1. Introducción a la Auditoria en informática
Unidad I (Generalidades de la auditoria en las empresas
Concepto de auditoria en informática )
1ª evaluación
Enero 2007
Auditoria en Informática
M. en C. Lorena Carmina Moreno Jiménez
Introducción
2. 2
Contenido
Antecedentes
Terminología de la auditoria en
informática
Informática
Auditoria
Auditoria en informática
Referencias
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
3. 3
Antecedentes
Originalmente la informática se orientó al apoyo de
áreas tales como contabilidad, nóminas, etc., lo que
originó la necesidad de conocer y medir el apoyo que
la misma realizaba en las áreas antes mencionadas, y a
la empresa en general, dando paso al proceso conocido
como auditoría a sistemas de información o auditoria
de sistemas.
Posteriormente, cubrió las áreas de negocio en todos
los niveles por medio de productos y servicios
variados; proliferaron el uso de computadoras
personales e irrumpieron de lleno las redes locales, la
integración empresarial a través de las
telecomunicaciones y un sinnúmero de componentes de
tecnología.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
4. 4
Antecedentes
De este modo la tarea de los responsables de informática y
los auditores de sistemas tradicionales se vió desbordada
por estos acontecimientos y les imposibilitó continuar con
los métodos utilizados hasta ese entonces
Así surgió la necesidad del replanteamiento de fondo y
forma de la auditoría en informática, conocida también
como auditoría de sistemas, si bien esta abarca solamente la
revisión de los sistemas de información en desarrollo,
operación y mantenimiento, siendo éste concepto
inadecuado para la auditoría en informática, ya que los
elementos de informática suceptibles de revisión y control
son muchos y manifiestan diversas complejidades.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
5. 5
Antecedentes
Entonces la auditoría en informática se encarga de
evaluar y verificar políticas, controles,
procedimientos y seguridad en los recursos dedicados
al manejo de la información, mediante la aplicación de
una metodología que debe de ejecutarse con
formalidad y oportunidad.
La función del auditor en informática es el de
funcionar como un punto de control y confianza para
la alta dirección o los dueños de la empresa, además
debe ser el facilitador de soluciones. Una de las
tareas principales del auditor es la de conducir
siempre a la empresa a optimizar el uso de los
recursos informáticos
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
6. 6
Antecedentes
Por otro lado es incorrecto pensar que la auditoría
informática producirá un cambio instantáneo en la
cultura organizacional, en los métodos de trabajo, o
en la mala calidad o improductividad, se debe pensar
que la auditoría en informática es un elemento
estratégico directo que apoya o promueve la
eliminación o corrección de cada una de las
debilidades antes mencionadas.
Se espera que un auditor en informática sea un
profesional, un experto, pero sobre todo que sea un ser
sensible, humano, que entienda el contexto real del
negocio que está auditando. Su principal objetivo es
darle a cada problema la dimensión justa y convertirlo
en una solución para la empresa.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
7. 7
Antecedentes
Un poco de historia:
En los años cuarenta empezaron a presentarse
resultados relevantes en el campo de la computación,
a raíz de los sistemas de apoyo para estrategias
militares, posteriormente se incrementó el uso de
computadoras y sus aplicaciones y se diversificó el
apoyo a otros sectores de la sociedad: educación,
salud, industria, política, aeronáutica, comercio, etc.
En aquellos años la seguridad y control se limitaba a
proporcionar custodia física a los equipos y a permitir
la utilización de los mismos a personas altamente
calificadas, ya que no existía un gran número de
usuarios técnicos ni administrativos
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
8. 8
Antecedentes
En las últimas décadas, la informática se ha
extendido a todas las ramas de la sociedad, es decir,
es posible desde controlar un vuelo espacial por medio
de computadoras hasta armar una receta de cocina en
una computadora o llevar los gastos personales.
De lo anterior se desprende la idea de que se han
obtenido importantes beneficios tangibles (reducción
de costos, incremento en ventas, etc.), y otros con
aspectos intangibles (mejoría en la imagen o
satisfacción del cliente) pero ambos con la misma
importancia para seguir impulsando la investigación y
actualización constante de la tecnología.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
9. 9
Antecedentes
Aunque la idea de que se obtienen mayores beneficios
que antes no se halla lejos de la realidad; también se
debe tener en cuenta que los costos de estos
beneficios han sido altos y en muchas ocasiones han
superado los límites esperados, ocasionando grandes
pérdidas y decepciones en los negocios.
