El documento trata sobre la auditoría informática. Define la auditoría de sistemas como la evaluación de los controles, sistemas, procedimientos y seguridad informática. Explica las ventajas y desventajas de las auditorías internas y externas. También describe los tipos de auditoría informática, el perfil del auditor informático y los objetivos de realizar una auditoría.
1. Auditoría Informática
Republica Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Superior
Instituto Universitario Politécnico “Santiago Mariño”
Extensión Barcelona
Escuela de Ingeniería De Sistemas
Bachiller: Valderrama Gabriela
CI: 24.448.875
Auditoria De Sistemas
S1
2. Introducción
Al llegar el uso de sistemas en los diferentes procesos organizacionales y
sobre todo en la parte financiera de registro de operaciones y emisión de
estados financieros, se genera la necesidad de realizar auditorías
incluyendo a las computadoras y a los programas computacionales
responsable de las operaciones tanto financieras como de otras áreas de
la empresa.
Aún y cuando existen diferentes tipos de auditorías en esencia todas ellas
mantienen los mismos fundamentos.
De la auditoria financiera surge la auditoria de operaciones y la auditoria
administrativa. Se publican diferentes estudios e investigaciones que dan
como resultado publicaciones en todo el mundo sobre la auditoria,
especificando procedimientos y metodologías. Con esto se consolida el
área de auditoría interna y externa para las empresas.
3. Definición
Según Eurípides Rojas (1989), “La Auditoria de sistemas es la parte de la auditoria interna
que se encarga de llevar acabo la evaluación de normas, controles, técnicas y procedimientos que
se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y
confidencialidad de la información que se procesa a través de computadores; es decir, en estas
evaluaciones se esta involucrando tanto elementos técnicos como humanos que intervienen en el
proceso de la información”.
José A (1991). Echenique afirma que : “La auditoría en informática es la revisión y evaluación
de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participa en el procedimiento de la
información, a fin de que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que servirá para una adecuada toma de
decisiones”.
Auditoría Informática
4. Auditoria Interna
Las auditorías internas permiten valorar el estado de madurez del sistema, verificando
periódicamente el cumplimiento de los requisitos establecidos por la norma de
referencia, el grado de mejora continua de las actuaciones previstas en el propio sistema
y revisando el estado de cumplimiento legal.
Ventajas
• Debido a que el auditor permanece conoce las problemática, funciones, actividades,
áreas y operaciones.
• El coste será menor puesto que los recursos solo son internos para organización, por
lo tanto no representan ninguna erogación adicional.
• El informe que rinde el auditor, independientemente del resultado, es solo de carácter
interno y por lo tanto no sale de la empresa, ya que únicamente le sirve a las
autoridades de la institución.
• Puede llevar un programa concreto de evaluación en apoyo a las autoridades de la
empresa, lo cual ayudara a sus dirigentes en la evaluación y la toma de decisiones.
Auditoría Informática
5. Auditoria Interna
Desventajas
• Posible falta de objetividad de las personas que la llevan a cabo, puesto que pueden
estar directamente implicados en el propio sistema de información, al laborar en la
misma empresa donde realiza la auditoria, puede presentar presiones, compromisos
y ciertos intereses al realizar la evaluación.
• Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede
haber injerencias por parte de las autoridades de la institución sobre la forma de
evaluar y emitir informes.
• Se pueden presentar vicios de trabajo del auditor con relativa frecuencia, ya sea en
las formas de utilizar las técnicas y herramientas para aplicar la auditoria, como en la
forma de evaluar y emitir su informe sobre la misma.
Auditoría Informática
6. Auditoria Externa
Es el examen crítico, sistemático y detallado de un sistema de información de
una unidad económica, realizado por un Contador Público sin vínculos laborales
con la misma, utilizando técnicas determinadas y con el objeto de emitir una
opinión independiente sobre la forma como opera el sistema, el control interno del
mismo y formular sugerencias para su mejoramiento.
Ventajas
• El auditor tiene independencia profesional
• Su amplia experiencia en otras empresas le permite analizar la aplicación de los
procedimientos generales.
• Pueden ser contratados para un trabajo específico.
• Sus resultados son relevantes en el medio económico
• Sus sugerencias tienden a una estandarización preestablecida.
Auditoría Informática
7. Auditoria Externa
Desventajas
• Son contratados por un precio y tiempo determinado.
• La calidad profesional a intervenir depende del punto anterior
• No toda la información está a su alcance.
• Los resultados pueden ser negociados o manejables por la empresa contratante.
• El tiempo es una presión para su revisión.
• En su afán de justificarse, suelen perderse en trivialidades
• Sus sugerencias pocas veces son atendidas y más cuando la empresa cuenta con
un departamento de auditoría interna.
vAuditoría Informática
9. Importancia
Una adecuada auditoría de sistemas, puede evitarnos grandes e innecesarios
quebraderos de cabeza, esta es esencial en estos tiempos para cualquier empresa,
tanto si tiene centrada su actividad principal en la red, o si ofrece sus servicios en un
ámbito local. Cualquier estructura empresarial , por muy simple que parezca, precisa de
un plan de acción que una auditoría de sistemas puede ofrecer ya que recurrir a ellas,
puede evitar muchos problemas que perjudiquen enormemente la reputación de esta
entre sus clientes.
