INSTITUTO UNIVERSITARIO DE TECNOLOGIA

DE ADMINISTRACION INDUSTRIAL

EXTENSION REGION CAPITAL-AMPLIACION GUARENAS

CARRERA: INFORMATICA

AUDITORIA INFORMATICA

Facilitador: Elaborado:

Prof. Rosalinda Sánchez Luis Sánchez C.I

27.916772

Guarenas, octubre de 2019

 Auditoría de Sistemas. Es la revisión que se dirige a evaluar los métodos y
procedimientos de uso en una entidad, con el propósito de determinar si su diseño
y aplicación son correctos; y comprobar el sistema de procesamiento de Información
como parte de la evaluación de control interno; así como para identificar aspectos
susceptibles de mejorarse o eliminarse.

• La Auditoría de Sistemas es la verificación de controles en el procesamiento

de la Información, desarrollo de sistemas e instalaciones.

• Actividad dirigida a verificar y juzgar la información.

• Examen y evaluación de los Procesos del área de Procesamiento automático

de datos y de la utilización de los recursos que en ello intervienen.

• Es la verificación en la eficiencia del uso de los Recursos informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios

recursos que la empresa pone en juego para disponer de un eficiente y eficaz
sistema de Información. Es un profesional dedicado al análisis de sistemas de
información que está especializado en alguna de las ramas de la auditoria
informática, que tiene conocimientos generales de los ámbitos en los que esta se
mueve, además de contar con conocimientos empresariales generales.

Características del auditor informático: Especialización en función de la

importancia económica que tienen distintos componentes financieros dentro del
entorno empresarial. Debe conocer técnicas de administración de empresas y de
cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas
a los objetivos de la empresa y a los recursos que se poseen. Debe tener un enfoque
de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como
un elemento valioso dentro de la empresa y que los resultados sean aceptados en
su totalidad.

Responsabilidades del auditor informático: Verificación del control interno

tanto de las aplicaciones como de los SI, periféricos. Análisis de la administración
de Sistemas de Información, desde un punto de vista de riesgo de seguridad,
administración y efectividad de la administración. Análisis de la integridad, fiabilidad
y certeza de la información a través del análisis de aplicación. Auditoría del riesgo
operativo de los circuitos de información. Análisis de la administración de los riesgos
de la información y de la seguridad implícita.

Principios éticos del auditor informático Principio de beneficio del auditado: El

auditor deberá evitar estar ligado a determinados intereses. El auditor deberá evitar
estar ligado a determinados intereses. Principio de calidad El auditor deberá prestar
servicios con los medios a su alcance. Libertad de utilización de los mismos.
Condiciones técnicas adecuadas.
 Principio de capacidad el auditor debe estar plenamente capacitado para la
realización de la auditorıa encomendada.

Principio de cautela el auditor debe evitar que el auditado se embarque en

proyectos de futuro fundamentados en intuiciones sobre la evolución de las nuevas
tecnología de la información.

Principio de comportamiento profesional debe guardar un escrupuloso

respeto por la política de la empresa que audita. Principio de concentración en el
trabajo El auditor deberá evitar que un exceso de trabajo supere sus posibilidades
de concentración y precisión en cada una de las tareas. Principio de confianza El
auditor deberá facilitar e incrementar la confianza del auditado en base a una
actuación de transparencia en su actividad profesional. Principio de criterio propio
El auditor deberá actuar con criterio propio y no permitir que este esté subordinado
al de otros profesionales.

Principio de discreción: El auditor deberá mantener una cierta discreción en

la divulgación de datos. Principio de economía El auditor deberá proteger los
derechos económicos del auditado evitando generar gastos innecesarios.

Principio de formación continuada: Impone al auditor la obligación de estar en

continua formación. Principio de fortalecimiento y respeto a la profesión Los
auditores han de cuidar del valor de trabajo realizado y de las conclusiones
obtenidas.

Principio de independencia: El auditor debe exigir una total autónoma e

independencia en su trabajo.

