REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA DEFENSA

UNIVERSIDAD NACIONAL EXPERIMENTAL DE LA FUERZA

ARMADA

NUCLEO_AMAZONAS

AUDITORIA DE SISTEMAS

PROFESORA: BACHILLER:

MARBELIS GUAPE FRANCISCO GONZALEZ

8V0 SEMESTE DE ING. DE SISTEMAS

 INTRODUCCION

Este trabajo fue realizado con la finalidad de conocer de un tema importante

como lo es la auditoria en general y la auditoria de sistemas que es la base
fundamental de nuestra carrera ING. DE SISTEMAS. De tal forma que sabremos su
definición tipos y otros temas importantes…

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y

procedimientos que se tienen establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la información que se
procesa a través de los sistemas de información. La auditoría de sistemas es una
rama especializada de la auditoría que promueve y aplica conceptos de auditoría en
el área de sistemas de información.
La auditoría de los sistemas de información se define como cualquier
auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier
porción de ellos) de los sistemas automáticos de procesamiento de la información,
incluidos los procedimientos no automáticos relacionados con ellos y las interfaces
correspondientes.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a
la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de
tecnología informática con el fin de lograr mayor eficiencia operacional y
administrativa
 AUDITORIA DE SISTEMAS
Es un proceso llevado a cabo por profesionales especialmente capacitados para
el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si
un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad
de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de

información dentro de una Organización y determinar qué Información es crítica
para el cumplimiento de su Misión y Objetivos, identificando necesidades,
falsedades, costes, valor y barreras, que obstaculizan flujos de información
eficientes. En si la auditoría informática tiene 2 tipos las cuales son:

AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin

contratar a personas ajenas, en el cual los empleados realizan esta auditoría trabajan
ya sea para la empresa que fueron contratados o simplemente algún afiliado a esta.
AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa
contrata a personas de afuera para que haga la auditoría en su empresa. Auditar
consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los
cambios que se deberían realizar para la consecución de los mismos.
Los mecanismos de control en el área de Informática son:
Directivos, preventivos, de detección, correctivos o de recuperación ante una
contingencia.
Los objetivos de la auditoría Informática son:

 El análisis de la eficiencia de los Sistemas Informáticos

 La verificación del cumplimiento de la Normativa en este ámbito
 La revisión de la eficaz gestión de los recursos informáticos.
También existen otros tipos de auditoría:
 Auditoría operacional: se refiere a la revisión de la operación de una empresa y
juzga la eficiencia de la misma. La misma puede ser permisos de empleados o
accesos a sistemas de gestión.
 Auditoría administrativa: se refiere a la organización y eficiencia de la
estructura del personal con la que cuenta el personal y los procesos
administrativos en que actúa dicho personal.
 Auditoría social: se refiere a la revisión del entorno social en que se ubica y
desarrolla una empresa, con el fin de valorar aspectos externos e internos que
interfieren en la productividad de la misma.
Sus beneficios son:

 Mejora la imagen pública.

 Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
 Optimiza las relaciones internas y del clima de trabajo.
 Disminuye los costos de la mala calidad (reproceso, rechazos, reclamos, entre
otros).
 Genera un balance de los riesgos en TI.
 Realiza un control de la inversión en un entorno de TI, a menudo impredecible.

CONCEPTO DE AUDITORIA

Auditoria, en su acepción más amplia significa verificar la información financiera,

operacional y administrativa que se presenta es confiable, veraz y oportuna. Es
revisar que los hechos, fenómenos y operaciones se den en la forma como fueron
planeados; que las políticas y lineamientos establecidos han sido observados y
respetados; que se cumplen con obligaciones fiscales, jurídicas y reglamentarias en
general. Es evaluar la forma como se administra y opera teniendo al máximo el
aprovechamiento de los recursos.
 TIPOS DE AUDITORIA.

1. Auditoría fiscal.
2. Auditoría contable ( de estados financieros )
3. Auditoria interna.
4. Auditoria externa.
5. Auditoria operacional.
6. Auditoria administrativa.
7. Auditoría integral.

