www.monografias.

com

Auditoria de Sistemas
Indice
1. Auditora
2. La funcin de la auditora en la organizacin
3. Tipos y clases de auditora
4. Sistemas De Informacin
5. Tendencias que afectan a os sistemas de informacin
6. Base Conceptual
7. Proceso De Implementacin
1. Auditora
Papel Del Auditor Informtico.Si se entiende que la auditoria informtica comprende las tareas de evaluar, analizar los procesos
informticos, el papel de auditor debe estar encaminado hacia la bsqueda de problemas existentes
dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.
Adems que auditor Informtico debe estar capacitado en los siguientes aspectos:
A. Deber ver cuando se puede conseguir la mxima eficacia y rentabilidad de los medios
informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del
reforzamiento del sistema y del estudio de las soluciones mas idneas, segn los problemas
detectados en el sistema informtico, siempre y cuando las soluciones que se adopten no violen
la ley ni los principios ticos. (Ej. Por que est mal el reporte)
B. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos
mnimos, aconsejables y ptimos para su adecuacin con la finalidad de que cumpla para lo
que fue diseado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones,
posibles mejoras, costos.
C. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente
onerosas, daina, o que genere riesgo in justificativo para el auditado e igualmente de proponer
modificaciones carentes de bases cientficas insuficientemente probadas o de imprevisible
futuro.
D. El auditor al igual que otros profesionales (Ej. Mdicos, abogados, educadores, etc.) pueden
incidir en la toma de decisiones en la mayora de sus clientes con un elevado grado de
autonoma, dado la dificultad prctica de los mismos, de constatar su capacidad profesional y en
desequilibrio de desconocimientos tcnicos existente entre al auditor y los auditados (Puede
pesar gravemente).
E. El auditor deber prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los
medios a su alcance con absoluta libertad, respecto a la utilizacin de dichos medios y en unas
condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en que
precariedad de los medios puestos a su disposicin, impidan o dificulten seriamente la
realizacin de la auditoria deber negarse realizar hasta que se le garantice un mnimo de
condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes.
F. Cuando durante la ejecucin de la auditoria, el auditor considere conveniente recabar informe de
otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional
para analizarlo en idneas condiciones deber remitir el mismo a un especialista en la materia o
recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria.
G. El auditor debe actuar con cierto grado de humildad evitando dar la impresin de estar al
corriente de una informacin privilegiada sobre nuevas tecnologas a fin de actuar en de
previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna
tecnologa de primer orden debemos tener un cierto grado de humildad, que no se salga de la
realidad [decir que ya sabemos esto...].
H. El auditor tanto en sus relaciones con el auditado como con terceras personas deber en todo
momento, deber actuar conforme a las normas implcitas o explcitas de dignidad de la

I.

profesin y de correccin en el trato personal. (Que en todo momento, como cuando estamos en
el bar, cafetera, o fiesta por que los auditores tienen la responsabilidad)
El auditor deber facilitar e incrementar la confianza de auditado en base a una actuacin de
transparencia, en su actividad profesional sin alardes cientfico- tcnico, que, por su
incomprensin, pueden restar credibilidad a los resultados obtenidos y a las directrices
aconsejadas.
2. La funcin de la auditora en la organizacin

