Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CÁTEDRA:
AUDITORÍA INFORMÁTICA
DOCENTE:
Ing. Jaime Meza, Phd
UNIDAD 1
2021
INTRODUCCIÓN
Desde que la informática se enfocó hacia el apoyo de la sistematización en las áreas del
negocio, se empezaron a implantar aplicaciones administrativas como la contabilidad,
nómina, entre otras, lo que originó el proceso conocido como auditoria a sistemas de
información.
Posteriormente, el uso de la informática cubrió las áreas del negocio en todos los niveles
por medio de productos y servicios variados; aparecieron las mini computadoras o equipos
departamentales; posterior a ello surgieron las microcomputadoras o computadoras
personales e interrumpieron de lleno las redes locales.
Todo lo que se planea debe ejecutarse con formalidad y oportunidad, esto se relaciona
con el hecho de que cualquier organización debe mantener sus activos en las mejores
condiciones posibles y salvaguardar su integridad.
La función del auditor en informática no es fungir como capataz o policía del negocio, como
tantas veces se ha planteado en forma sarcástica o costumbrista en las organizaciones. Este
profesional se orienta a funcionar como un punto de control y confianza para la alta
dirección, además busca ser un facilitador de soluciones.
No hay que pensar que este proceso cambiará la cultura organizacional de la noche a la
mañana, los métodos de trabajo, la mala calidad ni la improductividad en las áreas
relacionadas con la informática; es un elemento estratégico directo que apoya la eliminación
de cada una de las debilidades mencionadas. Sin embargo, ha de coexistir
1
con personal responsable y profesional, así como con directores (niveles gerenciales) y
accionistas comprometidos con la productividad, calidad y otros factores recomendados
para ser empresas de clase mundial.
Video recomendado:
https://www.youtube.com/watch?v=Q2yHQQDTDEU
En forma general es un examen que se realiza con carácter objetivo, crítico, sistemático
y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos
informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los
objetivos y metas del negocio.
Se deben tomar en cuenta las actividades ejecutadas por los profesionales del área de
Informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas,
controles y procedimientos correspondientes al uso de los recursos de informática por el
personal de la empresa (usuarios, informática, alta dirección, etc.).
Este proceso metodológico tiene el propósito principal evaluar todos los recursos (humanos,
materiales, financieros, tecnológicos, etc.) relacionados con la función de inherente a la
informática para garantizar al negocio que dicho conjunto opera con un criterio de
integración y desempeños de niveles altamente satisfactorios para que apoyen la
productividad y rentabilidad de la organización.
3
En esta definición hay cuatro palabras que destacan: "examen", "metódico", "puntual"
y "objetivo":
4
GENERALIDADES
La ausencia de una definición común de auditoría informática puede deberse en parte, a
la relativa novedad de la auditoría informática.
Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos débiles
que hayan podido detectar, así como las recomendaciones sobre los cambios convenientes
a introducir, en su opinión, en la organización de la compañía.
Normalmente, las empresas funcionan con políticas generales, pero hay procedimientos
y métodos, que son términos más operativos. Los procedimientos son también sistemas
que si están bien hechos, la empresa funcionará mejor.
5
Para el desarrollo de este curso de forma general las principales áreas de actividad de la
auditoría informática son:
- La infraestructura de TI
- La automatización de la auditoría
La medida en que se examinen esas áreas y la profundidad con que se realicen variará,
la clave para el desempeño de la labor de auditoría es una evaluación integral basada en
el riesgo que debe determinar la cantidad de recursos de auditoría necesarios y que también
debe ayudar a determinar en la evaluación de un satisfactorio nivel de seguridad y control.
De modo análogo, aunque los auditores informáticos realizan periódicamente auditorías de, por
ejemplo, los controles de acceso lógico, hay un margen considerable para que los auditores
informáticos participen en el diseño de esos componentes.