Las empresas y organismos interesados en que la
informática continúe creciendo para beneficio de la
humanidad (educación, productividad, calidad,
ecología, etc.) desean que este incremento se controle
y oriente de manera profesional. Esto significa que se
debe obtener el resultado planteado y esperado de
cada inversión realizada
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
10. 10
Antecedentes
Por lo tanto es razonable decir que corre por cuenta
de quien administra la función de informática la
responsabilidad de que las inversiones y proyectos
sean justificados y eficaces (entendiendo por eficacia
la capacidad de lograr el efecto que se desea o se
espera)
También es lógico suponer que la dirección no debe
aprobar proyectos que no aseguren la rentabilidad de
la inversión a realizar.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
11. 11
Antecedentes
El incremento constante de las expectativas y
necesidades relacionadas con la informática, al
igual que la actualización continua de los
elementos que componen la tecnología de este
campo, obligan a las entidades que la aplican, a
disponer de controles, políticas y procedimientos
que aseguren a la alta dirección la correcta
utilización de los recursos humanos, materiales, y
financieros involucrados, para que se protejan
adecuadamente y se orienten a la rentabilidad y
competitividad del negocio.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
12. 12
Antecedentes
La improductividad, el mal servicio, el rechazo de
los usuarios a los sistemas de información y la
carencia de soluciones totales de la función de
informática, fueron, son y pueden continuar
siendo mal de muchas organizaciones.
Paradójicamente los proyectos prioritarios hacen
gala del apoyo que obtienen de la informática.
Por este motivo es ilógico descuidar su control y
no garantizar su eficacia.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
13. 13
Antecedentes
Importancia de la auditoria en informática:
La tecnología informática (hardware, software, redes,
bases de datos, etc.) es una herramienta estratégica
que brinda rentabilidad y ventajas competitivas a los
negocios frente a otros negocios similares en el
mercado, pero puede originar costos y desventajas si
no es bien administrada por el personal encargado
La solución clara es entonces realizar evaluaciones
oportunas y completas de la función informática, a
cargo de personal calificado, consultores externos,
auditores en informática o evaluaciones periódicas
realizadas por el mismo personal de informática
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
14. 14
Antecedentes
Importancia de la auditoria en informática:
Surge entonces la obvia necesidad de auditar la
función informática, ya que resulta innegable que la
misma se ha convertido en una herramienta
permanente y necesaria de los procesos principales de
los negocios, en un aliado confiable y oportuno. Esto
es posible si se implementan los controles y esquemas
de seguridad requeridos para su aprovechamiento
óptimo.
Una vez que la alta dirección comprenda la importancia
de contar con un área independiente que asegure y
promueva el buen uso y aprovechamiento de la
tecnología de informática, ya puede delegar la
responsabilidad en personal altamente capacitado para
ejercer la auditoria en informática dentro de la
organización de manera formal y permanente.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
15. 15
Terminología de la auditoria en informática
Informática: es el campo que se encarga del estudio
y aplicación práctica de la tecnología, métodos,
técnicas y herramientas relacionados con las
computadoras y el manejo de la información por
medios electrónicos, el cual comprende las áreas de
la tecnología de información orientadas al buen uso y
aprovechamiento de los recursos computacionales
para asegurar que la información de las
organizaciones fluya (entidades internas y externas
de los negocios) de manera oportuna y veraz.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
16. 16
Terminología de la auditoria en informática
También se puede decir que es el proceso
metodológico que se desarrolla de manera
permanente en las organizaciones para el análisis,
evaluación, selección, implementación y actualización
de los recursos humanos, conocimientos, habilidades,
normas, etc., tecnológicos (hardware, software,
etc.), materiales (escritorios, edificios, accesorios,
etc.) y financieros (inversiones) encaminados al
manejo de la información, buscando que no se
pierdan los propósitos, confiabilidad, oportunidad,
integridad y veracidad, entre otros.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
17. 17
Terminología de la auditoria en informática
Auditoria, es un proceso formal y necesario para las
empresas que tiene como fin asegurar que sus activos
sean protegidos en forma adecuada.
Asimismo, la alta dirección espera que de los
proyectos de auditoria surjan las recomendaciones
necesarias para que se lleven a cabo de manera
oportuna y satisfactoria las políticas, controles y
procedimientos definidos formalmente, con objeto de
que cada individuo o sector de la organización opere
de modo productivo en sus actividades diarias,
respetando las normas generales de honestidad y
trabajo aceptadas.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
18. 18
Terminología de la auditoria en informática
También es un conjunto de tareas realizadas por un
especialista para la evaluación o revisión de políticas
y procedimientos relacionados con las diferentes
áreas de una empresa
Administrativas.
Financieras.
Operativas.
Informática.
Crédito.
