REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN
I.U.P. SANTIAGO MARIÑO
MARACAIBO - ESTADO ZULIA
WebQuest
Introducción a la Auditoría Informática
Integrante:
León Michelle C.I.: 21228184
Cátedra:
Auditoria y Evaluación de Sistemas
Maracaibo, Octubre de 2015
Desarrollo
1. Definición de Auditoria:
La palabra auditoría proviene del latín auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por
otra parte, el diccionario Español Sopena lo define como: Revisor de
Cuentas colegiado. En un principio esta definición carece de la
explicación del objetivo fundamental que persigue todo auditor: evaluar la
eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del
Instituto mexicano de contadores nos dice: " La auditoría no es una
actividad meramente mecánica que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevado a cabo son de carácter
indudable."
De todo esto sacamos como deducción que la auditoría es un
examen crítico pero no mecánico, que no implica la preexistencia de fallas
en la entidad auditada y que persigue el fin de evaluar y mejorar la
eficacia y eficiencia de una sección o de un organismo.
2. Definición de auditor:
El auditor informático ha de velar por la correcta utilización de los
amplios recursos que la empresa pone en juego para disponer de un
eficiente y eficaz Sistema de Información. Claro está, que para la
realización de una auditoría informática eficaz, se debe entender a la
empresa en su más amplio sentido, ya que una Universidad, un Ministerio
o un Hospital son tan empresas como una Sociedad Anónima o empresa
Pública.
3. Mapa cronológico de la historia y evolución de la auditoria
según Carlos Muños Razo.
HISTORIA Y EVOLUCIÓN DE LA AUDITORÍA
“En tiempos históricos, auditor era aquella persona a quien le leían los ingresos y
gastos producidos por un establecimiento ( de ahí su raíz latina del verbo audire, oír,
escuchar), practica muy utilizada por civilizaciones muy antiguas”. Sin embargo, de
acuerdo con los primeros antecedentes de auditoría, esto nació antes que la teneduría
de libros a finales de siglo XV, pro se profesionalizo con la contabilidad financiera a
finales del siglo pasado.
Los primeros antecedentes formales se encuentran en 1284, al subir al trono sancho
VI “El Bravo”, quien ordeno algunos de sus hombres de confianza que controlaran el
destino de los caudales públicos. Como resultado de esta medida y como producto de su
reinado, se origino el tribunal de cuentas en España.
El descubrimiento de americe (1492) contribuyo también al crecimiento de la actividad
de la auditoria, pues la corona envió visitadores a revisar las cuentas y resultados de su
colonia; dichos visitadores supervisaban que el registro y manejo de las cuentas fueran
correctos y emitían una opinión sobre la actuación del encargado.
Otros posibles orígenes lo representaron los auditores eclesiásticos de la Rita
romana, a través de tribunales pluripersonales, compuestos por 12 eclesiásticos: 8
italianos, 2 españoles, 1 alemán y 1 francés.
También se conocieron los auditores de la Marina y Guerra en 1894, a quienes se les
considero como los responsables del cumplimiento de las leyes a principios de esta
disciplina.
Algunos antecedentes más recientes aparecen con la revolución industrial, a partir de
la séptima década de 1800; en ese entonces, algunas empresas habían alcanzado gran
auge en las actividades fabricas y mercantiles, lo cual trajo consigo un notable
crecimiento en sus operaciones; obviamente, aumento también la necesidad de registrar
las operaciones contables, y con ellos se hizo casi indispensable la existencia de la
profesión de contador para satisfacer esa creciente necesidad.
Año Evolución Siglo XX
1912 En el instituto de contadores públicos de España, surgen en
forma colegiada la actividad del auditor, la cual tuvo una
duración muy efímera.
1932 James McKinsey llega a la conclusión de que la empresa
tenía que hacerse periódicamente una auditoria, la cual
consistiría en una evolución de la empresa en todos los
aspectos.
