clase 1 auditoria de sistemas

UNIVERSIDAD DEL NORTE DE NICARAGUA SEDE -ESTELI

Docente: Ing. Reynaldo R Castillo Martínez [email protected]

1

ASIGNATURA: AUDITORIA DE SISTEMAS

I. UNIDAD: AUDITORIA INFORMATICA.

OBJETIVOS POR UNIDAD:

1. Conocer los conceptos básicos de auditoría informática. 2. Determinar los riesgos, las causas y los controles de la auditoria informática 3. Dominar el proceso para la auditoria informática aplicada dentro de un entorno empresarial

CONTENIDO: Auditoría Informática 1.1 Definiciones y diferencias entre auditoría e inspección. 1.2 Las características del auditor informático

Preguntas de diagnóstico: Responder de manera individual la definición de.

1. Información

2.Auditoria



2

LA INFORMACIÓN puede ser definida como los datos que han sido recogidos, procesados, almacenados y recuperados con el propósito de tomar decisiones financieras y económicas o para el soporte de una producción y distribución eficientes de bienes y servicios.

La información tiene que ser considerada como un recurso básico en una organización, junto a los talentos humanos, el capital, las materias primas y demás equipos.

Es clave para la organización tanto para su supervivencia como para mejorar su posicionamiento en los negocios.

La información puede ser clasificada en cuatro clases: 1) INFORMACIÓN ESTRATÉGICA: Permite a la alta gerencia definir los objetivos de la

organización, la cantidad y clase de recursos necesarias para alcanzar los objetivos y las políticas que gobiernan su uso. La alta gerencia tiene que tomar decisiones económicas importantes basadas en las condiciones de los cambiantes mercados e innovación tecnológica. Parte de esta información es externa.

2) INFORMACIÓN PARA EL CONTROL DE GESTIÓN. Ayuda a los mandos medios especialmente para tomar decisiones en el período actual, normalmente un año, para que sean consistentes con los objetivos estratégicos organizativos. Incluye comparaciones entre los resultados actuales y objetivos, presupuestos y medidas de rendimiento.

3) INFORMACIÓN FINANCIERA O CONTABLE. se produce por rutina, día a día e incluye datos de contabilidad, control de inventario, programación de la producción, planificación de necesidades de materiales, normas y gestión del personal, control del flujo de caja, logística, ingeniería, fabricación, recepción, distribución, ventas y todo el conjunto de operaciones que son necesarias para mantener la empresa en funcionamiento

4) INFORMACIÓN OPERATIVA O TÉCNICA. Es la información que se genera con el propósito de control e Información financieros. Este tipo de información se recoge de acuerdo con Principios Contables Generalmente Aceptados y son aplicados por los profesionales contables.

¿Por qué es valiosa la información para la toma de decisiones? La calidad de las decisiones tomadas depende directamente de la calidad de la información que las soporta. La toma de decisiones requiere:

Un profundo conocimiento de las circunstancias que rodean un problema. Conocimiento de las alternativas disponibles y Estrategias competitivas.



3

ATRIBUTOS DE LA INFORMACIÓN QUE LA HACEN VALIOSA PARA LA TOMA DE DECISIONES

Completa: Si la información se pierde u oculta al que toma la decisión, el resultado de la decisión será pobre.

Exacta: Errores en la entrada, conversión o procesos puede dar como resultado conclusiones invalidas que darán lugar a decisiones erróneas.

Autorizada: La información puede ser semánticamente correcta, pero representar transacciones invalidas o no autorizadas.

Auditable: La información debe ser seguible a través de los documentos fuente o su ejecución seguida mediante sistemas de control monitorizado y pre verificados.

Económica: El coste de producir la información debería no exceder su valor cuando se utiliza. Adecuada: Información específica debe estar disponible solamente para aquellos que la

necesitan para asegurar una gestión eficiente. Demasiada información irrelevante a disposición de quién debe tomar la decisión puede ocultar el proceso.

Oportuna o Puntual: La información pierde su valor cuando a quién tiene que tomar la decisión, se le entrega después de que la necesita.

Segura: La información debe ser protegida de su difusión a personas no autorizadas, sin ello puede dar lugar a pérdidas económicas en la organización. Debe estar protegida contra destrucciones accidentales o voluntarias.

¿QUÉ HACE QUE LA INFORMACIÓN SEA UN RECURSO CRÍTICO PARA LA ORGANIZACIÓN?

Los estudios realizados en diversas organizaciones y universidades revelan que en los sectores financieros, productivos y de servicios, una caída total de las redes y equipos informáticos de tres o cuatro días puede dar lugar a la pérdida del negocio.

La pérdida de confidencialidad en las bases de datos puede proporcionar a los competidores una ventaja definitiva

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado

como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado

la frase “Tiene Auditoría” como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya

se habían detectado fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de

evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere

a todo aquel que tiene la virtud de oír.

Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un

principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor:

evaluar la eficiencia y eficacia.

Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: “ La

auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos

procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable.”



4

De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que

no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar

la eficacia y eficiencia de una sección o de un organismo.

Los principales objetivos que constituyen a la auditoría Informática son el control de la función

informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del

cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión

de los recursos materiales y humanos informáticos.

NECESIDAD DE LA AUDITORÍA INFORMÁTICA Por tanto la auditoría informática debe analizar: - La función informática, que engloba el análisis de la organización, seguridad, segregación de funciones y gestión de las actividades de proceso de datos. Los sistemas informáticos, buscando asegurar la adecuación de los mismos a los fines para los que fueron diseñados. OBJETIVOS DE LA AUDITORÍA INFORMÁTICA Los objetivos de la auditoría informática son:

Verificar el control interno de la función informática.

Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes.

Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos.

Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos.

¿QUÉ HACE LA AUDITORÍA INFORMÁTICA?

Detectar evidencias de riesgos y/o problemas en el apoyo informático a los procesos de negocios originados por un mal uso informático y/o del control.

Sugerir mejoras.

Aunque ya se haya definido muy bien el concepto de Auditoria Informática, alguno de ustedes al preguntarle la diferencia entre Auditoria e Inspección, tenga alguna confusión ,es por eso que hay que dejar bien clara sus diferencias.

La auditoría analiza el funcionamiento del sistema, sus puntos fuertes y débiles. El análisis de un sistema nunca puede ser realizado en forma puntual, no se busca el acierto o el fallo en un determinado momento, sino que se buscan los posibles aciertos y fallos en el funcionamiento de un sistema a lo largo de un período de tiempo más o menos largo. En la inspección, se realiza el análisis de un proceso, equipo o sistema valorando como está funcionando en ese momento, no antes ni después. La inspección es más limitada que la auditoría, pero más fácil de realizar, ya que un hecho puntual es menos interpretable que el funcionamiento de un sistema.



5

LAS PRINCIPALES DIFERENCIAS QUE SE PUEDEN APRECIAR ENTRE AMBOS SON:

Inspección Auditoria

Sin comunicación previa Con comunicación previa

No siempre es planeada y documentada Planeada y documentada

Procura verificar fallos Procura verificar hechos (negativos y positivos)

Centraliza las acciones Supervisa las acciones

Se centra en aspectos menos importantes Se centra en aspecto más importantes

No hay que pensar que la auditoria va a sustituir las inspecciones. No es esa la cuestión. La inspección debe cumplir una función incuestionable en el control de los productos alimentarios, instalaciones, maquinarias, equipos….

Ambas tareas pueden y deben convivir juntas dentro de tu sistema. Son actuaciones diferentes que se requieren para objetivos diferentes. Todo esto no se llega a contradecir con que las auditorías e inspecciones tengan aspectos en común o que sean complementarias. Hay técnicas y habilidades que puedas ponerlas en práctica para ambas tareas. Por ejemplo el uso de listas de chequeo, la planificación previa, etc. También es común la necesidad de disponer de personal apropiado para llevar a cabo ambas tareas, si bien el auditor debe ser imparcial al área auditada, también se requiere de personas con gran experiencia en esta tarea. Se deberá valorar su experiencia, formación, capacidades… Un auditor podrá ser inspector mientras que un inspector no siempre podrá ser un auditor. Aunque es mucho más fácil para los inspectores llegar a ser auditores por su experiencia, formación en higiene, tecnología de los alimentos, y otras disciplinas sobre los procesos, actividades, tecnologías e instalaciones. Y una cuestión más a tener en cuenta es si la misma persona puede ser auditor e inspector a la vez. En mi opinión, lo más aconsejable es que sean personas distintas. Ya que el inspector debe desempeñar más un papel de “fiscalizador” mientras que el auditor debe tener un papel de“apoyo y amigo”. Esto es bajo mi opinión, claro que habrá que adaptarse a los recursos disponibles. Y por último y lo que parece que puede estar fuera de discusión u opiniones es que no se deben simultanear las auditorias con las inspecciones. Ya que como se he dicho antes el propio proceso de la auditoria requiere de una actitud diferente a la inspección y la metodología a seguir van a ser distintas.



6

El Auditor Informático EL AUDITOR INFORMÁTICO

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información. Características del auditor informático 1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Seguridad física, Administración de Datos, Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc. 2) Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial. 3) Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. 4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.

Responsabilidades del auditor informático

1. Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.

2. Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración.

3. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.

4. Auditoría del riesgo operativo de los circuitos de información

5. Análisis de la administración de los riesgos de la información y de la seguridad implícita.

6. Verificación del nivel de continuidad de las operaciones.

7. Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear.

8. Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa

9. También el auditor informático es responsable de establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno.



7

Temas de Investigación:

clase 1 auditoria de sistemas

Education