Este documento habla sobre la auditoría informática. Explica que la auditoría nació como un órgano de control de instituciones estatales y privadas con una función económico-financiera. Luego define la auditoría informática como un conjunto de actividades para analizar, evaluar, verificar y recomendar sobre la planificación, control, eficacia y seguridad del servicio informático de una empresa. Finalmente, detalla diferentes técnicas utilizadas en la auditoría informática como cuestionarios, entrevistas, checklists y auditorías de diferentes áreas como dire
2. HISTORIA
La Auditoría nace como un órgano de control de algunas
instituciones estatales y privadas. Su función inicial es
estrictamente económico-financiero, y los casos inmediatos se
encuentran en las peritaciones judiciales y las contrataciones de
contables expertos por parte de Bancos Oficiales.
3. HISTORIA
La función auditora debe ser
absolutamente independiente; no
tiene carácter ejecutivo, ni son
vinculantes sus conclusiones. Queda
a cargo de la empresa tomar las
decisiones pertinentes.
El auditor sólo puede emitir un
juicio global o parcial basado en
hechos y situaciones
incontrovertibles, careciendo de
poder para modificar la situación
analizada por él mismo.
4. ¿QUE ES LA AUDITORÍA
INFORMÁTICA?
Es el conjunto de actividades y
procedimientos, destinadas a
analizar, evaluar, verificar y
recomendar en asuntos relativos
a la planificación, control,
eficacia, seguridad y educación
del servicio informático de la
empresa por lo que se comprende
de un examen metódico, puntual
y discontinuo del servicio
informático, con vistas a mejoras
en:
rentabilidad
seguridad
Eficacia
5. OBJETIVOS DE
LA AUDITORÍA
INFORMÁTICA
• Verificar el control interno de la
función informática.
• Asegurar a la alta dirección y al
resto de las áreas de la empresa que
la información que les llega es la
necesaria en el momento oportuno, y
es fiable, ya que les sirve de base
para tomar decisiones importantes.
• Eliminar o reducir al máximo la
posibilidad de pérdida de la
información por fallos en los equipos,
en los procesos o por una gestión
inadecuada de los archivos de datos.
• Detectar y prevenir fraudes por
manipulación de la información o por
acceso de personas no autorizadas a
transacciones que exigen trasvases
de fondos.
6. FUNCIONES DE UN AUDITOR INFORMÁTICO
Participar en las revisiones durante y
después del diseño, realización,
implantación, explotación y cambios
importantes de aplicaciones
informáticas.
Revisar y juzgar los controles
implantados en los sistemas informáticos
para verificar su adecuación a las
ordenes e instrucciones de la dirección,
requisitos legales, protección de
confidencialidad y cobertura ante errores
y fraudes.
Revisar y juzgar el nivel de eficacia,
utilidad, fiabilidad y seguridad de los
equipos e información.
7. BENEFICIOS DE LA AUDITORÍA INFORMÁTICA
• Genera confianza en los usuarios sobre la seguridad y control de los
servicios de TI.
• Optimiza las relaciones internas y del clima de trabajo.
• Mejora la imagen pública.
• Genera un balance de los riesgos en TI.
• Realiza un control de la inversión en un entorno de TI, a menudo
impredecible.
• Disminuye los costos de la mala calidad (retrocesos, rechazos,
reclamos, entre otros).
8. AUDITORÍAS POR SU LUGAR DE ORIGEN
Auditoría Externa
Es la revisión que lleva a cabo una persona u organismo
independiente de la empresa y tiene por objeto evaluar el
desempeño en las actividades, operaciones y funciones que se
ejecutan, además de determinar si los datos de la empresa se
ajustan a los resultados financieros reales.
9. AUDITORÍA EXTERNA
Ventajas
• Trabajo libre de cualquier
intervención interna
• Dictámenes tienen carácter
vinculante
• Utilizan técnicas y
herramientas probadas en
otras empresas
(experiencia)
Desventajas
• Evaluación, alcances y
resultados limitado a
información recopilada
• Desconocimiento de la
empresa
• Aumento de costos de
tiempo y trabajo adicional
para la empresa
10. AUDITORÍAS
POR SU LUGAR
DE ORIGEN
Auditoría Interna
Es la evaluación que lleva a
cabo una persona o grupo
que labora en la empresa y
tiene por objeto evaluar de
forma interna el desempeño
de las actividades,
operaciones y funciones que
se ejecutan, además de
determinar si los datos de la
empresa se ajustan a los
resultados financieros
reales.
11. AUDITORÍA INTERNA
Ventajas
• Conoce las actividades,
operaciones y áreas,
revisión profunda e
informes valioso.
• Permite detectar problemas
y desviaciones a tiempo.
• No afecta los costos por
autoridades ser un recurso
interno.
