Este documento resume los conceptos clave de la auditoría informática. Define la auditoría como el examen de los sistemas informáticos de una entidad para mejorar aspectos como el control, la seguridad y el cumplimiento normativo. Explica que la auditoría informática evalúa el funcionamiento general de los sistemas de información de una organización, incluyendo la informática, la organización de centros de información, el hardware y el software. Finalmente, destaca la importancia de la auditoría informática para mejorar la rentabilidad, seguridad y eficacia de los sist
1. Instituto Politécnico “Santiago Mariño”
Extensión Maracaibo.
Escuela: Ingeniería de Sistemas.
Catedra: Auditoria y Evaluación de Sistemas.
Auditoria Informática
Autor:
Maria Auxiliadora Sanabria. C.I.V-19.394.726
Maracaibo, Octubre del 2014.
2. Introducción
En este informe se presentan diversos puntos correspondientes al tema de la auditoría,
iniciándose desde su historia y evolución hasta describir el perfil profesional de un auditor
Informático. Cabe destacar que la auditoria tiene ciertas variedades, es por esto que se ha
desarrollado el presente trabajo con la intención de dar a conocer el punto de vista de su
autor, sintetizando y resaltando los temas más relevantes, adecuados y correspondientes
a la computación, sistemas, y la ingeniería de estas mismas ramas como tal. Se realiza en
palabras propias y se muestran cuadros y mapas conceptuales para graficar las ideas a
presentar y de esta manera poder hacer del mismo, un medio informativo de fácil
entendimiento para sus lectores.
3. Definiciones.
Auditor: Un auditor es aquel que ha sido designado por una autoridad competente, para
examinar, evaluar y revisar los resultados de una gestión administrativa y/o financiera de
una institución, empresa u organización, con el fin de informar acerca de estos procesos
en busca de recomendaciones u observaciones que permitan optimizar el desempeño de
las mismas.
Auditoría: Es posible y definir a la auditoria como una función de dirección cuya finalidad
es analizar y apreciar, con vistas a las eventuales acciones correctivas, el control interno
de las organizaciones y sus procesos.
Mapa cronológico de la historia y evolución de la auditoría: según Carlos Muños Razo AÑO
1284 Año 1492 Siglo XV Siglo XIX Siglo XX El descubrimiento de América, contribuyó
también al crecimiento de la actividad de la auditoría, pues la Corona envió visitadores a
revisar las cuentas y resultados de sus colonias; dichos visitadores supervisaban que el
registro y manejo de las cuentas fueran correctos y emitían una opinión sobre la actuación
de los encargados. Al subir al trono Sancho VI "El Bravo", ordeno a algunos de sus
hombres de confianza que controlaran el destino de los caudales públicos. Como
resultado de esta medida y como producto de su reinado, se origino el tribunal de cuentas
en España Se estima que el verdadero nacimiento de la auditoria fue a finales del siglo XV
cuando países poderosos y algunos personajes influyentes de ese entonces, recurrían a los
servicios de revisores de cuentas, quienes se encargaban de revisar las cuentas manejadas
por los administradores de sus bienes, y se aseguraban de que no hubiera fraudes en los
reportes que se les presentaban.
A mediados del siglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, impuso la
obligación de ejecutar auditorías a los resultados financieros, el balance general, los
registros contables y las actividades financieras de las empresas públicas Del año 1 al
1984, desde el Instituto de Contadores Públicos de912 España hasta Robert J. Thierauf,
quien habló sobre la auditoria administrativa como una técnica utilizada para evaluar las
áreas operacionales de una organización, enfocando su trabajo desde el punt o de vista
administrativo
4. Mapa Conceptual de los diferentes tipos de Auditoría según Carlos Muños Razo
Auditorías Por su lugar de aplicación Por su área de aplicación Auditoría externa Auditoría
financiera Auditoría interna Auditoría administrativa Especializadas en áreas específicas
Auditoría operacional Auditoría al área médica Auditoría integral (Evaluación médico-sanitaria)
Auditoría gubernamental Auditoría al desarrollo de obras y Auditoría de
sistemas Construcciones De sistemas computacionales (Evaluación de ingeniería)
Auditoría informática Auditoría fiscal Auditoría con la computadora Auditoría laboral
Auditoría sin la computadora Auditoría de proyectos de inversión Auditoría a la gestión
informática Auditoría a la caja chica o Auditoría al sistema de cómputo Caja mayor
(arqueos) Auditoría alrededor de la computadora Auditoría al manejo de mercancías
Auditoría de la seguridad (inventarios) de sistemas computacionales Auditoría ambiental
Auditoría a los sistemas de redes Auditoría de sistemas Auditoría integral a los centros de
5. cómputo Auditoría ISO-9000 a los sistemas computacionales Auditoría outsourcing
Auditoría ergonómica de sistemas computacionales
Definición de Auditoria informática Es el conjunto de técnicas, procedimientos y
actividades, destinados a analizar y evaluar el funcionamiento de los sistemas informáticos
de un ente, por lo que comprende un examen metódico, puntual y discontinuo, con el
propósito de mejorar aspectos como: Control y seguridad de los sistemas informáticos;
Cumplimiento de la normativa tecnológica del ente; Control de planes de contingencia;
Eficacia y rentabilidad en el manejo de los sistemas. Alcance de la auditoría informática El
alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la
auditoria informática, se completa con los objetivos de ésta.
