El Auditor y Auditoria Informatica

AUDITORÍA DE LA FUNCIÓN INFORMÁTICA

M. EN T.I. DANIEL TORRES HERRERA

UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 1

DEFINIR LOS CONCEPTOS DE AUDITORÍA

Y AUDITORÍA EN INFORMÁTICA.


AUDITOR


AUDITOR

Un auditor es aquel que ha sidodesignado por una autoridadcompetente, para examinar, evaluary revisar los resultados de unagestión administrativa y/o financierade una institución, empresa uorganización, con el fin de informaracerca de estos procesos en buscade recomendaciones uobservaciones que permitanoptimizar el desempeño de lasmismas.


AUDITORÍA

Sabiendo esto, es posible y

definir a la auditoria como

una función de dirección

cuya finalidad es analizar y

apreciar, con vistas a las

eventuales acciones

correctivas, el control

interno de las

organizaciones y sus

procesos.


AUDITORIA INFORMÁTICA


AUDITORIA


Por el lugar de su

aplicación

Especializadas en áreas

especificas

Por su área de

aplicación

De sistemas

computacionales

Auditoria

AUDITORIA - POR EL LUGAR DE SU APLICACIÓN

Auditoria Interna

Auditoria Externa


AUDITORIA - ESPECIALIZADAS EN ÁREAS

ESPECIFICAS

Auditoría al área médica (Evaluación médico-sanitaria)

Auditoría al desarrollo de obras y Construcciones (Evaluación de ingeniería)

Auditoría fiscal

Auditoría laboral

Auditoría de proyectos de inversión

Auditoría a la caja chica o Caja mayor

Auditoría al manejo de mercancías (inventarios)

Auditoría ambiental

Auditoría de sistemas


AUDITORIA – POR SU ÁREA DE APLICACIÓN

Auditoría financiera

Auditoría administrativa

Auditoría operacional

Auditoría integral

Auditoría gubernamental

Auditoría de sistemas


AUDITORIA - DE SISTEMAS COMPUTACIONALES

Auditoría informática

Auditoría con la computadora

Auditoría sin la computadora

Auditoría a la gestión informática

Auditoría al sistema de cómputo

Auditoría alrededor de la

computadora

Auditoría de la seguridad de sistemas

computacionales

Auditoría a los sistemas de redes

Auditoría integral a los centros de

cómputo

Auditoría ISO-9000 a los sistemas

computacionales

Auditoría outsourcing

Auditoría ergonómica de sistemas

computacionales


AUDITORIA INTERNA

Ventajas

Facilita una ayuda primordial a la dirección al evaluar de

forma relativamente independiente los sistemas de

organización y de administración.

Facilita una evaluación global y objetiva de los problemas

de la empresa, que generalmente suelen ser

interpretados de una manera parcial por los

departamentos afectados.


AUDITORIA INTERNA

Ventajas

Pone a disposición de la dirección un profundo conocimiento de las

operaciones de la empresa, proporcionado por el trabajo de

verificación de los datos contables y financieros.

Contribuye eficazmente a evitar las actividades rutinarias y la inercia

burocrática que generalmente se desarrollan en las grandes

empresas.

Favorece la protección de los intereses y bienes de la empresa frente

a terceros.


AUDITORIA INTERNA

Desventajas

Tiene la desventaja que cadaempresa tiene suscaracterísticas propias yespeciales de manera quedeben enfocarse al tipo deempresa que se trate, ademáspuede modificarse por que esel control interno halla variadopor lo que los procedimientostambién serán diferentes.


AUDITORIA EXTERNA

Ventajas

Los diversos métodos de trabajo empleados en las auditorías externas permitensu adecuación al tipo de empresa al que se dirige en cada caso. La auditoríaempresarial puede ser aprovechada, entre otras cosas, en los procesos siguientes:

Reorganización de la empresa

Atribución o reparto de nuevas funciones a los empleados

Análisis de los asuntos empresariales

Elaboración de descripciones de los puestos de trabajo

Estudio de los requisitos de las competencias para cada puesto

Examen de la actitud de los empleados hacia el trabajo

Estudio de la motivación de los empleados


AUDITORIA EXTERNA

Desventajas

El trabajo es más arduo en la recopilación de

datos para explicar resultados como:

Falta de elementos en los almacenes de repuestos

Falta o exceso en el almacenaje de materias primas

Falta o exceso en el almacenaje de productos

terminados

Deficiente instalación contra incendio o mal

desarrollo de Plan de emergencia


AUDITORIA EXTERNA

Desventajas

El trabajo es más arduo en la recopilación

de datos para explicar resultados como:

Deficiencias en la contabilidad

Deficiencias en algunas Normas ISO

Deficiencias en el plan de trabajo de calidad

(partes diarios de trabajo de cada departamento)

Deficiencias en la distribución ordenada de

deshechos


DEFINICIÓN DE AUDITORIA INFORMÁTICA

Es el conjunto de técnicas, procedimientos y actividades,

destinados a analizar y evaluar el funcionamiento de los

sistemas informáticos de un ente, por lo que comprende un

examen metódico, puntual y discontinuo, con el propósito

de mejorar aspectos como: Control y seguridad de los

sistemas informáticos; Cumplimiento de la normativa

tecnológica del ente; Control de planes de contingencia;

Eficacia y rentabilidad en el manejo de los sistemas.


