Unidad I_INTRODUCCIÓN Y CONCEPTOS BÁSICOS

Vista previa del material en texto

U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
UNIDAD I - INTRODUCCIÓN Y CONCEPTOS BÁSICOS 
DE AUDITORÍA Y AUDITORÍA INFORMÁTICA
�Antecedentes y Concepto
�Origen y desarrollo de la A.I.
�Áreas de revisión de la A.I. 
�Objetivos de la A.I.
�Tipos de A.I. 
�Principales pruebas y herramientas de A.I.
�Perfil y capacidades del Auditor Informat.
�Motivos de realización de la A.I.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Es el campo que se encarga del estudio y 
aplicación práctica de la tecnología, métodos, 
técnicas y herramientas relacionados con las 
computadoras y el manejo de la información por 
medios electrónicos, el cual comprende las áreas 
de la tecnología de información orientadas al 
buen uso y aprovechamiento de los recursos 
computacionales para asegurar que la 
información de las organizaciones fluyan de 
manera oportuna y veraz.
Informática: Concepto
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Porque existe la necesidad de realizar una 
auditoria informática?
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Antecedentes
�El incremento constante de las expectativas y 
necesidades relacionadas con la informática, al 
igual que la actualización continua de los 
elementos que componen la tecnología de este 
campo, obligan a las entidades que la aplican, a 
disponer de controles, políticas y procedimientos 
que aseguren a la alta dirección la correcta 
utilización de los recursos humanos, materiales, 
y financieros involucrados, para que se protejan 
adecuadamente y se orienten a la rentabilidad y 
competitividad del negocio.
Introducción
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Antecedentes
�La tecnología informática (hardware, software, redes, 
bases de datos, etc.) es una herramienta estratégica 
que brinda rentabilidad y ventajas competitivas a los 
negocios frente a otros negocios similares en el 
mercado, pero puede originar costos y desventajas si 
no es bien administrada por el personal encargado
�La solución clara es entonces realizar evaluaciones 
oportunas y completas de la función informática, a 
cargo de personal calificado, consultores externos, 
auditores en informática o evaluaciones periódicas 
realizadas por el mismo personal de informática
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Antecedentes
�Entonces la auditor ía en inform ática se encarga de 
evaluar y verificar políticas, controles, procedimientos 
y seguridad en los recursos dedicados al manejo de 
la información, mediante la aplicación de una 
metodología que debe de ejecutarse con formalidad y 
oportunidad.
�El rol del auditor en informática es el de funcionar 
como un punto de control y confianza para la alta 
dirección o los dueños de la empresa, además debe 
ser el facilitador de soluciones. Una de las tareas 
principales del auditor es la de conducir siempre a la 
empresa a optimizar el uso de los recursos 
informáticos
Introducción
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Antecedentes
� Por otro lado es incorrecto pensar que la auditoría 
informática producirá un cambio instantáneo en la 
cultura organizacional, en los métodos de trabajo, o 
en la mala calidad o improductividad, se debe pensar 
que la auditoría en informática es un elemento 
estratégico directo que apoya o promueve la 
eliminación o corrección de cada una de las 
debilidades antes mencionadas.
� Se espera que un auditor en informática sea un 
profesional, un experto, y su principal objetivo es 
darle a cada problema la dimensión justa y convertirlo 
en una solución para la empresa.
Introducción
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Auditoría – Concepto
�Es el examen profesional, objetivo e 
independiente, de las operaciones financiera y/o 
administrativas, que se realiza con posterioridad 
a su ejecución, en las entidades públicas o 
privadas, y cuyo producto final es un informe, 
conteniendo opinión sobre la información 
financiera y/o administrativa auditada, así como 
conclusiones y recomendaciones tendientes a 
promover la economía, eficiencia y eficacia de 
la gestión empresarial o gerencial.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Este examen comprende:
� Determinar el grado de cumplimiento de objetivos 
y metas de los planes administrativos y 
financieros.
� Forma de adquisición, protección y empleo de los 
recursos materiales y humanos.
� Racionalidad, economía, eficiencia y eficacia en el 
cumplimiento de los planes financieros y 
administrativos.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Características de la auditoría
1- ES OBJETIVA: 
Significa que el examen es imparcial, sin 
presiones ni halagos, con una actitud mental 
independiente, sin influencias personales ni 
políticas. 
En todo momento debe prevalecer el criterio del 
auditor, que estará sustentado por su 
capacidad profesional y conocimiento pleno de 
los hechos que refleja en su informe.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Características de la auditoría
2- ES SISTEMATICA Y PROFESIONAL: 
La auditoría debe ser cuidadosamente planeada y llevada 
a cabo por profesionales conocedores del ramo que 
cuentan con la capacidad técnica y profesional requerida, 
los cuales se atienen a las normas de auditoría 
establecidas, a los principios de Contabilidad 
generalmente aceptados y al código de Ética Profesional.
