Universidad Nacional Experimental de Guayana

Vicerrectorado Académico
Coordinación General de Pregrado
Proyecto de Carrera Ingeniería en Informática
Unidad Curricular: Auditoría de Tecnologías y Sistemas de información
Sección 2

AUDITORIA DE LA FUNCIÓN INFORMÁTICA

Facilitador: Elaborado por: C.I:

Luis Estraño Oliveros Jesús V-20.975.216
Salazar Diego V-20.202.387
Sánchez Yanexi V-25.559.929
Suarez Luis V-21.196.039

Ciudad Guayana, junio 2018

 ÍNDICE

PORTADA……………………………………………………………………………
ÍNDICE……………………………………………………………………………….. 1
INTRODUCCIÓN……………………………………………………………………. 2
DEFINICIÓN AUDITORÍA…………………………………………………………. 3
DEFINICIÓN AUDITORÍA INFORMÁTICA……………………………………… 3
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA………………………………. 5
FUNCIONES DE LA AUDITORÍA INFORMÁTICA………………………………. 6
METODOLOGÍA PARA LA REALIZACIÓN DE LA AUDITORÍA DE LA
FUNCIÓN DE INFORMÁTICA……………………………………………………... 7
CONCLUSIÓN………………………………………………………………………. 9
REFERENCIAS BIBLIOGRÁFICAS……………………………………………….. 10

1
 INTRODUCCIÓN

La informática ha experimentado un desarrollo espectacular desde que comenzara a

implantarse en las empresas, en los años 70. Este crecimiento ha influido, en la mayoría de
las organizaciones, de una manera notable, tanto es su estructura como en sus funciones,
alterando los métodos tradicionales de verificación y control de los procedimientos y de los
datos de la organización.

Resultaron pocas las empresas que supieron adaptarse a las formas de control
requeridas en este nuevo entorno y los profesionales informáticos conquistaron importantes
parcelas con notables presupuestos que, en la mayoría de los casos, eran difíciles de gobernar
y que, aparentemente, las direcciones no tenían mas remedio que aceptar, de mejor a peor
grado.

Sin embargo, aplicando la máxima de que “todo lo que sube tiene que bajar”, estas
direcciones comenzaron a querer gobernar lo aparentemente ingobernable, consistentes de
una aplicación de la información y controlada en la empresa, abarataría los disparatados
costes en que se estaba incurriendo.

Estos planteamientos dieron lugar a la aparición de todos aquellos procedimientos

que venían a verificar y controlar la función informática: la auditoria informática

2
DEFINICIÓN AUDITORÍA

Se define como un proceso sistemático que consiste en obtener y evaluar

objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter
económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y
los criterios establecidos, para luego comunicar los resultados a las personas interesadas.
(Ynfante, 2009).

La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con

vistas a las eventuales las acciones correctivas, el control interno de las organizaciones para
garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento
de la eficacia de sus sistemas de gestión.

DEFINICIÓN AUDITORÍA INFORMÁTICA

La auditoría informática es una evaluación metódica del servicio informático, o de un

sistema informático en particular, realizado de una manera puntual y de uso discontinuo, a
instancia de la dirección, con la intención de ayudar a mejorar conceptos como la seguridad,
la eficacia y la rentabilidad del servicio o del sistema que resulta auditados.

En esta definición hay cuatro palabras que destacan sobremanera: evaluación,

metódica, puntual, discontinuo. Esta relevancia podría justificarse diciendo que la auditoria
informática es una evaluación, pues debe partir de una situación dada; que este es metódico,
puesto que seguirá un plan de trabajo perfectamente sistematizado que permite llegar a
conclusiones suficientemente fundamentadas (conclusión está exigible a cualquier auditoría);
que es puntual, ya que se da un corte en el calendario para llevarla a cabo, y que es
discontinua, extraña al servicio de informática en aras de buscar la objetividad requerida, por
lo que será ejecutada por personas ajenas al departamento independientes de las funciones a
auditar.

3
 Las grandes firmas de auditoria ofrecen ya en diversos países la auditoria informática
como uno de sus servicios apoyo a la dirección.

La evaluación que comporta una auditoria informática abarca una serie de controles,
verificaciones, juicios, entre otros, para concluir en un conjunto de recomendaciones y un
plan de acción. Es la elaboración de este plan de acción lo que diferencia la auditoria
informática de lo que, por lo visto hasta ahora, podría ser una auditoria de gestión. La
auditoria tradicional concluye emitiendo un juicio del estado de todo aquello que sea
verificado, la auditoria informática avanza un paso mas y se atreve a elaborar un plan de
actuación.

