AUDITORÍA

INFORMÁTICA
 AUDITORÍA

INFORMÁTICA
Notas del Autor

Gerlen Elivet Aquino Zorrilla (Matricula 2018-6497)

Enero 2020

Instituto Tecnológico de las Américas

Desarrollo de Software

Este trabajo va dirigido Jorge Taveras

Nunca aceptes la forma en que

las cosas se han hecho siempre,

como la única forma en que

pueden hacerse
 Tabla de contenido

Introducción ...................................................................................................................... 6

Introducción a la auditoria informatica ......................................................................... 7

Auditoria informática ................................................................................................... 9

Tipos de Auditoría y su Relación con la Auditoría en Informática ............................ 10

Campo de la Auditoria Informática ............................................................................ 12

Auditoría de programas .............................................................................................. 17

Conclusión ...................................................................................................................... 19

Anexos ............................................................................................................................ 21

Bibliografía ..................................................................................................................... 22
 Introducción

A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas

más poderosas para materializar uno de los conceptos más vitales y necesarios para

cualquier organización empresarial, los Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las

normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los

generales de la misma. En consecuencia, las organizaciones informáticas forman parte

de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que

la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero

no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una

empresa, existe la Auditoría Informática.

La auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia y

eficiencia de una sección, un organismo, una entidad, etc.

INTRODUCCIÓN

A LA AUDITORIA

INFORMÁTICA
 l término de Auditoría se ha empleado incorrectamente con frecuencia ya

que se ha considerado como una evaluación cuyo único fin es detectar errores

E y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría"

como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya

se habían detectado fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza

con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad,

etc.

La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor,

que se refiere a todo aquel que tiene la virtud de oír.

Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas

colegiado. En un principio esta definición carece de la explicación del objetivo

fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores

nos dice: " La auditoría no es una actividad meramente mecánica que implique la
aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de

carácter indudable."

De todo esto sacamos como deducción que la auditoría es un examen crítico pero no

mecánico, que no implica la preexistencia de fallas en la entidad auditada y que

persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un

organismo.

Auditoria informática

Definición de informática y auditoria informática

La informática es el campo que se encarga del estudio y aplicación práctica de la

tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el

manejo de la información por medios electrónicos, el cual comprende las áreas de la

tecnología de información orientadas al buen uso y aprovechamiento de los recursos

computacionales para asegurar que la información de las organizaciones fluya

(entidades internas y externas de los negocios) de manera oportuna y veraz.

La auditoría informática es el proceso metodológico ejecutado por especialistas del área

de auditoria y de informática. Está orientada a la verificación y aseguramiento de que

las políticas y procedimientos establecidos para el manejo y uso adecuado de la

tecnología de la información, se lleven a cabo de manera oportuna y eficiente. Que

operen en un ambiente de seguridad y control para generar confiabilidad, integridad y

exactitud en los datos.

Debe generar un informe que indique las observaciones, recomendaciones y áreas de

oportunidad para el mejoramiento y optimización de las Tecnologías de la Información

(TI).

Los objetivos de la auditoria informática son:

El control de la función informática

El análisis de la eficiencia de los Sistemas Informáticos

La verificación del cumplimiento de la Normativa en este ámbito

La revisión de la eficaz gestión de los recursos informáticos

Tipos de Auditoría y su Relación con la Auditoría en Informática

La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que la

efectúa, según el contenido y los fines, por su amplitud y por su frecuencia.

Por el sujeto que la efectúa

Auditoria Interna: Está a cargo de empleados de la propia empresa, encuadrados en un

departamento directamente dependiente de la dirección general.

Auditoria Externa: Está a cargo de auditores profesionales, ajenos a la empresa y

totalmente independientes.
Por su contenido y fines

Auditoría de gestión: Afecta a la situación global de la empresa.

Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la

adecuada, según las necesidades y problemas de la misma.

Auditoría operacional: Para determinar hasta qué punto una organización, una unidad

o función dentro de una organización, está cumpliendo los objetivos establecidos por la

gerencia; así como identificar las condiciones que necesiten mejora.

