Este documento trata sobre la auditoría de sistemas de información. Define la auditoría de sistemas como la revisión y evaluación de todos los aspectos de los sistemas de procesamiento de información, incluyendo los procedimientos relacionados y las interfaces. Explica conceptos clave como criterio de auditoría, evidencia de auditoría, resultados de la auditoría, equipo auditor, auditor y auditado. Además, describe brevemente la metodología, objetivos y alcance de una auditoría de sistemas de información.

1. República Bolivariana de Venezuela.
I.U.P. “Santiago Mariño”.
Extensión Maturín.
Escuela de Ingeniería de Sistemas.
Auditoria y Evaluación de Sistemas
Maturín; Enero de 2015
AUDITORIA DE SISTEMA
DE INFORMACION
Autor:
Romer. E. Gómez García .I: 18.674.044
Profesor
Ing. juan Oliveira

2. Introducción
La auditoría de sistemas de información es muy compleja y por tanto es
necesario contar con ciertas habilidades que te permitan a provechar al máximo este
tipo de auditorias y hacer que su uso sea el adecuado y obtener el beneficio de
adquirir con la práctica la habilidad necesaria para realizar una correcta auditoría de
sistemas de información
Actualmente la auditoria de los sistemas de información es definida como
cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los
sistemas automáticos de procesamiento de la información, incluyendo los
procedimientos no automáticos relacionados con ellos y las interfaces
correspondientes.

3. Criterio de Auditoria
Criterio de Auditoria: Políticas, practicas, procedimientos o requerimientos
contra los que el auditor compara la información recopilada sobre la gestión de
calidad. Los requerimientos pueden incluir estándares, normas, requerimientos
organizacionales específicos, y requerimientos legislativos o regulados.

4. Evidencia de Auditoria
Evidencia de Auditoria: Información, registros o declaraciones de hecho
verificables. La evidencia de auditoría puede ser cualitativa o cuantitativa, es
utilizada por el auditor para determinar cuando se cumple con el criterio de
auditoria. La evidencia de auditoria se basa típicamente en entrevistas, revisión de
documentos, observación de actividades y condiciones, resultados de mediciones y
pruebas.

5. Resultados de la Auditoria
Resultados de la Auditoria: Resultados de la evaluación de la evidencia de auditoria
recopilada comparada contra los criterios de auditoria acordados. Los resultados de la
auditoria proveen la base para el reporte de la auditoria.

6. Equipo Auditor
Equipo Auditor: Grupo de auditores, o un auditor individual, designados para
desempeñar una auditoria dada; el equipo auditor puede incluir expertos técnicos y
auditores en practicas. Uno de los auditores del equipo de la auditoria desempeña la
función de auditor líder

7. Auditor y Auditado
Auditado: Organización que se audita.
Auditor: Persona calificada para realizar auditorías de calidad.

8. Auditoria de Calidad
Auditoria de calidad: Proceso sistemático, documentado y de verificación
objetiva para obtener y evaluar la evidencia de la auditoria y determinar cuales
actividades especificas, eventos, condiciones, sistemas gerenciales, de calidad o
información referente a estos aspectos, cumplen con los criterios de auditoria, y la
comunicación de los resultados de este proceso al cliente.

9. Auditor Líder y Experto Técnico
Auditor líder: Persona calificada para manejar y realizar auditorías de calidad.
Experto técnico: Persona que provee el conocimiento y la experiencia especifica al
equipo auditor, pero que no participa como un auditor.

10. Auditoria de Sistema
Es la rama que se encarga de llevar a cabo la evaluación de normas,
controles, técnicas y procedimientos que se tienen establecidos en una empresa
para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la
información que se procesa a través de los sistemas de información. La auditoría
de sistemas es una rama especializada de la auditoría que promueve y aplica
conceptos de auditoría en el área de sistemas de información.

11. Auditoria Informática
La auditoria en informática es la revisión y la evaluación de los controles,
sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.

12. Auditoria de Información
La auditoría de la información es una rama especializada de la auditoría que
promueve y aplica conceptos de auditoría en el área de sistemas de información. El
objetivo final que tiene el auditor es dar recomendaciones a la alta gerencia para
mejorar o lograr un adecuado control interno en ambientes de tecnología informática
con el fin de lograr mayor eficiencia operacional y administrativa

13. Auditoria en Sistema de Información
La auditoría de los sistemas de información se define como cualquier auditoría
que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de
ellos) de los sistemas automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las interfaces
correspondientes.

14. Tipos de Auditoria
Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un
mundo paralelo pero diferente y peculiar resaltando su enfoque a la función
informática. Es necesario recalcar como análisis de este cuadro que Auditoría de
Sistemas no es lo mismo que Auditoría Financiera.

15. Metodología de la Auditoría de Sistemas de Información
Existen algunas metodologías de Auditorías de Sistemas de información y
todas dependen de lo que se pretenda revisar o analizar:
*Estudio preliminar
*Revisión y evaluación de controles y seguridades
*Examen detallado de áreas criticas
*Comunicación de resultados

16. Estudio Preliminar
Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas
a la unidad informática para conocer detalles de la misma, elaborar un
cuestionario para la obtención de información para evaluar preliminarmente el
control interno, solicitud de plan de actividades, Manuales de políticas,
reglamentos, Entrevistas con los principales funcionarios.

