Este documento presenta una introducción a la auditoría informática. Define la auditoría y al auditor, e incluye un mapa cronológico de la historia y evolución de la auditoría. También incluye cuadros comparativos sobre los tipos de auditoría, las ventajas y desventajas de las auditorías internas y externas, y las diferencias entre auditoría de sistemas de información y auditoría informática. Finalmente, describe las características y objetivos de la auditoría informática.
1. REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN
I.U.P. SANTIAGO MARIÑO
MARACAIBO - ESTADO ZULIA
WebQuest
Introducción a la Auditoría Informática
Integrante:
León Michelle C.I.: 21228184
Cátedra:
Auditoria y Evaluación de Sistemas
Maracaibo, Octubre de 2015
2. Desarrollo
1. Definición de Auditoria:
La palabra auditoría proviene del latín auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por
otra parte, el diccionario Español Sopena lo define como: Revisor de
Cuentas colegiado. En un principio esta definición carece de la
explicación del objetivo fundamental que persigue todo auditor: evaluar la
eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del
Instituto mexicano de contadores nos dice: " La auditoría no es una
actividad meramente mecánica que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevado a cabo son de carácter
indudable."
De todo esto sacamos como deducción que la auditoría es un
examen crítico pero no mecánico, que no implica la preexistencia de fallas
en la entidad auditada y que persigue el fin de evaluar y mejorar la
eficacia y eficiencia de una sección o de un organismo.
2. Definición de auditor:
El auditor informático ha de velar por la correcta utilización de los
amplios recursos que la empresa pone en juego para disponer de un
eficiente y eficaz Sistema de Información. Claro está, que para la
realización de una auditoría informática eficaz, se debe entender a la
empresa en su más amplio sentido, ya que una Universidad, un Ministerio
o un Hospital son tan empresas como una Sociedad Anónima o empresa
Pública.
3. 3. Mapa cronológico de la historia y evolución de la auditoria
según Carlos Muños Razo.
HISTORIA Y EVOLUCIÓN DE LA AUDITORÍA
“En tiempos históricos, auditor era aquella persona a quien le leían los ingresos y
gastos producidos por un establecimiento ( de ahí su raíz latina del verbo audire, oír,
escuchar), practica muy utilizada por civilizaciones muy antiguas”. Sin embargo, de
acuerdo con los primeros antecedentes de auditoría, esto nació antes que la teneduría
de libros a finales de siglo XV, pro se profesionalizo con la contabilidad financiera a
finales del siglo pasado.
Los primeros antecedentes formales se encuentran en 1284, al subir al trono sancho
VI “El Bravo”, quien ordeno algunos de sus hombres de confianza que controlaran el
destino de los caudales públicos. Como resultado de esta medida y como producto de su
reinado, se origino el tribunal de cuentas en España.
El descubrimiento de americe (1492) contribuyo también al crecimiento de la actividad
de la auditoria, pues la corona envió visitadores a revisar las cuentas y resultados de su
colonia; dichos visitadores supervisaban que el registro y manejo de las cuentas fueran
correctos y emitían una opinión sobre la actuación del encargado.
Otros posibles orígenes lo representaron los auditores eclesiásticos de la Rita
romana, a través de tribunales pluripersonales, compuestos por 12 eclesiásticos: 8
italianos, 2 españoles, 1 alemán y 1 francés.
También se conocieron los auditores de la Marina y Guerra en 1894, a quienes se les
considero como los responsables del cumplimiento de las leyes a principios de esta
disciplina.
Algunos antecedentes más recientes aparecen con la revolución industrial, a partir de
la séptima década de 1800; en ese entonces, algunas empresas habían alcanzado gran
auge en las actividades fabricas y mercantiles, lo cual trajo consigo un notable
crecimiento en sus operaciones; obviamente, aumento también la necesidad de registrar
las operaciones contables, y con ellos se hizo casi indispensable la existencia de la
profesión de contador para satisfacer esa creciente necesidad.
4. Año Evolución Siglo XX
1912 En el instituto de contadores públicos de España, surgen en
forma colegiada la actividad del auditor, la cual tuvo una
duración muy efímera.
1932 James McKinsey llega a la conclusión de que la empresa
tenía que hacerse periódicamente una auditoria, la cual
consistiría en una evolución de la empresa en todos los
aspectos.