El desarrollo de la auditoría se lleva a cabo cumpliendo 
en forma estricta los pasos que contienen las fases del 
proceso de la auditoría: Planeación, Ejecución e Informe.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Características de la auditoría
3- INFORME FINAL:
Finaliza con la elaboración de un informe escrito 
(dictamen) que contiene los resultados del examen 
practicado, el cual debe conocer de previo la 
persona auditada, para que tenga a bien hacer las 
correspondientes observaciones del mismo; además 
el informe contiene las conclusiones y debilidades 
tendientes a la mejora de las debilidades 
encontradas.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Origen y desarrollo de la A.I.
•El acceso a la información 
no solo está restringida por 
controles físicos, también 
por controles lógicos.
•El acceso a la información 
física se encontraba 
restringida por controles 
físicos.
•La información es 
almacenada en medios 
computacionales.
•Los documentos son 
almacenados y 
recuperados en medios 
físicos.
•La facturación está
controlada por sistemas 
informáticos (programas).
•Sistemas manuales de 
facturación.
AHORAANTES
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
AUDITORÍA INFORMÁTICA - DEFINICIÓN
Es el proceso de recolectar y evaluar “evidencias”
para determinar si los Sistemas Informáticos y 
recursos relacionados salvaguardan 
adecuadamente los activos, mantienen la 
integridad de los datos y del sistema, proveen 
información confiable y oportuna, logran 
efectivamente las metas de la organización, 
consumen los recursos de manera eficiente y 
tienen en vigor los controles interno que proveen 
una garantía razonable de que se alcanzarán los 
objetivos del negocio, operativos y de control. 
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Auditoría Informática – Concepto 
�Es una revisión de carácter objetivo 
(independiente), crítico (evidencia), sistemático 
(normas), selectivo (muestras) de las políticas, 
normas, prácticas, funciones, procesos, 
procedimientos e informes relacionados con los 
sistemas de información computarizados, con el 
fin de emitir una opinión profesional (imparcial) 
con respecto a la:
ִ Eficiencia y eficacia en la utilización de los 
recursos informáticos
ִ Seguridad de los recursos informáticos
ִ Efectividad de los controles establecidos.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Auditoria en informática:
Es un proceso formal ejecutado por especialistas del área de 
auditoria y de informáticacuyo objetivo es el de verificar y 
asegurar que las políticas y procedimientos establecidos 
para el manejo y uso adecuado de la tecnología de 
informática en la organización se realicen de manera 
eficiente y eficaz. 
Evaluando el grado de cumplimiento de políticas, controles y 
procedimientos correspondientes al uso de los recursos de 
informática por el personal de la empresa. 
Dicha evaluación deberá ser la pauta para la entrega del 
informe de auditoria en informática, el cual debe contener las 
observaciones, recomendaciones y áreas de oportunidad 
para el mejoramiento y optimización permanente de la 
tecnología de informática en el negocio. 
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
AUDITORÍA INFORMÁTICA
La auditoría informática sirve para mejorar 
características importantes en la empresa 
como:
� Seguridad
� Integridad
� Eficiencia
� Eficacia
� Rentabilidad
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Los objetivos de la Auditoría Informática son:
� Conocer la situación actual del área informática y 
las actividades y esfuerzos necesarios para 
lograr los objetivos propuestos.
� La verificación de la implantación y cumplimiento 
de normativas establecidas y recomendar las 
necesarias en este ámbito.
� Verificar la seguridad, privacidad y disponibilidad 
de los recursos en el ambiente informático.
� Auditoria de los propios sistemas Informáticos.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
OBJETIVOS DE LA A.I. (Cont..)
� Prestar colaboración a la Auditoria de 
cuentas
� Prevención de fraude y obtención de la 
prueba
� La revisión de la eficaz gestión de los 
recursos informáticos. 
� El control de la función informática 
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Áreas de revisión de la Auditoría Informática:
Generalmente la A.I. se puede desarrollar en 
alguna o combinación de las siguientes áreas:
� Gobierno corporativo de TI
� Protección y Seguridad del ambiente TI
� Administración del Ciclo de vida de los sistemas 
� Servicios y Soportes 
� Planes de contingencias y recuperación ante 
desastres 
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Tipos de Auditoría informática 
Dentro de la auditoría informática destacan los siguientes 
tipos (entre otros):
� Auditoría de la gestión de TI: Referido al gobierno de 
TI, plan corporativo, a la contratación de bienes y 
servicios, gerenciamiento de proyectos de TI, etc. 
� Auditoría de las bases de datos : Controles de acceso, 
de actualización, de integridad y calidad de los datos, 
errores, fraudes. 
� Auditoría de la seguridad : Referidos a datos e 
información verificando disponibilidad, integridad, 
confidencialidad, autenticación y no repudio. 