17. Revisión y evaluación de controles y seguridades
Consiste de la revisión de los diagramas de flujo de procesos, realización de
pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las
áreas criticas, Revisión de procesos históricos, Revisión de documentación y
archivos, entre otras actividades.

18. Objetivo de la Calidad de Auditoria de Sistema de Información
Objetivos: La auditoria debe estar basada en objetivos definidos por el cliente. El
alcance es determinado por el auditor líder en acuerdo con el cliente para alcanzar
los objetivos. El alcance describe la extensión y límites de la auditoría.
Los objetivos y el alcance deben ser comunicados al auditado antes de la auditoria.
Los siguientes son ejemplos de objetivos típicos:
a) Determinar la conformidad con los criterios de auditoria del SGC del auditado.
b) Determinar cuando el SGC del auditado se ha implementado y mantenido
apropiadamente.
c) Identificar las áreas de mejora potencial.
d) Evaluar el SGC de una organización cuando existe un deseo de establecer una relación
contractual, como la que se da con un proveedor potencial o un socio empresarial.

19. Objetivo de la Calidad de Auditoria de Sistema de Información
:
Una auditoría de calidad debe enfocarse en criterios claramente definidos y
documentados.
La auditoría solamente se lleva a cabo si, luego de consultar con el cliente, es
opinión del auditor líder que:
• Existe información suficiente y apropiada sobre el tema de la auditoría.
• Existen recursos adecuados que respalden y avalen el proceso de la
auditoría.
• Existe una cooperación adecuada por parte del auditado.

20. Alcance de la Calidad de Auditoria de Sistema de Información
:
El alcance describe la todo el sistema de gestión de calidad,
procedimientos, y de todos los apartados de la norma de calidad aplicada para
la implantación del sistema así como la información relativa a documentación
legal y administrativa de la empresa por el equipo auditor, en factores tales
como la ubicación física, actividades organizacionales, y la forma de realizar
los informes.
El alcance de la auditoría debe ser determinado entre el cliente y el auditor
líder. El auditado normalmente debe ser consultado cuando se determina el
alcance de la auditoría. Cualquier cambio posterior al alcance de la auditoria
debe realizarse de común acuerdo entre el cliente y el auditor líder.
Los recursos encargados al auditor deben ser suficientes en cantidad y
calidad para cumplir con el alcance requerido.

21. Historia
La Auditoría de los Sistemas de Información ha surgido cuando las empresas e
instituciones han tomado conciencia de que la información que adquieren, conservan,
procesan y emiten, es vital para su propia supervivencia diaria y proyección de progreso.
Por tanto, han elevado a la categoría de sistemas críticos prácticamente todos los sistemas
internos que manejan información, agregándolos en uno solo denominado sistema de
información.
En consecuencia, por su naturaleza crítica, el enfoque de auditoría debe adoptar una
perspectiva que se adecue absolutamente a estos sistemas, sea mediante la transformación
de métodos, técnicas y procedimientos de la auditoría tradicional, o sea mediante la
creación de unos nuevos. Pero al principio esto no era así. La introducción de las
máquinas de proceso de datos en las empresas se produjo en los años 50, principalmente
dedicadas a sustituir a los empleados en las tareas repetitivas en el cálculo de nóminas y
facturas de clientes.

22. Historia
Dada su utilización como súper calculadoras, con un volumen considerable de datos
de entrada, y un volumen similar de datos de salida en función de los anteriores, el
auditor se limitaba a verificar la corrección de los datos de salida frente a los datos de
entrada, ignorando la lógica y funcionamiento interno de las máquinas de proceso de
datos. Este tipo de auditoría se suele denominar auditoría alrededor del ordenador.
Prácticamente era una auditoría convencional con un elemento exótico que producía
información de distinta manera que los empleados de la empresa.
Esta situación se prolongó hasta mediados de la década de los 60, cuando las
organizaciones de auditoría propugnaron un cambio en el enfoque, en base a los
resultados de baja calidad obtenidos en las auditorías de áreas que comportaban proceso
de datos a través de ordenadores. Este cambio consistía fundamentalmente en la
adaptación de los criterios para la evaluación del control interno, en los sistemas
organizativos, financieros y contables, al centro de proceso de datos y, concretamente, a
la sala del ordenador. Esta etapa se suele denominar auditoría del ordenador

23. Conclusión
En la actualidad la auditoria en informática es muy importante para el
adecuado desempeño de los sistemas de información, debido a que nos brinda
los controles suficientes y necesarios para que los sistemas sean de alta
confiabilidad y con alto nivel de seguridad. Además este tipo de auditorias debe
evaluar todo el sistema de información.
Con este tema, la primordial conclusión a la que se llega, es que toda
empresa, que posea sistemas de información medianamente complejos, debe ser
sometida a un control detallado con una evaluación eficiente y eficaz. En la
actualidad más del noventa por ciento de las empresas cuentan con su
información de forma estructurada a los sistemas informáticos, causa por la que
es de vital importancia que los sistemas de información deben funcionar
correctamente. Cabe mencionar que el éxito de cualquier empresa, siempre
dependerá de la eficiencia de sus sistemas de información, es por tal motivo que
la auditoría a estos sistemas debe ser realizada de manera correcta.

24. ¡Hoy mejor que ayer, mañana mejor que hoy!”
su significado es que siempre es posible hacer mejor
las cosas. Ningún día debe pasar sin una cierta
mejora.
24
Muchas Gracias por su
Atención