AUDITORÍA DE LA FUNCIÓN INFORMÁTICA
M. EN T.I. DANIEL TORRES HERRERA
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 1
DEFINIR LOS CONCEPTOS DE AUDITORÍA
Y AUDITORÍA EN INFORMÁTICA.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 2
AUDITOR
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 3
AUDITOR
Un auditor es aquel que ha sidodesignado por una autoridadcompetente, para examinar, evaluary revisar los resultados de unagestión administrativa y/o financierade una institución, empresa uorganización, con el fin de informaracerca de estos procesos en buscade recomendaciones uobservaciones que permitanoptimizar el desempeño de lasmismas.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 4
AUDITORÍA
Sabiendo esto, es posible y
definir a la auditoria como
una función de dirección
cuya finalidad es analizar y
apreciar, con vistas a las
eventuales acciones
correctivas, el control
interno de las
organizaciones y sus
procesos.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 5
AUDITORIA INFORMÁTICA
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 6
AUDITORIA
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 7
Por el lugar de su
aplicación
Especializadas en áreas
especificas
Por su área de
aplicación
De sistemas
computacionales
Auditoria
AUDITORIA - POR EL LUGAR DE SU APLICACIÓN
Auditoria Interna
Auditoria Externa
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 8
AUDITORIA - ESPECIALIZADAS EN ÁREAS
ESPECIFICAS
Auditoría al área médica (Evaluación médico-sanitaria)
Auditoría al desarrollo de obras y Construcciones (Evaluación de ingeniería)
Auditoría fiscal
Auditoría laboral
Auditoría de proyectos de inversión
Auditoría a la caja chica o Caja mayor
Auditoría al manejo de mercancías (inventarios)
Auditoría ambiental
Auditoría de sistemas
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 9
AUDITORIA – POR SU ÁREA DE APLICACIÓN
Auditoría financiera
Auditoría administrativa
Auditoría operacional
Auditoría integral
Auditoría gubernamental
Auditoría de sistemas
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 10
AUDITORIA - DE SISTEMAS COMPUTACIONALES
Auditoría informática
Auditoría con la computadora
Auditoría sin la computadora
Auditoría a la gestión informática
Auditoría al sistema de cómputo
Auditoría alrededor de la
computadora
Auditoría de la seguridad de sistemas
computacionales
Auditoría a los sistemas de redes
Auditoría integral a los centros de
cómputo
Auditoría ISO-9000 a los sistemas
computacionales
Auditoría outsourcing
Auditoría ergonómica de sistemas
computacionales
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 11
AUDITORIA INTERNA
Ventajas
Facilita una ayuda primordial a la dirección al evaluar de
forma relativamente independiente los sistemas de
organización y de administración.
Facilita una evaluación global y objetiva de los problemas
de la empresa, que generalmente suelen ser
interpretados de una manera parcial por los
departamentos afectados.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 12
AUDITORIA INTERNA
Ventajas
Pone a disposición de la dirección un profundo conocimiento de las
operaciones de la empresa, proporcionado por el trabajo de
verificación de los datos contables y financieros.
Contribuye eficazmente a evitar las actividades rutinarias y la inercia
burocrática que generalmente se desarrollan en las grandes
empresas.
Favorece la protección de los intereses y bienes de la empresa frente
a terceros.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 13
AUDITORIA INTERNA
Desventajas
Tiene la desventaja que cadaempresa tiene suscaracterísticas propias yespeciales de manera quedeben enfocarse al tipo deempresa que se trate, ademáspuede modificarse por que esel control interno halla variadopor lo que los procedimientostambién serán diferentes.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 14
AUDITORIA EXTERNA
Ventajas
Los diversos métodos de trabajo empleados en las auditorías externas permitensu adecuación al tipo de empresa al que se dirige en cada caso. La auditoríaempresarial puede ser aprovechada, entre otras cosas, en los procesos siguientes:
Reorganización de la empresa
Atribución o reparto de nuevas funciones a los empleados
Análisis de los asuntos empresariales
Elaboración de descripciones de los puestos de trabajo
Estudio de los requisitos de las competencias para cada puesto
Examen de la actitud de los empleados hacia el trabajo
Estudio de la motivación de los empleados
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 15
AUDITORIA EXTERNA
Desventajas
El trabajo es más arduo en la recopilación de
datos para explicar resultados como:
Falta de elementos en los almacenes de repuestos
Falta o exceso en el almacenaje de materias primas
Falta o exceso en el almacenaje de productos
terminados
Deficiente instalación contra incendio o mal
desarrollo de Plan de emergencia
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 16
AUDITORIA EXTERNA
Desventajas
El trabajo es más arduo en la recopilación
de datos para explicar resultados como:
Deficiencias en la contabilidad
Deficiencias en algunas Normas ISO
Deficiencias en el plan de trabajo de calidad
(partes diarios de trabajo de cada departamento)
Deficiencias en la distribución ordenada de
deshechos
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 17
DEFINICIÓN DE AUDITORIA INFORMÁTICA
Es el conjunto de técnicas, procedimientos y actividades,
destinados a analizar y evaluar el funcionamiento de los
sistemas informáticos de un ente, por lo que comprende un
examen metódico, puntual y discontinuo, con el propósito
de mejorar aspectos como: Control y seguridad de los
sistemas informáticos; Cumplimiento de la normativa
tecnológica del ente; Control de planes de contingencia;
Eficacia y rentabilidad en el manejo de los sistemas.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 18
ALCANCE DE LA AUDITORÍA INFORMÁTICA
El alcance ha de definir con precisión el entorno y los límites en que
va a desarrollarse la auditoria informática, se completa con los
objetivos de ésta.
