Conceptos de Auditoría de Sistemas

La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la
virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es
el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del
señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir
los errores, en caso de que existan, o bien mejorar la forma de actuación.
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la
revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un
objetivo específico en el ambiente computacional y los sistemas.
A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:
Auditoría de Sistemas es:
• La verificación de controles en el procesamiento de la información, desarrollo de
sistemas e instalación con el objetivo de evaluar su efectividad y presentar
recomendaciones a la Gerencia.
• La actividad dirigida a verificar y juzgar información.
• El examen y evaluación de los procesos del Area de Procesamiento automático de
Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar
a establecer el grado de eficiencia, efectividad y economía de los sistemas
computarizados en una empresa y presentar conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes y mejorarlas.
• El proceso de recolección y evaluación de evidencia para determinar si un sistema
automatizado:
Daños
Salvaguarda activos Destrucción
Uso no autorizado
Robo
Mantiene Integridad de Información Precisa,
los datos Completa
Oportuna
Confiable
Alcanza metas Contribución de la
organizacionales función informática
Consume recursos Utiliza los recursos adecuadamente
eficientemente en el procesamiento de la información
• Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia),
sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas,
funciones, procesos, procedimientos e informes relacionados con los sistemas de
información computarizados, con el fin de emitir una opinión profesional
(imparcial) con respecto a:
• Eficiencia en el uso de los recursos informáticos
 • Validez de la información
• Efectividad de los controles establecidos
Tipos de Auditoría
Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo
paralelo pero diferente y peculiar resaltando su enfoque a la función informática.
Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo
mismo que Auditoría Financiera.
Entre los principales enfoques de Auditoría tenemos los siguientes:
Financiera Veracidad de estados financieros
Preparación de informes de acuerdo a principios contables
Evalúa la eficiencia,
Operacional Eficacia
Economía
de los métodos y procedimientos que rigen un proceso de una empresa
Sistemas Se preocupa de la función informática
Fiscal Se dedica a observar el cumplimiento de
las leyes fiscales
Administrativa Analiza:
Logros de los objetivos de la Administración
Desempeño de funciones administrativas
Evalúa:
Calidad Métodos
Mediciones
Controles
de los bienes y servicios
Revisa la contribución a la sociedad
Social así como la participación en actividades
socialmente orientadas
Objetivos Generales de una Auditoría de Sistemas
• Buscar una mejor relación costo-beneficio de los sistemas automáticos o
computarizados diseñados e implantados por el PAD
• Incrementar la satisfacción de los usuarios de los sistemas computarizados
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
• Seguridad de personal, datos, hardware, software e instalaciones
 • Apoyo de función informática a las metas y objetivos de la organización
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informático
• Minimizar existencias de riesgos en el uso de Tecnología de información
• Decisiones de inversión y gastos innecesarios
• Capacitación y educación sobre controles en los Sistemas de Información
Justificativos para efectuar una Auditoría de Sistemas
• Aumento considerable e injustificado del presupuesto del PAD (Departamento de
Procesamiento de Datos)
• Desconocimiento en el nivel directivo de la situación informática de la empresa
• Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del
personal, equipos e información.
• Descubrimiento de fraudes efectuados con el computador
• Falta de una planificación informática
• Organización que no funciona correctamente, falta de políticas, objetivos, normas,
metodología, asignación de tareas y adecuada administración del Recurso Humano
• Descontento general de los usuarios por incumplimiento de plazos y mala calidad de
los resultados
• Falta de documentación o documentación incompleta de sistemas que revela la
dificultad de efectuar el mantenimiento de los sistemas en producción
Auditoria de
Sistemas

Escrito por Administrator

lunes, 22 de enero de 2007

En el mercado existen muchas empresas con sistemas o

aplicaciones de poca calidad, que en muchos casos
presentan fallas o errores que el usuario difícilmente podrá
detectar dada la complejidad del problema; es por ello que
EINPHOS le ofrece a sus clientes la posibilidad de evaluar
o auditar los sistemas disponibles con la finalidad de
ofrecerles la mejor solución a sus problemas, en caso que
existieran.
La Auditoria de Sistemas informáticos tiene como objetivo
evaluar la eficiencia y eficacia con la que se está operando
en un momento determinado, con la finalidad de que se puedan tomar decisiones que permitan
corregir los errores de la manera más rentable posible para el cliente.
Algunos de los beneficios que podrá obtener el cliente al realizar una auditoria de sistemas son los
siguientes:

• Alcanzar mayor seguridad, confianza y privacidad en las soluciones informáticas.

