2. ¿Qué es auditoría?
El concepto de auditoría se ha empleado
con frecuencia incorrectamente limitándolo
al único fin de detectar errores y señalar
fallos.
La palabra auditoría proviene del latín
“auditorius”, de ésta proviene la palabra
auditor, que se refiere a todo aquel que
tiene la virtud de oír.
3. Definición de auditoría
Proceso sistemático, independiente y
documentado para obtener evidencias
de la auditoría y evaluarlas de manera
objetiva con el fin de evaluar la
extensión en que se cumplen los
criterios de auditoría.
4. Alcance y objetivos de la auditoría
La auditoría tiene que cumplir con un principal
propósito, asesorar a la gerencia con el
propósito de:
• Ayudar en la delegación efectiva de las funciones.
• Mantener un adecuado control sobre la organización.
• Reducir a niveles mínimos el riesgo inherente.
• Revisar y evaluar cualquier fase de la actividad de la
organización, contable, financiera, administrativa,
operativa.
5. Auditoría Informática
La Auditoría Informática la podemos
definir como el conjunto de
procedimientos y técnicas para evaluar
y controlar un sistema informático con
el fin de constatar si sus actividades
son correctas y de acuerdo a las
normativas informáticas y generales
prefijadas en la organización.
6. Objetivos de la auditoría informática
1. Evaluar los sistemas de información en
general desde sus entradas,
procedimientos, controles, archivos,
seguridad y obtención de información.
2. Medir la eficiencia de los sistemas
Informáticos y su comportamiento.
3. Evaluar la organización de centros de
información, hardware y software.
7. Objetivos de la auditoría informática
4. La verificación del cumplimiento de las
normas generales de la empresa (la
revisión de la eficaz gestión de los
recursos materiales y humanos).
5. Evaluar todo lo relacionado con la
seguridad del sistema de información.
6. Mejorar la rentabilidad, la seguridad y la
eficacia del sistema de información que
le da soporte a una empresa.
8. Alcance de la auditoría informática
La auditoría informática deberá comprender
no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento
específico, sino que además habrá de
evaluar los sistemas de información en
general desde sus entradas,
procedimientos, controles, archivos,
seguridad y obtención de información.
9. La auditoría informática cubre tres
áreas fundamentales:
1. Aspectos generales relativos a la
seguridad.
2. Aspectos relativos a la confidencialidad y
seguridad de la información.
3. Aspectos jurídicos y económicos relativos
a la seguridad de la información.
10. Aspectos generales relativos a la
seguridad.
La seguridad operativa de los programas,
seguridad en suministros y funciones
auxiliares, seguridad contra radiaciones,
atmósferas agresivas, agresiones y posibles
sabotajes, seguridad físicas de las
instalaciones, del personal informático, etc.
11. Aspectos relativos a la confidencialidad y
seguridad de la información.
Estos aspectos se refieren no sólo a la
protección del material, la logística, los
soportes de la información, sino
también al control de acceso a la
propia información (a toda o a parte de
ella, con la posibilidad de introducir
modificaciones en la misma).
12. Aspectos jurídicos y económicos relativos
a la seguridad de la información.
En este grupo de aspectos se trata de analizar la
adecuada aplicación del sistema de información
en la empresa en cuanto al derecho a la intimidad
y el derecho a la información, y controlar los cada
vez más frecuentes delitos informáticos que se
cometen en la empresa.
En general, estos delitos pueden integrarse en dos
grandes grupos: delitos contra el sistema
informático y delitos cometidos por medio del
sistema informático.
13. Delitos contra el sistema informático
Hurto, robo, revelación de secretos, etc..., y
otro conjunto de delitos que ya no es tan
frecuente encontrar, al menos con carácter
general, perfectamente tipificados, como el
denominado hurto de tiempo, destrucción de
logiciales y datos, delitos contra la
propiedad (material, terminales, cintas
magnéticas,...).
14. Delitos cometidos por medio del sistema
informático
Manipulaciones fraudulentas de logiciales,
informaciones contenidas en bases de datos,
falsificaciones, estafas, etc.
Hurto de uso - Este delito suele producirse cuando
se utilizan los equipos informáticos de una
organización para fines privados (trabajos
externos, simple diversión, etc. Se trata, en
definitiva, de la utilización de unos equipos si tener
derecho a ello o para un uso distinto de lo
autorizado, y en el que lo lacerado no es la
propiedad, sino el uso del equipo con otros fines
no autorizados.
15. Vocabulario relacionado a la auditoría de
sistemas de información:
• Auditoría - Proceso sistemático, independiente y
documentado para obtener evidencias de la auditoría
y evaluarlas de manera objetiva con el fin de evaluar
la extensión en que se cumplen los criterios de
auditoría.
• Criterios de Auditoría - Conjunto de políticas,
procedimientos o requisitos utilizados como
referencia.
• Programa de la Auditoría - Conjunto de una o más
auditorías planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito
específico.
16. Vocabulario relacionado a la auditoría de
sistemas de información:
• Cliente de la Auditoría - Organización o persona que
solicita una auditoría.
• Auditado - Organización que es auditada.
• Hallazgos de la Auditoría - Resultados de la
evaluación de la evidencia de la auditoría recopilada
frente a los criterios de auditoría.
• Evidencia de la Auditoría - Registro, declaraciones de
hechos o cualquier otra información que son
pertinentes para los criterios de auditoría y que son
verificables.
• Equipo Auditor - Uno o más auditores que llevan a
cabo una auditoría.
17. Vocabulario relacionado a la auditoría de
sistemas de información:
• Experto técnico Auditor - Persona que aporta
experiencia o conocimientos específicos con
respecto a la materia que se va a auditar.
• Auditor - Persona con la competencia para llevar
a cabo una auditoría.
• Conclusiones de la Auditoría - Resultado de
una auditoría que proporciona el equipo auditor
tras considerar los hallazgos de la auditoría.