Auditoria administrativa: es un examen completo y constructivo de la estructura

organizativa de la empresa, institución o departamento gubernamental; o de cualquier

otra entidad y de sus métodos de control, medios de operación y empleo que dé a sus

recursos humanos y materiales

Auditoría financiera: Examen y verificación de los estados financieros de la empresa,

para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados.
Auditoría contable: Analiza la adecuación de los criterios empleados para recogerlos

hechos derivados de la actividad de la empresa y su representación, mediante apuntes

contables, en los estados financieros.

Auditoría informática: Examen y verificación del correcto funcionamiento y control

del sistema informático de la empresa.

Por su amplitud

Auditoría total: Afecta a todos los elementos de la empresa.

Auditoría parcial: Se concentra en determinados elementos de la empresa.

Por su frecuencia

Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico.

Auditoría ocasional: Se realiza de forma esporádica.

Campo de la Auditoria Informática

La evaluación administrativa del área de informática. Esto comprende la evaluación de:

Los objetivos del departamento, dirección o gerencia.

Metas, planes, políticas y procedimientos de procesos electrónicos estándares.

Organización del área y su estructura orgánica.

Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos.

Integración de los recursos materiales y técnicos.

Dirección.

Costos y controles presupuestales.

Controles administrativos del área de procesos electrónicos.

La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso

de la información, lo cual comprende:

Evaluación del análisis de los sistemas y sus diferentes etapas.

Evaluación del diseño lógico del sistema.

Evaluación del desarrollo físico del sistema.

Facilidades para la elaboración de los sistemas.

Control de proyectos.

Control de sistemas y programación.

Instructivos y documentación.

Formas de implantación.

Seguridad física y lógica de los sistemas.

Confidencialidad de los sistemas.

Controles de mantenimiento y forma de respaldo de los sistemas.

Utilización de los sistemas.

Prevención de factores que puedan causar contingencias; seguros y recuperación en

caso de desastre.

Productividad.

Derechos de autor y secretos industriales.

La evaluación del procesamiento de datos, de los sistemas y de los equipos de cómputo

(software, hardware, redes, bases de datos, comunicaciones), la cual comprende:

Controles de los datos fuente y manejo de cifras de control.

Control de operación.

Control de salida.

Control de asignación de trabajo.

Control de medios de almacenamiento masivo.

Control de otros elementos de cómputo.

Control de medios de comunicación.

Orden en el centro de cómputo.

La seguridad y confidencialidad de la información, que comprende:

Seguridad física y lógica.

Confidencialidad.

Respaldos.
Seguridad del personal.

Seguros.

Seguridad en la utilización de los equipos.

Plan de contingencia y procedimiento de respaldo para casos de desastre.

Restauración de equipos y de sistemas.

Los principales objetivos de la auditoria informática son los siguientes:

Salvaguardar los activos. Se refiere a la protección del hardware, software y recursos

humanos.

Integridad de datos. Los datos deben mantener consistencia y no duplicarse.

Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la

organización.

Eficiencia de sistemas. Que se cumplan los objetivos con los menores recursos.

Seguridad y confidencialidad.

Para que sea eficiente la auditoria informática, ésta se debe realizar también durante el

proceso de diseño del sistema. Los diseñadores de sistemas tienen la difícil tarea de

asegurarse que interpretan las necesidades de los usuarios, que diseñan los controles

requeridos por los auditores y que aceptan y entienden los diseños propuestos.

La interrelación que debe existir entre la auditoria informática y los diferentes tipos de

auditoria es la siguiente: el núcleo o centro de la informática son los programas, los

cuales pueden ser auditados por medio de la auditoria de programas. Estos programas se

usan en las computadoras de acuerdo con la organización del centro de cómputo

(personal).

La auditoria en informática debe evaluar todo (informática, organización del centro de

cómputo, computadoras, comunicación y programas), con auxilio de los principios de la

auditoria administrativa, auditoria interna, auditoria contable/financiera y, a su vez,

puede proporcionar información a esos tipos de auditoria. Las computadoras deben ser

una herramienta para la realización de cualquiera de las auditorias.

La adecuada salvaguarda de los activos, la integridad de los datos y la eficiencia de los

sistemas solamente se pueden lograr si la administración de la organización desarrolla

un adecuado sistema de control interno.

