REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

I.U.P. SANTIAGO MARIÑO

MARACAIBO - ESTADO ZULIA

WebQuest

Introducción a la Auditoría Informática

Integrante:

León Michelle C.I.: 21228184

Cátedra:

Auditoria y Evaluación de Sistemas

Maracaibo, Octubre de 2015

Desarrollo

1. Definición de Auditoria:

La palabra auditoría proviene del latín auditorius, y de esta proviene la

palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. Por

otra parte, el diccionario Español Sopena lo define como: Revisor de

Cuentas colegiado. En un principio esta definición carece de la

explicación del objetivo fundamental que persigue todo auditor: evaluar la

eficiencia y eficacia. Si consultamos el Boletín de Normas de auditoría del

Instituto mexicano de contadores nos dice: " La auditoría no es una

actividad meramente mecánica que implique la aplicación de ciertos

procedimientos cuyos resultados, una vez llevado a cabo son de carácter

indudable."

De todo esto sacamos como deducción que la auditoría es un

examen crítico pero no mecánico, que no implica la preexistencia de fallas

en la entidad auditada y que persigue el fin de evaluar y mejorar la

eficacia y eficiencia de una sección o de un organismo.

2. Definición de auditor:

El auditor informático ha de velar por la correcta utilización de los

amplios recursos que la empresa pone en juego para disponer de un

eficiente y eficaz Sistema de Información. Claro está, que para la

realización de una auditoría informática eficaz, se debe entender a la

empresa en su más amplio sentido, ya que una Universidad, un Ministerio

o un Hospital son tan empresas como una Sociedad Anónima o empresa

Pública.

3. Mapa cronológico de la historia y evolución de la auditoria

según Carlos Muños Razo.

HISTORIA Y EVOLUCIÓN DE LA AUDITORÍA

“En tiempos históricos, auditor era aquella persona a quien le leían los ingresos y

gastos producidos por un establecimiento ( de ahí su raíz latina del verbo audire, oír,

escuchar), practica muy utilizada por civilizaciones muy antiguas”. Sin embargo, de

acuerdo con los primeros antecedentes de auditoría, esto nació antes que la teneduría

de libros a finales de siglo XV, pro se profesionalizo con la contabilidad financiera a

finales del siglo pasado.

Los primeros antecedentes formales se encuentran en 1284, al subir al trono sancho

VI “El Bravo”, quien ordeno algunos de sus hombres de confianza que controlaran el

destino de los caudales públicos. Como resultado de esta medida y como producto de su

reinado, se origino el tribunal de cuentas en España.

El descubrimiento de americe (1492) contribuyo también al crecimiento de la actividad

de la auditoria, pues la corona envió visitadores a revisar las cuentas y resultados de su

colonia; dichos visitadores supervisaban que el registro y manejo de las cuentas fueran

correctos y emitían una opinión sobre la actuación del encargado.

Otros posibles orígenes lo representaron los auditores eclesiásticos de la Rita

romana, a través de tribunales pluripersonales, compuestos por 12 eclesiásticos: 8

italianos, 2 españoles, 1 alemán y 1 francés.

También se conocieron los auditores de la Marina y Guerra en 1894, a quienes se les

considero como los responsables del cumplimiento de las leyes a principios de esta

disciplina.

Algunos antecedentes más recientes aparecen con la revolución industrial, a partir de

la séptima década de 1800; en ese entonces, algunas empresas habían alcanzado gran

auge en las actividades fabricas y mercantiles, lo cual trajo consigo un notable

crecimiento en sus operaciones; obviamente, aumento también la necesidad de registrar

las operaciones contables, y con ellos se hizo casi indispensable la existencia de la

profesión de contador para satisfacer esa creciente necesidad.

Año Evolución Siglo XX

1912 En el instituto de contadores públicos de España, surgen en

forma colegiada la actividad del auditor, la cual tuvo una

duración muy efímera.

1932 James McKinsey llega a la conclusión de que la empresa

tenía que hacerse periódicamente una auditoria, la cual

consistiría en una evolución de la empresa en todos los

aspectos.