Principio de integridad moral: Obliga al auditor a ser honesto, leal y diligente

en el desempeño de su misión, a ajustarse a las normas morales, de justicia y
probidad, y a evitar participar en actos de corrupción personal o a terceras personas.
Principio de legalidad El auditor deberá evitar utilizar sus conocimientos para
facilitar, a los auditados o a terceras personas, la contravención de la legalidad
vigente. Principio de libre competencia Exige que el ejercicio de la profesión se
realice en el marco de la libre competencia.

Otra de las definiciones de lo seguridad informática dada por

INFOSEC Glossary 2000: “Seguridad Informática son las medidas y controles que
aseguran la confidencialidad, integridad y disponibilidad de los activos de los
sistemas de información, incluyendo hardware, software, firmware y aquella
información que procesan, almacenan y comunican”. De estas definiciones
podemos deducir que los principales objetivos de la seguridad informática
son:
• Confidencialidad: consiste en la capacidad de garantizar que la información,
almacenada en el sistema informático o transmitida por la red, solamente va a estar
disponible para aquellas personas autorizadas a acceder a dicha información, es
decir, que si los contenidos cayesen en manos ajenas, estas no podrían acceder a
la información o a su interpretación. Este es uno de los principales problemas a los
que se enfrentan muchas empresas; en los últimos años se ha incrementado el robo
de los portátiles con la consecuente pérdida de información confidencial, de clientes,
líneas de negocio…etc.
• Disponibilidad: la definiremos como la capacidad de garantizar que tanto el
sistema como los datos van a estar disponibles al usuario en todo momento.
Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa
encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo
consultas, descargas a su sitio web, etc., por lo que siempre deberá estar disponible
para sus usuarios. • Integridad: diremos que es la capacidad de garantizar que los
datos no han sido modificados desde su creación sin autorización. La información
que disponemos es válida y consistente. Este objetivo es muy importante cuando
estamos realizando trámites bancarios por Internet. Se deberá garantizar que
ningún intruso pueda capturar y modificar los datos en tránsito.
• No repudio: este objetivo garantiza la participación de las partes en una
comunicación. En toda comunicación, existe un emisor y un receptor, por lo que
podemos distinguir dos tipos de no repudio: a) No repudio en origen: garantiza que
la persona que envía el mensaje no puede negar que es el emisor del mismo, ya
que el receptor tendrá pruebas del envío. b) No repudio en destino: El receptor no
puede negar que recibió el mensaje, porque el emisor tiene pruebas de la recepción
del mismo. Este servicio es muy importante en las transacciones comerciales por
Internet, ya que incrementa la confianza entre las partes en las comunicaciones.

Para conseguir los objetivos mostrados en la figura anterior se utilizan los

siguientes mecanismos: Autenticación, que permite identificar al emisor de un
mensaje, al creador de un documento o al equipo que se conecta a una red o a un
servicio.

La autorización controla el acceso de los usuarios a zonas restringidas, a distintos

equipos y servicios después de haber superado el proceso de autenticación.
La encriptación, que ayuda a ocultar la información transmitida por la red o
almacenada en los equipos, para que cualquier persona ajena no autorizada, sin el
algoritmo y clave de descifrado, pueda acceder a los datos que se quieren proteger.
La realización de copias de seguridad e imágenes de respaldo, para que en caso
de fallos nos permita la recuperación de la
información perdida o dañada.

Los principales objetivos que constituyen a la auditoría Informática son el

control de la función informática, el análisis de la eficiencia de los Sistemas
Informáticos que comporta, la verificación del cumplimiento de la Normativa general
de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos
materiales y humanos informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios

recursos que la empresa pone en juego para disponer de un eficiente y eficaz
Sistema de Información. Claro está, que para la realización de una auditoría
informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que
una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad
Anónima o empresa Pública. Todos utilizan la informática para gestionar sus
"negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos
y de costes.

Calidad de información comprende un conjunto de actividades dirigidas a la

obtención en tiempo y forma de los datos acerca del comportamiento de los
principales índices de calidad de los productos, así como de los indicadores que
reflejan la calidad de los mismos.