• Obtener una mayor integridad, confidencialidad y confiabilidad de la información.
• Minimizar los riesgos en el uso de Tecnología de Información
• Incrementar la satisfacción de los usuarios en los sistemas informáticos.
• Conseguir una mejor relación costo-beneficio de los sistemas.
• Evitar inversiones y gastos innecesarios.
Igualmente, les ofrecemos a nuestros clientes la posibilidad de realizar auditorias de inventario en
red para conocer, al instante, el inventario de sus equipos informáticos y las licencias de software
instaladas, así como también ciertas configuraciones de los equipos simplificando enormemente
esta gestión, evitando afectar la productividad de la empresa y garantizando mayor seguridad en la
red.

Integración de
Aplicaciones

Escrito por Administrator

lunes, 22 de enero de 2007
En la actualidad, una parte importante de los
departamentos de las empresas cuentan con sistemas
informáticos para la realización de su trabajo. En tal
sentido, la mayoría de las aplicaciones evolucionan con el
tiempo pero lo hacen de forma independiente, sin las
relaciones adecuadas para abarcar todo el proceso
productivo.
Para mejorar la competitividad de una empresa es
necesario realizar la integración de los sistemas o
aplicaciones internas de cada compañía con los nuevos
sistemas, e incluso con los sistemas externos a la misma
(proveedores, clientes, etc.). Para ello, es preciso superar
los cotidianos problemas de incompatibilidad existente entre los sistema de TI.
Con la integración estas aplicaciones serán capaces de reutilizar los datos y la funcionalidad de las
demás, permitiendo el acceso a información y documentación de la empresa en tiempo real sin
ningún coste temporal ni espacial, compartiendo los datos de distintas aplicaciones.
Es por ello, que nosotros nos hemos preocupado por atender esta necesidad que le permitirá a las
empresas aumentar la productividad, sincronizar la información y mejorar la organización.
1. Sistemas Informáticos y su Evaluación
1.1 Introducción: necesidad de la evaluación de un sistema informático
Durante el ciclo de vida de un sistema informático, resulta muchas veces necesario evaluar sus prestaciones, habitualmente con el
objetivo de mejorarlas o bien de comparar diversos sistemas informáticos entre sí. Esa evaluación de prestaciones se debe hacer de
forma objetiva, para que puedan compararse diversos valores a lo largo del tiempo o bien los valores para diversos sistemas informáticos.
Tales mediciones pueden servir también para identificar los problemas que tiene un sistema informático, con el objetivo de solucionarlos.
En concreto, se necesitará evaluar objetivamente las prestaciones de un sistema informático a lo largo de las siguientes fases de
su ciclo de vida:
Diseño de un ordenador o de un sistema informático , durante el cual es necesario saber, a priori, cuales van a ser las prestaciones
del mismo.
Adquisición de un sistema, durante la cual será necesario evaluar cuál es la configuración necesaria, y elegir entre varias posibles.
Explotación y ampliación de un sistema, durante la cual hay que examinar cuales son los problemas que se presentan, y
solucionarlos sobre la marcha, o cuáles de los componentes del sistema es necesario cambiar para maximizar el aumento de
prestaciones. A veces es necesario conocer las prestaciones o la utilización de un ordenador por la política de su uso: por ejemplo,
para cobrar por su uso, por usuarios o departamentos, o para garantizar que se cumplen reglas como que no se pueden usar
programas interactivos por más de un tiempo determinado.
Los objetivos de una evaluación suelen ser alguno de los siguiente
Comparar alternativas
Determinar el impacto de una nueva característica, por ejemplo, añadir un disco duro nuevo
Sintonizar el sistema, es decir, hacer que funcione mejor según algún punto de vista (nunca se puede hacer que vaya mejor según
todos los puntos de vista).
Identificar prestaciones relativas entre diferentes sistemas.
Depuración de prestaciones, es decir, identificar los fallos del sistema que hacen que vaya más lento
Poner unas expectativas sobre el uso del sistema, por ejemplo, cuántas conexiones es capaz de soportar una bases de datos
simultáneamente, o cuántas peticiones un sitio web