6
desarrollo profesional es esencial ya que una auditoría exitosa se basa en un conjunto de
conocimientos técnicos excelencia. Sin esto, los auditores informáticos en algunos casos son
limitados en su capacidad de auditar eficazmente y de proporcionan un valioso servicio a la
organización.
También hay que señalar que el papel del auditor informático en algunas áreas, puede
superponerse con el de la función de seguridad informática y esto puede causar confusión. Es
esencial definir claramente las respectivas responsabilidades para que la duplicación innecesaria
sea evitada. Esencialmente, el papel del auditor informático en la sección de seguridad es para
ayudar a los usuarios a desarrollar soluciones de seguridad y administrar esa seguridad en un día
a día. El papel del auditor informático es para proporcionar al personal directivo superior una y
una garantía objetiva en cuanto al nivel de seguridad aplicado en el entorno de la informática.
Como una parte integral parte del proceso de auditoría, los auditores informáticos también
proporcionar asesoramiento y es en esta área que la duplicación y puede surgir una
superposición.
Finalmente es necesario señalar que los trabajos de auditoría más exitosos serán aquellos en los
cuales el equipo auditor y los auditados se consideren asimismo como consultores y clientes
respectivamente. El entendimiento y aplicación de este concepto tiende a establecer una relación
de trabajo más constructiva, y puede resultar en la mejora de la operativa de la unidad bajo
revisión.
Los profesionales que por su formación y capacitación profesional deben asumir la función
de Auditoría Informática son sin lugar a duda los profesionales TIC. En elámbito del
sector privado existen organizaciones profesionales que habilitan a un profesional como
auditor informático mediante la certificación profesional que gestionan. El modelo de
currículo que dichas organizaciones definen, y que un
7
profesional debería acreditar para ser reconocido como un auditor informático, se basa
en áreas de conocimiento, las que suelen ser:
La certificación se obtiene después de aprobar un examen sobre esas materias, acreditar una
experiencia profesional adecuada en el campo de las TIC y aceptar un código deética
profesional; y se mantiene acreditando una formación continua en la materia. Se cubriría así
que el auditor informático, como un técnico o especialista informático más, recibiese una
formación constante para actualizar sus conocimientos, capacidades y habilidades.
8
Mantener su capacidad en los campos relacionados con la auditoría y los S.I.
mediante la participación en actividades de capacitación profesional.
Cumplir con sus deberes en forma independiente y objetiva, y evitar toda
actividad que comprometa o parezca comprometer su independencia.
Mantener su capacidad en los campos relacionados con la auditoría y los S.I.
mediante la participación en actividades de capacitación profesional.
Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual
basar sus conclusiones y recomendaciones.
Informar a las partes involucradas del resultado de las tareas de auditoría que se
hayan realizado.
Apoyar la entrega de conocimientos a la dirección, clientes y al público en
general para mejorar su comprensión de la auditoría y los S.I.
Mantener altos estándares de conducta y carácter tanto en las actividades
profesionales como en las privadas.
FUNCIONES A DESARROLLAR
El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el
diseño y funcionamiento de los controles implantados y sobre la fiabilidad de lainformación
suministrada.
9
CONOCIMIENTOS Y HABILIDADES A DESARROLLAR
Entre los conocimientos y habilidades que posee el auditor informático se encuentra,
una base fuerte de conocimientos informáticos, acompañados con conocimientos sólidos
de auditoría, valoración de riesgos y control, además debe demostrar un conocimiento del
ambiente legal necesario para su trabajo como litigante.
Lo anteriormente señalado debe ser acompañado con una serie de habilidades necesarias
para una ejecución eficiente en su labor, tales como: facilidad de comunicación, habilidades
de detective, criminología y de litigante audaz.
10
CLASES DE AUDITORÍA INFORMÁTICA
Es importante establecer que la auditoría informática tiene algunos de sus fundamentos
en otras auditorías y que se toman diferentes conceptos e insumos deellas para
ejecutarla. A continuación, se presenta una clasificación de diferentes tipos de
auditorías la cual es diversa, tomando en cuenta variables o factores según su origen
y/o ámbito de su aplicación.