El tipo y características del control interno dependerán de una serie de factores, por

ejemplo, si se trata de un medio ambiente de minicomputadoras o macrocomputadoras,

si están conectadas en serie o trabajan en forma individual, si se tiene Internet y

Extranet. Sin embargo, la división de responsabilidades y la delegación de autoridad es

cada vez más difícil debido a que muchos usuarios comparten recursos, lo que dificulta

el proceso de control interno.

La evaluación que se debe desarrollar para la realización de la auditoria en informática

debe ser hecha por personas con un alto grado de conocimiento en informática y con

mucha experiencia en el área.

La información proporcionada debe ser confiable, oportuna, verídica, y debe manejarse

en forma segura y con la suficiente confidencialidad, pero debe estar contenida dentro

de parámetros legales y éticos.

Auditoría de programas

Un programa de auditoría es un documento que relaciona, de manera lógica y ordenada,

los procedimientos de auditoría a ser empleados, así como la extensión y oportunidad de

su aplicación. Su propósito es servir de orientación durante la ejecución del trabajo y de

registro permanente de la labor efectuada.

La labor de auditoría se ejecuta mediante la utilización de los programas de auditoría,

los cuales constituyen esquemas detallados por adelantado del trabajo a efectuarse y

contienen objetivos y procedimientos que guían el desarrollo del mismo.

El programa de auditoría debe ser planeado y elaborado con anticipación y su contenido

debe ser flexible, sencillo y conciso, de tal manera que los procedimientos empleados en

cada auditoría estén de acuerdo con las circunstancias del examen. Se prepara de
manera particular para cada auditoría, puesto que las circunstancias de trabajo varían de

un trabajo a otro.

Al preparar un programa de auditoría, deben tenerse en cuenta:

Las normas de auditoría

Las técnicas y procedimientos de auditoría

La legislación vigente y aplicable al cliente

Las experiencias anteriores

El conocimiento del cliente

Las experiencias de terceros

El programa de auditoría debe ser revisado de manera periódica, en función de los

cambios en la legislación, las condiciones del cliente, los procesos operativos y en los

principios, normas y procedimientos de auditoría.

 Conclusión

En la actualidad la auditoria en informática es muy importante para el adecuado

desempeño de los sistemas de información, debido a que nos brinda los controles

suficientes y necesarios para que los sistemas sean de alta confiabilidad y con alto nivel

de seguridad. Además este tipo de auditorias debe evaluar todo el sistema de

información.

Con este tema, la primordial conclusión a la que se llega, es que toda empresa, que

posea sistemas de información medianamente complejos, debe ser sometida a un control

detallado con una evaluación eficiente y eficaz. En la actualidad más del noventa por

ciento de las empresas cuentan con su información de forma estructurada a los sistemas

informáticos, causa por la que es de vital importancia que los sistemas de información

deben funcionar correctamente. Cabe mencionar que el éxito de cualquier empresa,

siempre dependerá de la eficiencia de sus sistemas de información, es por tal motivo

que la auditoría a estos sistemas debe ser realizada de manera correcta.

Podemos ejemplificar que existe una empresa que cuenta con un equipo de trabajo

conformado por gente de primera, pero tiene un sistema informático propenso a errores,

lento, vulnerable e inestable; si no existe un balance entre estos dos puntos, la empresa

fracasará o simplemente nunca saldrá a adelante.

Debemos tomar en cuenta el trabajo de la auditoría, precisa de gran conocimiento de

Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de

sistemas de información siempre debe realizarse por medio de gente con una adecuada

capacitación, una auditoría de sistemas de información mal realizada puede atraer

consecuencias drásticas e irreversibles para la empresa, más que nada económicas.

Anexos
 Bibliografía

https://www.auditool.org/blog/auditoria-externa/6764-que-es-un-programa-de-auditoria

https://sites.google.com/site/auditoriaeninformaticacun/concepto-de-auditoria/principios

http://auditoriaunidad1.blogspot.com/2014/10/12-tipos-de-auditoria-y-su-relacion-

con.html

https://sites.google.com/site/auditoriaeninformaticacun/concepto-de-auditoria