Evaluación en informática
Enviado por gboloix
Indice
1. Introducción
2. La Plataforma de Evaluación de la Calidad de los Sistemas
3. Resultados
4. Referencias
1. Introducción
El área de informática tiene particularidades que la hacen distinta a otras disciplinas.
Además de los aspectos tecnológicos, que la hacen particularmente dinámica, existen los
aspectos relacionados con la realización de proyectos de desarrollo y mejoramiento, las
características intrínsecas de la estructura del "software" y su desempeño, así como la
utilidad que proporcionan los sistemas informáticos a las organizaciones y a la comunidad.
La abundancia de información generada durante las actividades productivas y evaluativas
durante el desarrollo, la instalación y la operación requiere de mecanismos de selección y
simplificación que la hagan manejable y de utilidad a los productores y promotores de los
sistemas. Una plataforma de evaluación puede considerarse como un mecanismo de ayuda,
por cuanto organiza los diversos tipos de información de una manera estructurada.
Una plataforma de evaluación de la calidad de los sistemas informáticos proporciona un
esquema orientador a los productores,
operadores, utilizadores, promotores y evaluadores de sistemas informáticos, para mejorar
la toma de decisiones. La plataforma propuesta consiste de tres dimensiones: proyecto,
sistema y utilidad. Los detalles de la plataforma se presentan más adelante.
El objetivo del trabajo de investigación ha sido el de analizar los procesos de evaluación en
informática y proponer mecanismos que permitan mejorar la toma de decisiones durante
todo el ciclo de vida de los sistemas. Desde las primeras etapas de factibilidad de los
sistemas, pasando por la concepción y producción, hasta la operación en las organizaciones,
que brindan servicios a la comunidad, se requieren actividades de evaluación para la toma
de decisiones. Una plataforma para la evaluación de la calidad de los sistemas permite
organizar la información recabada durante el ciclo de vida de los sistemas. La plataforma
esta organizada jerárquicamente para facilitar la determinación del nivel de profundidad
requerido para la evaluación de cada uno de los factores considerados como importantes.
La metodología utilizada ha requerido del estudio de enfoques existentes en el área de
calidad y evaluación de sistemas. El contacto directo con la industria ha servido para
establecer la aplicabilidad del estudio. Una vez analizados los distintos enfoques existentes,
y recabados algunos datos con la industria, se ha propuesto una plataforma de evaluación
que permite orientar el proceso de evaluación. El uso de métricas, aplicables en las distintas
dimensiones del proyecto, sistema y utilidad constituye un área que requiere trabajo de
investigación adicional.