Cada día son más las empresas que perciben su información como el motor
del negocio que es, un activo estratégico que diariamente es sometido a nuevos y
más graves riesgos imposibilitando que de manera efectiva, la información aporte
el valor que tiene, siendo necesario vencer la inseguridad y la desconfianza que
esto genera. Entre los criterios de calidad están: - Objetividad: calidad subjetiva y
depende de la audiencia -Exactitud: Validada empíricamente y concuerda con la
experiencia cotidiana -Autoridad: Exhibe la autoría de una persona líder dentro de
la línea de investigación. -Cobertura: Amplitud y nivel de profundidad dependen de
los propósitos declarados por el autor y del colectivo de usuarios al que va dirigida
la información. -Vigencia: La información no actualizada puede perder vigencia
sobre todo en temas de negocios, mercadeo, política, medicina de vanguardia y
diversos temas científicos en desarrollo. -Relevancia: Existe concordancia entre la
finalidad de la información y el perfil de usuario al que se dirige, en función de los
objetivos y propósitos declarados por el creador de los contenidos. -Estructura:
Debe ser completa según sus propias declaraciones, un esquema es completo
cuando representa todas las características relevantes del dominio de aplicación.
 La auditoría informática conjunto de procedimientos y técnicas para evaluar y
controlar un sistema informático con el fin de constatar si sus actividades son
correctas y de acuerdo a las normativas informáticas y generales prefijadas en la
organización. La importancia de la calidad de información en la auditoria
informática es imprescindible en la fase de desarrollo de un sistema auditor, ya
que ofrece la seguridad razonable de que el departamento de auditoría mantiene
la capacidad para efectuar de forma eficiente y eficaz sus funciones y así alcanzar
un alto nivel de credibilidad y confianza ante la dirección, auditores y sociedad. Se
pueden entrar a analizar varios parámetros que deben ser considerados en la
calidad de la auditoría.

La auditoría informática va a ayudar a la empresa a comprobar la eficiencia del

sistema que tiene establecido. Gracias a esta análisis sabremos si funciona de
forma correcta, utilizando los recursos adecuados, veremos si ha surgido algún
problema en su interior o las barreras que podemos tener presentes. Todo ello
convierte la auditoría informática es una herramienta clave para que nuestro
sistema siempre esté en marcha de forma correcta.

Además de los aspectos técnicos estas auditorías también se realizan para

conocer si el sistema informático en cuestión cumple con toda la normativa y las
leyes que rigen este sector. Desde la protección de datos hasta incluso aspectos
medioambientales, la auditoría va a recabar toda esa información y con ella
podremos verificar si nuestro sistema cumple con todos los requisitos legales. Así
mismo, es una herramienta perfecta para poder revisar la eficiencia de los recursos
que utilizamos. No solo hablamos de elementos materiales, sino que aquí también
se pueden incluir todas aquellas personas que forman parte de este sistema
informático y hacen uso de él de manera diaria.

