REPBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACION INSTITUTO UNIVERSITARIO POLITCNICO SANTIAGO MARIO EXTENSIN

PORLAMAR - SEDE GENOVS

AUDITORA INFORMTICA

AUTOR: FREDDY JAVIER MORENO BRAVO C.I.: 18.058.745 AUDITORIA Y EVALUACIN DE SISTEMAS (SAIA) PORLAMAR, SEPTIEMBRE DE 2012

Introduccin En este informe se presentan diversos puntos correspondientes al tema de la auditora, inicindose desde su historia y evolucin hasta describir el perfil profesional de un auditor Informtico.

Cabe destacar que la auditoria tiene ciertas variedades, es por esto que se ha desarrollado el presente trabajo con la intencin de dar a conocer el punto de vista de su autor, sintetizando y resaltando los temas ms relevantes, adecuados y correspondientes a la computacin, sistemas, y la ingeniera de estas mismas ramas como tal.

Se realiza en palabras propias y se muestran cuadros y mapas conceptuales para graficar las ideas a presentar y de esta manera poder hacer del mismo, un medio informativo de fcil entendimiento para sus lectores.

Auditor Un auditor es aquel que ha sido designado por una autoridad competente, para examinar, evaluar y revisar los resultados de una gestin administrativa y/o financiera de una institucin, empresa u organizacin, con el fin de informar acerca de estos procesos en busca de recomendaciones u observaciones que permitan optimizar el desempeo de las mismas.

Auditora Sabiendo esto, es posible y definir a la auditoria como una funcin de direccin cuya finalidad es analizar y apreciar, con vistas a las eventuales acciones correctivas, el control interno de las organizaciones y sus procesos.

Mapa cronolgico de la historia y evolucin de la auditora segn Carlos Muos Razo

Al subir al trono Sancho VI "El Bravo", ordeno a algunos de sus hombres de confianza que controlaran el destino de los

AO 1284

caudales pblicos. Como resultado de esta medida y como producto de su reinado, se origino el tribunal de cuentas en Espaa El descubrimiento de Amrica, contribuy tambin al crecimiento de la actividad de la auditora, pues la Corona envi visitadores a revisar las cuentas y resultados de sus colonias; dichos visitadores supervisaban

Ao 1492

que el registro y manejo de las cuentas fueran correctos y emitan una opinin sobre la actuacin de los encargados. Se estima que el verdadero nacimiento de la auditoria fue a finales del siglo XV cuando pases poderosos y algunos personajes influyentes de ese entonces, recurran a los servicios de revisores

Siglo XV

de cuentas, quienes se encargaban de revisar las cuentas manejadas por los administradores de sus bienes, y se aseguraban de que no hubiera fraudes en los reportes que se les presentaban. A mediados del siglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, impuso

Siglo XIX

la obligacin de ejecutar auditoras a los resultados financieros, el balance general, los registros contables y las actividades financieras de las empresas pblicas

Del ao 1912 al 1984, desde el Instituto de Contadores Pblicos de Espaa hasta Robert J. Thierauf, quien habl sobre la auditoria

Siglo XX

administrativa como una tcnica utilizada para evaluar las reas operacionales de una organizacin, enfocando su trabajo desde el punto de vista administrativo

Mapa Conceptual de los diferentes tipos de Auditora segn Carlos Muos Razo
Auditoras Por su lugar de aplicacin Auditora externa Auditora interna Especializadas en reas especficas Auditora al rea mdica (Evaluacin mdico-sanitaria) Auditora al desarrollo de obras y Construcciones (Evaluacin de ingeniera) Auditora fiscal Auditora laboral Auditora de proyectos de inversin Auditora a la caja chica o Caja mayor (arqueos) Auditora al manejo de mercancas (inventarios) Auditora ambiental Auditora de sistemas Por su rea de aplicacin Auditora financiera Auditora administrativa Auditora operacional Auditora integral Auditora gubernamental Auditora de sistemas De sistemas computacionales Auditora informtica Auditora con la computadora Auditora sin la computadora Auditora a la gestin informtica Auditora al sistema de cmputo Auditora alrededor de la computadora Auditora de la seguridad de sistemas computacionales Auditora a los sistemas de redes Auditora integral a los centros de cmputo Auditora ISO-9000 a los sistemas computacionales Auditora outsourcing Auditora ergonmica de sistemas computacionales

