Está en la página 1de 12

UNIVERSIDAD CENTRAL DEL ECUADOR

INGENIERA EN CIENCIAS FSICAS Y MATEMTICA

CONTROL DE CALIDAD Y AUDITORIA INFORMTICA


Auditoria informtica

INTEGRANTES:

Ismael Aldaz Stalin Zurita Vivero SEMESTRE: Sexto PARALELO: Segundo


Semestre Septiembre 2012-febrero 2013
1

1. 2.

CONCEPTO DE AUDITORIA INFORMTICA__________________________________ 4 CLASIFICACIN DE LA AUDITORIA. _______________________________________ 4


2.1
a. b.

Clasificacin de la auditora en base a las personas que la realizan.________________ 5


AUDITORIA EXTERNA _____________________________________________________________ 5 AUDITORIA INTERNA _____________________________________________________________ 5

2.2

Clasificacin de la auditora en base a los objetivos que persigue. _________________ 6


Auditora Financiera.- ____________________________________________________________ Auditoria Administrativa.- _________________________________________________________ Auditora Integral.- _______________________________________________________________ Auditoria de Calidad.- ____________________________________________________________ 6 6 6 6

3. 4. 5.

OBJETIVOS DE LA AUDITORA INFORMTICA _______________________________ 6 BENEFICIOS DE LA AUDITORA INFORMTICA ______________________________ 7 TIPOS DE AUDITORA DE SISTEMAS _______________________________________ 8
Auditora de la gestin _____________________________________________________ 8 Auditora legal del Reglamento de Proteccin de Datos ___________________________ 8 Auditora de los datos ______________________________________________________ 8 Auditora de las bases de datos ______________________________________________ 8 Auditora de la seguridad ___________________________________________________ 8 Auditora de la seguridad fsica _______________________________________________ 8 Auditora de la seguridad lgica ______________________________________________ 8 Auditora de las comunicaciones _____________________________________________ 8 Auditora de la seguridad en produccin _______________________________________ 8

6.

CARACTERSTICAS DEL AUDITOR INFORMTICO ____________________________ 9


Sistemas de informacin ____________________________________________________ 9 Procesamiento electrnico de datos _________________________________________ 10 Telecomunicaciones ______________________________________________________ 10 Teora General de Sistemas _________________________________________________ 10 Ciencias del comportamiento humano ________________________________________ 10 Administracin de empresas ________________________________________________ 10 2

Mtodos numricos_______________________________________________________ 11 Finanzas y contabilidad ____________________________________________________ 11 Auditora _______________________________________________________________ 11

7. PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA EFECTUAR UNA AUDITORA INFORMTICA __________________________________________________________ 11


Pruebas ____________________________________________________________________ 11
Pruebas sustantivas _____________________________________________________________ 11 Pruebas de cumplimiento ________________________________________________________ 11

Herramientas ________________________________________________________________ 12
Observacin ___________________________________________________________________ Realizacin de cuestionarios ______________________________________________________ Entrevistas a auditados y no auditados ______________________________________________ Muestreo estadstico_____________________________________________________________ Flujogramas ___________________________________________________________________ Listas de chequeo _______________________________________________________________ 'Mapas conceptuales ____________________________________________________________ 12 12 12 12 12 12 12

BIBLIOGRAFA: __________________________________________________________ 12

1. CONCEPTO DE AUDITORIA INFORMTICA


La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.

2. CLASIFICACIN DE LA AUDITORIA.
Existen muchas clasificaciones de la auditora; sin embargo nos enfocaremos en la clasificacin en base a las personas que la realizan y en base a los objetivos que persigue. Si nos referimos a las personas que realizan una auditora, veremos que existan dos grupos bien definidos, los auditores externos y auditores internos. En si la auditoria informtica tiene 2 tipos las cuales son: AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar a personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su empresa.

2.1 Clasificacin de la auditora en base a las personas que la realizan.


a. AUDITORIA EXTERNA

La auditora externa es aquella que realiza un auditor o grupos de auditores que no trabajan en la empresa auditada y su relacin con la misma est basada en un contrato o convenio comercial. Existen muchos despachos de auditoria, pero entre los de mayor renombre podemos mencionar a ARTHUR ANDERSEN, KPMG PEAT MARWICK, ERNST & YOUNG, PRICE WATERHOUSE COPERS, DELOITTE AND TOUCH, entre otros. La auditora externa tiene algunas claras ventajas sobre la auditoria interna como son:

Total independencia de la organizacin auditada. Ante las autoridades es vlida la opinin que emiten estas empresas acerca de la
exactitud de los estados financieros de una empresa, por lo que muchas organizaciones recurren a ellas para cumplir con requerimientos establecidos por el gobierno o por organismos reguladores como la Bolsa Mexicana de Valores.