El alcance ha de figurar expresamente en el Informe Final, de modo
que quede perfectamente determinado no solamente hasta que
puntos se ha llegado, sino cuales materias fronterizas han sido
omitidos.
En este sentido un ejemplo de este control surge al plantearse las
siguientes cuestiones ¿Se someterán los registros grabados a un
control de integridad exhaustivo- ¿Se comprobará que los controles
de validación de errores son adecuados y suficientes.UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 19
ALCANCE DE LA AUDITORÍA INFORMÁTICA
La indefinición de los alcances de la auditoria comprometeel éxito de la misma. Características de la auditoríainformática.
La información de la empresa y para la empresa, siempreimportante, se ha convertido en un Activo de la misma,como sus Stocks o materias primas si las hay. Por ende, hande realizarse inversiones informática, materia de la que seocupa la Auditoria de Inversión Informática.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 20
IMPORTANCIA DE LA AUDITORIA INFORMÁTICA
EN UNA ORGANIZACIÓN
Los órganos de la los Sistemas Informáticos están
sometidos al control correspondiente, circunstancia
que no se debe olvidar. La importancia de llevar un
control de esta herramienta se puede deducir de
varios aspectos que a continuación se detallaran:
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 21
IMPORTANCIA DE LA AUDITORIA INFORMÁTICA
EN UNA ORGANIZACIÓN
Las computadoras y los Centros de Proceso de Datos seconvirtieron en blancos apetecibles no solo para elespionaje, sino para la delincuencia y el terrorismo. Eneste caso interviene la Auditoria Informática deSeguridad.
Las computadoras creadas para procesar y difundirresultados o información elaborada pueden producirresultados o información errónea si dichos datos son, a suvez, erróneos. En este caso interviene la AuditoriaInformática de Datos.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 22
IMPORTANCIA DE LA AUDITORIA INFORMÁTICA
EN UNA ORGANIZACIÓN
Un Sistema Informático mal diseñado puede convertirse
en una herramienta muy peligrosa para la empresa: la
empresa no puede depender de un Software y Hardware
mal diseñados.
Estos son solo algunos de los varios inconvenientes
que puede presentar un Sistema Informático, de ahí
la necesidad de la Auditoría de Sistemas.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 23
AUDITORIA INFORMÁTICA Y AUDITORIA DE
SISTEMAS DE INFORMACIÓN
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 24
Similitudes Diferencias
No se requieren nuevas normas de auditoría,
son las mismas.
Se establecen algunos nuevos procedimientos
de auditoría.
Los elementos básicos de un buen sistema de
control contable interno siguen siendo los
mismos; por ejemplo, la adecuada segregación
de funciones.
Hay diferencias en las técnicas destinadas a
mantener un adecuado control interno
contable.
Los propósitos principales del estudio y la
evaluación del control contable interno son la
obtención de evidencia para respaldar una
opinión y determinar la base, oportunidad y
extensión de las pruebas futuras de auditoría.
Hay alguna diferencia en la manera de
estudiar y evaluar el control interno contable.
El énfasis en la evaluación de los sistemas
manuales está en la evaluación de
transacciones, mientras que el énfasis en los
sistemas informáticos, está en la evaluación
del control interno.
CARACTERÍSTICAS Y OBJETIVOS DE LA
AUDITORÍA INFORMÁTICA
La Auditoría Informática se puede definir como “el
conjunto de procedimientos y técnicas para evaluar
y controlar un sistema informático con el fin de
constatar si sus actividades son correctas y de
acuerdo a las normativas informáticas y generales
en la organización”.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 25
CARACTERÍSTICAS Y OBJETIVOS DE LA
AUDITORÍA INFORMÁTICA
La Auditoría del Sistema de Información en la empresa, a
través de la evaluación y control que realiza, tiene como
objetivo fundamental mejorar la rentabilidad, la seguridad y
la eficacia del sistema automatizado de información en que
se sustenta.
El alcance ha de definir con precisión el entorno y los límites
en que va a desarrollarse la auditoría informática, se
complementa con los objetivos de ésta.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 26
CARACTERÍSTICAS DE LA AUDITORÍA
INFORMÁTICA
La información de la empresa y para la empresa, siempre
importante, se ha convertido en un Activo Real de la misma, como
sus Stocks o materias primas si las hay.
