Este documento presenta la unidad de auditoría informática de un curso. Explica conceptos clave como la definición de auditoría e información, los objetivos de la auditoría informática como verificar el control interno de los sistemas de información y asegurar la fiabilidad de la información, y las responsabilidades del auditor informático como analizar la administración y seguridad de los sistemas de información. También describe las diferencias entre auditoría e inspección.
Prueba libre de Geografía para obtención título Bachillerato - 2024
Clase 1 auditoria de sistemas
1. UNIVERSIDAD DEL NORTE DE NICARAGUA
SEDE -ESTELI
Docente: Ing. Reynaldo R Castillo Martínez ing.reynaldorcm@gmail.com
1
ASIGNATURA: AUDITORIA DE SISTEMAS
I. UNIDAD: AUDITORIA INFORMATICA.
OBJETIVOS POR UNIDAD:
1. Conocer los conceptos básicos de auditoría informática.
2. Determinar los riesgos, las causas y los controles de la auditoria informática
3. Dominar el proceso para la auditoria informática aplicada dentro de un entorno empresarial
CONTENIDO:
Auditoría Informática
1.1 Definiciones y diferencias entre auditoría e inspección.
1.2 Las características del auditor informático
Preguntas de diagnóstico: Responder de manera individual la definición de.
1. Información
2.Auditoria
2. UNIVERSIDAD DEL NORTE DE NICARAGUA
SEDE -ESTELI
Docente: Ing. Reynaldo R Castillo Martínez ing.reynaldorcm@gmail.com
2
LA INFORMACIÓN puede ser definida como los datos que han sido recogidos, procesados,
almacenados y recuperados con el propósito de tomar decisiones financieras y económicas o para el
soporte de una producción y distribución eficientes de bienes y servicios.
La información tiene que ser considerada como un recurso básico en una organización, junto
a los talentos humanos, el capital, las materias primas y demás equipos.
Es clave para la organización tanto para su supervivencia como para mejorar su
posicionamiento en los negocios.
La información puede ser clasificada en cuatro clases:
1) INFORMACIÓN ESTRATÉGICA: Permite a la alta gerencia definir los objetivos de la
organización, la cantidad y clase de recursos necesarias para alcanzar los objetivos y las
políticas que gobiernan su uso. La alta gerencia tiene que tomar decisiones económicas
importantes basadas en las condiciones de los cambiantes mercados e innovación tecnológica.
Parte de esta información es externa.
2) INFORMACIÓN PARA EL CONTROL DE GESTIÓN. Ayuda a los mandos medios
especialmente para tomar decisiones en el período actual, normalmente un año, para que sean
consistentes con los objetivos estratégicos organizativos. Incluye comparaciones entre los
resultados actuales y objetivos, presupuestos y medidas de rendimiento.
3) INFORMACIÓN FINANCIERA O CONTABLE. se produce por rutina, día a día e incluye datos
de contabilidad, control de inventario, programación de la producción, planificación de
necesidades de materiales, normas y gestión del personal, control del flujo de caja, logística,
ingeniería, fabricación, recepción, distribución, ventas y todo el conjunto de operaciones que
son necesarias para mantener la empresa en funcionamiento
4) INFORMACIÓN OPERATIVA O TÉCNICA. Es la información que se genera con el propósito
de control e Información financieros. Este tipo de información se recoge de acuerdo con
Principios Contables Generalmente Aceptados y son aplicados por los profesionales contables.
¿Por qué es valiosa la información para la toma de decisiones?
La calidad de las decisiones tomadas depende directamente de la calidad de la información que las
soporta.
La toma de decisiones requiere:
Un profundo conocimiento de las circunstancias que rodean un problema.
Conocimiento de las alternativas disponibles y
Estrategias competitivas.
3. UNIVERSIDAD DEL NORTE DE NICARAGUA
SEDE -ESTELI
Docente: Ing. Reynaldo R Castillo Martínez ing.reynaldorcm@gmail.com
3
ATRIBUTOS DE LA INFORMACIÓN QUE LA HACEN VALIOSA PARA LA TOMA DE DECISIONES
Completa: Si la información se pierde u oculta al que toma la decisión, el resultado de la
decisión será pobre.
Exacta: Errores en la entrada, conversión o procesos puede dar como resultado conclusiones
invalidas que darán lugar a decisiones erróneas.
Autorizada: La información puede ser semánticamente correcta, pero representar
transacciones invalidas o no autorizadas.
Auditable: La información debe ser seguible a través de los documentos fuente o su ejecución
seguida mediante sistemas de control monitorizado y pre verificados.