2. La Plataforma de Evaluación de la Calidad de los Sistemas

Identifica las dimensiones, factores y sub-factores de la jerarquía. Los puntos de vista
representados en la plataforma se refieren al proyecto (i.e., proyecto de desarrollo, proyecto
de mejoras), el sistema (i.e., características intrínsecas del producto, operación y
mantenimiento de los sistemas) y la utilidad (i.e., la contribución del sistema).
La Figura 1 presenta un diagrama con la plataforma de evaluación de la calidad, que se
descompone en dimensiones (proyecto, sistema, utilidad), cada una de las dimensiones se
descompone en factores y éstos a su vez se descomponen en sub-factores; los sub-factores
podrían eventualmente seguirse descomponiendo, dependiendo del grado de profundidad
que se requiera en una determinada evaluación. Un proyecto sigue un proceso, envuelve
algunos agentes y usa ciertas herramientas. El sistema está compuesto de productos, se
comporta a un determinado nivel de desempeño y se implanta en una tecnología
determinada. La utilidad establece la correspondencia de los resultados con las necesidades
predefinidas para el sistema, evalúa la utilizabilidad del sistema desde la perspectiva del
usuario y aporta una contribución o beneficio para la organización y la comunidad al operar
el sistema.
Cada factor (proceso, agente, y herramientas de la dimensión proyecto) se sub-divide en
sub-factores (gerencia del proyecto, proceso adecuado, y control de calidad). A cada sub-
factor se le asignan categorías, e.g., muy bajo, bajo, medio, alto y excelente, que son útiles
para clasificar la información sobre los sistemas desde una perspectiva de madurez.
Proyecto La dimensión proyecto trata de caracterizar los aspectos de eficiencia del proyecto
(i.e., habilidad para desarrollar un sistema utilizando óptimamente el tiempo, los recursos,
etc.) desde el punto de vista de los productores y gerentes.
Proceso. El proceso evalúa el grado de eficiencia y continuidad del proceso desde el punto
de vista de los productores, básicamente la gerencia del proceso.
 • Consideraciones de gerencia del proyecto (en ciernes, limitado, aceptable, bajo
control, optimo): este sub-factor evalúa las prácticas gerenciales para el proyecto
considerando la planificación, la estimación y el control de las actividades.
• Proceso adecuado en su definición y medida (indefinido, rudimentario, germinando,
consolidado, completamente definido): este sub-factor evalúa la definición del
proceso, la documentación del proceso y su forma de medición con propósito de
control.
• Prácticas de control de calidad (informal, en gestación, aceptable, en progreso,
excelente): este sub-factor evalúa las características de las actividades de control de
calidad en el proyecto (e.g., revisiones, pruebas, prevención de errores, análisis de
los problemas).
Agentes. El factor agentes evalúa la capacidad del grupo de trabajo participando en el
proyecto, considerando aspectos gerenciales como técnicos, desde el punto de vista de
productores y gerentes.
• Balance de experiencias y capacidades adecuadas del personal (sin preparación,
limitado, aceptable, demostrados, consolidados): este sub-factor evalúa la
experiencia del grupo y las habilidades para realizar sus responsabilidades.
• Coordinación y cooperación dentro del grupo (pobre, baja, media, alta, excelente):
este sub-factor evalúa el liderazgo, la conformación del grupo, y la cooperación en
el proyecto.
• Sentido de logros y reconocimiento (sin reconocimiento, limitado, aceptable,
progresando, excelente): este sub-factor evalúa el grado de motivación del personal
que participa en el proyecto.
Herramientas. El factor herramientas evalúa el grado de dominio de las técnicas y
herramientas utilizadas en el proyecto, considerando lo adecuado para el proyecto, la
experiencia, el entrenamiento y el soporte para las actividades técnicas, desde el punto de
vista de los productores.
• Dominio de las técnicas y herramientas (incapacitados, limitado, aceptable, franco
progreso, excelente): este sub-factor evalúa la experiencia y productividad al usar
las técnicas y herramientas para producir "software".
• Técnicas y herramientas adecuadas (aun no comprobadas, bajo estudio, aceptables,
demostradas, consolidadas): este sub-factor evalúa las herramientas y técnicas tanto
gerenciales como técnicas (en proceso de selección, en proceso de introducción en
la organización, controladas), y los resultados de comparaciones con otras técnicas
y herramientas.
• Soporte y entrenamiento con las técnicas y herramientas (inexistente, limitado, a
petición, predefinido, excelente): este sub-factor evalúa lo adecuado del soporte,
entrenamiento y documentación de las técnicas y herramientas.
Sistema La dimensión sistema busca evaluar los atributos intrínsecos del sistema y el tipo
de tecnología con que se implanta el sistema, desde el punto de vista de operadores,
administradores del sistema y gerentes.
Producto. El factor producto evalúa los atributos intrínsecos del sistema, con respecto a la
estructura del sistema, su facilidad de comprensión, desde el punto de vista de operadores y
administradores de sistema.
 • Comprensión del producto y su documentación (inexistente, baja, media, alta,
excelente): este sub-factor evalúa varios aspectos relativos al producto tales como
que sea completo, conciso, consistente, así como mantenible y que pueda ser
probado ("tests").