Concluye este punto con un breve cuadro comparativo entre auditoria, control y
control de gestión.

CONTROL DE
AUDITORÍA CONTROL
GESTIÓN
Establece
Examina, enjuicia y Evalúa el coeficiente
¿Qué se hace? dispositivos de
recomienda objetivos/realización
seguridad
Dando un corte en el
¿Cuándo se hace? permanentemente permanentemente
calendario
¿Cómo se Desmonta los
Vigila Acciones correctivas
examina? mecanismos

Jaime López Vélez, 1986

La importancia de las auditorías informáticas radican en que permiten determinar las

fortalezas y debilidades en la gestión de proyectos, el nivel de funcionalidad de los sistemas
de información automatizados, la adecuación de la configuración de la plataforma
informática, el nivel de calidad de los servicios prestados por la unidad encargada y la

4
situación de los contratos con proveedores de productos y servicios, entre otros aspectos,
todo ello en el ámbito del uso y aplicación de las TIC´s en la organización (Hernández, 2010).

OBJETIVOS DE LA AUDITORÍA INFORMÁTICA

Definir los objetivos de la auditoria informática es un tema que todavía no esta

cerrado. Caben formularse dos preguntas. La primera de ellas relativa al papel que puede
jugar el auditor informático. Y la segunda, sobre como definir los objetivos de la auditoria
informática.

En respuesta a la primera de ellas habría que reflexionar sobre cuatros aspectos:

 La propia organización en la que desenvolverá el auditor: la estructura, las líneas de

dirección y, por supuesto, el tipo de actividad que desarrolla la empresa. Conceptos
todos ellos que marcan decisivamente la labor a desarrollar por el auditor. No es igual
entrar a auditar una organización cuyas aplicaciones informáticas sean parte importante
en cuanto a los servicios ofertados y por tanto la auditoria de aplicaciones tendrá un rol
preponderante, que entrar a auditar allá donde las aplicaciones son desarrolladas por
terceros que a su vez garantizan las labores de control.
 El departamento de informática objeto de la auditoria: ya que lógicamente, el grado de
sofisticación, el tamaño, los recursos del departamento de proceso de datos, marcaran
diferencias a la hora de fijar los objetivos de una auditoria informática. En una
instalación donde prácticamente todos los procesos sean batch (procesamiento en lotes),
no tiene mucho sentido examinar la eficiencia del sistema en cuanto a tiempo de
respuesta de cara al usuario. Tampoco cabe pensar en incluir en los objetivos de una
auditoria la fase de construcción de sistemas en una empresa en la que el software no
sea desarrollado por ellos mismos.
 Las relaciones con la auditoria financiera: dado que si es grande el grado de
mecanización con que topen los auditores financieros y escaza su formación
informática, el papel del auditor informático puede tener mucho que ver con dar
asistencia, soporte y hasta capacitación, a sus colegas de auditoria financiera.

5
  Las propias limitaciones técnicas del auditor: ya que difícilmente un auditor podrá
juzgar, por ejemplo, el sistema de comunicaciones de un centro de proceso de datos con
teleproceso, si el mismo carece de la más elemental formación en teleinformática.

Es recomendable que el auditor informático posea una buena formación técnica al

objeto de no limitar los objetivos de las auditorias que lleve a cabo. Igualmente, en favor de
la imagen de confesor consultor que conlleva la figura del auditor, es conveniente que se
tenga capacidad para saber cómo ejecutar las recomendaciones que se formulen, no basta
solo con enunciarlas.

La segunda de las reflexiones marcadas líneas atrás se refería a como definir los
objetivos de la auditoria informática. En respuesta a esta cuestión se relacionarán
esquemáticamente los posibles objetivos, junto con las funciones a desarrollar por el
departamento de proceso de datos, y a partir de este esquema sería posible desarrollar una
larga lista de objetivos que, como figuraba al principio del apartado seguramente no sería
única o de aceptación general.

FUNCIONES DE LA AUDITORÍA INFORMÁTICA

 Evaluación, verificación e implantación oportuna de los controles y procedimientos que

se requieren para el aseguramiento del buen uso y aprovechamiento de la función de
informática.

