Este documento trata sobre la auditoría informática. Define la auditoría como una revisión independiente que evalúa el cumplimiento de funciones y procesos de una entidad. La auditoría informática revisa los sistemas computacionales, software, información, instalaciones y gestión de una organización. Los objetivos son mejorar la relación costo-beneficio, asegurar la confiabilidad y seguridad de la información. El documento también describe los diferentes tipos de controles y auditorías informáticas, como la de seguridad y datos, y las características que debe tener

1. Universidad Valle del Momboy
Vicerrectorado Académico
Decanato de Investigación y Postgrado
Especialización en Gerencia de la Tecnología de la Información
Auditoria Informática
Autores:
Ing. Nairubia Ángel C.I.: 14.928.892
Ing. Yuneray Valladares C.I.: 15.941.106
Carvajal, Junio de 2015

2. 1.- CONCEPTOS DE AUDITORIA Y AUDITORIA INFORMATICA
La palabra auditoría proviene del latín auditorius, y de
esta proviene la palabra auditor, que se refiere a todo
aquel que tiene la virtud de oír. La Auditoria es la
revisión independiente que realiza un auditor
profesional, aplicando técnicas, métodos y
procedimientos especializados, a fin de evaluar el
cumplimiento de las funciones, actividades, tareas y
procedimientos de una entidad administrativa, así
como dictaminar sobre el resultado de dicha
evaluación.
Según Muñoz, 2002. La Auditoria informática, Es una revisión técnica,
especializada y exhaustiva que se realiza a los sistemas computacionales,
software e información utilizados en una empresa, sean individuales,
compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones,
mobiliario, equipos periféricos y demás componentes. Dicha información se
realiza de igual manera a la gestión informática, el aprovechamiento de sus
recursos, las medidas de seguridad y bienes de consumo necesarios para el
funcionamiento del centro de computo.
En este sentido, los objetivos generales de una auditoria informática, busca
mejorar la relación costo beneficio de los automáticos o computarizados
diseñados o implantados por el Departamento de Procesamiento de Datos
(PAD) aseguran una mayor confiabilidad y confidencialidad de la información,
conocer la situación actual del área informática y las actividades necesarias
para lograr los objetivos, apoyo, seguridad del personal, datos, hardware,
software e instalaciones, minimizar existencias de riesgos en el uso de
tecnologías de la información.
Cabe destacar que una auditoría nace como una forma de controlar las
actividades de algunas instituciones estatales y privadas. Su función inicial era
estrictamente económica, financiera. Entonces el auditor informático debe estar
al tanto de lo que sucede en la organización, revisar e informar a la dirección o
gerencia como están funcionando los controles implementados y sobre la
fiabilidad dela información suministrada, para ello, debemos participar en las
revisiones durante y después del diseño desarrollo y explotación de las
aplicaciones informáticas así como también en cualquier tipo de cambio que

3. suceda, igualmente revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y
seguridad de los equipos e información.
En definitiva eficacia es cumplir con los requerimientos de los usuarios y
eficiencia es saber utilizar los recursos en forma óptima y la seguridad es
mitigar adecuadamente los riesgos.
El perfil que debe tener un auditor informático, es su formación técnica
universitaria experiencia en estudios de auditoria, conocimientos profundos en
computación sólida, experiencia en análisis, diseño y programación de
sistemas computacionales además de conocimientos en sistemas operativos,
responsabilidad, autoridad y rendimiento de cuentas, ética, idoneidad y normas
profesionales para realizar trabajos planificados, constancia, flexibilidad y
características personales de perfeccionamiento.
En lo que se refiere a la informática en una empresa en los actuales momentos
de la misma está incluida totalmente en la gestión integral de la empresa, es
por ello que la empresa deben someterse a las normas y estándares
propiamente informáticos por esta razón, la informática no gestiona
propiamente a la empresa sino que ayuda en la toma de decisiones que van en
beneficio de su organización. En base a la situación descrita así mismo, deben
existir normas que regulan su funcionamiento, aquí nace la auditoria la
auditoria de la empresa.
Sobre dicha base existen varios tipos de auditoria, auditoria informática de
seguridad, de datos de sistemas. De este modo, la auditoria de seguridad es la
que está encargada de detectar intromisiones no autorizados (intrusos),
prevenir dichos intromisiones, se preocupa de detectar y prevenir delitos
frecuentes como: espionaje cibernético a computadoras, a redes
computacionales e intromisiones.
De allí pues que el control son todos aquellos mecanismos existentes dentro
del sistema y de la organización, que tienen como objetivo asegurar la
veracidad e integridad de la información que maneja el sistema tanto aquella
que entra y sale de él, como la que almacena y se manipula internamente
dentro de la configuración computacional. Evidentemente, existen tres tipos de

4. controles que se necesitan para implementar en un sistema: preventivas
detectores o detectivos correctivos.
De acuerdo con esta clasificación general es necesario, definir en qué etapas o
procesos del sistema es aplicable cada tipo de control y que etapa es necesario
controlar. Los preventivos son aquellos que evitan el hecho, los detectores
pueden detectar lo antes posible fallos en el sistema y los correctivos son los
que vuelven a su estado normal después de una falla. También hay controles
particulares los cuales se detallan a continuación: autenticidad, verifican la
identidad, exactitud, aseguran la coherencia de datos, totalidad, evitan la
omisión de registros, redundancia, evitan la duplicidad de datos, programas
monitores, análisis, costos, beneficios, controles automáticos combinación de
alfanuméricos en claves de acceso, individuales, confidenciales, verificación de
datos de entrada.
Por último, es conveniente acotar que
las relaciones con la empresa son:
documentación inadecuada de los
sistemas de información y programas,
faltas de procedimientos, ausencia de
conceptos de seguridad y/o control de
información, apoyo poco comprometido
de los niveles gerenciales, técnicas y herramientas inadecuadas para efectuar
el trabajo, problema interno entre auditorias tradicional y la auditoria
computacional.