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Tipos de Auditoría informática
� Auditoría de la seguridad física : Referido a la 
ubicación de la organización, evitando ubicaciones de 
riesgo, y en algunos casos no revelando la situación 
física de esta. También está referida a las protecciones 
externas (arcos de seguridad, CCTV, vigilantes, etc.) y 
protecciones del entorno. 
� Auditoría de la seguridad lógica : Comprende los 
métodos de autenticación de los sistemas de 
información, asignación de programas, clasificación de 
la información, etc
� Auditoría de Redes y las comunicaciones : 
comprende administración, configuración, transmisión 
de datos, encriptación, etc.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Principales pruebas para efectuar una 
auditoría informática 
Tipos de pruebas: en la realización de la auditoría 
informática el auditor puede realizar las siguientes 
pruebas:
� Prueba Clásica
� Pruebas de Cumplimiento o control.
� Pruebas Sustantivas
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Pruebas a realizar la auditoría
• Pruebas clásicas: 
• Consiste en probar las aplicaciones / 
sistemas con datos de prueba, observando 
la entrada, la salida esperada, y la salida 
obtenida. Existen paquetes que permiten la 
realización de estas pruebas. 
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Pruebas a realizar la auditoría
Pruebas de cumplimiento : Determina si un sistema de 
control interno funciona adecuadamente (según la 
documentación, según declaran los auditados y según 
las políticas y procedimientos de la organización). 
Tienen como objetivo conocer el nivel de seguridad que 
los controles brindan y el nivel de aplicación de dichos 
controles.
Implican:
- Análisis de la documentación, los procedimientos y 
los programas.
- Estudio de causas de riesgos y controles existentes. 
- Estudio de controles débiles y ausentes.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Pruebas a realizar la auditoría
Pruebas Sustantivas : Revisión exhaustivas del objeto de 
auditoría. Aportan al A.I. suficientes evidencias para que se 
pueda formar un juicio. Se suelen obtener mediante 
cálculos, muestreos, entrevistas, técnicas de examen 
analítico, revisiones y conciliaciones. Verifican asimismo la 
exactitud, integridad y validez de la información.
• Se realizan cuando se detectan controles débiles o 
ausentes, fraudes, errores significativos, debilidades de 
control interno.
• Buscan determinar pruebas de situaciones inadecuadas o 
incorrectas.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Las principales herramientas de las que 
dispone un auditor informático son:
� Observación
� Realización de cuestionarios
� Entrevistas a auditados y no auditados
� Muestreo estadístico
� Flujogramas
� Listas de checkeos
� Mapas conceptuales
� Verificación específica
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Perfil del auditor informático
A un auditor informático se le presupone cierta 
formación informática y experiencia en el sector, 
independencia y objetividad, madurez, capacidad de 
síntesis y análisis y seguridad en sí mismo.
En nuestro país existe un vacío legal por la ausencia de 
normativas que defina claramente:
� Quien puede realizar auditoría informática. 
� Como se debe realizar una auditoría informática. 
� En que casos es necesaria una auditoría informática. 
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
� La necesidad de contar con lineamientos y 
herramientas estándar para el ejercicio de la auditoría 
informática ha promovido la creación y desarrollo de 
mejores prácticas como COBIT, COSO e ITIL.
� Actualmente la certificación de ISACA para ser CISA 
Certified Information Systems Auditor es una de las 
más reconocidas y avaladas por los estándares 
internacionales ya que el proceso de selección consta 
de un examen inicial bastante extenso y la necesidad 
de mantenerse actualizado acumulando horas (puntos) 
para no perder la certificación.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
Habilidades del Auditor Informático.
• Capacitación continua, especialización, certificación 
• Comprender los ciclos de negocios y conocer sobre 
auditoría contable/financiera.
• Experiencias en desarrollos de proyectos
• Tener conocimientos de técnicas y lenguajes de 
programación.
• Estar familiarizado con los sistemas operativos y 
redes de comunicación
• Tener conocimientos de los tipos y estructuras de 
base de datos.
• Saber cuando pedir apoyo de un especialista.
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
MOTIVOS DE REALIZACIÓN DE UNA A.I.
� Desconocimiento en el nivel directivo de la situación 
informática de la empresa
� Falta total o parcial de seguridades lógicas y físicas 
que garanticen la integridad del personal, equipos e 
Información.
� Descubrimiento de fraudes efectuados con la PC
� Organización que no funciona correctamente, falta de 
políticas, objetivos, normas, metodologías, inadecuada 
utilización y administración del recurso humano del 
área informática
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
MOTIVOS.. CONTINUACION
� Falta de unaplanificación informática
� Descontento general de los usuarios por 
incumplimiento de plazos y mala calidad de los 
resultados
� Falta de documentación o documentación 
incompleta de sistemas que revela la dificultad 
de efectuar el mantenimiento de los sistemas 
en producción
� Aumento considerable e injustificado del 
presupuesto del TI (Tecnología Informática)
U.N.A. - Auditoría InformáticaProf. Lic. Marco A. Leiva F.
� MUCHAS GRACIAS