1948 Arthur H. kent funcionario de la empresa Standard Oil of

california, hiso importantes aportaciones sobre la auditoria de

operaciones

1950 Jackson Martindell, fundador del American Institute of

Management, desarrollo uno de los primeros programas de

auditoría administrativa con un procedimiento de control

directo y un sistema de evaluación, el cual se publico en su

libro Apreciación de la gerencia para ejecutaros e

inversionistas.

1962 Wiliam P. Leornard realizo un estudio completo de la auditoria

administrativa. En este trata los métodos para iniciar,

organizar, interpretar y presentar una revisión de carácter

administrativo

1968 Rigg F. J., autor británico desarrollo en su país un moderno

enfoque de la auditoria administrativa, cuya aplicación se

extendió a través de su obra The Management Audit, the

Internal Audior

1977 Clark C. Arb presenta una perspectiva sobre el conocimiento

de la medición de la conducta social de las empresas. En sus

conceptos de auditoría social destaca a responsabilidad

social, mediaciones del comportamiento, auditorias sociales

en decisiones administrativas y la implantación de las

auditoria

1983 Spencer Hayden expuso la necesidad de evaluar los

procedimientos administrativos y de aplicar las correcciones

necesarias para lograr una máxima eficiencia en las

actividades futuras. También abundo sobre un procedimiento

propio de la auditoria, el tratamiento con detalle del tema de

las consultorías administrativas, y enfoco a esta auditoría

dentro del camino al cambio organizacional

1984 Robert J. Thierauf hablo sobre la auditoria administrativa

como una técnica utilizada para evaluar las áreas

operacionales de una organización, enfocando su trabajo

desde el punto de vista administrativo.

Año Evolución de la Auditoria de Sistemas 1988 Echenique publico su libro auditoria de sistemas, en el cual

establece las principales bases para el desarrollo de una

auditoria de sistemas computacionales, dando un enfoque

teórico-practico sobre el tema

1992 Lee presento un libro en el cual enuncia los principales

aspectos a evaluar en una auditoria de sistemas, mediante

una especie de guía que le indican al auditor los aspectos

que debe evaluar en este campo

1995 Ma. Guadalupe Buendia Aguilar y Edith Antonieta Campos de

la O. presentan un trato de auditoría informática (apoyándose

en lo señalado por el maestro Echenique), en el cual

presentan metodologías y cuestionarios útiles para realizar

esta especialidad.

1995 Yann Darrien presenta un enfoque particular sobre la

auditoria de sistemas

1997 Francisco Ávila obtiene mención honorifica en su examen

profesional, en la UVM, campus san Rafael, con una tesis en

la cual propone un caso practico de auditoría de sistemas

realizados en una empresa paraestatal.

1998 Yann Darien presenta técnicas de auditoría, donde hace una

propuesta de las diversas herramientas de esta disciplina

1998 Mario G. Piattini y Emilio del Peso presenta auditoria

informática, un enfoque práctico, donde mencionan diversos

enfoques y aplicaciones de esta disciplina.

4. Mapa conceptual de la clasificación de los diferentes tipos de

auditoria

CLASIFICACIÓN

DE LOS TIPOS DE AUDITORÍA

Auditoria Financiera: Es la mas conocida de todas, pues es la

requerida por las empresas y es la ue

ha presentado el maximo desarrollo

Auditoria de Gestion: aunq no tan desarrollada como

la finaciera, es si se quiere de igual o mayor

importancia que esta ultima, pues sus efectos tienen consecuencia que

mejoran en forma aplreciable el desempeño

de la organizacion.

Auditoria de Cumplimiento: hasta la vigencia de la anterior

onstitucion, venia ejecutando la Contraloria General de la Republica,

y que consiste en el simple control numerico

legal de las oeraciones de los entes estatales en sus

diferentes niveles.

Auditoria de Control Interno: es la evaluacion

de los sitemas de contabilidad y de control interno de una entidad,

con elproposito de detrminar la calidad de los mismos, y son de

confianza y eficientes en el cumplimiento de sus

objetivos.

Auditoria Integral: no es mas que la

integracion de la auditoria financiera con la de gestion, control

interno y la de cumplimiento.