1948 Arthur H. kent funcionario de la empresa Standard Oil of
california, hiso importantes aportaciones sobre la auditoria de
operaciones
1950 Jackson Martindell, fundador del American Institute of
Management, desarrollo uno de los primeros programas de
auditoría administrativa con un procedimiento de control
directo y un sistema de evaluación, el cual se publico en su
libro Apreciación de la gerencia para ejecutaros e
inversionistas.
1962 Wiliam P. Leornard realizo un estudio completo de la auditoria
administrativa. En este trata los métodos para iniciar,
organizar, interpretar y presentar una revisión de carácter
administrativo
1968 Rigg F. J., autor británico desarrollo en su país un moderno
enfoque de la auditoria administrativa, cuya aplicación se
extendió a través de su obra The Management Audit, the
Internal Audior
1977 Clark C. Arb presenta una perspectiva sobre el conocimiento
de la medición de la conducta social de las empresas. En sus
conceptos de auditoría social destaca a responsabilidad
social, mediaciones del comportamiento, auditorias sociales
en decisiones administrativas y la implantación de las
auditoria
1983 Spencer Hayden expuso la necesidad de evaluar los
procedimientos administrativos y de aplicar las correcciones
necesarias para lograr una máxima eficiencia en las
actividades futuras. También abundo sobre un procedimiento
5. propio de la auditoria, el tratamiento con detalle del tema de
las consultorías administrativas, y enfoco a esta auditoría
dentro del camino al cambio organizacional
1984 Robert J. Thierauf hablo sobre la auditoria administrativa
como una técnica utilizada para evaluar las áreas
operacionales de una organización, enfocando su trabajo
desde el punto de vista administrativo.
Año Evolución de la Auditoria de Sistemas
1988 Echenique publico su libro auditoria de sistemas, en el cual
establece las principales bases para el desarrollo de una
auditoria de sistemas computacionales, dando un enfoque
teórico-practico sobre el tema
1992 Lee presento un libro en el cual enuncia los principales
aspectos a evaluar en una auditoria de sistemas, mediante
una especie de guía que le indican al auditor los aspectos
que debe evaluar en este campo
1995 Ma. Guadalupe Buendia Aguilar y Edith Antonieta Campos de
la O. presentan un trato de auditoría informática (apoyándose
en lo señalado por el maestro Echenique), en el cual
presentan metodologías y cuestionarios útiles para realizar
esta especialidad.
1995 Yann Darrien presenta un enfoque particular sobre la
auditoria de sistemas
1997 Francisco Ávila obtiene mención honorifica en su examen
profesional, en la UVM, campus san Rafael, con una tesis en
la cual propone un caso practico de auditoría de sistemas
realizados en una empresa paraestatal.
1998 Yann Darien presenta técnicas de auditoría, donde hace una
propuesta de las diversas herramientas de esta disciplina
1998 Mario G. Piattini y Emilio del Peso presenta auditoria
informática, un enfoque práctico, donde mencionan diversos
enfoques y aplicaciones de esta disciplina.
6. 4. Mapa conceptual de la clasificación de los diferentes tipos de
auditoria
CLASIFICACIÓN
DE LOS TIPOS
DE AUDITORÍA
Auditoria Financiera:
Es la mas conocida
de todas, pues es la
requerida por las
empresas y es la ue
ha presentado el
maximo desarrollo Auditoria de Gestion: aunq
no tan desarrollada como
la finaciera, es si se quiere
de igual o mayor
importancia que esta
ultima, pues sus efectos
tienen consecuencia que
mejoran en forma
aplreciable el desempeño
de la organizacion.
Auditoria de
Cumplimiento: hasta la
vigencia de la anterior
onstitucion, venia
ejecutando la Contraloria
General de la Republica,
y que consiste en el
simple control numerico
legal de las oeraciones de
los entes estatales en sus
diferentes niveles.
Auditoria de Control
Interno: es la evaluacion
de los sitemas de
contabilidad y de control
interno de una entidad,
con elproposito de
detrminar la calidad de
los mismos, y son de
confianza y eficientes en
el cumplimiento de sus
objetivos.
Auditoria Integral: no
es mas que la
integracion de la
auditoria financiera con
la de gestion, control
interno y la de
cumplimiento.
Auditoria Informatica:
es de reciebte
desarrollo y se debe a
la creciente
automatizacion en
todos los niveles de las
organizaciones en la
revision evaluacion de
los controles,sistemas
procedimientos de
informatica entre otros.