Fiscales.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
19. 19
Terminología de la auditoria en informática
Auditoria en informática. Es un proceso formal
ejecutado por especialistas del área de auditoria y de
informática cuyo objetivo es el de verificar y
asegurar que las políticas y procedimientos
establecidos para el manejo y uso adecuado de la
tecnología de informática en la organización se
realicen de manera eficiente y eficaz.
Las actividades ejecutadas por los profesionales del
área de informática y de auditoria están encaminadas
a evaluar el grado de cumplimiento de políticas,
controles y procedimientos correspondientes al uso
de los recursos de informática por el personal de la
empresa (usuarios, informática, alta dirección, etc.).
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
20. 20
Terminología de la auditoria en informática
Dicha evaluación deberá ser la pauta para la entrega
del informe de auditoria en informática, el cual debe
contener las observaciones, recomendaciones y áreas
de oportunidad para el mejoramiento y optimización
permanente de la tecnología de informática en el
negocio.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
21. 21
Terminología de la auditoria en informática
Otras definiciones de auditoria en informática
1. Se puede definir como el conjunto de acciones que
realiza el personal especializado en las áreas de
auditoria y de informática para asegurar que los
recursos de informática operen en un ambiente de
seguridad y control eficientes, con la finalidad de
proporcionar a la alta dirección o niveles ejecutivos la
certeza de que la información que circula por el área
se maneja con los conceptos básicos de integridad,
totalidad, exactitud y confiabilidad requeridos.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
22. 22
Terminología de la auditoria en informática
2. Proceso metodológico que tiene el propósito
principal de evaluar los recursos (humanos,
materiales, financieros, tecnológicos, etc.)
relacionados con la función de informática para
garantizar al negocio que dicho conjunto opere con un
criterio de integración y desempeño de niveles
altamente satisfactorios, para que a su vez apoyen la
productividad y rentabilidad de la organización.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
23. 23
Terminología de la auditoria en informática
Sistemas de información. Son el conjunto de módulos
computacionales organizados e interrelacionados de una
manera formal para la administración y uso eficiente de los
recursos (humanos, materiales, tecnológicos, etc.) de un
área específica de la empresa (manufactura, administración,
dirección, etc.) con la finalidad de representar los procesos
reales del negocio y orientar los procedimientos, políticas y
funciones inherentes para lograr las metas y objetivos del
negocio en forma eficiente.
Los sistemas de información pueden orientarse al apoyo de
los siguientes aspectos:
Niveles operativos del negocio
Niveles tácticos del negocio
Niveles estratégicos del negocio
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
24. 24
Terminología de la auditoria en informática
Sistemas de información estratégica (SIE). Son aquellos que de
manera permanente proporcionan a la alta dirección una serie de
parámetros y acciones encaminadas a la toma de decisiones que
apoyarán al negocio en el seguimiento de la rentabilidad y
competitividad respecto a la competencia.
Metodología. Es un conjunto de etapas (fases o módulos)
formalmente estructurados, de manera que brinden a los
interesados los siguientes parámetros de acción en el desarrollo de
sus proyectos:
Plan general
Tareas y acciones
Tiempos
Aseguramiento de calidad
Involucrados
Etapas (fases o módulos)
Revisiones de avance
Responsables
Recursos requeridos
Otros
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
25. 25
Terminología de la auditoria en informática
Una buena metodología debe responder a los siguientes cuestionamientos:
¿qué hacer?, ¿dónde debo hacerlo?,¿cómo plantearlo?,¿por qué
aprobarlo?,¿cuándo revisarlo?,¿cuándo empezarlo?,¿quién debe hacerlo?,
¿por qué debo hacerlo?,¿cómo aprobarlo?,¿quiénes deben
comprometerse?,¿por qué revisarlo?,¿cuándo terminarlo?, ¿cómo
justificarlo?, etc.
Técnicas. Es un conjunto de procedimientos y pasos ordenados que se usan
con el desarrollo de un proyecto con el propósito de finalizar las etapas,
fases o módulos definidas en el proceso metodológico, por ejemplo:
Análisis estructurados
Diseño estructurado
Análisis costo-beneficio
Gráficas de Pert
Gráficas de Gant
Documentación
Entrevistas
Otras
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción
26. 26
Terminología de la auditoria en informática
Herramientas. Es el conjunto de elementos
físicos utilizados para llevar a cabo las
acciones y pasos definidos en la técnica.
Herramientas de productividad. Ayudan a
optimizar el tiempo de los recursos en el
desarrollo de un proyecto; asimismo, se
encaminan a proporcionar resultados de alta
calidad para apoyar el logro de las
actividades administrativas relacionadas con
los procesos de información.
Uso e Imp. De Serv.
De Internet
M. en C. Lorena Carmina Moreno Jiménez
Auditoria en Informática Introducción