• Consideraciones de calidad del "software" (pobre, aleatoria, adecuada, bajo control,
optima): este sub-factor evalúa tamaño y complejidad del "software", tomando en
consideración su estructura y modularidad.
• Controles internos (inexistentes, limitados, adecuados, sólidos, excelentes): este
sub-factor evalúa lo adecuados y completos que son los controles en el sistema para
asegurar la exactitud de los datos, consideraciones de seguridad para prevenir
acceso no autorizado al sistema y aspectos sobre recuperación en caso de desastres.
Desempeño. El factor desempeño evalúa las características dinámicas del "software", tales
como fiabilidad y eficiencia, desde el punto de vista de operadores y administradores de
sistema.
• Eficiencia en el consumo de recursos (ineficiente, limitada, aceptable, sólida,
excelente): este sub-factor evalúa el consumo de tiempo y espacio de memoria en el
sistema.
• Operación adecuada y su eficacia (descontrolada, limitada, aceptable, bajo control,
excelente): este sub-factor evalúa la operación del sistema, la posibilidad de
controlar y contabilizar sus resultados y la interoperabilidad del sistema en el
ambiente operativo.
• Consideraciones sobre fallas en el sistema (una falla se convierte en desastre, gran
cantidad de recursos para recuperarse, se recupera sin graves penalidades, fácil de
recuperar, recuperación automática): este sub-factor evalúa la confiabilidad y
posibilidad de recuperación del sistema.
Tecnología. El factor tecnología evalúa el nivel de dominio y lo adecuado de la tecnología
con que se implanta el sistema, desde el punto de vista de operadores y administradores del
sistema.
• Dominio de la tecnología (inexistente, limitado, aceptable, extenso, completo): este
sub-factor evalúa la experiencia de los operadores y de aquellos al cargo del
mantenimiento en cuanto a la tecnología con que se implanta el sistema (e.g.,
sistemas operativos, lenguajes de programación, manejadores de bases de datos).
• Adecuada tecnología (no comprobada, baja, media, alta, resultados demostrables):
este sub-factor evalúa la gerencia de la tecnología (selección, introducción, control),
así como los resultados de comparaciones con otras tecnologías alternativas.
• Soporte y entrenamiento para operar y mantener con la tecnología (inexistente,
limitado, a petición, optima, excelente): este sub-factor evalúa lo adecuado del
soporte, entrenamiento y documentación de la tecnología.
Utilidad La dimensión utilidad busca evaluar el nivel de satisfacción con el sistema, así
como la contribución percibida del sistema para la organización, desde el punto de vista de
usuarios e involucrados en general.
Conformidad. El factor conformidad evalúa la correspondencia del sistema con las
necesidades establecidas, desde el punto de vista de los usuarios.
 • Conforme a las necesidades funcionales y lo adecuado de la información producida
(no se establecen necesidades, limitado, aceptable, conforme a necesidades, supera
las necesidades): este sub-factor evalúa que tan correcta y adecuada es la
información suministrada por el sistema.
• Conforme a necesidades no-funcionales, validez de la información y su producción
a tiempo (no se considera, limitado, aceptable, conforme a las necesidades, supera
las necesidades): este sub-factor evalúa la exactitud, su entrega a tiempo o rapidez,
lo actualizado y la seguridad de la información conservada y suministrada por el
sistema.
• Satisfacción de los usuarios y sus actitudes respecto al sistema (insatisfechos, pobre,
aceptable, demostrable, excelente): este sub-factor evalúa las expectativas del
usuario y sus resultados al usar el sistema.
Utilizabilidad. El factor utilizabilidad evalúa la facilidad de aprendizaje y uso del sistema,
desde el punto de vista de los usuarios.
• Sistema discernible (inconsistente, poco amigable, aceptable, fácil manejo,
excelente manejo): éste sub-factor evalúa las características de la interacción entre
los seres humanos y el sistema, tales como la interfaz, el asesoramiento
suministrado por el sistema para orientar las labores del usuario, y la facilidad de
recordar aspectos ya suministrados al sistema.
• Eficiencia de uso (ineficiente, presenta redundancia, aceptable, previene los errores
y señala su seriedad, excelente): éste sub-factor evalúa el esfuerzo requerido para
utilizar el sistema.
• Aprendizaje del sistema (muy compleja, requiere mucho tiempo de aprendizaje,
aceptable, aprendizaje rápido, aprendizaje optimo): éste sub-factor evalúa el
esfuerzo requerido para aprender la aplicación.
Contribución. El factor contribución evalúa los beneficios suministrados por el sistema a la
organización y a la comunidad, desde el punto de vista de los usuarios, promotores y todos
los afectados por el sistema.
• Impacto a los usuarios y su trabajo (sin impacto, pobre, aceptable, gran impacto,
excelente): este sub-factor evalúa el incremento de productividad al usar el sistema.
• Costo-beneficio con respecto a lo planificado (no se planifica, limitado, aceptable,
demostrable, excelente): este sub-factor evalúa los parámetros económicos para
definir el incremento del valor adicional del negocio y la recuperación de la
inversión.
• Encaje del sistema en la organización y su impacto (no contribuye, limitado,
aceptable, gran impacto, excelente): este sub-factor evalúa las ventajas competitivas
al usar el sistema y el éxito logrado hacia el alcance de las metas estratégicas del
negocio.