1. Por la Aplicación
Privadas: son ejecutadas y requeridas por los diferentes sectores de la economía
como son comercio, industrias, financiera y de servicios
Publicas: Son ejecutadas y desarrolladas en el Estado y sus dependencias tales
como: Gobierno Central, Entidades Autónomas, Municipalidades, etc.
2. Por el Ámbito
Auditoría Interna
Auditoría Externa
11
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Permiten detectar de forma sistemática el uso de los recursos y los flujos de información
dentro de una organización y determinar qué información es crítica para el cumplimiento
de su misión y objetivos
12
Los Sistemas deben estar actualizados con las últimas versiones del fabricante,
indagando las causas de las omisiones si éstas se han producido. El análisis delas
versiones de los S.O. permite descubrir posibles incompatibilidades entre algunos
productos de Software adquiridos por la instalación y determinadas versiones.
b) Software Básico.
Conjunto de productos que, sin pertenecer al Sistema Operativo, configuran
completamente los Sistemas Informáticos, haciendo posible la reutilización de
funciones básicas no incluidas en aquél. El auditor debe verificar que el software no
agrede, no condiciona al Sistema, debe considerar el esfuerzo realizado en términos
de costos, por si hubiera alternativas más económicas.
c) Tunning.
Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación
del comportamiento de los sistemas.
El Tunning posee una naturaleza más revisora, estableciéndose previamente planes
y programas de actuación según los síntomas observados.
Los Tunning pueden realizarse cuando existe la sospecha de deterioro del
comportamiento parcial o general del Sistema, de un modo sistemático y periódico,
por ejemplo cada seis meses.
El auditor informático deberá conocer el número de Tunning realizados el último
año y sus resultados, además analizará los modelos y los niveles e índices de
confianza de las observaciones.
13
AUDITORIA INFORMÁTICA DE COMUNICACIONES Y REDES
La Auditoria de este sector abarca un campo muy amplio por lo que requiere un de
equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales;
tomando en cuenta entornos geográficos reducidos lo que ha llevado a algunas empresas a
optar por el uso de Redes Locales, diseñadas y cableadas con recursos propios.
Estas fases deben estar sometidas a un exigente control interno, caso contrario además
de subir los costos, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría
deberá comprobar la seguridad de los programas en el sentido de garantizar que los
ejecutados por la maquina sean exactamente los previstos y no otros.
Una auditoría de Aplicaciones debe pasar ineludiblemente por la observación y el análisis
de cuatro consideraciones:
14
1. Revisión de las metodologías utilizadas: Se analizarán éstas, de modo que pudiesen
existir posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de
las mismas.
2. Control Interno de las Aplicaciones: Se deberán revisar las mismas fases que
presuntamente han debido seguir el área correspondiente de Desarrollo.
3. Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien
desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario
que la solicitó.
4. Control de Procesos y Ejecuciones de Programas Críticos: El auditor no debe
descartar la posibilidad de que se esté ejecutando un módulo que no se corresponde
con el programa fuente que desarrolló, codificó y probó el área de Desarrollo de
Aplicaciones.
También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o
parcial de la actividad computacional. Esta información puede ser de suma importancia,
y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
15
El uso inadecuado de la computadora comienza desde la utilización de la misma en usos
ajenos de la organización, la copia de programas para fines de comercialización sin reportar
los derechos de autor hasta el acceso vía remota a bases de datos a fin de modificar la
información con propósitos fraudulentos.
CONTROL Y AUDITORÍA
Auditar es efectuar el control y la revisión de una situación pasada, es observar lo que pasó
en una entidad y contrastarlo con normas predefinidas. Aunque un sistema informático
puede lograr el mismo resultado final que un sistema manual, la forma en que lo hace, y
por lo tanto el nivel de seguridad y control requerido, puede diferirconsiderablemente.