INTRODUCCION A LA AUDITORIA

Los Sistemas Informáticos se han constituido en las herramientas más poderosas

para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las
normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos
a los generales de la misma. En consecuencia, las organizaciones informáticas forman
parte de lo que se ha denominado la gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones,
pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento
de una empresa, existe la auditoria Informática.
El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha
considerado como una evaluación cuyo único fin es detectar errores y señalar fallas.
A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinónimo de que, en
dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas.
El concepto de auditoria es mucho más que esto.
La palabra auditoria proviene del latín auditorios, y de esta proviene la palabra
auditor, que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, también se define como: Revisor de Cuentas colegiado. En un
principio esta definición carece de la explicación del objetivo fundamental que
persigue todo auditor: evaluar la eficiencia y eficacia.
"La auditoría no es una actividad meramente mecánica que implique la aplicación
de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de carácter
indudable", de esta manera es definido el termino auditor según las Normas de
auditoria del Instituto mexicano de contadores.
La auditoría es un examen, que no implica la preexistencia de fallas en la entidad
auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una
sección o de un organismo.
El auditor informático ha de velar por la correcta utilización de los amplios recursos
que la empresa pone en juego para disponer de un eficiente y eficaz sistema de
información. Claro está, que para la realización de una auditoria informática eficaz, se
debe entender a la empresa en su más amplio sentido, ya que una universidad, un
ministerio o un hospital son tan empresas como una sociedad anónima o empresa
Pública, al igual que en este caso, un Centro de Comunicaciones, no importa al sector
al cual pertenezca el ente que va a ser auditado sea público o privado, ambos utilizan
la informática para gestionar sus negocios de forma rápida y eficiente, con el fin de
obtener beneficios económicos y reducción de costes.
Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas,
Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control
correspondiente, o al menos debería estarlo.

EL MÉTODO A USAR EN LA AUDITORIA

Como ya se dijo la Auditoría es la búsqueda de la verdad, por lo tanto, el método que

debe utilizar para realizar su examen es  sin duda el método científico.  El enfoque
científico es un método sistemático de análisis que ayuda a la interpretación y
síntesis de aspectos que necesitan ser investigados. Tanto  la investigación como el
análisis abarcan un examen escudriñador de la lógica involucrada, las necesidades y
justificación de la actividad que se investiga.
 
 La evaluación científica involucra un proceso de medición y comprobación de los
principios y prácticas reconocidas y en las cuales se busca si es o no el mejor plan,
política, sistema o procedimiento.  Obtenida la información necesaria, se evaluará, a
efecto de hacer las sugerencias necesarias a la dirección.
 
La auditoría utiliza el método deductivo- inductivo, pues realiza el examen y
evaluación de los hechos empresariales objetos de estudio partiendo de un
conocimiento general de los mismos, para luego dividirlos en unidades menores que
permitan una mejor aproximación a la realidad que los originó para luego mediante
un proceso de síntesis emitir una opinión profesional.  Todo este proceso requiere de
que el auditor utilice una serie de pasos realizados en forma sistemática, ordenada y
lógica que permita luego realizar una crítica objetiva del hecho o área examinada.
 
MÉTODO DEDUCTIVO
 
El método deductivo consiste en derivar aspectos particulares de lo general,
leyes axiomas, teorías, normas etc. en otras palabras es ir de lo universal a lo
específico o particular.
 
Para aplicar el método deductivo  a la auditoría  se necesita:
   
 Formulación de objetivos generales o específicos del examen a realizar
 Una declaración de las normas de auditoria generalmente aceptadas y
principios de contabilidad de general aceptación.
 Un conjunto de procedimientos para guiar el proceso del examen
 Aplicación de normas generales a situaciones específicas
 Formulación de un juicio sobre el sistema examinado tomado en conjunto
 
MÉTODO INDUCTIVO
 
El método inductivo al contrario del deductivo se parte de fenómenos
particulares con incidencia tal  que constituyen  un axioma, ley, norma, teoría, es
decir parte de lo  particular y va hacia lo universal.
Desde el punto de vista de la auditoría, se descompone el sistema a estudiar en las
mínimas unidades de estudio, efectuándose el examen de estas partes mínimas
(particulares)  para luego mediante un proceso de síntesis se recompone el todo
descompuesto y se emite una opinión sobre el sistema tomado en conjunto.
 
Estos dos métodos se combinan en forma armónica no excluyente. De esta manera,
en forma esquemática se pueden plantear así las fases generales a seguir en una
auditoría:
 
 Conocimiento general de la organización
 Establecimiento de los objetivos generales del examen
 Evaluación del Control Interno
 Determinación de las áreas sujetas a examen
 Conocimiento específico de cada área a examinar
 Determinación de los objetivos específicos del examen de cada área
 Determinación de los procedimientos de auditoría
 Elaboración de papeles de trabajo
 Obtención y análisis de evidencias
 Informe de auditoría y recomendaciones

AUDITORIA DE APLICACIÓN

Siguen la filosofía de caja negra, es decir, en ningún momento se audita el

código fuente de la aplicación. El motivo de esta metodología de trabajo es la
de simular la actuación real de un atacante malicioso que, a través de las aplicaciones
auditadas y sin disponer de su código fuente, intente realizar un ataque al sistema,
bases de datos, etc...

