Este documento presenta una introducción a la auditoría informática. Define la auditoría y las características de un auditor. Explica las ventajas y desventajas de las auditorías internas y externas. Define la auditoría informática y su importancia para una organización. Detalla los objetivos y características de la auditoría informática.

1. Instituto Universitario Politécnico Santiago Mariño
Escuela De Ingeniería De Sistemas
Porlamar­Estado Nueva Esparta
Auditoría y Evaluación de Sistemas.
Introducción A La Auditoría Informática.
Realizado Por:
BR. Rolman Calderín
C.I: 19682811
Sección: “S1”
Porlamar, 21 de Noviembre del 2012

2. Introducción a la Auditoría Informática
• Definición de Auditoría y de Auditor.
La Auditoría no es mas que un examen crítico que se realiza con objeto de evaluar la
eficiencia y eficacia de una sección o de un organismo y determinar cursos alternativos de
acción para mejorar la organización, y lograr los objetivos propuestos.
El Auditor debe poseer y mantener la educación básica suficiente y la competencia para
la realización de auditorías. Un auditor debe ser competente, ético, íntegro e imparcial. El
auditor debe conocer la legislación, normas, reglamentos, directivas y cualquier otro
documento que sirva como referencia general en el área de la auditoría. También debe conocer
los conceptos básicos, principios y técnicas de la auditoría que se encuentran descritos en
publicaciones oficiales, profesionales y especificaciones o normas de auditorías.
• Realice un cuadro comparativo entre las ventajas y desventajas de las auditorías
externas e internas.

3. • Definición de Auditoría informática y establezca su alcance e importancia dentro de una
organización.
Es el conjunto de técnicas, procedimientos y actividades, destinados a analizar y evaluar
el funcionamiento de los sistemas informáticos de un ente, por lo que comprende un examen
metódico, puntual y discontinuo, con el propósito de mejorar aspectos como: Control y
seguridad de los sistemas informáticos; Cumplimiento de la normativa tecnológica del ente;
Control de planes de contingencia; Eficacia y rentabilidad en el manejo de los sistemas.
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse
la auditoría informática, se completa con los objetivos de ésta. El alcance ha de figurar
expresamente en el Informe Final, de modo que perfectamente determinado no solamente
hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. En este
sentido un ejemplo de este control surge al plantearse las siguientes cuestiones ¿Se someterán
los registros grabados a un control de integridad exhaustivo­ ¿Se comprobará que los controles
de validación de errores son adecuados y suficientes. La indefinición de los alcances de la
auditoría compromete el éxito de la misma.

4. La información de la empresa y para la empresa, siempre importante, se ha convertido
en un Activo de la misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informática, materia de la que se ocupa la Auditoría de Inversión
Informática.
Importancia de la Auditoría Informática en una Organización, los órganos de los
Sistemas Informáticos están sometidos al control correspondiente, circunstancia que no se
debe olvidar. La importancia de llevar un control de esta herramienta se puede deducir de
varios aspectos que a continuación se detallaran:
­Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso
interviene la Auditoría Informática de Seguridad.
­Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son,
a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas
empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de
entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un
efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la
Auditoría Informática de Datos.
­Un Sistema Informático mal diseñado puede convertirse en una herramienta
harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las
órdenes recibidas y la modelización de la empresa está determinada por las
computadoras que materializan los Sistemas de Información,la gestión y la
organización de la empresa no puede depender de un Software y Hardware mal
diseñados. Estos son solo algunos de los varios inconvenientes que puede
presentar un Sistema Informático, de ahí la necesidad de la Auditoría de
Sistemas.
• Explique las características y objetivos de la Auditoría informática.

5. se puede definir como “el conjunto de procedimientos y técnicas para evaluar y
controlar un sistema informático con el fin de constatar si sus actividades son correctas y de
acuerdo a las normativas informáticas y generales en la organización”. La Auditoría
Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un
sistema o procedimiento específico, sino que además tendrá que evaluar los sistemas de
información en general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtención de información. Esta es de vital importancia para el buen desempeño de los sistemas
de información, ya que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática,
organización de centros de información, hardware y software.
La Auditoría del Sistema de Información en la empresa, a través de la evaluación y
control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la
eficacia del sistema mecanizado de información en que se sustenta. El alcance ha de definir
con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se
complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe
Final, de modo que que de perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas.
Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo?
¿Se comprobará que los controles de validación de errores son adecuados y suficientes? La
indefinición de los alcances de la auditoría compromete el éxito de la misma. Control de
integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si
una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va
encontrar y, por lo tanto, la aplicación no funcionaría como debería.*Control de validación de
errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
Características de la Auditoría Informática La información de la empresa y para la
empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus
Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas,
materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los
Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la

6. existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad
de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se
producen cambios estructurales en la Informática, se reorganiza de alguna forma su función:
se está en el campo de la Auditoría de Organización Informática. Estos tres tipos de auditorías
engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera:
cuando se realiza una auditoría del área de Desarrollo de Proyectos de la Informática de una
empresa,es porque en ese desarrollo existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Síntomas de Necesidad de una Auditoría Informática Las empresas acuden a las
auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas
pueden agruparse en clases:
Síntomas de descoordinación y desorganización:
­ No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
– Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.
– [Puede ocurrir con algún cambio masivo de personal, o en una restructuración fallida
de alguna área o en la modificación de alguna Norma importante]Síntomas de mala
imagen e insatisfacción de los usuarios:
­ No se atienden las peticiones de cambios de los usuarios. Ejemplos:cambios de
Software en los terminales de usuario, refrescamiento de paneles,variación de los
ficheros que deben ponerse diariamente a su disposición, etc.
­ No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido permanentemente.
­ No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
Pequeñas desviaciones pueden causar importantes desajustes en la actividad del
usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
– Síntomas de debilidades económico­financieras:
­ Incremento desmesurado de costes. Necesidad de justificación de Inversiones
Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide
contrastar opiniones).

7. – Desviaciones Presupuestarias significativas.
­ Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo
de Proyectos y al órgano que realizó la petición).Síntomas de Inseguridad: Evaluación
de nivel de riesgos ­ Seguridad Lógica y/o Seguridad Física Confidencialidad [Los datos
son propiedad inicialmente de la organización que los genera. Los datos de personal son
especialmente confidenciales]
­Continuidad del Servicio. Es un concepto aún más importante que la Seguridad.
Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia
Totales y Locales.
­ Centro de Proceso de Datos fuera de control, Si tal situación llegara apercibirse, sería
prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma
debe ser sustituido por el mínimo indicio. El Auditor Informático debe ser una persona
con un alto grado de calificación técnica y al mismo tiempo estar integrado en las
corrientes organizativas empresariales que imperan hoy en día. Se deben de contemplar
las siguientes características para mantener el perfil profesional adecuado y actualizado:
1. La persona o personas que integren esta función deben contemplaren su formación
básica una mezcla de conocimientos de auditoría financiera y de informática en
general .Estos últimos deben contemplar conocimientos básicos de: Desarrollo
informático, gestión de proyectos y del ciclo de vida de un proyecto de desarrollo.
Gestión del departamento de sistemas. Análisis de riesgo en un entorno informático.
Sistema operativo.
Telecomunicaciones. Gestión de base de datos. Seguridad física. Operaciones y
planificación informática. Gestión de la seguridad de los sistemas y de la continuidad
empresarial a través de planes de contingencia de la información. Gestión de problemas y de
cambios en entornos informáticos. Administración de datos. Comercio electrónico. En
criptación de datos. A estos conocimientos básicos se les deberá añadir una especialización en
función de la importancia económica que distintos componentes financieros puedan tener en
un entorno empresarial. Así en un entorno financiero pueden tener mucha importancia las
comunicaciones y será necesario que alguien dentro de la función de auditoría informática
tenga esta especialización, pero esto mismo puede no ser válido para un entorno productivo en
el que las transacciones EDI pueden ser más importantes.

8. El auditor informático debe conocer técnicas de gestión empresarial y sobretodo de
gestión del cambio ya que las recomendaciones y soluciones que aporten deben estar en la
línea de la búsqueda óptima de la mejor solución para los objetivos empresariales que se
persiguen y con los recursos que se tienen. El auditor informático debe tener siempre el
concepto de calidad total. Como parte de un colectivo empresarial, bien sea permanentemente
como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará
que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la
organización y que los resultados sean aceptados en su totalidad. Esta aplicación organizativa
debe hacer que la propia imagen del auditor informático sea más reconocida de forma positiva
por la organización.