Ante información tan delicada como esta, se presenta la importancia de contar con
una adecuada y profesional auditoría de sistemas, que sepa definir, valorar y analizar
todos los aspectos de esta infraestructura. Todo ello enfocado para poder garantizar
que se cumplen, desde los requerimientos legales para el tratamiento de información
personal del clientes, el uso adecuado de los diversos sistemas informáticos, o que se
tenga definida las actuaciones necesarias ante cualquier eventualidad que pudiera
ocurrir.
Principales puntos por los cuales es importante realizar una auditoria:
- La alta sistematización
- Las nuevas tecnologías
- La automatización de los controles
- Integración de información
- Importancia de la información
Auditoría Informática
10. Tipos de Auditoria Informática
• Auditoría de la gestión: la contratación de bienes y servicios, documentación
de los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
Tipos de Auditoria Informática
• Auditoría de la gestión: la contratación de bienes y servicios, documentación
de los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
Auditoría Informática
11. Tipos de Auditoría Informática
• Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la ubicación de la
organización, evitando ubicaciones de riesgo, y en algunos casos no
revelando la situación física de esta.
• Auditoría de la seguridad lógica: Comprende los métodos de
autenticación de los sistemas de información.
• Auditoría de las comunicaciones: Se refiere a la auditoría de los
procesos de autenticación en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y
fraudes.
Auditoría Informática
12. Auditoría Informática
Perfil Del Auditor Informático
El auditor Informático es un profesional que debe tener un alto grado de
calificación técnica y manejar perfectamente cualquiera de las corrientes
organizativas empresariales actuales. Por lo que dentro de la función de auditoría
informática, se deben contemplar unas características para mantener un perfil
profesional adecuado y actualizado.
Características de un Auditor Informático
1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de
informática en general. En el área informática, se debe tener conocimientos
básicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones,
Administración de Bases de Datos, Redes locales, Seguridad física,
Administración de Datos, Automatización de oficinas (ofimática), Comercio
electrónico, de datos, etc.
13. Auditoría Informática
Perfil Del Auditor Informático
Características de un Auditor Informático
2) Especialización en función de la importancia económica que tienen distintos
componentes financieros dentro del entorno empresarial.
3) Debe conocer técnicas de administración de empresas y de cambio, ya que las
recomendaciones y soluciones que aporte deben estar alineadas a los objetivos
de la empresa y a los recursos que se poseen.
4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y
trabajo sean reconocidos como un elemento valioso dentro de la empresa y que
los resultados sean aceptados en su totalidad.
14. Auditoría Informática
Perfil Del Auditor Informático
Responsabilidades del auditor informático
• Verificación del control interno tanto de las aplicaciones como de los SI, periféricos,
etc.
• Análisis de la administración de Sistemas de Información, desde un punto de vista de
riesgo de seguridad, administración y efectividad de la administración.
• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis
de aplicaciones.
• Auditoría del riesgo operativo de los circuitos de información
• Análisis de la administración de los riesgos de la información y de la seguridad
implícita.
15. Auditoría Informática
Perfil Del Auditor Informático
Responsabilidades del auditor informático
• Verificación del nivel de continuidad de las operaciones.
• Análisis del Estado del Arte tecnológico de la instalación revisada y las
consecuencias empresariales que un desfase tecnológico puede acarrear.
• Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la empresa
• También el auditor informático es responsable de establecer los objetivos de control
que reduzcan o eliminen la exposición al riesgo de control interno.
16. vAuditoría Informática
Objetivos De la Auditoria Informática
• Establecer las directrices generales de los procesos de auditoría en empresas,
especializándolo para el campo de la informática.
• Determinar los procesos para verificar el control interno de la función
informática.
• Asegurar a la alta dirección y al resto de las áreas de la empresa que la
información que les llega es la necesaria en el momento oportuno, y es fiable,
ya que les sirve de base para tomar decisiones importantes.
• Saber eliminar o reducir al máximo la posibilidad de pérdida de la información
por fallos en los equipos, en los procesos o por una gestión inadecuada de los
archivos de datos.
• Enseñar cómo detectar y prevenir fraudes por manipulación de la información
o por acceso de personas no autorizadas a transacciones que exigen trasvases
de fondos.
17. Los sistemas informáticos se han vuelto piezas fundamentales en el desarrollo
del día a día de las empresas. Por este motivo es de vital importancia que se lleve
a cabo una auditoría informática que realice un control de los sistemas de forma
periódica. Este proceso solo pueden realizarlo los profesionales formados para
ello de manera específica, ya que a través de él se va a determinar si el sistema
implantado en un negocio realiza sus funciones correctamente.
El objetivo final de las auditorías es mejorar las posibles incidencias que pueda
presentar un sistema informático, así como establecer diferentes criterios
relacionados con el buen uso del mismo.
Ante un problema informático generalizado, lo mejor que puede hacer una
empresa es adoptar cuanto antes una actitud proactiva y decidir darle la vuelta.
Invertir en seguridad informática significa clientes más satisfechos, reducción al
mínimo de peligros y menos gastos en hardware por razones de falta de
mantenimiento.
Conclusión