Concepto De Auditar
Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema
informtico con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan
eficientemente de acuerdo con las normas informticas y gener5ales existentes en cada empresa y
para conseguir la eficacia exigida en el marco de la organizacin correspondiente.
Al igual que los dems rganos de la empresa los sistemas informticos estn sometidos a un control.
La importancia de llevar un control, se puede deducir de varios aspectos, as tenemos:
Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no
solo para el espionaje no para la delincuencia y el terrorismo.
Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar
resultados o informacin errnea (Virus, tc). (La mquina suele arrojar resultados errneos cuando es
alimentada con datos errneos).
Un sistema informtico mal diseado puede convertirse en una herramienta peligrosa para la persona,
puesto que las mquinas obedecen las rdenes recibidas y la modelizacin de la empresa est
determinada por las computadoras que materializan los sistemas de informacin, por lo tanto la gestin
y la organizacin de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal
diseado.
Auditora Interna Y Auditora Externa
La auditoria es realizada en recursos materiales y personas que perteneces a la empresa auditada.
Auditora Interna
Existe por expresa decisin de la empresa, es decir que tambin se puede optar por su disolucin en
cualquier momento.
Auditora Externa
Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria
interna debido Al mayor distanciamiento entre auditor y auditado.
La auditoria informtica tanto interna como externa debe ser una actividad exenta de cualquier contenido
o matiz poltico ajena a la propia estrategia y poltica general de la empresa.
Areas De La Planificacin De La Auditora
Las empresas acuden a las auditorias cuando existen algunos sntomas bien perceptibles de debilidad.
Estos sntomas pueden agruparse en algunas clases:
Sntomas De Descoordinacin Y Desorganizacin
No coinciden los objetivos de la informtica de la compaa
Los estndares de productividad se desvan sencillamente de los promedios habituales.
Sntomas De Mala Imagen O Insatisfaccin De Los Usuarios
No se atienden a las peticiones de cambio de los usuarios
No se reparan las averas de HARDWARE ni se resuelven problemas en plazos razonables
No se cumplen los plazos de entregas de resultados
Sntomas De Debilidades Econmico Financiero
Incremento desmesurado de costos
Necesidad de justificacin de inversiones informticas
Desviaciones presupuestarias significativas
Costos y plazos nuevos para proyectos
Sntomas De Inseguridad (Evaluacin Del Nivel De Riesgo)
Seguridad lgica

Seguridad fsica
Confidencialidad.- Los datos son de propiedad de la organizacin que nos genera, los datos de
personal son especialmente confidenciales.
Continuidad del servicio. (Establecer las estrategias de continuidad para fallos mediante planes
de configuracin).
Ubicacin Y Organizacin De La Auditora
La ubicacin de los procesos auditores dentro de un rea de sistemas depende del tipo de auditoria que
se desee implementar, As tenemos que en muchas ocasiones la auditoria depende
exclusivamente de la parte directriz o gerencial y en otras ocasiones de acuerdo a las
necesidades de la empresa. La auditoria informtica nace de los niveles medios bajos de la
empresa . (A nivel de organizacin la ubicacin es medio bajo, medios bajos son los Usuarios,
con una serie de quejas obligan a hacer auditoria)
3. Tipos y clases de auditora
Auditoria Informtica De Explotacin
La explotacin informtica se ocupa de producir resultados, tales como listados, archivos
soportados magnticamente, ordenes automatizadas, modificacin de procesos, etc. Para
realizar la explotacin informtica se dispone de datos, las cuales sufren una transformacin y
se someten a controles de integridad y calidad.
(Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan;
estos dos juntos realizan una informacin buena)
Auditoria Informtica De Desarrollo De Proyectos O Aplicaciones
La funcin de desarrollo es una evaluacin del llamado Anlisis de programacin y sistemas. As
por ejemplo una aplicacin podra tener las siguientes fases
Prerrequisitos del usuario y del entorno
Anlisis funcional
Diseo
Anlisis orgnico (preprogramacin y programacin)
Pruebas
Explotacin
Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden
producirse insatisfaccin del cliente, insatisfaccin del usuario, altos costos, etc. Por lo tanto la
auditoria deber comprobar la seguridad de los programas, en el sentido de garantizar que el
servicio ejecutado por la mquina, los resultados sean exactamente los previstos y no otros (El
nivel organizativo es medio por los usuarios, se da cuenta el administrador Ejm. La contabilidad
debe estar cuadrada)
Auditoria Informtica De Sistemas
Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en todos sus
factores. La importancia creciente de las telecomunicaciones o propicia de que las
comunicaciones, lneas y redes de las instalaciones informticas se auditen por separado,
aunque formen parte del entorno general del sistema (Ejm. De auditar el cableado estructurado,
ancho de banda de una red LAN)
Auditoria Informtica De Comunicacin Y Redes
Este tipo de auditoria deber inquirir o actuar sobre los ndices de utilizacin de las lneas
contratadas con informacin sobre tiempos de uso y de no uso, deber conocer la topologa de
la red de comunicaciones, ya sea la actual o la desactualizada. Deber conocer cuantas lneas
existen, como son, donde estn instaladas, y sobre ellas hacer una suposicin de inoperatividad
informtica. Todas estas actividades deben estar coordinadas y dependientes de una sola
organizacin (Debemos conocer los tipos de mapas actuales y anteriores, como son las lneas,
el ancho de banda, suponer que todas las lneas estn mal, la suposicin mala confirmarlo).
Auditoria De La Seguridad Informtica
Se debe tener presente la cantidad de informacin almacenada en el computador, la cual en
muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las

instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de los robos,
los fraudes, sabotajes y sobre todo de la destruccin parcial o total. En la actualidad se debe
tambin cuidar la informacin de los virus informticos, los cuales permanecen ocultos y daan
sistemticamente los datos.
4. Sistemas De Informacin
Los Sistemas De Informacin Y Su Alcance
Se entiende por un sistema de informacin al conjunto de normas, procedimientos y dems parmetros
que forman la informacin general de una empresa o institucin.
En un sistema de informacin se pueden visualizar algunos componentes tales como:
El nombre del sistema,

Nombre de macros del sistema

Software base
Lenguajes de programacin
Paquetes,
Unidades o departamentos que utilizan la informacin,
Volmenes de archivos que se utilizan diariamente (Semanal, mensual, etc.)
Requerimientos mnimos de los equipos (En muchos de los casos s es un software)
Fechas crticas
Ingreso de informacin
Flujo de informacin
Egresos de informacin

5. Tendencias que afectan a os sistemas de informacin

Al considerar un Sistema de Informacin como un conjunto de normas y procesos generales de una
determinada, se deben considerar algunos puntos negativos y positivos que afectan
directamente al sistema as por ejemplo:
a. Actualizaciones: Se refiere a que los sistemas de informacin de cualquier empresa, debe ser
revisado peridicamente; no con una frecuencia continua, si no mas bien espaciada, se
recomienda las revisiones bi anuales (No se recomienda que se actualice en una empresa
paulatinamente, por ejemplo el software, cuadros estadsticos, es recomendable dentro de un
ao cambiarlo, todo lo que es mquinas y software; por que si no realizaramos esto, se
cambiara toda la estructura organizacional de la misma).
b. Reestructuracin Organizacional (Puede ser una reestructuracin con los mismos puestos)
Una reestructuracin organizacional con cualquier empresa, implica cambios siempre en vista a
buscar un mejor funcionamiento, evitar la burocracia, agilitar trmites o procesos, la
reestructuracin puede ser de varios tipos, as por ejemplo. Aumentar o disminuir
departamentos, puestos, reestructuracin de objetivos, etc. Siempre la reestructuracin afecta a
los sistemas de informacin de la empresa.
c. Revisin y Valorizacin del escalafn (No es para bien si no tambin para mal)
La revisin y la revalorizacin del escalafn se espera que afecte a favor de los sistemas de
informacin de las empresas, si el efecto es contrario el auditor informtico deber emitir un
informe del empleado a los empleados (Especficamente de departamentos), que estn
boicoteando la informacin de la empresa.
d. Cambios en el flujo de Informacin (Datos para el sistema de Informacin)
Se refiere al cambio de flujo de datos exclusivamente en el rea informtica, esto afecta
directamente en sistema informtico y por tanto al sistema de informacin. En lo que respecta a
la Auditora informtica, el efecto puede ser positivo y negativo, dependiendo a los resultados
obtenidos en cuanto al proceso de datos (menos seguridad, mas seguridad, backup). As por
ejemplo:
Se ha cambiado el flujo de informacin en el rea contable, para generar los roles mensuales
(De inicio del rol era realizado por la secretaria, la cual ingresaba las existencias, fallas, atrasos,
etc.; determinando un monto a descontar. Un monto bruto y un salario final, esto pasaba a la
contadora para que justifique especialmente multas, se rectificaba en algunos casos, y se
mandaba a imprimir el rol. Se considera un nuevo flujo de informacin, en el cual se ingresan los