1948 Arthur H. kent funcionario de la empresa Standard Oil of
california, hiso importantes aportaciones sobre la auditoria de
operaciones
1950 Jackson Martindell, fundador del American Institute of
Management, desarrollo uno de los primeros programas de
auditoría administrativa con un procedimiento de control
directo y un sistema de evaluación, el cual se publico en su
libro Apreciación de la gerencia para ejecutaros e
inversionistas.
1962 Wiliam P. Leornard realizo un estudio completo de la auditoria
administrativa. En este trata los métodos para iniciar,
organizar, interpretar y presentar una revisión de carácter
administrativo
1968 Rigg F. J., autor británico desarrollo en su país un moderno
enfoque de la auditoria administrativa, cuya aplicación se
extendió a través de su obra The Management Audit, the
Internal Audior
1977 Clark C. Arb presenta una perspectiva sobre el conocimiento
de la medición de la conducta social de las empresas. En sus
conceptos de auditoría social destaca a responsabilidad
social, mediaciones del comportamiento, auditorias sociales
en decisiones administrativas y la implantación de las
auditoria
1983 Spencer Hayden expuso la necesidad de evaluar los
procedimientos administrativos y de aplicar las correcciones
necesarias para lograr una máxima eficiencia en las
actividades futuras. También abundo sobre un procedimiento
propio de la auditoria, el tratamiento con detalle del tema de
las consultorías administrativas, y enfoco a esta auditoría
dentro del camino al cambio organizacional
1984 Robert J. Thierauf hablo sobre la auditoria administrativa
como una técnica utilizada para evaluar las áreas
operacionales de una organización, enfocando su trabajo
desde el punto de vista administrativo.
Año Evolución de la Auditoria de Sistemas 1988 Echenique publico su libro auditoria de sistemas, en el cual
establece las principales bases para el desarrollo de una
auditoria de sistemas computacionales, dando un enfoque
teórico-practico sobre el tema
1992 Lee presento un libro en el cual enuncia los principales
aspectos a evaluar en una auditoria de sistemas, mediante
una especie de guía que le indican al auditor los aspectos
que debe evaluar en este campo
1995 Ma. Guadalupe Buendia Aguilar y Edith Antonieta Campos de
la O. presentan un trato de auditoría informática (apoyándose
en lo señalado por el maestro Echenique), en el cual
presentan metodologías y cuestionarios útiles para realizar
esta especialidad.
1995 Yann Darrien presenta un enfoque particular sobre la
auditoria de sistemas
1997 Francisco Ávila obtiene mención honorifica en su examen
profesional, en la UVM, campus san Rafael, con una tesis en
la cual propone un caso practico de auditoría de sistemas
realizados en una empresa paraestatal.
1998 Yann Darien presenta técnicas de auditoría, donde hace una
propuesta de las diversas herramientas de esta disciplina
1998 Mario G. Piattini y Emilio del Peso presenta auditoria
informática, un enfoque práctico, donde mencionan diversos
enfoques y aplicaciones de esta disciplina.
4. Mapa conceptual de la clasificación de los diferentes tipos de
auditoria
CLASIFICACIÓN
DE LOS TIPOS DE AUDITORÍA
Auditoria Financiera: Es la mas conocida de todas, pues es la
requerida por las empresas y es la ue
ha presentado el maximo desarrollo
Auditoria de Gestion: aunq no tan desarrollada como
la finaciera, es si se quiere de igual o mayor
importancia que esta ultima, pues sus efectos tienen consecuencia que
mejoran en forma aplreciable el desempeño
de la organizacion.
Auditoria de Cumplimiento: hasta la vigencia de la anterior
onstitucion, venia ejecutando la Contraloria General de la Republica,
y que consiste en el simple control numerico
legal de las oeraciones de los entes estatales en sus
diferentes niveles.
Auditoria de Control Interno: es la evaluacion
de los sitemas de contabilidad y de control interno de una entidad,
con elproposito de detrminar la calidad de los mismos, y son de
confianza y eficientes en el cumplimiento de sus
objetivos.