Desventajas
• Pueden existir presiones
internas, compromisos o
intereses
• Puede limitar la veracidad,
alcance y confiabilidad por
intervención interna
12. DIFERENCIAS ENTRE AUDITORÍA INTERNA Y
EXTERNA
En la auditoría interna existe un vínculo laboral entre el
auditor y la empresa, mientras que en la auditoría
externa la relación es de tipo civil.
En la auditoría interna el diagnóstico del auditor, esta
destinado para la empresa; en el caso de la auditoría
externa este dictamen se destina generalmente para
terceras personas o sea ajena a la empresa.
La auditoría interna está inhabilitada para dar fe
pública, debido a su vinculación contractual laboral,
mientras la auditoría externa tiene la facultad legal de
dar fe pública.
14. CUESTIONARIOS
Las auditorías informáticas se materializan recabando
información y documentación de todo tipo. Los informes finales
de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos.
Estos cuestionarios no pueden ni deben ser repetidos para
instalaciones distintas, sino diferentes y muy específicos para
cada situación, y muy cuidados en su fondo y su forma.
15. ENTREVISTAS
La entrevista es una de las actividades personales más
importante del auditor; en ellas, éste recoge más
información, y mejor matizada, que la proporcionada por
medios propios puramente técnicos o por las respuestas
escritas a cuestionarios.
16. CHECKLISTS
El auditor conversará y hará preguntas "normales", que en
realidad servirán para la cumplimentación sistemática de sus
Cuestionarios, de sus Checklist.
El conjunto de estas preguntas recibe el nombre de Checklist.
Salvo excepciones, las Checklists deben ser contestadas
oralmente, ya que superan en riqueza y generalización a
cualquier otra forma.
17. TRAZAS Y/O HUELLAS
Estas Trazas se utilizan para comprobar la ejecución de las
validaciones de datos previstas. Las mencionadas trazas no
deben modificar en absoluto el Sistema. Si la herramienta
auditora produce incrementos apreciables de carga, se
convendrá de antemano las fechas y horas más adecuadas para
su empleo.
18. AUDITORÍA FÍSICA
Garantiza la integridad de los activos humanos, lógicos y materiales
de un centro computo.
AUDITORIA DE LA OFIMÁTICA
Sistema automatizado que genera, procesa, almacena,
recupera, comunica y presenta datos relacionados con el
funcionamiento de la oficina.
PRINCIPALES ÁREAS DE AUDITORÍA
INFORMÁTICA
19. AUDITORÍA DE DIRECCIÓN
Siempre en una organización se dice que esta es un reflejo de las
características de su dirección, los modos y maneras de actuar
de aquella están influenciadas por la filosofía y personalidad del
director.
AUDITORÍA DE LA EXPLOTACIÓN
Se ocupa de producir resultados informáticos de todo tipo: listados
impresos, ficheros soportados magnéticamente para otros
informáticos, ordenes automatizadas para lanzar o modificar
procesos industriales, etc.
20. AUDITORÍA DEL DESARROLLO
Revisión del proceso completo de desarrollo de proyectos por
parte de la empresa auditada. El análisis se basa en cuatro
aspectos fundamentales: revisión de las metodologías utilizadas,
control interno de las aplicaciones, satisfacción de los usuarios y
control de procesos y ejecuciones de programas críticos.
AUDITORÍA DE BASE DE DATOS
Esta se encarga de monitorear, medir, asegurar y registrar los
accesos a toda la información almacenada en las bases de datos.
21. AUDITORÍA DE REDES
Esta se encarga de monitorear, medir, asegurar y registrar los
accesos a toda la información almacenada en las bases de datos.
Auditoría Informática
de Sistemas
• Se ocupa de analizar la
actividad que se conoce
como técnica de sistemas en
todas sus facetas. Hoy, la
importancia creciente de las
telecomunicaciones ha
propiciado que las
comunicaciones, líneas y
redes de las instalaciones
informáticas, se auditen por
separado, aunque formen
parte del entorno general de
sistemas.
22. AUDITORÍA DE LA SEGURIDAD INFORMÁTICA
Es un instrumento que estructura gran cantidad de
información, la cual puede ser confidencial para individuos,
empresas o instituciones, y puede ser mal utilizada o divulgada
a personas que hagan mal uso de esta. También puede ocurrir
robos, fraudes o sabotajes que provoquen la destrucción total o
parcial de la actividad computacional. Esta información puede
ser de suma importancia, y el no tenerla en el momento preciso
puede provocar retrasos sumamente costosos.
Auditoría de Outsourcing
• Revisión exhaustiva,
sistemática y especializada
que realiza para evaluar la
calidad, eficiencia y
oportunidad en el servicio
de asesoría o procesamiento
externo de información que
proporciona una empresa a
otra.