Al revisar a varias empresas, su campo de experiencia se incrementa logrando


establecer lo que se conoce como mejores prcticas, mismas que se pueden implantar en cualquier organizacin.

Las mejoras prcticas podran compararse en cierto sentido con el proceso


Benchmarking.

Probablemente una de las principales desventajas que pudiera tener la auditoria


externa contra la interna, es que en ocasiones, debido a los compromisos de tiempo establecidos en el contrato, el nivel de profundidad de la revisin tal vez no sea el adecuado.

b.

AUDITORIA INTERNA

La auditora interna por otra parte, la realiza un auditor o grupo de auditores empleados formalmente por la empresa en cuestin, pero con funciones ajenas totalmente a la operacin de la misma. Los auditores internos tienen ciertas limitantes como el hecho de no poder dictaminar los estados financieros ya que su opinin no tiene valor para las autoridades; sin embargo poseen ciertas ventajas sobre la auditoria externa:

Las revisiones son ms detalladas, de tal suerte que si hay una buena interaccin
entre los auditores internos y los externos, estos ltimos pueden apoyarse en el trabajo desarrollado por los auditores internos.

Algunas empresas han desarrollado equipos de trabajo y metodologas equiparables


a las grandes firmas contables, la ventaja de que se han personalizado a sus caractersticas personales. Banamex, Citibank y recientemente Scotiabank Inverlat se han distinguido por sus equipos de auditoria a nivel mundial.

2.2 Clasificacin de la auditora en base a los objetivos que persigue.


Es claro que si vemos a la auditoria en base a los objetivos que persigue tendremos las siguientes variantes:

Auditora Financiera.- Se realiza con el objetivo primario de emitir una opinin

sobre los estados financieros de una organizacin; consecuentemente se dirige a la evaluacin de los aspectos de integridad y veracidad de la informacin. Esta certificacin solo es vlida cuando la emite auditores externos.

Auditoria Administrativa.- Se orienta a la evaluacin de los sistemas

administrativos, es decir la estructura de la organizacin, el proceso administrativo, la operacin y el ambiente de control establecido. El objetivo de este tipo de revisiones es el determinar: prdidas y deficiencias, mejores mtodos, formas de control, eficiencia operativa y una mejor utilizacin de los recursos fsicos y humanos.

Auditora Integral.- Como su nombre lo indica, se realiza con el fin de evaluar en

su totalidad el cumplimiento de los objetivos establecidos por una organizacin, rea o departamento. Puede abarcar aspectos a todos los tipos de auditora mencionados, as como a la auditoria de la tecnologa de informacin.

Auditoria de Calidad.- Desde hace algn tiempo las empresas han descubierto la

importancia de satisfacer las necesidades del cliente de la mejor manera. Para ello han adoptado algunos estndares como el ISO 9000, el cual seala la importancia de la estandarizacin como la base de la calidad. Una vez ms la auditoria toma un papel importante en la revisin y el seguimiento de los sistemas de calidad.

3. OBJETIVOS DE LA AUDITORA INFORMTICA


Los objetivos de la auditora informtica son:

El anlisis de la eficiencia de los Sistemas Informticos

La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.

4. BENEFICIOS DE LA AUDITORA INFORMTICA


Mejora la imagen pblica. Confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversin en un entorno de TI, a menudo impredecible.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

Desempeo Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:

Gobierno corporativo Administracin del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Proteccin y Seguridad Planes de continuidad y Recuperacin de desastres

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que
7

el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

5. TIPOS DE AUDITORA DE SISTEMAS


Dentro de la auditora informtica destacan los siguientes tipos (entre otros):

Auditora de la gestin: la contratacin de bienes y servicios, documentacin


de los programas, etc.

Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento


legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos.

Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y


anlisis de los flujogramas.

Auditora de las bases de datos: Controles de acceso, de actualizacin, de


integridad y calidad de los datos.

Auditora de la seguridad:

Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad, autenticacin y no repudio.

Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin,


evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos de autenticacin


de los sistemas de informacin.

Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de


autenticacin en los sistemas de comunicacin.

Auditora de la seguridad en produccin:


fraudes.

Frente a errores, accidentes y

6. CARACTERSTICAS DEL AUDITOR INFORMTICO


El desarrollo del trabajo del auditor de sistemas requiere de profundos conocimientos en distintas disciplinas, que de manera coordinada permitan obtener los resultados deseados. Normalmente este tipo de auditoria la desarrollan equipos multidisciplinarios que logran de sta manera mayor profundidad y calidad en las revisiones.