Auditoria Integral: no es mas que la
integracion de la auditoria financiera con la de gestion, control
interno y la de cumplimiento.
Auditoria Informatica: es de reciebte
desarrollo y se debe a la creciente
automatizacion en todos los niveles de las
organizaciones en la revision evaluacion de los controles,sistemas
procedimientos de informatica entre otros.
Auditoria gubernamental: se caracterizo por una simple revision del cumpimiento de las normas legales que rigen la actuacion de los funcionarios del
estado.
5. Cuadro comparativo entre las ventajas y desventajas de las
auditorías externas e internas
Auditoria Interna Externa
Ventajas -Se practica dentro de la propia empresa. -La lleva a cabo personal de la misma empresa. -Se tiene acceso a toda la información y documentación -Son conocidos y dominados los procedimientos y el control interno -Los fallos detectados son corregidos inmediatamente -No se necesita todo un protocolo para iniciar la revisión -Se puede seleccionar a personal de la misma empresa para cumplir con esta función
- El auditor tiene independencia profesional -Su amplia experiencia en otras empresas le permite analizar la aplicación de los procedimientos generales. - Pueden ser contratados para un trabajo específico. - Sus resultados son relevantes en el medio económico -Sus sugerencias tienden a una estandarización preestablecida
Desventajas - Los ejecutores de la revisión podrían utilizarla como medio de poder. - Los ejecutores no tienen independencia profesional. - Los ejecutores junior pueden caer en medios coercitivos. - Los ejecutores sénior pueden tender a magnificar los resultados en busca de mejores posiciones en la empresa.
-Son contratados por un precio y tiempo determinado. - La calidad profesional a intervenir depende del punto anterior - No toda la información está a su alcance. - Los resultados pueden ser negociados o manejables por la empresa contratante. - El tiempo es una presión para su revisión. - En su afán de justificarse, suelen perderse en trivialidades -Sus sugerencias pocas veces son atendidas y más cuando la empresa cuenta con un departamento de auditoría interna.
6. Definición de Auditoria informática y su alcance e importancia
dentro de una organización.
La Auditoría Informática es el proceso de recoger, agrupar y
evaluar evidencias para determinar si un sistema informatizado
salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente los
recursos. De este modo la auditoría informática sustenta y confirma la
consecución de los objetivos tradicionales de la auditoría:
- Objetivos de protección de activos e integridad de datos.
- Objetivos de gestión que abarcan, no solamente los de protección de
activos, sino también los de eficacia y eficiencia.
El alcance ha de definir con precisión el entorno y los límites en
que va a desarrollarse la auditoría informática, se complementa con los
objetivos de ésta. El alcance ha de figurar expresamente en el Informe
Final, de modo que quede perfectamente determinado no solamente
hasta que puntos se ha llegado, sino cuales materias fronterizas han sido
omitidas.
La auditoría es importante ya que permite a través de una revisión
independiente, la evaluación de actividades, funciones específicas,
resultados u operaciones de una organización, con el fin de evaluar su
correcta realización.
7. Cuadro comparativo de las diferencias entre Auditoria en
Sistemas de Información y Auditoría Informática.
Auditoria en Sistemas de Información
Auditoría Informática
Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD • Incrementar la satisfacción de los usuarios de los sistemas computarizados • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. • Conocer la situación actual del área informática y las actividades y
• La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática. • Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de
esfuerzos necesarios para lograr los objetivos propuestos. • Seguridad de personal, datos, hardware, software e instalaciones • Apoyo de función informática a las metas y objetivos de la organización.
Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. • Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. • Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
8. Características y objetivos de la Auditoria informática
La información de la empresa y para la empresa, siempre importante,
se ha convertido en un Activo Real de la misma, como sus Stocks o
materias primas si las hay. Por ende, han de realizarse inversiones
informáticas, materia de la que se ocupa la Auditoría de Inversión
Informática. Del mismo modo, los Sistemas Informáticos han de
protegerse de modo global y particular: a ello se debe la existencia de la
Auditoría de Seguridad Informática en general, o a la auditoría de
Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o
Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se
reorganiza de alguna forma su función: se está en el campo de la
Auditoría de Organización Informática. Estos tres tipos de auditorías
engloban a las actividades auditoras que se realizan en una auditoría
parcial.
