Auditoria de Sistemas –IS-547

Ingeniería de Sistemas

SEM
AUDITORIA DE SISTEMAS 2y3

DEFINICIÓN DE AUDITORIA

La auditoría puede definirse como el examen comprensivo y constructivo de la estructura organizativa de

una empresa de una institución o departamento gubernamental; o de cualquier otra entidad y de sus
métodos de control, medios de operación y empleo que dé a sus recursos humanos y materiales.

Auditoría de Sistemas:

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen
establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la
información que se procesa a través de los sistemas de información. La auditoría de sistemas es una
rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas
de información.

Objetivo General de la Auditoria de Sistemas

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o
lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor
eficiencia operacional y administrativa.

El objetivo final de una auditoría de sistemas bien implementada, es desarrollar software capaz de estar
ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

Objetivos específicos de la auditoria de sistemas:

1. Participación en el desarrollo de nuevos sistemas:

• evaluación de controles
• cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
• respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
• resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
• fraudes
• control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
• utilitarios.
• control sobre la utilización de los sistemas operativos

EGM Página 1 de 5
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

• programas utilitarios.
8. Auditoría de la base de datos.
• estructura sobre la cual se desarrollan las aplicaciones...
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.

Auditoria de Sistemas de Información

La naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias

para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales
para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y
evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de
procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las
interfaces correspondientes.

FINES DE LA AUDITORIA DE SISTEMAS:

1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de
información.

2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.

Similitudes y diferencias con la auditoría tradicional:

Similitudes:

• No se requieren nuevas normas de auditoría, son las mismas.

• Los elementos básicos de un buen sistema de control contable interno siguen siendo los
mismos; por ejemplo, la adecuada segregación de funciones.
• Los propósitos principales del estudio y la evaluación del control contable interno son la
obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión
de las pruebas futuras de auditoría.

Diferencias:

• Se establecen algunos nuevos procedimientos de auditoría.

• Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.
• Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una
diferencia significativa es que en algunos procesos se usan programas.
• El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones,
mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.

EGM Página 2 de 5
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA

AUDITORIA Y SUS PROCEDIMIENTOS.

• Complejidad de los sistemas.

• Uso de lenguajes.
• Metodologías, son parte de las personas y su experiencia.
• Centralización.
• Departamento de sistemas que coordina y centraliza todas las operaciones, las relaciones de
los usuarios son altamente dependientes del área de sistemas.
• Controles del computador.

Controles manuales, hoy automatizados (procedimientos programados) .

• Confiabilidad electrónica.
• Debilidades de las máquinas y tecnología.
• Transmisión y registro de la información en medios magnéticos, óptico y otros.
• Almacenamiento en medios que deben acceder a través del computador mismo.
• Centros externos de procesamiento de datos.
• Dependencia externa.

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE AUDITORIA DE SISTEMAS

1. La información es un recurso clave en la empresa para:

• Planear el futuro, controlar el presente y evaluar el pasado.

2. Las operaciones de la empresa dependen cada vez más de la sistematización.

3. Los riesgos tienden a aumentar, debido a:

• Pérdida de información
• Pérdida de activos.
• Pérdida de servicios/ventas.

4. La sistematización representa un costo significativo para

• La empresa en cuanto a: hardware, software y personal.

5. Los problemas se identifican sólo al final.

6. El permanente avance tecnológico.

EGM Página 3 de 5
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico,
social y político.

2. Entendimiento del efecto de los sistemas en la organización.

3. Entendimiento de los objetivos de la auditoría.

4. Conocimiento de los recursos de computación de la empresa.

5. Conocimiento de los proyectos de sistemas.

RIESGOS ASOCIADOS AL AREA DE TI:

Hardware

- Descuido o falta de protección: Condiciones inapropiadas, mal manejo, no observancia de las normas.
- Destrucción.

Software:

- Uso o acceso,
- Copia,
- Modificación,
- Destrucción,
- Hurto,
- Errores u omisiones.

Archivos:

- Usos o acceso,
- Copia, modificación, destrucción, hurto.

Organización:

- Inadecuada: no funcional, sin división de funciones.

- Falta de seguridad,
- Falta de políticas y planes.

Personal:

- Deshonesto, incompetente y descontento.

Usuarios:

EGM Página 4 de 5
 Auditoria de Sistemas –IS-547
Ingeniería de Sistemas

- Enmascaramiento, falta de autorización, falta de conocimiento de su función.

Bases sobre las que se sustenta la Auditoría en SI

En la actualidad los temas relativos a la auditoría informática cobran cada vez más relevancia, debido a
que la información se ha convertido en el activo más importante de las empresas, representando su
principal ventaja estratégica, por lo que estas invierten enormes cantidades de dinero y tiempo en la
creación de sistemas de información, con el fin de obtener la mayor productividad y calidad posibles.

Haciendo eco de estas tendencias, la Organización ISACA (Information Systems Audit and Control
Association), a través de su Fundación, publicó en diciembre de 1995 el COBIT, como resultado de cuatro
años de intensa investigación y del trabajo de un gran equipo de expertos internacionales. Siendo está
metodología el marco de una definición de estándares y conducta profesional para la gestión y el control
de los SI, en todos sus aspectos, unificando diferentes estándares, métodos de evaluación y controles
anteriores. Adicionalmente, esta metodología aporta la orientación hacia el negocio y está diseñada no
solo para ser utilizada por usuarios y auditores, sino también como una extensa guía para gestionar los
procesos de negocios.

ENFOQUE COBIT

No puede dejarse fuera el esquema COBIT como un enfoque completo y "comprehensive" para
la auditoría de SI y TIC de organizaciones de gran tamaño.

COBIT significa Control Objectives for Information and related Technology, y es un conjunto de
buenas prácticas (un 'framework') para gestión de SI y TIC creado por ISACA (Information
Systems Audit and Control Association) y el ITGI (IT Governance Institute) en 1992.

La misión de COBIT es "to research, develop, publicize and promote an authoritative, up-to-
date, international set of generally accepted information technology control objectives for day-
to-day use by business managers and auditors" .

COBIT provee a gestores, auditores y usuarios de SI/TIC un conjunto de medidas, indicadores

y buenas prácticas para que maximicen los beneficios derivados del uso de los SI/TIC y del
desarrollo apropiado de la dirección (gobierno) y control en la compañía de los SI/TIC.
Gestores, auditores y usuarios se benefician de los desarrollos y avances en COBIT ya que les
ayuda a comprender mejor sus SI/TIC y les facilita decidir el nivel de seguridad y control
necesario para proteger los activos de sus compañías a través del desarrollo y dirección
(gobierno) de los SI/TIC.

Existen varias ediciones de COBIT: 1996, 1998, 2000 (una edición online está disponible desde
el 2003), 2005. En la 4a edición, por ejemplo, COBIT tenía 34 objetivos de alto nivel y 215
objetivos de control categorizados en 4 dominios: "Plan and Organize", "Acquire and
1
Implement", "Deliver and Support", y "Monitor and Evaluate".

EGM Página 5 de 5