3. Resultados
En este trabajo se ha propuesto una plataforma de evaluación de la calidad de los sistemas.
La Plataforma de Evaluación de la Calidad de los Sistemas ha sido utilizada en ambientes
institucionales, comerciales y docentes. A nivel de industria se ha utilizado para recabar
datos sobre sistemas existentes; un sistema existente, el cual no ha sido planificado por
objetivos o que éstos no se han documentado, requiere de una evaluación tipo post-mortem
basada en estándares de la industria; aquellos sistemas donde se han establecido los
criterios de evaluación desde el comienzo del proyecto, pueden controlarse durante toda su
ejecución y evaluarse una vez concluidos. A nivel académico se ha utilizado la plataforma
para determinar las características de los sistemas a desarrollar desde las primeras etapas de
concepción y así poder plantear un seguimiento durante el desarrollo.
La experiencia demuestra que debido a la estructura jerárquica de la plataforma de
evaluación es posible adaptarse a diversos estilos o ambientes para la evaluación. Los
niveles jerárquicos de la plataforma permiten profundizar hasta el nivel requerido en una
evaluación particular; en algunos casos pueden ampliarse los niveles jerárquicos para
investigar áreas que por su envergadura requieren de evaluación adicional. En otros casos
sólo algunas de las dimensiones o factores son aplicables; es distinto aplicar la plataforma
desde las primeras etapas del ciclo de vida de un sistema que aplicarla cuando un sistema
ya ha sido completado; es distinto evaluar un "paquete de software" que evaluar un sistema
construido internamente por la misma organización que lo utilizará. El caso de
desarrolladores de paquetes también requiere de consideraciones particulares, pues ellos
deben generalizar sus aplicaciones para ambientes diversos.
La aplicación continua de la plataforma en la industria permitirá mejorar las escalas de
medida propuestas para cada sub-factor. Estas escalas se utilizarán tanto en los desarrollos
de nuevos sistemas, la mejora a sistemas existentes y los sistemas completados. Se requiere
de trabajo adicional en la determinación de métricas cualitativas y cuantitativas para ser
objetivos al evaluar.