ALCANCE DE LA AUDITORÍA INFORMÁTICA

El alcance ha de definir con precisión el entorno y los límites en que

va a desarrollarse la auditoria informática, se completa con los

objetivos de ésta.

El alcance ha de figurar expresamente en el Informe Final, de modo

que quede perfectamente determinado no solamente hasta que

puntos se ha llegado, sino cuales materias fronterizas han sido

omitidos.

En este sentido un ejemplo de este control surge al plantearse las

siguientes cuestiones ¿Se someterán los registros grabados a un

control de integridad exhaustivo- ¿Se comprobará que los controles

de validación de errores son adecuados y suficientes.UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 19

ALCANCE DE LA AUDITORÍA INFORMÁTICA

La indefinición de los alcances de la auditoria comprometeel éxito de la misma. Características de la auditoríainformática.

La información de la empresa y para la empresa, siempreimportante, se ha convertido en un Activo de la misma,como sus Stocks o materias primas si las hay. Por ende, hande realizarse inversiones informática, materia de la que seocupa la Auditoria de Inversión Informática.


IMPORTANCIA DE LA AUDITORIA INFORMÁTICA

EN UNA ORGANIZACIÓN

Los órganos de la los Sistemas Informáticos están

sometidos al control correspondiente, circunstancia

que no se debe olvidar. La importancia de llevar un

control de esta herramienta se puede deducir de

varios aspectos que a continuación se detallaran:




Las computadoras y los Centros de Proceso de Datos seconvirtieron en blancos apetecibles no solo para elespionaje, sino para la delincuencia y el terrorismo. Eneste caso interviene la Auditoria Informática deSeguridad.

Las computadoras creadas para procesar y difundirresultados o información elaborada pueden producirresultados o información errónea si dichos datos son, a suvez, erróneos. En este caso interviene la AuditoriaInformática de Datos.




Un Sistema Informático mal diseñado puede convertirse

en una herramienta muy peligrosa para la empresa: la

empresa no puede depender de un Software y Hardware

mal diseñados.

Estos son solo algunos de los varios inconvenientes

que puede presentar un Sistema Informático, de ahí

la necesidad de la Auditoría de Sistemas.


AUDITORIA INFORMÁTICA Y AUDITORIA DE

SISTEMAS DE INFORMACIÓN


Similitudes Diferencias

No se requieren nuevas normas de auditoría,

son las mismas.

Se establecen algunos nuevos procedimientos

de auditoría.

Los elementos básicos de un buen sistema de

control contable interno siguen siendo los

mismos; por ejemplo, la adecuada segregación

de funciones.

Hay diferencias en las técnicas destinadas a

mantener un adecuado control interno

contable.

Los propósitos principales del estudio y la

evaluación del control contable interno son la

obtención de evidencia para respaldar una

opinión y determinar la base, oportunidad y

extensión de las pruebas futuras de auditoría.

Hay alguna diferencia en la manera de

estudiar y evaluar el control interno contable.

El énfasis en la evaluación de los sistemas

manuales está en la evaluación de

transacciones, mientras que el énfasis en los

sistemas informáticos, está en la evaluación

del control interno.

CARACTERÍSTICAS Y OBJETIVOS DE LA

AUDITORÍA INFORMÁTICA

La Auditoría Informática se puede definir como “el

conjunto de procedimientos y técnicas para evaluar

y controlar un sistema informático con el fin de

constatar si sus actividades son correctas y de

acuerdo a las normativas informáticas y generales

en la organización”.


CARACTERÍSTICAS Y OBJETIVOS DE LA

AUDITORÍA INFORMÁTICA

La Auditoría del Sistema de Información en la empresa, a

través de la evaluación y control que realiza, tiene como

objetivo fundamental mejorar la rentabilidad, la seguridad y

la eficacia del sistema automatizado de información en que

se sustenta.

El alcance ha de definir con precisión el entorno y los límites

en que va a desarrollarse la auditoría informática, se

complementa con los objetivos de ésta.


CARACTERÍSTICAS DE LA AUDITORÍA

INFORMÁTICA

La información de la empresa y para la empresa, siempre

importante, se ha convertido en un Activo Real de la misma, como

sus Stocks o materias primas si las hay.

Por ende, han de realizarse inversiones informáticas, materia de la

que se ocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de

modo global y particular: a ello se debe la existencia de la

Auditoría de Seguridad Informática en general, o a la auditoría de

Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o

Técnica de Sistemas.


