UNIVERSIDAD DE LA REPUBLICA MEXICANA

ENSAYO AUDITORIA
INFORMATICA

PROFESOR: GONZALEZ AGUILAR

DANIEL
ALUMNO: ALEJANDRO GALAN
PEDRO
OSVALDO
MATERIA: AUDITORIA
INFORMATICA
CARRERA: ING.SISTEMAS
COMPUTACIONALES

Introduccin
Auditoria informtica.
El concepto de auditora es mucho ms que esto. Es un examen crtico que se
realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un
organismo, una entidad, etc.
La palabra auditora proviene del latn auditorius, y de esta proviene la palabra
auditor, que se refiere a todo aquel que tiene la virtud de or.
Los principales objetivos que constituyen a la auditora Informtica son el
control de la funcin informtica, el anlisis de la eficiencia de los Sistemas
Informticos que comporta, la verificacin del cumplimiento de la Normativa
general de la empresa en este mbito y la revisin de la eficaz gestin de los
recursos materiales y humanos informticos.
El auditor informtico ha de velar por la correcta utilizacin de los amplios
recursos que la empresa pone en juego para disponer de un eficiente y eficaz
Sistema de Informacin. Claro est, que para la realizacin de una auditora
informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya
que una Universidad, un Ministerio o un Hospital son tan empresas como una
Sociedad Annima o empresa Pblica. Todos utilizan la informtica para
gestionar sus "negocios" de forma rpida y eficiente con el fin de obtener
beneficios econmicos y de costes.
Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos
al control correspondiente, o al menos debera estarlo. La importancia de llevar
un control de esta herramienta se puede deducir de varios aspectos. He aqu
algunos:
Las computadoras y los Centros de Proceso de Datos se convirtieron en
blancos apetecibles no solo para el espionaje, sino para la delincuencia y el
terrorismo. En este caso interviene la Auditora Informtica de Seguridad.
Las computadoras creadas para procesar y difundir resultados o informacin
elaborada pueden producir resultados o informacin errnea si dichos datos
son, a su vez, errneos. Este concepto obvio es a veces olvidado por las
mismas empresas que terminan perdiendo de vista la naturaleza y calidad de
los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se
provoque un efecto cascada y afecte a Aplicaciones independientes. En este
caso interviene la Auditora Informtica de Datos.
Un Sistema Informtico mal diseado puede convertirse en una herramienta
harto peligrosa para la empresa: como las maquinas obedecen ciegamente a
las rdenes recibidas y la modelizacin de la empresa est determinada por las
computadoras que materializan los Sistemas de Informacin, la gestin y la
organizacin de la empresa no puede depender de un Software y Hardware
mal diseados.
Estos son solo algunos de los varios inconvenientes que puede presentar un
Sistema Informtico, por eso, la necesidad de la Auditora de Sistemas.
Auditora:
La auditora nace como un rgano de control de algunas instituciones estatales
y privadas. Su funcin inicial es estrictamente econmico-financiero, y los
casos inmediatos se encuentran en las peritaciones judiciales y las
contrataciones de contables expertos por parte de Bancos Oficiales.

