SENCICO ZONAL PIURA

AUDITORÍA INFORMÁTICA
La auditoria informática es un proceso llevado a cabo por profesionales especialmente capacitados
para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema
de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes
y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los
flujos de información dentro de una organización y determinar qué información es crítica para el
cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de información eficientes.
La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos,
lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en
una empresa u organización, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la
consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de
detección, correctivos o de recuperación ante una contingencia.

Los objetivos de la auditoria Informática

• El control de la función informática.
• El análisis de la eficiencia de los Sistemas Informáticos.
• La verificación del cumplimiento de la Normativa en este ámbito.
• La revisión de la eficaz gestión de los recursos informáticos.
La auditoria informática sirve para mejorar ciertas características en la empresa como:
• Desempeño
• Fiabilidad
• Eficacia
• Rentabilidad
• Seguridad
• Privacidad

Tipos de Auditoria Informática

Dentro de la auditoria informática destacan los siguientes tipos (entre otros):
• Auditoria de la gestión: La contratación de bienes y servicios, documentación de los
programas, etc.

Asignatura: Auditoría Informática

 SENCICO ZONAL PIURA

• Auditoria legal del Reglamento de Protección de Datos: Cumplimiento legal de las

medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.
• Auditoria de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de
los flujogramas.
• Auditoria de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
• Auditoria de la seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
• Auditoria de la seguridad física: Referido a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También
está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc) y
protecciones del entorno.
• Auditoria de la seguridad lógica: Comprende los métodos de autenticación de los sistemas
de información.
• Auditoria de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación
en los sistemas de comunicación.
• Auditoria de la seguridad en producción: Frente a errores, accidentes y fraudes.

Principales pruebas y herramientas para efectuar una auditoria informática

En la realización de una auditoria informática el auditor puede realizar las siguientes pruebas:
• Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen
obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen
analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez
de la información.
• Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el
análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son
aplicables efectiva y uniformemente.

Características de la auditoria informática

La información de la empresa y para la empresa, siempre importante, se ha convertido en un activo
real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse
inversiones informáticas, materia de la que se ocupa la auditoria de Inversión informática.
Del mismo modo, los sistemas informáticos han de protegerse de modo global y particular: a ello se
debe la existencia de la auditoria de seguridad informática en general, o a la auditoria de seguridad
de alguna de sus áreas, como pudieran ser desarrollo o técnicas de sistemas.
Cuando se producen cambios estructurales en la informática, se reorganiza de alguna forma su
función: se está en el campo de la auditoria de organización informática.

Asignatura: Auditoría Informática

 SENCICO ZONAL PIURA

Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria
parcial. De otra manera: cuando se realiza una auditoria del área de desarrollo de proyectos de la
informática de una empresa, es porque en ese desarrollo existen, además de ineficiencias,
debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Teniendo en cuenta lo anterior y partiendo de las diferentes actividades de sistemas que cada
empresa tiene dentro de su organización dentro de las áreas generales, se establecen las siguientes
divisiones de auditoria informática de Explotación, de sistemas, de comunicaciones y de desarrollo
de proyectos. Estas son las áreas específicas de la auditoria informática más importantes. Cada área
específica puede ser auditada desde los siguientes criterios generales, que pueden modificarse según
sea el tipo de empresa a auditar:
• Desde su propio funcionamiento interno.
• Desde el apoyo que recibe de la dirección y, en sentido ascendente, del grado de
cumplimiento de las directrices de ésta.
• Desde la perspectiva de los usuarios, destinatarios reales de la informática.
• Desde el punto de vista de la seguridad que ofrece la informática en general o la rama
auditada.

¿Para qué sirve una auditoría informática?

Lo primero que debemos tener claro es que la auditoría informática va a ayudar a la empresa a
comprobar la eficiencia del sistema que tiene establecido. Gracias a esta análisis sabremos si
funciona de forma correcta, utilizando los recursos adecuados, veremos si ha surgido algún
problema en su interior o las barreras que podemos tener presentes. Todo ello convierte la auditoría
informática es una herramienta clave para que nuestro sistema siempre esté en marcha de forma
correcta.
Además de los aspectos técnicos estas auditorías también se realizan para conocer si el sistema
informático en cuestión cumple con toda la normativa y las leyes que rigen este sector. Desde la
protección de datos hasta incluso aspectos medioambientales, la auditoría va a recabar toda esa
información y con ella podremos verificar si nuestro sistema cumple con todos los requisitos
legales. Así mismo, es una herramienta perfecta para poder revisar la eficiencia de los recursos que
utilizamos. No solo hablamos de elementos materiales, sino que aquí también se pueden incluir
todas aquellas personas que forman parte de este sistema informático y hacen uso de él de
manera diaria.

Pasos para realizar una auditoría informática

Es importante que conozcamos los pasos previos que debemos seguir para realizar una auditoría
aunque sea un experto quien la realice:

Asignatura: Auditoría Informática

 SENCICO ZONAL PIURA

1. Análisis para poder establecer cuáles son los objetivos que tiene la empresa, hacia dónde
quiere llegar y así tener capacidad de conocer más adelante la eficacia que presenta su
sistema informático atendiendo a dichos objetivos.
2. Un inventario con todos los puntos elaborados. Este inventario va a ser el protagonista en el
siguiente paso, ya que nos servirá para llevar a cabo una planificación en la cual debemos
fijarnos en cómo vamos a estudiar cada uno de esos puntos para que siempre ofrezcan el
mejor rendimiento posible.
3. Delimitar cuáles son las incidencias que nos hemos encontrado a lo largo de todo el
análisis y los riesgos a los que nuestro sistema informático está expuesto para no realizar su
trabajo de forma correcta.
4. Por último, poner en marcha todas las técnicas y métodos necesarios para resolver los
problemas que hayan ido apareciendo durante el análisis del sistema informático y así poder
dar una solución prácticamente inmediata.

Importancia de la Auditoría Informática

La función de auditoría informática ha pasado de ser una función meramente de ayuda al auditor
financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro, más acorde
con la importancia que para las organizaciones tienen los sistemas informáticos y de información
que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor del ente
empresarial, en el que va a ser analista, auditor y asesor en:
• Seguridad
• Control interno operativo
• Eficiencia y eficacia
• Tecnología informática
• Continuidad de operaciones
• Gestión de riesgos
No solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones
e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
La función de auditoría en informática en un nivel organizacional que le asegure la independencia
y soporte requerido de la alta dirección, a fin de contar con una entidad confiable y eficiente.

Revisión de Controles de la Gestión Informática:

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoría es la
verificación de la observancia de las normas teóricamente existentes en el departamento de
Informática y su coherencia con las del resto de la empresa. Para ello, habrán de revisarse
sucesivamente y en este orden:

Asignatura: Auditoría Informática

 SENCICO ZONAL PIURA

1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin
estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que
carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no
está en contradicción con alguna Norma General no informática de la empresa.
2. Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los
sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar
firmada por los responsables de Explotación. Tampoco el alta de una nueva Aplicación
podría producirse si no existieran los Procedimientos de Backup y Recuperación
correspondientes.
3. Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las
áreas fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido
a Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los
Procedimientos Específicos no se opongan a los Procedimientos Generales. En todos los
casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la
Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática
debe estar sometida.

NOTA:
DE MANERA FÍSICA, ELABORE UN MAPA CONCEPTUAL Y PRESENTARLO

Asignatura: Auditoría Informática