 Aseguramiento permanente de la existencia y cumplimiento de los controles y

procedimientos que regulan las actividades y utilización de los recursos de informática
de acuerdo con las políticas de la organización

 Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a

nivel nacional e internacional.

6
  Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con
la alta dirección del negocio.

 Elaborar un plan de auditoria en informática en los plazos determinados por el

responsable de la función.

 Obtener la aprobación formal de los proyectos del plan y difundidos entre los
involucrados para su compromiso.

 Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la

auditoría en informática.

METODOLOGÍA PARA LA REALIZACIÓN DE LA AUDITORÍA DE LA

FUNCIÓN DE INFORMÁTICA

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de

la informática.

Para su realización el auditor debe conocer lo siguiente:

Organización:

Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta
es fundamental. Para realizar esto en auditor deberá fijarse en:

 Organigrama: expresa la estructura oficial de la organización a auditar. Si se

descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de
manifiesto tal circunstancia.

 Departamentos: se entiende como departamento a los órganos que siguen

inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones
de cada uno de ellos.

7
 Relaciones jerárquicas y funcionales entre órganos de la organización: el equipo
auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el
organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos
jefes. Las de Jerarquía implican la correspondiente subordinación. Las funcionales, por
el contrario, indican relaciones no estrictamente subordínales.

 Flujos de información: además de las corrientes verticales interdepartamentales, la

estructura organizativa cualquiera que sea, produce corrientes de información
horizontales y oblicuas extra departamentales. Los flujos de información entre los
grupos de una organización son necesarios para su eficiente gestión, siempre y cuando
tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones
crean espontáneamente canales alternativos de información, sin los cuales las funciones
no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay
pequeños o grandes fallos en la estructura y en el organigrama que los representa. Otras
veces, la aparición de flujos de información no previstos obedece a afinidades
personales o simple comodidad. Estos flujos de información son indeseables y producen
graves perturbaciones en la organización.

 Número de puestos de trabajo: el equipo auditor comprobará que los nombres de los
Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales
distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo
cual indica la existencia de funciones operativas redundantes. Esta situación pone de
manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y
expresarán el número de puestos de trabajo verdaderamente diferentes.

 Número de personas por puesto de trabajo: es un parámetro que los auditores

informáticos deben considerar. La inadecuación del personal determina que el número
de personas que realizan las mismas funciones rara vez coincida con la estructura oficial
de la organización.

8
 CONCLUSIÓN

Las auditorias informáticas se conforman obteniendo información y documentación

de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar
las situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del auditor
consiste en lograr obtener toda la información necesaria para emitir un juicio global objetivo,
siempre amparando las evidencias comprobatorias.

El auditor debe estar capacitado para comprender los mecanismos que se desarrollan
en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas
computarizados en los cuales se encuentra la información necesaria para auditar.

Toda empresa, pública o privada, que posean Sistemas de Información medianamente

complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia.
Hoy en día, la mayoría de las empresas tienen toda su información estructurada en Sistemas
Informáticos, de aquí, la vital importancia que los sistemas de información funcionen
correctamente.. El éxito de una empresa depende de la eficiencia de sus sistemas de
información. Una empresa puede contar con personal altamente capacitado, pero si tiene un
sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a
adelante.

La auditoría de Sistemas debe hacerse por profesionales expertos, una auditoria mal
hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente
económicas.

En conclusión, la auditoria informática es la indicada para evaluar de manera

profunda, una determinada organización a través de su sistema de información automatizado,
de aquí su importancia y relevancia.

9
 REFERENCIAS BIBLIOGRÁFICAS

Referencias Páginas web

✓ Castañón Ortega, Blanca Margarita. (2012). Auditoria de Sistemas de información.

Gestiopolis: https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion/

✓ Tovar, Ana. (2006). Auditoria Informática. Monografias.com:

http://www.monografias.com/trabajos40/auditoria-informatica/auditoria-
informatica2.shtml#ixzz5HN7fP8Rz

Referencias libros

✓ Rivas, Gonzalo A. (1988). Auditoria Informática. Madrid, España. Diaz de Santos, S.A.

✓ Hernández, Hernández Enrique. 2000. “Auditoría Informática: Un Enfoque

Metodológico”. CECSA. México.

✓ Echenique, José Antonio. 2003. “Auditoría en Informática”. Mcgraw-Hill. México.

10