datos a un sistema informtico, y de acuerdo a los parmetros y normas de la empresa el

sistema arroja un sueldo lquido a cobrarse, genera automticamente el reporte, los cheques y
el contador solo aprueba este reporte).
(Un ejemplo es cuando existe migracin de datos, la informacin migra o se cambia a otro sistema ms
sofisticado )
6. Base Conceptual
En base al sistema de informacin el auditor informtico realizar su estudio y anlisis siguiendo
cualquier metodologa de trabajo, pero sin desviarse de la base conceptual del sistema de
informacin de la empresa auditada.
Si por cualquier circunstancia el auditor informtico percibe y por lo menos tiene la idea de que tom
parmetros de que no estn presentes en el sistema de informacin necesariamente deber
volver a empezar (Por ejemplo en el rea de redes abarca muchas otras facetas que un auditor
no podra conocerlas por lo que se necesita ayuda externa para realizar una buena Auditora)
Conceptualmente los Sistemas de Informacin, tienen sus base en algunos aspectos de importancia
dentro de cualquier empresa: As por ejemplo:
a. Aspectos econmicos
Se deben considerar los recursos de la empresa, las crisis, el control, etc.
b. Aspectos tecnolgicos
Se refiere al equipo fsico dentro de la empresa, se debe considerar el incremento, los cambios,
ya sea de software o hardware
c. Aspectos sociales
Se refiere a mejoras orientadas hacia los empleados de la empresa, as por ejemplo, cursos,
capacitacin, etc.
d. Aspecto poltico legal
Se refiere a las normas y leyes vigentes para las empresas, tanto internas como externas, se
debe cuidar, el aspecto legal, especialmente en el Software
e. Aspecto Administrativo
Se refiere a la relacin a nivel de gerencias, mayor confianza en la tona de posiciones,
decisiones o fortunas, siempre a favor de las empresas
Simbologa En Los Sistemas De Informacin
Todo sistema de informacin puede ser representado mediante diagramas, mediante los cuales depende
de la complejidad de cada empresa, un ejemplo sencillo puede ser:
7. Proceso De Implementacin
Para implementar un sistema de informacin se puede seguir varios pasos, o metodologas o inclusive
se lo puede hacer empricamente. E n la implementacin se considera siempre la implementacin del
software (es decir dentro de la implementacin del sistema de informacin siempre deber implementar
el software a utilizarse esta empresa).
As por ejemplo se podran seguir los siguientes pasos:
a.- Recopilacin y anlisis de datos
b.- Seleccin de datos idneos a ingresarse o utilizarse
c.- Ingreso y manipulacin de datos
d.- Procesamiento
e.- Anlisis de resultados
Seguridad De Los Sistema Informticos
Para realizar o evaluar la seguridad en los sistemas, es importante conocer como: desarrollar, ejecutar e
implantar un sistema de seguridad.
Desarrollar un sistema de seguridad significa planear, organizar, coordinar, dirigir y controlar actividades
relacionadas para garantizar la integridad fsica de los recursos implicados en el departamento
informtico, as como el resguardo de los activos de la empresa.
Un sistema integral de seguridad debe contemplar los siguientes aspectos:
- Definir elementos administrativos

Definir polticos de seguridad

Definir elementos a nivel departamental
Definir elementos a nivel institucional
Organizar y dividir las responsabilidades
Prever desastres naturales y causas de descuido del personal de mantenimiento equipo
cableado, etc.