El proceso de auditar Aplicaciones está planificado en las fases que se presentan a

continuación:

ANALISIS FUNCIONAL, ANALISIS TECNICO,DISEÑO DE LAS PUEBAS,DESARROLLO DE

LAS PRUEBAS, Y REALIZACION DE LAS PRUEBAS..
 AUDITORIA DE APOYO

Las organizaciones de hoy en día, deben de estar siempre a la vanguardia,

siempre siguiéndole el paso a los movimientos que genere el mercado, así como a los
avances tecnológicos y la economía, por lo tanto una empresa debe ser capaz de
manejar todo tipo de información que promueva su crecimiento y su estabilidad.

Manejar la información no siempre ha sido un trabajo sencillo, sobre todo en

estos días donde la información se genera por segundo y en enormes cantidades, una
organización debe aprender a gestionar la información que se genera o que le llega
de todas partes, tanto internamente como externamente por ejemplo, la información
que puede generar el departamento de R.H. o el departamento de compras.

De igual forma el departamento de producción genera y requiere de información

para hacer su planeación estratégica de la producción, los proveedores también
generan información hacia la organización de igual manera los clientes
retroalimentan a la organización con información.

Toda esta información no es precisamente de gran utilidad para le organización por

esto es preciso que exista una manera de depurarla y al mismo tiempo una manera
de cerciorarse de que se está manejando la información adecuada, para esto se usan
las auditorias con las cuales se busca asegurar que la organización maneja de manera
correcta sus sistemas de información .
 CONCLUSION
 Como conclusión podemos decir que la auditoría de dichos sistemas será
fundamental para la implementación de medidas correctivas y preventivas en el fallo
o en causa de algún otro tipo de situación. Además, esto deberá ir completamente
ligado con las revisiones que hará la Dirección para comprobar el estado y el
funcionamiento de los sistemas, así de esta forma, se podrá ver la eficacia y la
importancia de la auditoría interna en este tipo de planes y procesos. 

Las auditorías internas son esenciales en los sistemas de gestión y están

íntimamente ligadas con las revisiones necesarias por parte de la Dirección.
Proporcionan la base para el establecimiento de acciones correctivas y preventivas.
Muchos piensan que las auditorías internas, realizadas por personal de la propia
empresa, son únicamente un paso previo para preparar las auditorías de certificación
o recertificación que marca el cumplimiento de una norma.

Lo que no se audita, mide o comprueba, no se conoce y por tanto no se puede

mejorar. De la experiencia se deduce que si la auditoría interna está bien llevada,
permite además vislumbrar opciones de mejoras adicionales en los procesos y
procedimientos de la empresa, que en una “auditoría de certificación” podrían pasar
inadvertidos.

Cuántas veces la empresa prepara las reuniones que han de tener con el auditor
externo que debe certificarles, mediante directrices a los empleados como la
siguiente: “contesten las preguntas del auditor y no comenten nada más”.
 ANALISIS

En mi opinión personal pienso que la auditoría es el proceso de recoger,

agrupar y evaluar evidencias para determinar si un sistema informatizado
salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente
los fines de la organización y utiliza eficientemente los recursos.

La función auditora debe ser absolutamente independiente; no tiene carácter

ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las
decisiones pertinentes. La auditoría contiene elementos de análisis, de verificación y
de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y
planes de acción para eliminar las disfunciones y debilidades antedichas; estas
sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones.
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar
con la psicología del auditado, ya que es un informático y tiene la necesidad de
realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es
comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces
insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado
breves de los que suelen disponer para realizar su tarea.

El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él
mismo.

La auditoría informática es un proceso llevado a cabo por profesionales

especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los
fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. Permiten detectar de forma sistemática el uso de los
recursos y los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de
información eficientes. En si la auditoria informática tiene 2 tipos las cuales son:
AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar a
personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es aquella en la
cual la empresa contrata a personas de afuera para que haga la auditoria en su
empresa. Auditar consiste principalmente en estudiar los mecanismos de control que
están implantados en una empresa u organización, determinando si los mismos son
adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los
cambios que se deberían realizar para la consecución de los mismos. Los mecanismos
de control pueden ser directivos, preventivos, de detección, correctivos o de
recuperación ante una contingencia.