Principios y procedimientos de la auditoria informática

Joel David rojas polo

Doc. Laureano Triana

Auditoria informática

Contaduría publica

Grupo A1

Universidad autónoma del caribe

Facultad de ciencias administrativas, económicas y contables

 Principios y procedimientos de la auditoria informática

La auditoría informática, hoy en día es muy conocida más que todo es práctica y fácil a diferencia de las
auditorias manuales o tradicionales, las cuales favorecen en el desarrollo de actividades de la manera más
precisa ya que parte del análisis de bases de datos y sistemas informáticos que permiten cuestionar el
funcionamiento de dichas herramientas utilizadas hoy en día por las grandes empresas y multinacionales.

Desde el siglo XX, los sistemas informáticos se han constituidos en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los
sistemas de información de la empresa.

El termino de auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una
evaluación cuyo único fin es detectar errores y señalar fallas, desde allí el concepto de auditoría se ha
convertido más que detectar fallas de una entidad, lo cual hoy en día ha evolucionado gracias a las normas
internacionales de auditoría generalmente aceptadas, ha establecido el siguiente concepto: la auditoria es
aquel examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, organismo o
entidad, etc. Siendo así que el auditor informático debe por obligación velar la correcta utilización de los
amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de
información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la
empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas
como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios"
de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.

A partir de la auditoria informática realizada se debe tener en cuenta ciertos principios y procedimientos que
permitan concluir un dictamen de acuerdo a la realidad de la empresa en el campo informático, dando como
punto de partida el juicio profesional que posee el auditor la cual permita en primer lugar realizar una
auditoria informática de calidad utilizando las normas internacionales de auditoria generalmente aceptadas,
así favorece a la empresa en su estructura operativa. Dichos principios que debe tener un auditor son los
mencionados a continuación, las cuales considero los más importante:

 Principio de beneficio: el auditor está en la obligación de rendir informes buscando

la máxima eficiencia y rentabilidad de los medios informáticos de la empresa
auditada, haciendo en público sus recomendaciones basados en su juicio
profesional, el debido reforzamiento del sistema y estudio de las soluciones más
idóneas teniendo en cuenta los problemas detectados.
 Principio de calidad: el auditor deberá prestar sus servicios en base a las
posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la
utilización de dichos medios basados en las NIA´s y en condiciones técnicas
adecuadas para el idóneo cumplimiento de su labor.
 Principio de capacidad: El auditor debe estar plenamente capacitado para la
realización de la auditoría encomendada, máxime teniendo encuentra que, en la
mayoría de los casos, dada su especialización, a los auditados en algunos casos les
puede ser extremadamente difícil verificar sus recomendaciones y evaluar
correctamente la precisión de las mismas.
 Principio de cautela: El auditor debe en todo momento ser consciente de que sus
recomendaciones deben estar basadas en la experiencia contrastada que se le supone
tiene adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en
proyectos de futuro fundamentados en simples intuiciones sobre la posible
evolución de las nuevas tecnologías de la información.
 Principio de comportamiento profesional: El auditor, tanto en sus relaciones con
el auditado como con terreras personas, deberá en todo momento actuar conforme a
las normas, implícitas o explícitas, de dignidad de la profesión y de corrección en el
trato personal.
 Principio de concentración en el trabajo: el auditor deberá evitar que un exceso
de trabajo supere sus posibilidades de concentración y precisión en cada una de las
tareas a él encomendadas, ya que la saturación y dispersión de trabajos suele a
 menudo, si no está debidamente controlada, provocar la conclusión de los mismos
sin las debidas garantías de seguridad.
 Principio de confianza: El auditor deberá facilitar e incrementar la confianza del
auditado en base a una actuación de transparencia en su actividad profesional sin
alardes científico-técnicos que, por su incomprensión, puedan restar credibilidad a
los resultados obtenidos y a las directrices aconsejadas de actuación.
 Principio de criterio propio: El auditor durante la ejecución de la auditoría deberá
actuar con criterio propio y no permitir que éste subordinado al de otros
profesionales, aun de reconocido prestigio, que no coincidan con el mismo.
 Principio de discreción: El auditor deberá en todo momento mantener una cierta
discreción en la divulgación de datos, aparentemente inocuos, que se le hayan
puesto de manifiesto durante la ejecución de la auditoría.
 Principio de economía: El auditor deberá proteger, en la medida de sus
conocimientos, los derechos económicos del auditado evitando generar gastos
innecesarios en el ejercicio de su actividad.
 Principio de formación continuada: impone a los auditores el deber y la
responsabilidad de mantener una permanente actualización de sus conocimientos y
métodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la
competencia de la oferta.
 Principio de fortalecimiento y respecto de la profesión: La defensa de los
auditados pasa por el fortalecimiento de la profesión de los auditores informáticos,
lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad
desarrollada por los mismos y un comportamiento acorde con los requisitos
exigibles para el idóneo cumplimiento de la finalidad de las auditorías.
 Principio de la independencia: obliga al auditor, tanto si actúa como profesional
externo o con dependencia laboral respecto a la empresa en la que deba realizar la
auditoría informática, a exigir una total autonomía e independencia en su trabajo,
condición ésta imprescindible para permitirle actuar libremente según su leal saber
y entender.

