República Bolivariana de Venezuela.I.U.P. “Santiago Mariño”.

Extensión Maturín.Escuela de Ingeniería de Sistemas.

Auditoria y Evaluación de Sistemas

Maturín; Enero de 2015

AUDITORIA DE SISTEMA DE INFORMACION

Autor: Romer. E. Gómez García .I: 18.674.044

Profesor

Ing. juan Oliveira

Introducción

La auditoría de sistemas de información es muy compleja y por tanto es necesario contar con ciertas habilidades que te permitan a provechar al máximo este tipo de auditorias y hacer que su uso sea el adecuado y obtener el beneficio de adquirir con la práctica la habilidad necesaria para realizar una correcta  auditoría de sistemas de información

Actualmente la auditoria de los sistemas de información es definida como cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluyendo los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Criterio de Auditoria

Criterio de Auditoria: Políticas, practicas, procedimientos o requerimientos contra los que el auditor compara la información recopilada sobre la gestión de calidad.  Los requerimientos pueden incluir estándares, normas, requerimientos organizacionales específicos, y requerimientos legislativos o regulados.

Evidencia de Auditoria

Evidencia de Auditoria: Información, registros o declaraciones de hecho verificables. La evidencia de auditoría puede ser cualitativa o cuantitativa, es utilizada por el auditor para determinar cuando se cumple con el criterio de auditoria. La evidencia de auditoria se basa típicamente en entrevistas, revisión de documentos, observación de actividades y condiciones, resultados de mediciones y pruebas.

Resultados de la Auditoria

Resultados de la Auditoria: Resultados de la evaluación de la evidencia de auditoria recopilada comparada contra los criterios de auditoria acordados. Los resultados de la auditoria proveen la base para el reporte de la auditoria.

Equipo Auditor

Equipo Auditor: Grupo de auditores, o un auditor individual, designados para desempeñar una auditoria dada; el equipo auditor puede incluir expertos técnicos y auditores en practicas. Uno de los auditores del equipo de la auditoria desempeña la función de auditor líder

Auditor y Auditado

Auditado: Organización que se audita.

Auditor: Persona calificada para realizar auditorías de calidad.

Auditoria de Calidad

Auditoria de calidad: Proceso sistemático, documentado y de verificación objetiva para obtener y evaluar la evidencia de la auditoria y determinar cuales actividades especificas, eventos, condiciones, sistemas gerenciales, de calidad o información referente a estos aspectos, cumplen con los criterios de auditoria, y la comunicación de los resultados de este proceso al cliente.

Auditor Líder y Experto Técnico

Auditor líder: Persona calificada para manejar y realizar auditorías de calidad.

Experto técnico: Persona que provee el conocimiento y la experiencia especifica al equipo auditor, pero que no participa como un auditor.

Auditoria de Sistema

Es la rama que se encarga de llevar a cabo la evaluación de normas,

controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

Auditoria Informática

La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. 

Auditoria de Información

La auditoría de la información es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información. El objetivo final que tiene el auditor es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa

 

Auditoria en Sistema de Información

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

 

Tipos de Auditoria

Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática. Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera.

 

Metodología de la Auditoría de Sistemas de Información

Existen algunas metodologías de Auditorías de Sistemas de información

y todas dependen de lo que se pretenda revisar o analizar:

*Estudio preliminar

*Revisión y evaluación de controles y seguridades

*Examen detallado de áreas criticas

*Comunicación de resultados

Estudio Preliminar

Incluye definir el grupo de trabajo, el programa de auditoría, efectuar

visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios.

Revisión y evaluación de controles y seguridades

Consiste de la revisión de los diagramas de flujo de procesos,

realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos, Revisión de documentación y archivos, entre otras actividades.

Objetivo de la Calidad de Auditoria de Sistema de Información

Objetivos: La auditoria debe estar basada en objetivos definidos por el cliente.  El alcance es determinado por el auditor líder en acuerdo con el cliente para alcanzar los objetivos. El alcance describe la extensión y límites de la auditoría. Los objetivos y el alcance deben ser comunicados al auditado antes de la auditoria.

Los siguientes son ejemplos de objetivos típicos:

a) Determinar la conformidad con los criterios de auditoria del SGC del auditado.

b) Determinar cuando el SGC del auditado se ha implementado y mantenido

apropiadamente.

c) Identificar las áreas de mejora potencial.

d) Evaluar el SGC de una organización cuando existe un deseo de establecer una relación

contractual, como la que se da con un proveedor potencial o un socio empresarial.