Auditoria Informatica: es de reciebte

desarrollo y se debe a la creciente

automatizacion en todos los niveles de las

organizaciones en la revision evaluacion de los controles,sistemas

procedimientos de informatica entre otros.

Auditoria gubernamental: se caracterizo por una simple revision del cumpimiento de las normas legales que rigen la actuacion de los funcionarios del

estado.

5. Cuadro comparativo entre las ventajas y desventajas de las

auditorías externas e internas

Auditoria Interna Externa

Ventajas -Se practica dentro de la propia empresa. -La lleva a cabo personal de la misma empresa. -Se tiene acceso a toda la información y documentación -Son conocidos y dominados los procedimientos y el control interno -Los fallos detectados son corregidos inmediatamente -No se necesita todo un protocolo para iniciar la revisión -Se puede seleccionar a personal de la misma empresa para cumplir con esta función

- El auditor tiene independencia profesional -Su amplia experiencia en otras empresas le permite analizar la aplicación de los procedimientos generales. - Pueden ser contratados para un trabajo específico. - Sus resultados son relevantes en el medio económico -Sus sugerencias tienden a una estandarización preestablecida

Desventajas - Los ejecutores de la revisión podrían utilizarla como medio de poder. - Los ejecutores no tienen independencia profesional. - Los ejecutores junior pueden caer en medios coercitivos. - Los ejecutores sénior pueden tender a magnificar los resultados en busca de mejores posiciones en la empresa.

-Son contratados por un precio y tiempo determinado. - La calidad profesional a intervenir depende del punto anterior - No toda la información está a su alcance. - Los resultados pueden ser negociados o manejables por la empresa contratante. - El tiempo es una presión para su revisión. - En su afán de justificarse, suelen perderse en trivialidades -Sus sugerencias pocas veces son atendidas y más cuando la empresa cuenta con un departamento de auditoría interna.

6. Definición de Auditoria informática y su alcance e importancia

dentro de una organización.

La Auditoría Informática es el proceso de recoger, agrupar y

evaluar evidencias para determinar si un sistema informatizado

salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo

eficazmente los fines de la organización y utiliza eficientemente los

recursos. De este modo la auditoría informática sustenta y confirma la

consecución de los objetivos tradicionales de la auditoría:

- Objetivos de protección de activos e integridad de datos.

- Objetivos de gestión que abarcan, no solamente los de protección de

activos, sino también los de eficacia y eficiencia.

El alcance ha de definir con precisión el entorno y los límites en

que va a desarrollarse la auditoría informática, se complementa con los

objetivos de ésta. El alcance ha de figurar expresamente en el Informe

Final, de modo que quede perfectamente determinado no solamente

hasta que puntos se ha llegado, sino cuales materias fronterizas han sido

omitidas.

La auditoría es importante ya que permite a través de una revisión

independiente, la evaluación de actividades, funciones específicas,

resultados u operaciones de una organización, con el fin de evaluar su

correcta realización.

7. Cuadro comparativo de las diferencias entre Auditoria en

Sistemas de Información y Auditoría Informática.

Auditoria en Sistemas de Información

Auditoría Informática

Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD • Incrementar la satisfacción de los usuarios de los sistemas computarizados • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles. • Conocer la situación actual del área informática y las actividades y

• La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática. • Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de

esfuerzos necesarios para lograr los objetivos propuestos. • Seguridad de personal, datos, hardware, software e instalaciones • Apoyo de función informática a las metas y objetivos de la organización.

Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. • Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. • Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

8. Características y objetivos de la Auditoria informática

La información de la empresa y para la empresa, siempre importante,

se ha convertido en un Activo Real de la misma, como sus Stocks o

materias primas si las hay. Por ende, han de realizarse inversiones

informáticas, materia de la que se ocupa la Auditoría de Inversión

Informática. Del mismo modo, los Sistemas Informáticos han de

protegerse de modo global y particular: a ello se debe la existencia de la

Auditoría de Seguridad Informática en general, o a la auditoría de

Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o

Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se

reorganiza de alguna forma su función: se está en el campo de la

Auditoría de Organización Informática. Estos tres tipos de auditorías

engloban a las actividades auditoras que se realizan en una auditoría

parcial.