Algunas de las disciplinas que utiliza la auditora informtica son:

Sistemas de informacin.-

Un auditor en informtica requiere conocimientos sobre aspectos como el ciclo de vida de desarrollo de sistemas, tcnicas de anlisis, diseo y programacin, tcnicas de obtencin de informacin, empleo de herramientas Case, etc., ya que una de sus funciones principales ser, no slo determinar s otras personas desarrollan en forma adecuada las actividades que utilizan este tipo de conocimientos, sino emitir recomendaciones que permitan mejorar dichas actividades.

Procesamiento electrnico de datos.-

El auditor de sistemas debe poseer slidos conocimientos sobre sistemas operativos, administradores de bases de datos, compiladores, procesadores, tipos de memoria y equipos perifricos como son: terminales, impresoras, unidades de almacenamiento entre otras. Este conocimiento es necesario debido a que tanto la informacin (archivos de datos) como los procedimientos de trabajo (programas) residirn en equipos electrnicos y la labor de analizarlos y evaluarlos requerir conocimiento detallado al respecto.

Telecomunicaciones.- sta es

una de las reas que mayor conocimiento tcnico requiere para su evaluacin. La forma en que las empresas trabajan ha evolucionado en forma significativa, por lo que conceptos como transferencia electrnica de fondos (EFT), comercio electrnico, intercambio electrnico de datos, comunicaciones punto a punto, internet, etc., se vuelven elementos cotidianos en la vida de las organizaciones y de las personas. Un sistema de informacin generalmente hace un uso extensivo de las telecomunicaciones y por ende el conocimiento sobre esta materia se convierte en un tema primordial para el auditor de sistemas.

Teora General de Sistemas.- Esta teora resalta la importancia de la interaccin


de distintos elementos para lograr un fin comn (sistema), la interaccin de este grupo de elementos con su medio ambiente (sistemas abiertos), la necesidad de mantener un equilibrio interno entre los componentes de un sistema (entropa positiva) y el incremento de los beneficios como consecuencia de un trabajo conjunto (sinerga) entre otros componentes.

Ciencias del comportamiento humano.- Algunos estudios han demostrado que


la mayora de los fracasos en proyectos de sistemas de informacin se debe al elemento humano y no a aspectos de tecnologa o a procedimientos de trabajo. Por tanto es conveniente que el auditor de sistemas tenga un adecuado conocimiento sobre el comportamiento humano para estar en posibilidad de evaluar dicho componente.

Administracin de empresas.-

La teora de la administracin incluye muchos conceptos de importancia tales como el proceso administrativo (planear, dirigir, coordinar, supervisar y controlar); estructuras de organizacin; capacitacin, polticas, procedimientos, administracin de proyectos, etc. Resulta claro que todos estos conceptos tienen relacin con la tecnologa de informacin, por lo que el auditor de sistemas debe tener un adecuado conocimiento sobre administracin general para realizar su trabajo de la mejor manera.

10

Mtodos numricos.- En muchos casos el auditor deber basar sus conclusiones o


decisiones utilizando mtodos numricos, estadstica descriptiva, probabilidad, muestreo e investigacin de operaciones, por lo que requiere conocimientos slidos de estos conceptos para aplicarlos de la mejor manera en su trabajo.

Finanzas y contabilidad.-

Existen algunos rubros financieros y contables que estn presentes en cualquier sistema de informacin. Por ejemplo, un sistema de informacin se puede visualizar como un proyecto de inversin que debe estar respaldado por un estudio de costo beneficio. Una vez terminado el sistema, es necesario utilizar mtodos de costeo para registrar y prorratear los costos de procesamiento a cada una de las reas usuarias. Finalmente, no debemos olvidar que los sistemas de informacin apoyan la obtencin de informacin contable, la cual debe seguir ciertos principios establecidos y que deben ser del conocimiento del auditor. Finalmente conocimientos de auditora como son las tcnicas y procedimientos, fungirn como la base sobre la cual se montar el cuerpo de conocimientos descrito anteriormente para lograr los objetivos establecidos.

Auditora.-

7. PRINCIPALES PRUEBAS Y HERRAMIENTAS PARA EFECTUAR UNA AUDITORA INFORMTICA


Pruebas
En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo.

Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin.

Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado

mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

11

Herramientas
Las principales herramientas de las que dispone un auditor informtico son:

Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujogramas Listas de chequeo 'Mapas conceptuales

BIBLIOGRAFA:

http://www.geocities.ws/alpizarcbh/archivos/u4piae.pdf http://www.oocities.org/mx/alexbg_udl/AuditoriaInformatica.pdf http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

12