Objetivo de la Calidad de Auditoria de Sistema de Información

: Una auditoría de calidad debe enfocarse en criterios claramente definidos y documentados.

La auditoría solamente se lleva a cabo si, luego de consultar con el cliente, es opinión del auditor líder que:

• Existe información suficiente y apropiada sobre el tema de la auditoría.

• Existen recursos adecuados que respalden y avalen el proceso de la auditoría.

• Existe una cooperación adecuada por parte del auditado.

Alcance de la Calidad de Auditoria de Sistema de Información

: El alcance describe la todo el sistema de gestión de calidad,

procedimientos, y de todos los apartados de la norma de calidad aplicada para la implantación del sistema así como la información relativa a documentación legal y administrativa de la empresa por el equipo auditor, en factores tales como la ubicación física, actividades organizacionales, y la forma de realizar los informes.

El alcance de la auditoría debe ser determinado entre el cliente y el auditor líder.  El auditado normalmente debe ser consultado cuando se determina el alcance de la auditoría.  Cualquier cambio posterior al alcance de la auditoria debe realizarse de común acuerdo entre el cliente y el auditor líder.

Los recursos encargados al auditor deben ser suficientes en cantidad y calidad para cumplir con el alcance requerido.

Historia

La Auditoría de los Sistemas de Información ha surgido cuando las empresas e instituciones han tomado conciencia de que la información que adquieren, conservan, procesan y emiten, es vital para su propia supervivencia diaria y proyección de progreso. Por tanto, han elevado a la categoría de sistemas críticos prácticamente todos los sistemas internos que manejan información, agregándolos en uno solo denominado sistema de información.

En consecuencia, por su naturaleza crítica, el enfoque de auditoría debe adoptar una perspectiva que se adecue absolutamente a estos sistemas, sea mediante la transformación de métodos, técnicas y procedimientos de la auditoría tradicional, o sea mediante la creación de unos nuevos. Pero al principio esto no era así. La introducción de las máquinas de proceso de datos en las empresas se produjo en los años 50, principalmente dedicadas a sustituir a los empleados en las tareas repetitivas en el cálculo de nóminas y facturas de clientes.

Historia

Dada su utilización como súper calculadoras, con un volumen considerable de datos de entrada, y un volumen similar de datos de salida en función de los anteriores, el auditor se limitaba a verificar la corrección de los datos de salida frente a los datos de entrada, ignorando la lógica y funcionamiento interno de las máquinas de proceso de datos. Este tipo de auditoría se suele denominar auditoría alrededor del ordenador. Prácticamente era una auditoría convencional con un elemento exótico que producía información de distinta manera que los empleados de la empresa.

Esta situación se prolongó hasta mediados de la década de los 60, cuando las organizaciones de auditoría propugnaron un cambio en el enfoque, en base a los resultados de baja calidad obtenidos en las auditorías de áreas que comportaban proceso de datos a través de ordenadores. Este cambio consistía fundamentalmente en la adaptación de los criterios para la evaluación del control interno, en los sistemas organizativos, financieros y contables, al centro de proceso de datos y, concretamente, a la sala del ordenador. Esta etapa se suele denominar auditoría del ordenador

Conclusión

En la actualidad la auditoria en informática es muy importante para el adecuado desempeño de los sistemas de información, debido a que nos brinda los controles suficientes y necesarios para que los sistemas sean de alta confiabilidad y con alto nivel de seguridad. Además este tipo de auditorias debe evaluar todo el sistema de información.

Con este tema, la primordial conclusión a la que se llega, es que toda empresa, que posea sistemas de información medianamente complejos, debe ser sometida a un control detallado con una evaluación eficiente y eficaz. En la actualidad más del noventa por ciento de las empresas cuentan con su información de forma estructurada a los sistemas informáticos, causa por la que es de vital importancia que los sistemas de información deben funcionar correctamente. Cabe mencionar que el éxito de cualquier empresa, siempre dependerá de la eficiencia de sus sistemas de información, es por tal motivo que la auditoría a estos sistemas debe ser realizada de manera correcta.

¡Hoy mejor que ayer, mañana mejor que hoy!” su significado es que siempre es posible hacer mejor

las cosas. Ningún día debe pasar sin una cierta mejora.

24

Muchas Gracias por su Atención