De otra manera: cuando se realiza una auditoria del área de
Desarrollo de Proyectos de la Informática de una empresa, es porque en
ese Desarrollo existen, además de ineficiencias, debilidades de
organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
Cumple con los objetivos de:
-Control de integridad de registros: Hay Aplicaciones que
comparten registros, son registros comunes. Si una Aplicación no tiene
integrado un registro común, cuando lo necesite utilizar no lo va encontrar
y, por lo tanto, la aplicación no funcionaría como debería.
-Control de validación de errores: Se corrobora que el sistema que
se aplica para detectar y corregir errores sea eficiente.
- Conocer los conceptos de control Interno de los Sistemas de
Información, funciones y objetivos de la auditoria informática.
- Conocer el proceso y las fases de la auditoria de sistemas de
información.
- Saber llevar a cabo la auditoria informática en los distintos
elementos que constituyen un sistema de información.
- Conocer los principales estándares y certificaciones relacionados
con la auditoría y el control informáticos.
9. Síntomas de necesidad de una auditoria informática dentro de
una organización
Las empresas acuden a las auditorías externas cuando existen
síntomas bien perceptibles de debilidad. Estos síntomas pueden
agruparse en clases:
· Síntomas de descoordinación y desorganización:
- No coinciden los objetivos de la Informática de la Compañía y de la
propia Compañía.
- Los estándares de productividad se desvían sensibles ente de los
promedios conseguidos habitualmente.
[Puede ocurrir con algún cambio masivo de personal, o en una
reestructuración fallida de alguna área o en la modificación de alguna
Norma importante]
· Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. Ejemplos:
cambios de Software en los terminales de usuario, refrescamiento de
paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en
plazos razonables. El usuario percibe que está abandonado y
desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de
resultados periódicos. Pequeñas desviaciones pueden causar importantes
desajustes en la actividad del usuario, en especial en los resultados de
Aplicaciones críticas y sensibles.
· Síntomas de debilidad económico-financiera:
- Incremento desmesurado de costes.
- Necesidad de justificación de Inversiones Informáticas (la empresa no
está absolutamente convencida de tal necesidad y decide contrastar
opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse
simultáneamente a Desarrollo de Proyectos y al órgano que realizó la
petición).
· Síntomas de Inseguridad: Evaluación de nivel de riesgos
- Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que los
genera. Los datos de personal son especialmente confidenciales]
· Continuidad del Servicio. Es un concepto aún más importante que la
Seguridad.
Establece las estrategias de continuidad entre fallos mediante Planes
de Contingencia
Totales y Locales.
· Centro de Proceso de Datos fuera de control. Si tal situación llegara a
percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la
cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
10. Perfil profesional de un auditor Informático
Profesión Conocimientos deseables
Informático generalista Con experiencia amplia en ramas distintas.
Deseable que su labor se haya desarrollado en
Explotación y en Desarrollo de Proyectos.
Conocedor de Sistemas.
Experto en Desarrollo de
Proyectos
Amplia experiencia como responsable de
proyectos.
Experto analista. Conocedor de las metodologías
de Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software
Básico.
Conocedor de los productos equivalentes en el
Mercado. Amplios conocimientos de Explotación.
Experto en Bases de Datos
y
Administración de las
mismas.
Con experiencia en el mantenimiento de Bases de
Datos. Conocimiento de productos compatibles y
Equivalentes. Buenos conocimientos de
explotación
Experto en Software de
Comunicación
Alta especialización dentro de la técnica de
sistemas.
Conocimientos profundos de redes. Muy experto
en Subsistemas de teleproceso.
Técnico de Organización Experto organizador y coordinador. Especialista en
el Análisis de flujos de información.
Técnico de evaluación de
Costes
Economista con conocimiento de Informática.
Gestión De costes.