Revista “AudiSystems” No. 1

Ingeniería de Sistemas Unefa Guacara 003-N

Abril 2011

AUDITORIA DE SISTEMAS

Material didáctico para contribuir con el aprendizaje y conocimiento de Estudiantes de la Universidad Nacional Experimental de la Fuerza Armada y de todas aquellas personas que ingresan al blog

http:// AuditoriadeSistemas -unefa.blogspot.com

Anaya Lisseth, Herrera Ernesto, Tarazona Jeniree, Tarazona Jessica

AudiSystems No. 1 http:// AuditoriadeSistemas -unefa.blogspot.com

Contenido

Auditar .................................................................................................................................................................... 2

Auditoría Interna o Externa .................................................................................................................................... 4

Tipos y Clases de Auditoría ..................................................................................................................................... 5

Tipos de Controles .................................................................................................................................................. 7

Técnicas para el Control ......................................................................................................................................... 8

“No vacilará un anciano a su edad en preguntar a un niño de siete días por el lugar de la vida, y vivirá;

pues muchos primeros vendrán a ser últimos y terminarán siendo uno solo” Jesús; Evangelio de

Tomás

Certificado de reserva de Derechos al uso Exclusivo. En el género de: Difusiones periódicas. Especie: Difusión vía red de Cómputo. Titular: Ingeniería de Sistemas Guacara 003-N Titulo “AudiSystems”

Auditar

Ingeniería de Sistemas Unefa G-003-N Página No. 2

AudiSystems No. 1 http:// AuditoriadeSistemas -unefa.blogspot.com

Concepto

Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.

La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.

A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:

• La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

• La actividad dirigida a verificar y juzgar información.

• El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Ingeniería de Sistemas Unefa G-003-N Página No. 3

AudiSystems No. 1 http:// AuditoriadeSistemas -unefa.blogspot.com

Auditoría Interna o Externa

La auditoria es realizada en recursos materiales y personas que estan en la empresa auditada.

Auditoría Interna

Existe por expresa decisión de la empresa, es decir que también se puede optar por su disolución en cualquier momento.

"Es una actividad independiente que tiene lugar dentro de la empresa y que está encaminada a la revisión de operaciones, con la finalidad de prestar un servicio a la dirección".

Es un control de dirección que tiene por objeto la medida y evaluación de la eficacia de otros controles.

La auditoría interna surge con posterioridad a la auditoría externa por la necesidad de mantener un control permanente y más eficaz dentro de la empresa y de hacer más rápida y eficaz la función del auditor externo. Generalmente, la auditoría interna clásica se ha venido ocupando fundamentalmente del sistema de control interno, es decir, del conjunto de medidas, políticas y procedimientos establecidos en las empresas para proteger el activo, minimizar las posibilidades de fraude, incrementar la eficiencia operativa y optimizar la calidad de la información.

Auditoría Externa

Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria interna debido Al mayor distanciamiento entre auditor y auditado.

La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los mismos.

Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de información examinado con el fin de acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando en las declaraciones del Auditor.

Una auditoría debe hacerla una persona o firma independiente de capacidad profesional reconocidas.

La auditoria informática tanto interna como externa debe ser una actividad exenta de cualquier contenido o matiz político ajena a la propia estrategia y política general de la empresa.

Ingeniería de Sistemas Unefa G-003-N Página No. 4

AudiSystems No. 1 http:// AuditoriadeSistemas -unefa.blogspot.com

Tipos y Clases de Auditoría

Auditoria Informática De Explotación

La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad.

(Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena).

Auditoria Informática De Desarrollo De Proyectos O Aplicaciones

La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:

• Prerrequisitos del usuario y del entorno.

• Análisis funcional.

• Diseño.

• Análisis orgánico (pre programación y programación).

• Pruebas.

• Explotación.

Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada)

Auditoria Informática De Sistemas

Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas s e auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN).

Ingeniería de Sistemas Unefa G-003-N Página No. 5

AudiSystems No. 1 http:// AuditoriadeSistemas -unefa.blogspot.com

Auditoria Informática De Comunicación Y Redes

Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).

Auditoria De La Seguridad Informática

Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información , de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.

Ingeniería de Sistemas Unefa G-003-N Página No. 6

AudiSystems No. 1 http:// AuditoriadeSistemas -unefa.blogspot.com

Tipos de Controles

Existen 3 tipos de control que son: El control preliminar, el concurrente, y el de retroalimentación.

Control preliminar: Este tipo de control, tiene lugar antes de que principien las operaciones e incluye la creación de políticas, procedimientos y reglas diseñadas para asegurar que las actividades planeadas serán ejecutadas con prioridad. En vez de esperar los resultados y comprarlos con los objetivos es posible ejercer una influencia controladora limitando las actividades por adelantado.

Son deseables debido a que permite a la administración evitar problemas en vez de corregirlos después, pero desafortunadamente este tipo de control requiere tiempo e información oportuna y precisa que suele ser difícil de desarrollar.

Control Concurrente: Este tipo de control tiene lugar durante la fa se de la acción de ejecutar los planes e incluye la dirección, vigilancia y sincronización de las actividades según ocurran, en otras palabras, pueden ayudar a garantizar que el plan será llevado a cabo en el tiempo específico y bajo las condiciones requeridas.

La forma mejor conocida del control concurrente es la supervisión directa. Cuando un administrador supervisa las acciones de un empleado de manera directa, el administrador puede verificar de forma concurrente las actividades del empleado y corregir los problemas que puedan ser presentados.

Control de retroalimentación: Indica que se han reunido algunos datos, se han analizado y se han regresados los resultados a alguien o a algo en el proceso que se está controlando de manera

que puedan hacerse correcciones.

El principal inconveniente de este tipo de control es que en el

momento en que el administrador tiene la información el daño ya

está hecho, es decir, se lleva a cabo después de la acción.

Ingeniería de Sistemas Unefa G-003-N Página No. 7

AudiSystems No. 1 http:// AuditoriadeSistemas -unefa.blogspot.com

Técnicas para el Control

Entre las diferentes técnicas de control se pueden mencionar las siguientes:

• Contabilidad• Presupuestos• Reportes, informes

• Formas

• Archivos (memorias de expedientes)• Computarizados• Mecanizados • Gráficas y diagramas. • Proceso, procedimientos, Gannt, etc.• Procedimiento hombre maquina, mano izquierda, mano derecha

etc. • Estudio de métodos, tiempos y movimientos, etc. • Métodos cuantitativos. • Redes.• Modelos matemáticos.• Investigación de operaciones.• Estadística.• Cálculos probabilísticas.

------------------------------------------------------------------------------------------------Ingeniería de Sistemas Unefa G-003-N.

Cualquier duda, comentario o sugerencia, dirígete http:// AuditoriadeSistemas -unefa.blogspot.com donde se te responderá a la mayor brevedad posible. ¡Comparte esta enseñanza envíasela a un

amigo! o envíanos sus datos y con gusto se la enviaremos

Ingeniería de Sistemas Unefa G-003-N Página No. 8