Auditoria de Sistemas
Enviado por wilmer_rolando_zurita_lara
Indice
1. Auditoría
2. La función de la auditoría en la organización
3. Tipos y clases de auditoría
4. Sistemas De Información
5. Tendencias que afectan a os sistemas de información
6. Base Conceptual
7. Proceso De Implementación
1. Auditoría
Papel Del Auditor Informático.-
Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los
procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de
problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para
estos problemas.
Además que auditor Informático debe estar capacitado en los siguientes aspectos:
A. Deberá ver cuando se puede conseguir la máxima eficacia y rentabilidad de los
medios informáticos de la empresa auditada, estando obligado a presentar
recomendaciones acerca del reforzamiento del sistema y del estudio de las
soluciones mas idóneas, según los problemas detectados en el sistema informático,
siempre y cuando las soluciones que se adopten no violen la ley ni los principios
éticos. (Ej. Por que está mal el reporte)
B. Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los
requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de
que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad,
su fiabilidad, limitaciones, posibles mejoras, costos.
C. El auditor deberá lógicamente abstenerse de recomendar actuaciones
innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el
auditado e igualmente de proponer modificaciones carentes de bases científicas
insuficientemente probadas o de imprevisible futuro.
D. El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.)
pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado
grado de autonomía, dado la dificultad práctica de los mismos, de constatar su
capacidad profesional y en desequilibrio de desconocimientos técnicos existente
entre al auditor y los auditados (Puede pesar gravemente).
E. El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y
a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos
medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su
labor. En los casos en que precariedad de los medios puestos a su disposición,
impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar
hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la
calidad de sus servicios o dictámenes.
F. Cuando durante la ejecución de la auditoria, el auditor considere conveniente
recabar informe de otros mas calificados, sobre un aspecto o incidencia que
superase su capacidad profesional para analizarlo en idóneas condiciones deberá
remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar
la calidad y viabilidad global de la auditoria.
G. El auditor debe actuar con cierto grado de humildad evitando dar la impresión de
estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de
actuar en de previsiones rectas y un porcentaje de riesgo debidamente
fundamentado. (Si conocemos alguna tecnología de primer orden debemos tener un
cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos
esto...].
H. El auditor tanto en sus relaciones con el auditado como con terceras personas deberá
en todo momento, deberá actuar conforme a las normas implícitas o explícitas de
dignidad de la profesión y de corrección en el trato personal. (Que en todo
momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores
tienen la responsabilidad)
 I. El auditor deberá facilitar e incrementar la confianza de auditado en base a una
actuación de transparencia, en su actividad profesional sin alardes científico-
técnico, que, por su incomprensión, pueden restar credibilidad a los resultados
obtenidos y a las directrices aconsejadas.