Cuadro comparativo Auditoria Interna Ventajas

Facilita una ayuda

Auditoria Externa Desventajas Ventajas

Las ventajas para todos los empresarios, su no

Desventajas
El trabajo es ms arduo en la

Tiene la desventaja que cada empresa tiene sus caractersticas propias y especiales de manera que deben enfocarse al tipo de empresa que se trate, adems puede modificarse por que es el control interno halla variado por lo que los procedimientos tambin sern diferentes.

primordial a la direccin al evaluar de forma relativamente independiente los sistemas de organizacin y de administracin Facilita una evaluacin

importando

tamao,

recopilacin de datos para explicar

localizacin o sector en el que acten sus empresas. Los diversos mtodos de trabajo empleados en las auditoras externas

resultados como: Falta de elementos en los almacenes de repuestos Falta o exceso en el almacenaje materias primas Falta o exceso en el almacenaje de de

global y objetiva de los problemas de la empresa, que generalmente suelen ser interpretados de una manera parcial por los departamentos afectados. Pone a disposicin de la

permiten su adecuacin al tipo de empresa al que se dirige en cada caso. La auditora empresarial

puede ser aprovechada, entre otras cosas, en los procesos siguientes:

productos terminados Deficiente instalacin

direccin

un

profundo de de las la

Reorganizacin de la empresa Atribucin o reparto de nuevas funciones a los empleados Anlisis de los asuntos

contra incendio o mal desarrollo de Plan de emergencia Deficiencias contabilidad Deficiencias en en la

conocimiento operaciones empresa, por el

proporcionado trabajo de empresariales Elaboracin de descripciones de los puestos de trabajo Estudio de los requisitos de las competencias para cada puesto Examen de la actitud de los empleados hacia el trabajo Estudio de la motivacin de los empleados

verificacin de los datos contables y financieros. Contribuye eficazmente a evitar las y actividades la inercia que se

algunas Normas ISO Deficiencias en el

rutinarias burocrtica

plan de trabajo de calidad (partes diarios de trabajo de cada departamento) Deficiencias en la

generalmente

desarrollan en las grandes empresas. Favorece la proteccin de los intereses y bienes de la empresa frente a

distribucin ordenada de deshechos

terceros.

Definicin de Auditoria informtica Es el conjunto de tcnicas, procedimientos y actividades, destinados a analizar y evaluar el funcionamiento de los sistemas informticos de un ente, por lo que comprende un examen metdico, puntual y discontinuo, con el propsito de mejorar aspectos como: Control y seguridad de los sistemas informticos; Cumplimiento de la normativa tecnolgica del ente; Control de planes de contingencia; Eficacia y rentabilidad en el manejo de los sistemas.

Alcance de la auditora informtica El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica, se completa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos. En este sentido un ejemplo de este control surge al plantearse las siguientes cuestiones Se sometern los registros grabados a un control de integridad exhaustivo- Se comprobar que los controles de validacin de errores son adecuados y suficientes. La indefinicin de los alcances de la auditoria compromete el xito de la misma. Caractersticas de la auditora informtica. La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informtica, materia de la que se ocupa la Auditoria de Inversin Informtica.

Importancia de la Auditoria Informtica en una Organizacin Los rganos de la los Sistemas Informticos estn sometidos al control correspondiente, circunstancia que no se debe olvidar. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos que a continuacin se detallaran: - Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informtica de Seguridad. - Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informtica de Datos. - Un Sistema Informtico mal diseado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informtico, de ah la necesidad de la Auditora de Sistemas.