Hay una serie de riesgos importantes asociados con la el procesamiento de los sistemas
informáticos; es importante por lo tanto, que los altos estándares de seguridad y control sean
implementados para minimizar el impacto potencial en la organización.
El fraude y el abuso informático pueden tener un efecto perjudicial efecto en una
organización; encuestas periódicas emprendidas por organizaciones en todo el mundo
indican los siguientes casos comunes de fraude y abuso informático:
- La divulgación no autorizada de información confidencial información
- La falta de disponibilidad de los sistemas informáticos clave
- Modificación/destrucción no autorizada del software
- Modificación/destrucción no autorizada de los datos
16
- Robo de hardware y software de IT
- Uso de las instalaciones de TI para negocios personales
Al considerar la auditoría informática, cabe señalar que los objetivos y principios básicos
de control no cambian. Sin embargo, la forma en que se logran esos objetivos sí cambia
fundamentalmente.
Concretamente, se necesitan mayores controles preventivos en lugar de depender de los
mecanismos de control más detectivescos y correctivos que normalmente se encontrarían
en los sistemas manuales. El desarrollo de sistemas en línea en tiempo real por ejemplo, en
los que la inmediatez del procesamiento puede dar lugar a que se transfieran millones de
dólares en un sistema de transferencia de fondos, requiere un sólido nivel de seguridad.
Existen varias definiciones del término control, difieren debido a distinciones conceptuales
o bien respecto al objeto del mismo (dónde será aplicado).
Se lo define al control como “el proceso de ejercitar una influencia directiva o restrictiva”,
es decir, las posibilidades de dirigir actividades hacia objetivos buscados ode evitar que
se produzcan resultados no deseados.
La clave para el desempeño de la labor de auditoría es una evaluación integral basada en
el riesgo que debe determinar la cantidad de recursos de auditoría necesarios y que también
debe ayudar a determinar en la evaluación de un satisfactorio nivel de seguridad y control.
En general, se reconoce al control como una función administrativa básica; consiste en
verificar que las diferentes actividades que se realizan en una organización tiendan a
alcanzar sus objetivos.
Se considera que el control produce dos tipos de acciones según sea el ámbito donde se
aplique:
Influencia directiva, intenta que las actividades del sistema se realicen de modo
tal que produzcan determinados resultados o alcancen objetivos específicos
predefinidos.
Influencia restrictiva, la acción se ejerce de modo tal que evite que las actividades
de un sistema produzcan resultados no deseados.
17
En síntesis, el control es un proceso y consiste en una comparación, un contraste de un
resultado (ocurrido o proyectado) con otro (esperado o deseable) y, por lo tanto, implica una
medición.
- TIPOS DE CONTROL
Se estableció que la auditoría es una actividad de control, por lo tanto, se puede profundizar
clasificando a estos últimos:
a) De acuerdo a su objetivo
Correctivos, son aquellos que cuentan en su estructura con los elementos para medir
las desviaciones e informar sobre ellas, implican la determinación de los desvíos y
su informe a quien debe actuar sobre éstos. Los controles correctivos, también,
pueden ser retroalimentados (datos del pasado) o pre alimentado, por ejemplo:
presupuestos, etc.
No correctivos, son los que prescinden de la medición e información de losdesvíos
que se pueden producir, como es el caso de controles de separación por funciones y
oposición de intereses.
18
Las etapas para establecer un sistema de control son las siguientes:
2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con los
deseables. En esta etapa se investiga (más o menos extensamente) acerca de las
causas de las desviaciones que acompañarán un informe con las discrepancias
detectadas, para ser fuente de información de la siguiente fase.
4. La ejecución de las acciones correctivas es el último paso. Sin éste, el control será
estéril, inútil e incompleto. Los costos de no implementar esta etapa serán altos ya
que se planificó una respuesta al problema que intentó solucionar. Por ello, se
considera que sin esta etapa simplemente no ha existido una acción de control.
19