2. La función de la auditoría en la organización

Concepto De Auditar
Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un
sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades
se desarrollan eficientemente de acuerdo con las normas informáticas y gener5ales
existentes en cada empresa y para conseguir la eficacia exigida en el marco de la
organización correspondiente.
Al igual que los demás órganos de la empresa los sistemas informáticos están sometidos a
un control. La importancia de llevar un control, se puede deducir de varios aspectos, así
tenemos:
Las computadoras y los centros de procesos de datos se pueden convertir en blancos
apetecibles no solo para el espionaje no para la delincuencia y el terrorismo.
Las computadoras creadas para procesar y difundir resultados pueden en cierto momento
generar resultados o información errónea (Virus, tc). (La máquina suele arrojar resultados
erróneos cuando es alimentada con datos erróneos).
Un sistema informático mal diseñado puede convertirse en una herramienta peligrosa para
la persona, puesto que las máquinas obedecen las órdenes recibidas y la modelización de la
empresa está determinada por las computadoras que materializan los sistemas de
información, por lo tanto la gestión y la organización de la empresa no pueden depender de
un SOFTWARE o un HARDWARE mal diseñado.
Auditoría Interna Y Auditoría Externa
La auditoria es realizada en recursos materiales y personas que perteneces a la empresa
auditada.
Auditoría Interna
Existe por expresa decisión de la empresa, es decir que también se puede optar por su
disolución en cualquier momento.
Auditoría Externa
Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la
auditoria interna debido Al mayor distanciamiento entre auditor y auditado.
La auditoria informática tanto interna como externa debe ser una actividad exenta de
cualquier contenido o matiz político ajena a la propia estrategia y política general de la
empresa.
Areas De La Planificación De La Auditoría
Las empresas acuden a las auditorias cuando existen algunos síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en algunas clases:
Síntomas De Descoordinación Y Desorganización
♦ ♦ No coinciden los objetivos de la informática de la compañía
♦ ♦ Los estándares de productividad se desvían sencillamente de los promedios habituales.
Síntomas De Mala Imagen O Insatisfacción De Los Usuarios
♦ ♦ No se atienden a las peticiones de cambio de los usuarios
♦ ♦ No se reparan las averías de HARDWARE ni se resuelven problemas en plazos
razonables
♦ ♦ No se cumplen los plazos de entregas de resultados
Síntomas De Debilidades Económico – Financiero
♦ ♦ Incremento desmesurado de costos
♦ ♦ Necesidad de justificación de inversiones informáticas
♦ ♦ Desviaciones presupuestarias significativas
♦ ♦ Costos y plazos nuevos para proyectos
Síntomas De Inseguridad (Evaluación Del Nivel De Riesgo)
♦ ♦ Seguridad lógica
♦ ♦ Seguridad física
♦ ♦ Confidencialidad.- Los datos son de propiedad de la organización que nos genera, los
datos de personal son especialmente confidenciales.
♦ ♦ Continuidad del servicio. (Establecer las estrategias de continuidad para fallos mediante
planes de configuración).
Ubicación Y Organización De La Auditoría
La ubicación de los procesos auditores dentro de un área de sistemas depende del tipo de
auditoria que se desee implementar, Así tenemos que en muchas ocasiones la auditoria
depende exclusivamente de la parte directriz o gerencial y en otras ocasiones de acuerdo a
las necesidades de la empresa. La auditoria informática nace de los niveles medios bajos de
la empresa . (A nivel de organización la ubicación es medio bajo, medios bajos son los
Usuarios, con una serie de quejas obligan a hacer auditoria)
3. Tipos y clases de auditoría
Auditoria Informática De Explotación
La explotación informática se ocupa de producir resultados, tales como listados, archivos
soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc. Para
realizar la explotación informática se dispone de datos, las cuales sufren una
transformación y se someten a controles de integridad y calidad.
(Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no
sirvan; estos dos juntos realizan una información buena)
Auditoria Informática De Desarrollo De Proyectos O Aplicaciones
La función de desarrollo es una evaluación del llamado Análisis de programación y
sistemas. Así por ejemplo una aplicación podría tener las siguientes fases
♦ Prerrequisitos del usuario y del entorno
♦ Análisis funcional
♦ Diseño
♦ Análisis orgánico (preprogramación y programación)
♦ Pruebas
♦ Explotación

Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario,
pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc.
Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de
garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los
previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el
administrador Ejm. La contabilidad debe estar cuadrada)
Auditoria Informática De Sistemas
Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus
factores. La importancia creciente de las telecomunicaciones o propicia de que las
comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado,
aunque formen parte del entorno general del sistema (Ejm. De auditar el cableado
estructurado, ancho de banda de una red LAN)
Auditoria Informática De Comunicación Y Redes
Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas
contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología
de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas
líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de
inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes
de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como
son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala
confirmarlo).
Auditoria De La Seguridad Informática
Se debe tener presente la cantidad de información almacenada en el computador, la cual en
muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las
instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los
robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad
se debe también cuidar la información de los virus informáticos, los cuales permanecen
ocultos y dañan sistemáticamente los datos.