La funcin auditora debe ser absolutamente independiente; no tiene carcter

ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa
tomar las decisiones pertinentes. La auditora contiene elementos de anlisis,
de verificacin y de exposicin de debilidades y disfunciones. Aunque pueden
aparecer sugerencias y planes de accin para eliminar las disfunciones y
debilidades antedichas; estas sugerencias plasmadas en el Informe final
reciben el nombre de Recomendaciones.
Las funciones de anlisis y revisin que el auditor informtico realiza, puede
chocar con la psicologa del auditado, ya que es un informtico y tiene la
necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del
auditado es comprensible y, en ocasiones, fundada. El nivel tcnico del auditor
es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los
plazos demasiado breves de los que suelen disponer para realizar su tarea.
Adems del chequeo de los Sistemas, el auditor somete al auditado a una serie
de cuestionario. Dichos cuestionarios, llamados Check List, son guardados
celosamente por las empresas auditoras, ya que son activos importantes de su
actividad. Las Check List tienen que ser comprendidas por el auditor al pie de
la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener
resultados distintos a los esperados por la empresa auditora. La Check List
puede llegar a explicar cmo ocurren los hechos pero no por qu ocurren. El
cuestionario debe estar subordinado a la regla, a la norma, al mtodo. Slo una
metodologa precisa puede desentraar las causas por las cuales se realizan
actividades tericamente inadecuadas o se omiten otras correctas.
El auditor slo puede emitir un juicio global o parcial basado en hechos y
situaciones incontrovertibles, careciendo de poder para modificar la situacin
analizada por l mismo.
Auditora Interna y Auditora Externa:
La auditora interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna existe por expresa decisin
de la Empresa, o sea, que puede optar por su disolucin en cualquier
momento.
Por otro lado, la auditora externa es realizada por personas afines a la
empresa auditada; es siempre remunerada. Se presupone una mayor
objetividad que en la Auditora Interna, debido al mayor distanciamiento entre
auditores y auditados.
La auditora informtica interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditora externa, las cuales no son tan perceptibles
como en las auditoras convencionales. La auditora interna tiene la ventaja de
que puede actuar peridicamente realizando Revisiones globales, como parte
de su Plan Anual y de su actividad normal. Los auditados conocen estos planes
y se habitan a las Auditoras, especialmente cuando las consecuencias de las
Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e
informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz,
pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente
posible aquellas necesidades. La empresa necesita controlar su Informtica y
sta necesita que su propia gestin est sometida a los mismos
Procedimientos y estndares que el resto de aquella. La conjuncin de ambas
necesidades cristaliza en la figura del auditor interno informtico.

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer

una Auditora propia y permanente, mientras que el resto acuden a las
auditoras externas. Puede ser que algn profesional informtico sea
trasladado desde su puesto de trabajo a la Auditora Interna de la empresa
cuando sta existe. Finalmente, la propia Informtica requiere de su propio
grupo de Control Interno, con implantacin fsica en su estructura, puesto que
si se ubicase dentro de la estructura Informtica ya no sera independiente.
Hoy, ya existen varias organizaciones Informticas dentro de la misma
empresa, y con diverso grado de autonoma, que son coordinadas por rganos
corporativos de Sistemas de Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en
ocasiones contratar servicios de auditora externa. Las razones para hacerlo
suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los
servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con la
opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas
decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de Sistemas,
sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen
auditoras externas como para tener una visin desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad
exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y
poltica general de la empresa. La funcin auditora puede actuar de oficio, por
iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la
direccin o cliente.
Alcance de la Auditora Informtica:
El alcance ha de definir con precisin el entorno y los lmites en que va a
desarrollarse la auditora informtica, se complementa con los objetivos de
sta. El alcance ha de figurar expresamente en el Informe Final, de modo que
quede perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: Se
sometern los registros grabados a un control de integridad exhaustivo*? Se
comprobar que los controles de validacin de errores son adecuados y
suficientes*? La indefinicin de los alcances de la auditora compromete el xito
de la misma.
Caractersticas de la Auditora Informtica:
La informacin de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias primas
si las hay. Por ende, han de realizarse inversiones informticas, materia de la
que se ocupa la Auditora de Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global
y particular: a ello se debe la existencia de la Auditora de Seguridad
Informtica en general, o a la auditora de Seguridad de alguna de sus reas,
como pudieran ser Desarrollo o Tcnica de Sistemas.