CARACTERÍSTICAS DE LA AUDITORÍA

INFORMÁTICA

Cuando se producen cambios estructurales en la Informática, se

reorganiza de alguna forma su función: se está en el campo de la

Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras

que se realizan en una auditoría parcial.


SÍNTOMAS DE NECESIDAD DE UNA AUDITORÍA

INFORMÁTICA

Las empresas acuden a las auditorías externas cuando

existen síntomas bien perceptibles de debilidad. Estos

síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización

Síntomas de mala imagen e insatisfacción de los usuarios

Síntomas de debilidades económico-financieras

Síntomas de Inseguridad: Evaluación de nivel de riesgos


SÍNTOMAS DE DESCOORDINACIÓN Y

DESORGANIZACIÓN

No coinciden los objetivos de la Informática de la Compañía y dela propia Compañía.

Los estándares de productividad se desvían sensiblemente de lospromedios conseguidos habitualmente.

Puede ocurrir con algún cambio masivo de personal, o en unarestructuración fallida de alguna área o en la modificación dealguna Norma importante


SÍNTOMAS DE MALA IMAGEN E INSATISFACCIÓN

DE LOS USUARIOS

No se atienden las peticiones de cambios de los usuarios. Ejemplos:

cambios de Software en los terminales de usuario, refrescamiento de

paneles, variación de los ficheros que deben ponerse diariamente a su

disposición, etc.

No se reparan las averías de Hardware ni se resuelven incidencias en

plazos razonables. El usuario percibe que está abandonado y desatendido

permanentemente.

No se cumplen en todos los casos los plazos de entrega de resultados

periódicos. Pequeñas desviaciones pueden causar importantes desajustes

en la actividad del usuario, en especial en los resultados de Aplicaciones

críticas y sensibles.


SÍNTOMAS DE DEBILIDADES ECONÓMICO-

FINANCIERAS

Incremento desmesurado de costos. Necesidad dejustificación de Inversiones Informáticas (la empresa no estáabsolutamente convencida de tal necesidad y decidecontrastar opiniones). Desviaciones Presupuestariassignificativas.

Costos y plazos de nuevos proyectos (deben auditarsesimultáneamente a Desarrollo de Proyectos y al órgano querealizó la petición).


SÍNTOMAS DE INSEGURIDAD: EVALUACIÓN DE

NIVEL DE RIESGOS

Seguridad Lógica y/o Seguridad Física

Confidencialidad: Los datos son propiedad inicialmente de la

organización que los genera. Los datos de personal son especialmente

confidenciales

Continuidad del Servicio: Es un concepto aún más importante que la

Seguridad. Establece las estrategias de continuidad entre fallos mediante

Planes de ContingenciaTotales y Locales.

Centro de Proceso de Datos fuera de control, Si tal situación llegara a

percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la

cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.


AUDITOR INFORMATICO


¿CÓMO DEBE DE SER UN AUDITOR

INFORMÁTICO?

El Auditor Informático debe ser una persona con un alto

grado de calificación técnica y al mismo tiempo estar

integrado en las corrientes organizativas empresariales que

imperan hoy en día.

Se deben de contemplar las siguientes características para

mantener el perfil profesional adecuado y actualizado:

La persona o personas que integren esta función deben contemplar

en su formación básica una mezcla de conocimientos de auditoría

financiera y de informática en general.


¿QUÉ DEBE SABER UN AUDITOR INFORMÁTICO?

Estos últimos deben contemplar conocimientos básicos de:

Desarrollo informático, gestión de proyectos y del ciclo de vida de un

proyecto de desarrollo.

Gestión del departamento de sistemas.

Análisis de riesgo en un entorno informático.

Sistema operativo.

Telecomunicaciones.

Gestión de base de datos.



Estos últimos deben contemplar conocimientos básicos de:

Seguridad física.

Operaciones y planificación informática.

Gestión de la seguridad de los sistemas y de la continuidad

empresarial a través de planes de contingencia de la información.

Gestión de problemas y de cambios en entornos informáticos.

Administración de datos. Comercio electrónico. Encriptación de

datos.



A estos conocimientos básicos se les deberá añadir unaespecialización en función de la importancia económica quedistintos componentes financieros puedan tener en unentorno empresarial.

Así en un entorno financiero pueden tener muchaimportancia las comunicaciones y será necesario que alguiendentro de la función de auditoría informática tenga estaespecialización.



El auditor informático debe conocer técnicas de gestión

empresarial y sobre todo de gestión del cambio ya que las

recomendaciones y soluciones que aporten deben estar en

la línea de la búsqueda optima de la mejor solución para los

objetivos empresariales que se persiguen y con los recursos

que se tienen.

El auditor informático debe tener siempre el concepto de

calidad total. Como parte de un colectivo empresarial, bien

sea permanentemente como auditor interno o

puntualmente como auditor externo.UNIVERSIDAD TECNOLÓGICA DEL SUROESTE DE GUANAJUATO 39

El Auditor y Auditoria Informatica

Documents

Transcript of El Auditor y Auditoria Informatica