Adems se debe considerar algunos aspectos extras as por ejemplo:

Motivacin.-En la cual es conveniente desarrollar mtodos de participacin reflexionando lo que significa
la seguridad y el riesgo, el impacto a nivel empresarial, las responsabilidades individuales, etc.
Capacitacin general.- Se debe empezar con los ejecutivos de la empresa a fin que conozca la relacin
entre riesgo, seguridad y la informacin y su impacto en la empresa.
El objetivo debe ser detectar las debilidades y potencialidades de la organizacin frente al riesgo, en
este proceso debe incluir la implantacin y la ejecucin de planes de contingencia y la simulacin de
posibles delitos.
Capacitacin de tcnicos.- Es importante formar tcnicos encargados de mantener la seguridad como
parte fundamental de su trabajo y que este capacitado para capacitar a otras personas, en lo que es la
ejecucin de medidas preventivas y correctivas.
Beneficios de un sistema de seguridad.- Los beneficios de seguridad son inmediatos ya que la
organizacin trabajar sobre una plataforma confiable que se puede reflejar los siguientes aspectos:
Aumento de la motivacin de personal

Compromiso de la misin y visin

Aumento de la productividad
Mejora de las relaciones laborales
Mejora en los equipos de la institucin

Estrategias de proteccin
Toda empresa dentro de su plan anual de actividades debe contemplar un plan estratgico de proteccin
o plan de contingencia sobre su sistema informatico, entendiendose a dicho plan como un conjunto de
pasos que se realizan con el propsito de salvaguardar los recursos de la empresa, tanto fsico como a
nivel lgico.
Se puede mencionar algunos puntos importantes que debe contemplar el plan de contingencia, as por
ejemplo:
- Actividades antes de un desastre
- Actividades durante el desastre
- Actividades despus del desastre
Actividades antes de un desastre

Planificacin de un plan de contingencia (debe contener aspectos relacionados a la prevencin

de un desastre de cualquier tipo, as por ejemplo sacar respaldos, lugares de evacuacin,
buscar sitios seguros, prevencin contra cortes elctricos, asignar responsabilidades.
Simulacros de desastre, se refiere a simular en cada computadora un buen anti virus
(actualizable que cubra la mayor cantidad de virus conocidos, que detecte limpie y vacune, que
posea un manual de procedimiento, versatilidad residente en memoria).
Preparar personal calificado de las distintas reas de seguridad
Area informatica se refiere a designar 1 o 2 personas para realizar respaldos diarios de
la informacin una o dos personas diferentes para enviar los resultados a sitios seguros.

Area social se refiere a preparar personal que este capacitado para socorrer a loa compaeros en caso
de desastre ( debe tener especial cuidado en las personas de la tercera edad).
Este personal tambin deber capacitarse en el uso de dispositivos o elementos fsicos para casos
de emergencia (as por ejemplo uso de alarmas contra fuego, uso de bombas de agua , uso de
switch de seguridad).

Actividades despus del desastre

Seguir el plan de contingencia

Sujetarse a las disposiciones dadas por elpersonal calificado para desastres
Tratar de rescatar la mayor cantidad de informacin posible en el acto
Actividades despus del desastre
- Verificar la calidad e integridad de la informacin existente (hacer las pruebas sobre los
programas que antes del desastre funcionaban correctamente).
- Verificar la calidad e integridad de la informacin de respaldo
- Verificar la parte fsica o hadware
- En lo posible volver al estado original de la informacin antes del desastre
Tipos y clases de auditorias
Para cada uno delos tipos de auditoria se pueden especificar reas especificas en las culaes siempre
se debe realizar una auditoria informatica, as tenemos: rea interna, rea de direccin, rea de nivel de
usuario y rea de seguridad.
rea interna cuando se realiza cualquier tipo de auditoria en el rea interna se debe tener presente
que solamente se debe auditar al departamento o rea en mencin sin fijarse en sus correlaciones con
otros departamentos.
Area de direccin Se refiere a realizar la auditoria en cualquier tipo a nivel gerencial o de direccin ya
sea el departamento o de los departamentos con sus respectivos Inter.-relaciones.
Area de usuario Se refiere a realizar la auditoria a nivel de usuario con todas las Inter.-relaciones que
el usuario tenga dentro del departamento o fuera con otros departamentos.
Area de seguridad Cualquiera sea el tipo de auditoria que esta realizando siempre debe fijarse en el
rea de seguridad la cual constituye pilar fundamental para aprobar o reprobar una auditoria.

Trabajo enviado por:

Wilmer Rolando Zurita Lara
wilmer_rolando_zurita_lara@hotmail.com