Auditoria
gubernamental: se
caracterizo por una
simple revision del
cumpimiento de las
normas legales que
rigen la actuacion de
los funcionarios del
estado.
7. 5. Cuadro comparativo entre las ventajas y desventajas de las
auditorías externas e internas
Auditoria Interna Externa
Ventajas -Se practica dentro de la
propia empresa.
-La lleva a cabo personal de
la misma empresa.
-Se tiene acceso a toda la
información y documentación
-Son conocidos y dominados
los procedimientos y el
control interno
-Los fallos detectados son
corregidos inmediatamente
-No se necesita todo un
protocolo para iniciar la
revisión
-Se puede seleccionar a
personal de la misma
empresa para cumplir con
esta función
- El auditor tiene
independencia
profesional
-Su amplia experiencia en
otras empresas le permite
analizar la aplicación de
los procedimientos
generales.
- Pueden ser contratados
para un trabajo
específico.
- Sus resultados son
relevantes en el medio
económico
-Sus sugerencias tienden
a una estandarización
preestablecida
Desventajas - Los ejecutores de la
revisión podrían utilizarla
como medio de poder.
- Los ejecutores no tienen
independencia profesional.
- Los ejecutores junior
pueden caer en medios
coercitivos.
- Los ejecutores sénior
pueden tender a magnificar
los resultados en busca de
mejores posiciones en la
empresa.
-Son contratados por un
precio y tiempo
determinado.
- La calidad profesional a
intervenir depende del
punto anterior
- No toda la información
está a su alcance.
- Los resultados pueden
ser negociados o
manejables por la
empresa contratante.
- El tiempo es una presión
para su revisión.
- En su afán de
justificarse, suelen
perderse en trivialidades
-Sus sugerencias pocas
veces son atendidas y
más cuando la empresa
cuenta con un
departamento de
auditoría interna.
8. 6. Definición de Auditoria informática y su alcance e importancia
dentro de una organización.
La Auditoría Informática es el proceso de recoger, agrupar y
evaluar evidencias para determinar si un sistema informatizado
salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente los
recursos. De este modo la auditoría informática sustenta y confirma la
consecución de los objetivos tradicionales de la auditoría:
- Objetivos de protección de activos e integridad de datos.
- Objetivos de gestión que abarcan, no solamente los de protección de
activos, sino también los de eficacia y eficiencia.
El alcance ha de definir con precisión el entorno y los límites en
que va a desarrollarse la auditoría informática, se complementa con los
objetivos de ésta. El alcance ha de figurar expresamente en el Informe
Final, de modo que quede perfectamente determinado no solamente
hasta que puntos se ha llegado, sino cuales materias fronterizas han sido
omitidas.
La auditoría es importante ya que permite a través de una revisión
independiente, la evaluación de actividades, funciones específicas,
resultados u operaciones de una organización, con el fin de evaluar su
correcta realización.
7. Cuadro comparativo de las diferencias entre Auditoria en
Sistemas de Información y Auditoría Informática.
Auditoria en Sistemas de
Información
Auditoría Informática
Buscar una mejor relación costo-
beneficio de los sistemas
automáticos o computarizados
diseñados e implantados por el
PAD
• Incrementar la satisfacción de los
usuarios de los sistemas
computarizados
• Asegurar una mayor integridad,
confidencialidad y confiabilidad de
la información mediante la
recomendación de seguridades y
controles.
• Conocer la situación actual del
área informática y las actividades y
• La información de la empresa y
para la empresa, siempre
importante, se ha convertido en un
Activo Real de la misma, como sus
Stocks o materias primas si las
hay. Por ende, han de realizarse
inversiones informáticas, materia
de la que se ocupa la Auditoria de
Inversión Informática.
• Del mismo modo, los Sistemas
Informáticos han de protegerse de
modo global y particular: a ello se
debe la existencia de la Auditoría
de Seguridad Informática en
general, o a la auditoría de
9. esfuerzos necesarios para lograr
los objetivos propuestos.
• Seguridad de personal, datos,
hardware, software e instalaciones
• Apoyo de función informática a las
metas y objetivos de la
organización.
Seguridad de alguna de sus áreas,
como pudieran ser Desarrollo o
Técnica de Sistemas.