De otra manera: cuando se realiza una auditoria del área de

Desarrollo de Proyectos de la Informática de una empresa, es porque en

ese Desarrollo existen, además de ineficiencias, debilidades de

organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Cumple con los objetivos de:

-Control de integridad de registros: Hay Aplicaciones que

comparten registros, son registros comunes. Si una Aplicación no tiene

integrado un registro común, cuando lo necesite utilizar no lo va encontrar

y, por lo tanto, la aplicación no funcionaría como debería.

-Control de validación de errores: Se corrobora que el sistema que

se aplica para detectar y corregir errores sea eficiente.

- Conocer los conceptos de control Interno de los Sistemas de

Información, funciones y objetivos de la auditoria informática.

- Conocer el proceso y las fases de la auditoria de sistemas de

información.

- Saber llevar a cabo la auditoria informática en los distintos

elementos que constituyen un sistema de información.

- Conocer los principales estándares y certificaciones relacionados

con la auditoría y el control informáticos.

9. Síntomas de necesidad de una auditoria informática dentro de

una organización

Las empresas acuden a las auditorías externas cuando existen

síntomas bien perceptibles de debilidad. Estos síntomas pueden

agruparse en clases:

· Síntomas de descoordinación y desorganización:

- No coinciden los objetivos de la Informática de la Compañía y de la

propia Compañía.

- Los estándares de productividad se desvían sensibles ente de los

promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una

reestructuración fallida de alguna área o en la modificación de alguna

Norma importante]

· Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos:

cambios de Software en los terminales de usuario, refrescamiento de

paneles, variación de los ficheros que deben ponerse diariamente a su

disposición, etc.

- No se reparan las averías de Hardware ni se resuelven incidencias en

plazos razonables. El usuario percibe que está abandonado y

desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de

resultados periódicos. Pequeñas desviaciones pueden causar importantes

desajustes en la actividad del usuario, en especial en los resultados de

Aplicaciones críticas y sensibles.

· Síntomas de debilidad económico-financiera:

- Incremento desmesurado de costes.

- Necesidad de justificación de Inversiones Informáticas (la empresa no

está absolutamente convencida de tal necesidad y decide contrastar

opiniones).

- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse

simultáneamente a Desarrollo de Proyectos y al órgano que realizó la

petición).

· Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica

- Seguridad Física

- Confidencialidad

[Los datos son propiedad inicialmente de la organización que los

genera. Los datos de personal son especialmente confidenciales]

· Continuidad del Servicio. Es un concepto aún más importante que la

Seguridad.

Establece las estrategias de continuidad entre fallos mediante Planes

de Contingencia

Totales y Locales.

· Centro de Proceso de Datos fuera de control. Si tal situación llegara a

percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la

cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

10. Perfil profesional de un auditor Informático

Profesión Conocimientos deseables

Informático generalista Con experiencia amplia en ramas distintas.

Deseable que su labor se haya desarrollado en

Explotación y en Desarrollo de Proyectos.

Conocedor de Sistemas.

Experto en Desarrollo de

Proyectos

Amplia experiencia como responsable de

proyectos.

Experto analista. Conocedor de las metodologías

de Desarrollo más importantes.

Técnico de Sistemas Experto en Sistemas Operativos y Software

Básico.

Conocedor de los productos equivalentes en el

Mercado. Amplios conocimientos de Explotación.

Experto en Bases de Datos

y

Administración de las

mismas.

Con experiencia en el mantenimiento de Bases de

Datos. Conocimiento de productos compatibles y

Equivalentes. Buenos conocimientos de

explotación

Experto en Software de

Comunicación

Alta especialización dentro de la técnica de

sistemas.

Conocimientos profundos de redes. Muy experto

en Subsistemas de teleproceso.

Técnico de Organización Experto organizador y coordinador. Especialista en

el Análisis de flujos de información.

Técnico de evaluación de

Costes

Economista con conocimiento de Informática.

Gestión De costes.