestarias
significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica y/o Seguridad Física
Confidencialidad[Los datos son propiedad inicialmente de la organización
que los genera. Los datos de personal son especialmente confidenciales]-
Continuidad del Servicio. Es un concepto aún más importante que la Seguridad.
Establece las estrategias de continuidad entre fallos mediante Planes de
Contingencia Totales y Locales.
- Centro de Proceso de Datos fuera de control, Si tal situación llegara a
percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en
este caso, el síntoma debe ser sustituido por el mínimo indicio.
El Auditor Informático debe ser una persona con un alto grado de
calificación técnica y al mismo tiempo estar integrado en las corrientes
organizativas empresariales que imperan hoy en día. Se deben de contemplar las
siguientes características para mantener el perfil profesional adecuado y
actualizado: 1. La persona o personas que integren esta función deben contemplar
en su formación básica una mezcla de conocimientos de auditoría financiera y de
informática en general .Estos últimos deben contemplar conocimientos básicos de:
Desarrollo informático, gestión de proyectos y del ciclo de vida de un
proyecto de desarrollo. Gestión del departamento de sistemas. Análisis de riesgo
en un entorno informático. Sistema operativo. Telecomunicaciones. Gestión de
14. base de datos. Seguridad física. Operaciones y planificación informática. Gestión
de la seguridad de los sistemas y de la continuidad empresarial a través de planes
de contingencia de la información. Gestión de problemas y de cambios en
entornos informáticos. Administración de datos. Comercio electrónico. Encriptación
de datos.
A estos conocimientos básicos se les deberá añadir una especialización en
función de la importancia económica que distintos componentes financieros
puedan tener en un entorno empresarial. Así en un entorno financiero pueden
tener mucha importancia las comunicaciones y será necesario que alguien dentro
de la función de auditoría informática tenga esta especialización, pero esto mismo
puede no ser válidopara un entorno productivo en el que las transacciones EDI
pueden ser más importantes.
El auditor informático debe conocer técnicas de gestión empresarial y sobre
todo de gestión del cambio ya que las recomendaciones y soluciones que aporten
deben estar en la línea de la búsqueda optima de la mejor solución para los
objetivos empresariales que se persiguen y con los recursos que se tienen.
El auditor informático debe tener siempre el concepto de calidad total.Como
parte de un colectivo empresarial, bien sea permanentemente como auditor
interno o puntualmente como auditor externo, el concepto de calidad total hará que
sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de
la organización y que los resultados sean aceptados en su totalidad. Esta
aplicación organizativa debe hacer que la propia imagen del auditor informático
sea más reconocida de forma positiva por la organización.