• Cuando se producen cambios
estructurales en la Informática, se
reorganiza de alguna forma su
función: se está en el campo de la
Auditoría de Organización
Informática.
• Estos tres tipos de auditorías
engloban a las actividades
auditoras que se realizan en una
auditoría parcial. De otra manera:
cuando se realiza una auditoria del
área de Desarrollo de Proyectos de
la Informática de una empresa, es
porque en ese Desarrollo existen,
además de ineficiencias,
debilidades de organización, o de
inversiones, o de seguridad, o
alguna mezcla de ellas.
8. Características y objetivos de la Auditoria informática
La información de la empresa y para la empresa, siempre importante,
se ha convertido en un Activo Real de la misma, como sus Stocks o
materias primas si las hay. Por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoría de Inversión
Informática. Del mismo modo, los Sistemas Informáticos han de
protegerse de modo global y particular: a ello se debe la existencia de la
Auditoría de Seguridad Informática en general, o a la auditoría de
Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o
Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se
reorganiza de alguna forma su función: se está en el campo de la
Auditoría de Organización Informática. Estos tres tipos de auditorías
engloban a las actividades auditoras que se realizan en una auditoría
parcial.
De otra manera: cuando se realiza una auditoria del área de
Desarrollo de Proyectos de la Informática de una empresa, es porque en
ese Desarrollo existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Cumple con los objetivos de:
10. -Control de integridad de registros: Hay Aplicaciones que
comparten registros, son registros comunes. Si una Aplicación no tiene
integrado un registro común, cuando lo necesite utilizar no lo va encontrar
y, por lo tanto, la aplicación no funcionaría como debería.
-Control de validación de errores: Se corrobora que el sistema que
se aplica para detectar y corregir errores sea eficiente.
- Conocer los conceptos de control Interno de los Sistemas de
Información, funciones y objetivos de la auditoria informática.
- Conocer el proceso y las fases de la auditoria de sistemas de
información.
- Saber llevar a cabo la auditoria informática en los distintos
elementos que constituyen un sistema de información.
- Conocer los principales estándares y certificaciones relacionados
con la auditoría y el control informáticos.
9. Síntomas de necesidad de una auditoria informática dentro de
una organización
Las empresas acuden a las auditorías externas cuando existen
síntomas bien perceptibles de debilidad. Estos síntomas pueden
agruparse en clases:
· Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la
propia Compañía.
- Los estándares de productividad se desvían sensibles ente de los
promedios conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una
reestructuración fallida de alguna área o en la modificación de alguna
Norma importante]
· Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y
desatendido permanentemente.
11. - No se cumplen en todos los casos los plazos de entrega de
resultados periódicos. Pequeñas desviaciones pueden causar importantes
desajustes en la actividad del usuario, en especial en los resultados de
Aplicaciones críticas y sensibles.
· Síntomas de debilidad económico-financiera:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no
está absolutamente convencida de tal necesidad y decide contrastar
opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse
simultáneamente a Desarrollo de Proyectos y al órgano que realizó la
petición).
· Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que los
genera. Los datos de personal son especialmente confidenciales]
· Continuidad del Servicio. Es un concepto aún más importante que la
Seguridad.
Establece las estrategias de continuidad entre fallos mediante Planes
de Contingencia
Totales y Locales.
· Centro de Proceso de Datos fuera de control. Si tal situación llegara a
percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la
cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
10. Perfil profesional de un auditor Informático
Profesión Conocimientos deseables
Informático generalista Con experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado en
Explotación y en Desarrollo de Proyectos.
Conocedor de Sistemas.
12. Experto en Desarrollo de
Proyectos
Amplia experiencia como responsable de
proyectos.
Experto analista. Conocedor de las metodologías
de Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software
Básico.
Conocedor de los productos equivalentes en el
Mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos
y
Administración de las
mismas.
Con experiencia en el mantenimiento de Bases de
Datos. Conocimiento de productos compatibles y
Equivalentes. Buenos conocimientos de
explotación
Experto en Software de
Comunicación
Alta especialización dentro de la técnica de
sistemas.
Conocimientos profundos de redes. Muy experto
en Subsistemas de teleproceso.
Técnico de Organización Experto organizador y coordinador. Especialista en
el Análisis de flujos de información.
Técnico de evaluación de
Costes
Economista con conocimiento de Informática.
Gestión De costes.