Auditoria Informtica y Auditoria de Sistemas de Informacin Similitudes

Diferencias

No se requieren nuevas normas de auditora, son las mismas.

Se establecen algunos nuevos procedimientos de auditora.

Los elementos bsicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregacin de funciones.

Hay diferencias en las tcnicas destinadas a mantener un adecuado control interno contable.

Los propsitos principales del estudio y la evaluacin del control contable interno son la obtencin de evidencia para respaldar una opinin y determinar la base, oportunidad y extensin de las pruebas futuras de auditora.

Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable.

El nfasis en la evaluacin de los sistemas manuales esta en la evaluacin de transacciones, mientras que el nfasis en los sistemas informticos, est en la evaluacin del control interno.

Caractersticas y Objetivos de la Auditora Informtica

La Auditora Informtica se puede definir como el conjunto de procedimientos y tcnicas para evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informticas y generales en la organizacin. La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems tendr que evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. Esta es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de informacin, hardware y software.

La Auditora del Sistema de Informacin en la empresa, a travs de la evaluacin y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de informacin en que se sustenta. El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditora informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo? Se comprobar que los controles de validacin de errores son adecuados y suficientes? La indefinicin de los alcances de la auditora compromete el xito de la misma. Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin no tiene integrado un registro comn, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicacin no funcionara como debera.*Control de validacin de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

Caractersticas de la Auditora Informtica La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditora de Inversin Informtica. Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnica de Sistemas. Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditora de Organizacin Informtica. Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditora parcial. De otra manera: cuando se realiza una

auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Sntomas de Necesidad de una Auditora Informtica Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin - No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.- Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente. [Puede ocurrir con algn cambio masivo de personal, o en una restructuracin fallida de alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc.- No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido

permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financieras: - Incremento desmesurado de costes. Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal

necesidad

decide

contrastar

opiniones).

Desviaciones

Presupuestarias

significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos

- Seguridad Lgica y/o Seguridad Fsica

Confidencialidad [Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales]Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales.

- Centro de Proceso de Datos fuera de control, Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

El Auditor Informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en da. Se deben de contemplar las siguientes caractersticas para mantener el perfil profesional adecuado y actualizado: 1. La persona o personas que integren esta funcin deben contemplar en su formacin bsica una mezcla de conocimientos de auditora financiera y de informtica en general .Estos ltimos deben contemplar conocimientos bsicos de: Desarrollo informtico, gestin de proyectos y del ciclo de vida de un proyecto de desarrollo. Gestin del departamento de sistemas. Anlisis de riesgo en un entorno informtico. Sistema operativo. Telecomunicaciones. Gestin de

base de datos. Seguridad fsica. Operaciones y planificacin informtica. Gestin de la seguridad de los sistemas y de la continuidad empresarial a travs de planes de contingencia de la informacin. Gestin de problemas y de cambios en entornos informticos. Administracin de datos. Comercio electrnico. Encriptacin de datos. A estos conocimientos bsicos se les deber aadir una especializacin en funcin de la importancia econmica que distintos componentes financieros puedan tener en un entorno empresarial. As en un entorno financiero pueden tener mucha importancia las comunicaciones y ser necesario que alguien dentro de la funcin de auditora informtica tenga esta especializacin, pero esto mismo puede no ser vlido para un entorno productivo en el que las transacciones EDI pueden ser ms importantes. El auditor informtico debe conocer tcnicas de gestin empresarial y sobre todo de gestin del cambio ya que las recomendaciones y soluciones que aporten deben estar en la lnea de la bsqueda optima de la mejor solucin para los objetivos empresariales que se persiguen y con los recursos que se tienen. El auditor informtico debe tener siempre el concepto de calidad total. Como parte de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total har que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la organizacin y que los resultados sean aceptados en su totalidad. Esta aplicacin organizativa debe hacer que la propia imagen del auditor informtico sea ms reconocida de forma positiva por la organizacin.