La auditoría informática es el proceso de recopilar y evaluar evidencia para determinar si un sistema informático protege los activos de una organización, mantiene la integridad de los datos y utiliza los recursos de manera eficiente. Un auditor informático debe tener conocimientos en áreas como administración, finanzas e informática para analizar los procesos de una organización y encontrar soluciones a problemas. La auditoría informática es importante para garantizar la seguridad, organización y eficiencia de los sistemas y datos de una empresa.
1. República Bolivariana de Venezuela.
I.U Politécnico “Santiago Mariño”.
Extensión Porlamar.
Ingeniera de sistema (47)
Autor:
María F. Suarez Salazar
C.I: 20.905.333
2. Auditoria
La auditoría es el examen crítico y sistemático que realiza una persona o
grupo de personas independientes del sistema auditado, que puede ser una
persona, organización, sistema, proceso, proyecto o producto, un análisis
detallado del sistema de información de la empresa, para el mismo se utilizan
una serie de técnicas y métodos específicos. Los informes los realiza un
profesional que tiene vínculos laborales con la compañía y los mismos circulan
de forma interna sin tener validez legal fuera de la compañía.
Auditor
Es aquel que evaluar las operaciones y actos administrativos y
financieros, verificando y determinando el cumplimiento de los procedimientos
de acuerdo a las leyes y normas tanto internas como externas, a fin de
garantizar que los objetivos de la Institución se cumplan dentro de los criterios
de eficacia y eficiencia y de gestión transparente.
Mapa Cronológico Donde Se Reseñe La Historia Y Evolución De La
Auditoria Según Carlos Muños Razo.
1284
Uno de los primeros registros que se tienen
es el de Sancho VI “El Bravo” quien ordeno a
algunos de sus hombres a controlar el
destino de los caudales públicos, lo que
origino el tribunal de cuentas de España.
1492
El descubrimiento de América fue uno de los
grandes contribuidores al uso de las
auditorias ya que la corono envió a
visitadores a revisar las cuentas y resultados
1800
Apareció en la revolución industrial a partir
de la década de 1800, ya que las empresas
habían alcanzado su auge en actividades
fabriles y mercantiles; lo que aumento la
necesidad de registrar las operaciones
contables
3. 1912
Se crea en instituto de contadores públicos
en España, surge como forma colegiada la
actividad de auditor,
1950
Jackson Martindell desarrollo uno de los
primeros programa de auditoría
administrativa.
1964
Cadmus y Bradford plantea de la necesidad
de las auditorias operativas
1981
V.M Rubio y J.Hernandez presentaron una
guía práctica de auditoría administrativa con
el fin de determinar los puntos vulnerables y
sugerir medidas correctivas.
4. Mapa Conceptual Donde Se Observe La Clasificación De Los Diferentes
Tipos De Auditoria Según Carlos Muñoz Razo.
Auditorias
Por su lugar de
aplicación
Auditoria
internas
Auditoria
externas
Por su área de
aplicación
Auditoría
financiera
Auditoria
administrativa
Auditoria
operativa
Auditoría
integral
Auditorias
especializadas en
aéreas especificas
Al área de
medicina
Auditoría fiscal
Auditoria
laboral
Auditoría
ambiental
Auditoria de
sistemas
Auditoria de
sistemas
computacionales
Informática
Con la
computador
a
Sin la
computador
a
Al sistema
de computo
Sistemas
de redes
5. Cuadro comparativo entre las ventajas y desventajas de las
auditoríasexternas e internas.
Auditoria interna
Ventajas Desventajas
Se practica dentro de la propia
empresa
Los ejecutores de la revisión podrían
utilizarla como medio de poder
Se tiene acceso a toda la información
y documentación
Los ejecutores no tienen
independencia profesional
Los fallos detectados son corregidos
inmediatamente
Los ejecutores senior pueden tender
a magnificar los resultados en busca
de mejores posiciones en la empresa
No se necesita todo un protocolo para
iniciar la revisión
Los ejecutores junior pueden caer en
medios coercitivos
Auditoria Externa
Ventajas Desventajas
El auditor tiene independencia
profesional
Son contratados por un precio y
tiempo determinado
Su amplia experiencia en otras
empresas le permite analizar la
aplicación de los procedimientos
generales
No toda la información está a su
alcance.
Pueden ser contratados para un
trabajo específico
Sus sugerencias pocas veces son
atendidas y más cuando la empresa
cuenta con un departamento de
auditoría interna.
6. Auditoria informática y establezca su alcance e importancia dentro de una
organización
La Auditoría Informática es el proceso llevado a cabo por profesionales
en el cual su objetivo es de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, automatizado,
y si mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos.
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoría informática, se complementa con los objetivos de
ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que
quede perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas.
*Control de integridad de registros:
Hay Aplicaciones que comparten registros, son registros comunes. Si
una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar
no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.
*Control de validación de errores:
Se corrobora que el sistema que se aplica para detectar y corregir
errores sea eficiente.
Características de la Auditoría Informática
La información de la empresa y para la empresa, siempre importante, se
ha convertido en un Activo Real de la misma, como sus Stocks o materias
primas si las hay. Por ende, han de realizarse inversiones informáticas, materia
de la que se ocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo
global y particular: a ello se debe la existencia de la Auditoría de Seguridad
Informática en general, o a la auditoría de Seguridad de alguna de sus áreas,
como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se
reorganiza de alguna forma su función: se está en el campo de la Auditoría de
Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que
se realizan en una auditoría parcial. De otra manera: cuando se realiza una
7. auditoria del área de Desarrollo de Proyectos de la Informática de una
empresa, es porque en ese Desarrollo existen, además de ineficiencias,
debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla
de ellas.
Síntomas de Necesidad de una Auditoría Informática
Las empresas acuden a las auditorías externas cuando existen síntomas bien
perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la propia
Compañía.
- Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración
fallida de alguna área o en la modificación de alguna Norma importante]
Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios
de Software en los terminales de usuario, resfrecamiento de paneles, variación
de los ficheros que deben ponerse diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados
periódicos. Pequeñas desviaciones pueden causar importantes desajustes en
la actividad del usuario, en especial en los resultados de Aplicaciones críticas y
sensibles.
Síntomas de debilidades económico-financiero:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad: Evaluación de nivel de riesgos
8. - Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que los genera. Los
datos de personal son especialmente confidenciales]
- Continuidad del Servicio. Es un concepto aún más importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia* Totales y Locales.
- Centro de Proceso de Datos fuera de control. Si tal situación llegara a
percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en
este caso, el síntoma debe ser sustituido por el mínimo indicio.
*Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota,
¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se
hagan Backups de la información diariamente y que aparte, sea doble, para
tener un Backup en la empresa y otro afuera de ésta. Una empresa puede
tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua)
distintos de los de la empresa principal, es decir, si a la empresa principal le
proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si
se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el
Backup para seguir operando en las oficinas paralelas. Los Backups se pueden
acumular durante dos meses, o el tiempo que estipule la empresa, y después
se van reciclando.
Perfil profesional de un auditor Informático
El auditor en informática debe tener conocimientos en diferentes áreas como
son la administración, finanzas, informática, Tener capacidad de análisis para
comprender y analizar los procesos de una organización para obtener posibles
soluciones a los problemas con los que se encuentre.
1. Conocimientos generales respecto a la organización
2. Normas o reglas para realizar una eficaz auditoria.
3. Conocer la estructura organizacional
4. Estar actualizado sobre nuevas métodos o técnicas para realizar la
auditoria.