6. El alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales
materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge
al plantearse las siguientes cuestiones ¿Se someterán los registros grabados a un control
de integridad exhaustivo- ¿Se comprobará que los controles de validación de errores son
adecuados y suficientes. La indefinición de los alcances de la auditoria compromete el
éxito de la misma. Características de la auditoría informática. La información de la
empresa y para la empresa, siempre importante, se ha convertido en un Activo de la
misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse
inversiones informática, materia de la que se ocupa la Auditoria de Inversión Informática.
Importancia de la Auditoria Informática en una Organización Los órganos de la los
Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no
se debe olvidar. La importancia de llevar un control de esta herramienta se puede deducir
de varios aspectos que a continuación se detallaran: - Las computadoras y los Centros de
Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino
para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de
Seguridad. - Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son, a su vez,
erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan
perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas
Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a
Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos. -
Un Sistema Informático mal diseñado puede convertirse en una herramienta harto
peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes
recibidas y la modelización de la empresa está determinada por las computadoras que
materializan los Sistemas de Información, la gestión y la organización de la empresa no
puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los
varios inconvenientes que puede presentar un Sistema Informático, de ahí la necesidad de
la Auditoría de Sistemas.
Auditoria Informática y Auditoria de Sistemas de Información Similitudes Diferencias No se
requieren nuevas normas de auditoría, son las mismas. Se establecen algunos nuevos
procedimientos de auditoría. Los elementos básicos de un buen sistema de control
contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de
funciones. Hay diferencias en las técnicas destinadas a mantener un adecuado control
interno contable. Los propósitos principales del estudio y la evaluación del control
contable interno son la obtención de evidencia para respaldar una opinión y determinar la
base, oportunidad y extensión de las pruebas futuras de auditoría. Hay alguna diferencia
7. en la manera de estudiar y evaluar el control interno contable. El énfasis en la evaluación
de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis
en los sistemas informáticos, está en la evaluación del control interno.
Características y Objetivos de la Auditoría Informática La Auditoría Informática se puede
definir como “el conjunto de procedimientos y técnicas para evaluar y controlar un
sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a
las normativas informáticas y generales en la organización”. La Auditoría Informática
deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o
procedimiento específico, sino que además tendrá que evaluar los sistemas de
información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información. Esta es de vital importancia para el buen
desempeño de los sistemas de información, ya que proporciona los controles necesarios
para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe
evaluar todo: informática, organización de centros de información, hardware y software.
La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control
que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la
eficacia del sistema mecanizado de información en que se sustenta. El alcance ha de
definir con precisión el entorno y los límites en que va a desarrollarse la auditoría
informática, se complementa con los objetivos de ésta. El alcance ha de figurar
expresamente en el Informe Final, de modo que quede perfectamente determinado no
solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido
omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad
exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y
suficientes? La indefinición de los alcances de la auditoría compromete el éxito de la
misma. Control de integridad de registros: Hay Aplicaciones que comparten registros, son
registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo
necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como
debería.
*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar
y corregir errores sea eficiente. Características de la Auditoría Informática La información
de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real
de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse
inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general,
o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o
Técnica de Sistemas. Cuando se producen cambios estructurales en la Informática, se
8. reorganiza de alguna forma su función: se está en el campo de la Auditoría de
Organización Informática. Estos tres tipos de auditorías engloban a las actividades
auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una
auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque
en ese desarrollo existen, además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas. Síntomas de Necesidad de una
Auditoría Informática Las empresas acuden a las auditorías externas cuando existen
síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
Síntomas de descoordinación y desorganización - No coinciden los objetivos de la
Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se
desvían sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con
algún cambio masivo de personal, o en una restructuración fallida de alguna área o en la
modificación de alguna Norma importante]
El auditor informático debe conocer técnicas de gestión empresarial y sobre todo de
gestión del cambio ya que las recomendaciones y soluciones que aporten deben estar en
la línea de la búsqueda optima de la mejor solución para los objetivos empresariales que
se persiguen y con los recursos que se tienen. El auditor informático debe tener siempre el
concepto de calidad total. Como parte de un colectivo empresarial, bien sea
permanentemente como auditor interno o puntualmente como auditor externo, el
concepto de calidad total hará que sus conclusiones y trabajo sean reconocidos como un
elemento valioso dentro de la organización y que los resultados sean aceptados en su
totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor
informático sea más reconocida de forma positiva por la organización.