Cuando se producen cambios estructurales en la Informtica, se reorganiza de

alguna forma su funcin: se est en el campo de la Auditora de Organizacin
Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras que se
realizan en una auditora parcial. De otra manera: cuando se realiza una
auditoria del rea de Desarrollo de Proyectos de la Informtica de una
empresa, es porque en ese Desarrollo existen, adems de ineficiencias,
debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla
de ellas.
PROCESOS DE AUDITORIA INFORMATICA
Las auditoras son un componente importante del proceso de cumplimiento
normativo. Por lo general son los auditores quienes determinan si su
organizacin cumple con las normas y estndares que le corresponden. Por
ejemplo, en relacin con Sarbanes-Oxley (SOX), los auditores externos a
menudo examinan lo apropiado de los controles internos en su empresa como
parte de la auditora sobre la generacin de informes financieros anuales.
Entender cmo funciona el proceso de auditora y cmo operan los auditores
es importante, pues esto indica a los administradores de informtica cmo
establecer un ambiente que cumpla y sea fcil de auditar. Este tema se enfoca
sobre la forma en que los auditores realizan el proceso de auditora del rea
informtica.
Es importante saber qu buscan los auditores en una auditora de
cumplimiento. Durante sta, los auditores buscan evidencias indicativas de:
Que la empresa ha diseado controles eficaces para resolver sus requisitos de
cumplimiento y que no hay errores en el diseo.
Que la empresa aplica consistentemente los controles diseados y que no
existen deficiencias operativas.
Si los auditores no encuentran evidencia de un programa de control efectivo, o
descubren que la organizacin no se adhiere al programa de control, anotan
estas deficiencias en su informe final de auditora. Este informe de auditora se
entrega al comit de auditora de la empresa para que los problemas
detectados obtengan el nivel adecuado de exposicin administrativa.
Obviamente, es preferible que no se anoten deficiencias en este informe.
El siguiente proceso describe las actividades generales que los auditores
realizan durante una auditora. Su auditor puede efectuar la auditora con un
enfoque ligeramente distinto:
Paso 1: Planear la auditora (auditor)
Paso 2: Efectuar una reunin para iniciar la auditora (auditor/organizacin)
Paso 3: Recopilar datos y probar los controles informticos
(auditor/organizacin).
Paso 4: Corregir las deficiencias identificadas (organizacin)
Paso 5: Probar los controles corregidos (auditor/organizacin)
Paso 6: Analizar e informar los resultados (auditor)
Paso 7: Responder a los resultados (organizacin)

Paso 8: Emitir el informe final (auditor) Entender los pasos del proceso de
auditora del rea informtica permite a los administradores de informtica
saber lo que deben esperar de la auditora. De esta forma pueden lograr los
objetivos de cumplimiento normativo de su empresa y optimizar el proceso de
auditora para completarlo ms eficazmente.
Cmo optimizar el proceso de auditora
Existen muchas maneras de lograr que los procesos de auditora sean ms
eficaces y sencillos. stas incluyen:
Trabajar con el auditor desde el inicio del proceso para entender las reas
bsicas en las que planea enfocar la auditora. En algunos casos puede
cambiar la prioridad de los proyectos para asegurar que aborda aquello que los
auditores consideran riesgos vitales en su ambiente y evitar as las deficiencias
en la auditora.
Implementar controles informticos automatizados donde sea posible. Estos
controles superan a los manuales, pues los auditores los pueden probar y
validar ms fcilmente. La mejor forma de optimizar la eficacia y bajar los
costos de los procesos de auditora del rea informtica de su empresa es:
Conservar documentacin clara y concisa de los controles informticos y
mantenerlos actualizados.
Organizar sus controles informticos para trabajar con el marco usado por sus
auditores. Esto asegura que usted y sus auditores se entiendan claramente
sobre los objetivos normativos.

Aproveche el marco de los controles informticos. Esto le ayuda a resolver con

ms eficacia una variedad de normas con un nico conjunto de controles.
Conclusin:
Principalmente, con la realizacin de este trabajo prctico, la principal
conclusin a la que hemos podido llegar, es que toda empresa, pblica o
privada, que posean Sistemas de Informacin medianamente complejos, deben
de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy
en da, el 90 por ciento de las empresas tienen toda su informacin
estructurada en Sistemas Informticos, de aqu, la vital importancia que los
sistemas de informacin funcionen correctamente. La empresa hoy,
debe/precisa informatizarse. El xito de una empresa depende de la eficiencia
de sus sistemas de informacin. Una empresa puede tener un staff de gente de
primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable
e inestable; si no hay un balance entre estas dos cosas, la empresa nunca
saldr a adelante. En cuanto al trabajo de la auditora en s, podemos remarcar
que se precisa de gran conocimiento de Informtica, seriedad, capacidad,
minuciosidad y responsabilidad; la auditora de Sistemas debe hacerse por
gente altamente capacitada, una auditora mal hecha puede acarrear
consecuencias drsticas para la empresa auditada, principalmente
econmicas.