El auditor sólo puede emitir un juicio global o parcial basado en hechos y

situaciones incontrovertibles, careciendo de poder para modificar la situación
analizada por él mismo.
Auditoría Interna y Auditoría Externa:
La auditoría interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados económicamente. La auditoría interna existe por expresa decisión de
la Empresa, o sea, que puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la
empresa auditada; es siempre remunerada. Se presupone una mayor objetividad
que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y
auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditoría externa, las cuales no son tan perceptibles
como en las auditorías convencionales. La auditoría interna tiene la ventaja de que
puede actuar periódicamente realizando Revisiones globales, como parte de su Plan
Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan
a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones
habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e
informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero
a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible
aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita
que su propia gestión esté sometida a los mismos Procedimientos y estándares que
el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del
auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer
una Auditoría propia y permanente, mientras que el resto acuden a las auditorías
externas. Puede ser que algún profesional informático sea trasladado desde su
puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe.
Finalmente, la propia Informática requiere de su propio grupo de Control Interno,
con implantación física en su estructura, puesto que si se ubicase dentro de la
estructura Informática ya no sería independiente. Hoy, ya existen varias
organizaciones Informáticas dentro de la misma empresa, y con diverso grado de
autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas.
Una Empresa o Institución que posee auditoría interna puede y debe en
ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen
ser:
• Necesidad de auditar una materia de gran especialización, para la cual los
servicios propios no están suficientemente capacitados.
• Contrastar algún Informe interno con el que resulte del externo, en aquellos
supuestos de emisión interna de graves recomendaciones que chocan con la
opinión generalizada de la propia empresa.
• Servir como mecanismo protector de posibles auditorías informáticas externas
decretadas por la misma empresa.
• Aunque la auditoría interna sea independiente del Departamento de Sistemas,
sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen
auditorías externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una actividad
exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política
general de la empresa. La función auditora puede actuar de oficio, por iniciativa del
propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.
Alcance de la Auditoría Informática:
 El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El
alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros
grabados a un control de integridad exhaustivo*? ¿Se comprobará que los controles
de validación de errores son adecuados y suficientes*? La indefinición de los
alcances de la auditoría compromete el éxito de la misma.
*Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación
no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar
y, por lo tanto, la aplicación no funcionaría como debería.
*Control de validación de errores:

Se corrobora que el sistema que se aplica para detectar y corregir errores sea
eficiente.

Conclusiones

Las auditorias informáticas se conforman obteniendo información y

documentación de todo tipo. Los informes finales de los auditores dependen de sus
capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes
medios. El trabajo del auditor consiste en lograr obtener toda la información
necesaria para emitir un juicio global objetivo, siempre amparando las evidencias
comprobatorias.

El auditor debe estar capacitado para comprender los mecanismos que se

desarrollan en un procesamiento electrónico. También debe estar preparado para
enfrentar sistemas computarizados en los cuales se encuentra la información
necesaria para auditar.

Toda empresa, pública o privada, que posean Sistemas de Información

medianamente complejos, deben de someterse a un control estricto de evaluación
de eficacia y eficiencia. Hoy en día, la mayoría de las empresas tienen toda su
información estructurada en Sistemas Informáticos, de aquí, la vital importancia que
los sistemas de información funcionen correctamente.. El éxito de una empresa
depende de la eficiencia de sus sistemas de información. Una empresa puede
contar con personal altamente capacitado, pero si tiene un sistema informático
propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.

La auditoría de Sistemas debe hacerse por profesionales expertos, una

auditoria mal hecha puede acarrear consecuencias drásticas para la empresa
auditada, principalmente económicas.
 En conclusión la auditoria informática es la indicada para evaluar de manera
profunda, una determinada organización a través de su sistema de información
automatizado, de aquí su importancia y relevancia.

En la actualidad la auditoria en informática es muy importante para el

adecuado desempeño de los sistemas de información, debido a que nos brinda los
controles suficientes y necesarios para que los sistemas sean de alta confiabilidad
y con alto nivel de seguridad. Además este tipo de auditorías debe evaluar todo el
sistema de información. Podemos ejemplificar que existe una empresa que cuenta
con un equipo de trabajo conformado por gente de primera, pero tiene un sistema
informático propenso a errores, lento, vulnerable e inestable; si no existe un balance
entre estos dos puntos, la empresa fracasará o simplemente nunca saldrá a
adelante.

Se debe tomar en cuenta el trabajo de la auditoría, precisa de gran

conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad;
la auditoría de sistemas de información siempre debe realizarse por medio de gente
con una adecuada capacitación, una auditoría de sistemas de información mal
realizada puede atraer consecuencias drásticas e irreversibles para la empresa,
más que nada económicas.

REFERENCIA WEBGRAFICA.

https://www.ecured.cu/Auditoria_Inform%C3%A1tica

www.auditoria.com.mx

http://revisionglobaldeunaauditoriaflorezdia.blogspot.com/2011/02/revision-global-
de-unaauditoria-de.html https://www.evotec.es/auditoria-informatica/