Por ende, han de realizarse inversiones informáticas, materia de la
que se ocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de
modo global y particular: a ello se debe la existencia de la
Auditoría de Seguridad Informática en general, o a la auditoría de
Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o
Técnica de Sistemas.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 27
CARACTERÍSTICAS DE LA AUDITORÍA
INFORMÁTICA
Cuando se producen cambios estructurales en la Informática, se
reorganiza de alguna forma su función: se está en el campo de la
Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras
que se realizan en una auditoría parcial.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 28
SÍNTOMAS DE NECESIDAD DE UNA AUDITORÍA
INFORMÁTICA
Las empresas acuden a las auditorías externas cuando
existen síntomas bien perceptibles de debilidad. Estos
síntomas pueden agruparse en clases:
Síntomas de descoordinación y desorganización
Síntomas de mala imagen e insatisfacción de los usuarios
Síntomas de debilidades económico-financieras
Síntomas de Inseguridad: Evaluación de nivel de riesgos
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 29
SÍNTOMAS DE DESCOORDINACIÓN Y
DESORGANIZACIÓN
No coinciden los objetivos de la Informática de la Compañía y dela propia Compañía.
Los estándares de productividad se desvían sensiblemente de lospromedios conseguidos habitualmente.
Puede ocurrir con algún cambio masivo de personal, o en unarestructuración fallida de alguna área o en la modificación dealguna Norma importante
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 30
SÍNTOMAS DE MALA IMAGEN E INSATISFACCIÓN
DE LOS USUARIOS
No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.
No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes desajustes
en la actividad del usuario, en especial en los resultados de Aplicaciones
críticas y sensibles.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 31
SÍNTOMAS DE DEBILIDADES ECONÓMICO-
FINANCIERAS
Incremento desmesurado de costos. Necesidad dejustificación de Inversiones Informáticas (la empresa no estáabsolutamente convencida de tal necesidad y decidecontrastar opiniones). Desviaciones Presupuestariassignificativas.
Costos y plazos de nuevos proyectos (deben auditarsesimultáneamente a Desarrollo de Proyectos y al órgano querealizó la petición).
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 32
SÍNTOMAS DE INSEGURIDAD: EVALUACIÓN DE
NIVEL DE RIESGOS
Seguridad Lógica y/o Seguridad Física
Confidencialidad: Los datos son propiedad inicialmente de la
organización que los genera. Los datos de personal son especialmente
confidenciales
Continuidad del Servicio: Es un concepto aún más importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de ContingenciaTotales y Locales.
Centro de Proceso de Datos fuera de control, Si tal situación llegara a
percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la
cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 33
AUDITOR INFORMATICO
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 34
¿CÓMO DEBE DE SER UN AUDITOR
INFORMÁTICO?
El Auditor Informático debe ser una persona con un alto
grado de calificación técnica y al mismo tiempo estar
integrado en las corrientes organizativas empresariales que
imperan hoy en día.
Se deben de contemplar las siguientes características para
mantener el perfil profesional adecuado y actualizado:
La persona o personas que integren esta función deben contemplar
en su formación básica una mezcla de conocimientos de auditoría
financiera y de informática en general.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 35
¿QUÉ DEBE SABER UN AUDITOR INFORMÁTICO?
Estos últimos deben contemplar conocimientos básicos de:
Desarrollo informático, gestión de proyectos y del ciclo de vida de un
proyecto de desarrollo.
Gestión del departamento de sistemas.
Análisis de riesgo en un entorno informático.
Sistema operativo.
Telecomunicaciones.
Gestión de base de datos.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 36
¿QUÉ DEBE SABER UN AUDITOR INFORMÁTICO?
Estos últimos deben contemplar conocimientos básicos de:
Seguridad física.
Operaciones y planificación informática.
Gestión de la seguridad de los sistemas y de la continuidad
empresarial a través de planes de contingencia de la información.
Gestión de problemas y de cambios en entornos informáticos.
Administración de datos. Comercio electrónico. Encriptación de
datos.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 37
¿QUÉ DEBE SABER UN AUDITOR INFORMÁTICO?
A estos conocimientos básicos se les deberá añadir unaespecialización en función de la importancia económica quedistintos componentes financieros puedan tener en unentorno empresarial.
Así en un entorno financiero pueden tener muchaimportancia las comunicaciones y será necesario que alguiendentro de la función de auditoría informática tenga estaespecialización.
UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 38
¿QUÉ DEBE SABER UN AUDITOR INFORMÁTICO?
El auditor informático debe conocer técnicas de gestión
empresarial y sobre todo de gestión del cambio ya que las
recomendaciones y soluciones que aporten deben estar en
la línea de la búsqueda optima de la mejor solución para los
objetivos empresariales que se persiguen y con los recursos
que se tienen.
El auditor informático debe tener siempre el concepto de
calidad total. Como parte de un colectivo empresarial, bien
sea permanentemente como auditor interno o
puntualmente como auditor externo.UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 39