Así mismo para realizar un auditoria informática y obtener un buen resultado se debe implementar ciertos
procedimientos que concuerden con aquellas fallas que presente el sistema de información integrado de la
empresa, por lo tanto antes de realizar la ejecución de debe planear aquellas actividades que permitan
cumplir los objetivos propuestos en el inicio de la auditoria.

PROCEDIMIENTOS DE LA AUDITORÍA DE SISTEMAS

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales
y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de
auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna
evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y
que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia.

Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos
para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas
emprendidas por la gerencia. Aspectos del medio ambiente informático que afectan el enfoque de la
auditoria y sus procedimientos.

 Complejidad de los sistemas.

 Uso de lenguajes.
 Metodologías, son parte de las personas y su experiencia.
 Centralización.
 Controles del computador.
 Controles manuales, hoy automatizados (procedimientos programados).
 Confiabilidad electrónica.
 Debilidades de las máquinas y tecnología.
  Transmisión y registro de la información en medios magnéticos, óptico y otros.
 Almacenamiento en medios que deben acceder a través del computador mismo.
 Centros externos de procesamiento de datos.
 Dependencia externa.

Auditoría a través del computador

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el
espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de
Seguridad. La informática ha abierto nuevos horizontes al delincuente, incitando su imaginación, favoreciendo
la dificultad de descubrir la manipulación del sistema.

Ejemplo: Auditoria informática frente a un caso de espionaje informático en una empresa.

Una empresa sospechaba, que el sistema central de información estaba siendo manipulado por personal no
autorizado. A consecuencia de lo antes mencionado se procedió a realizar una estricta auditoria informática.

El objeto del presente trabajo supone la intervención de un equipo de auditores informáticos, quienes cuentan
con la asistencia de un Abogado, quien debe asesorarlos en materia de recolección de pruebas para poder
verificar la eficaz iniciación de un proceso penal. Se trata de un espionaje informático cometido por un
empleado de la empresa de cierto rango jerárquico, puede no existir el acceso ilegitimo, puesto que es factible
que dicho empleado cuente con la autorización para acceder a la información valiosa.

En definitiva se trata de un individuo que efectúa la técnica de acceso no programado al sistema desde adentro
de la empresa con el objetivo de obtener la información de sustancial valor comercial para la empresa, la que,
generalmente es vendida a la competencia. El equipo de auditoria debe recaudar evidencias comprobatorias
para confirmar que la empresa fue víctima de un delito informático.

Es importante recolectar información de carácter estrictamente informático (impresiones de listados de

archivos y carpetas. Se debe realizar la incautación de hardware, terminales, routers, etc. siempre y cuando se
trate de material de propiedad de la empresa. Es importante que este material sea sellado con el fin de
garantizar su inalterabilidad e intangibilidad lo que se supone por ejemplo que todos los puertos y entradas del
hardware deben ser anulados de manera que no se puedan alterar.