Económica: El coste de producir la información debería no exceder su valor cuando se utiliza.
Adecuada: Información específica debe estar disponible solamente para aquellos que la
necesitan para asegurar una gestión eficiente. Demasiada información irrelevante a
disposición de quién debe tomar la decisión puede ocultar el proceso.
Oportuna o Puntual: La información pierde su valor cuando a quién tiene que tomar la
decisión, se le entrega después de que la necesita.
Segura: La información debe ser protegida de su difusión a personas no autorizadas, sin ello
puede dar lugar a pérdidas económicas en la organización. Debe estar protegida contra
destrucciones accidentales o voluntarias.
¿QUÉ HACE QUE LA INFORMACIÓN SEA UN RECURSO CRÍTICO PARA LA ORGANIZACIÓN?
Los estudios realizados en diversas organizaciones y universidades revelan que en los sectores
financieros, productivos y de servicios, una caída total de las redes y equipos informáticos de
tres o cuatro días puede dar lugar a la pérdida del negocio.
La pérdida de confidencialidad en las bases de datos puede proporcionar a los competidores
una ventaja definitiva
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado
como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado
la frase “Tiene Auditoría” como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya
se habían detectado fallas.
El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de
evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere
a todo aquel que tiene la virtud de oír.
Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un
principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor:
evaluar la eficiencia y eficacia.
Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: “ La
auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable.”
4. UNIVERSIDAD DEL NORTE DE NICARAGUA
SEDE -ESTELI
Docente: Ing. Reynaldo R Castillo Martínez ing.reynaldorcm@gmail.com
4
De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que
no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar
la eficacia y eficiencia de una sección o de un organismo.
Los principales objetivos que constituyen a la auditoría Informática son el control de la función
informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del
cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión
de los recursos materiales y humanos informáticos.
NECESIDAD DE LA AUDITORÍA INFORMÁTICA
Por tanto la auditoría informática debe analizar:
- La función informática, que engloba el análisis de la organización, seguridad, segregación de
funciones y gestión de las actividades de proceso de datos.
Los sistemas informáticos, buscando asegurar la adecuación de los mismos a los fines para los que
fueron diseñados.
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA
Los objetivos de la auditoría informática son:
Verificar el control interno de la función informática.
Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les
llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar
decisiones importantes.
Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los
equipos, en los procesos o por una gestión inadecuada de los archivos de datos.
Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no
autorizadas a transacciones que exigen trasvases de fondos.
¿QUÉ HACE LA AUDITORÍA INFORMÁTICA?
Detectar evidencias de riesgos y/o problemas en el apoyo informático a los procesos de
negocios originados por un mal uso informático y/o del control.
Sugerir mejoras.
Aunque ya se haya definido muy bien el concepto de Auditoria Informática, alguno de ustedes al
preguntarle la diferencia entre Auditoria e Inspección, tenga alguna confusión ,es por eso que hay que
dejar bien clara sus diferencias.
La auditoría analiza el funcionamiento del sistema, sus puntos fuertes y débiles. El análisis de un
sistema nunca puede ser realizado en forma puntual, no se busca el acierto o el fallo en un determinado
momento, sino que se buscan los posibles aciertos y fallos en el funcionamiento de un sistema a lo
largo de un período de tiempo más o menos largo. En la inspección, se realiza el análisis de un
proceso, equipo o sistema valorando como está funcionando en ese momento, no antes ni después.
La inspección es más limitada que la auditoría, pero más fácil de realizar, ya que un hecho puntual es
menos interpretable que el funcionamiento de un sistema.
5. UNIVERSIDAD DEL NORTE DE NICARAGUA
SEDE -ESTELI
Docente: Ing. Reynaldo R Castillo Martínez ing.reynaldorcm@gmail.com
5
LAS PRINCIPALES DIFERENCIAS QUE SE PUEDEN APRECIAR ENTRE AMBOS SON:
Inspección Auditoria
Sin comunicación previa Con comunicación previa
No siempre es planeada y documentada Planeada y documentada
Procura verificar fallos Procura verificar hechos (negativos y positivos)
Centraliza las acciones Supervisa las acciones
Se centra en aspectos menos importantes Se centra en aspecto más importantes
No hay que pensar que la auditoria va a sustituir las inspecciones. No es esa la cuestión. La inspección
debe cumplir una función incuestionable en el control de los productos alimentarios, instalaciones,
maquinarias, equipos….
Ambas tareas pueden y deben convivir juntas dentro de tu sistema. Son actuaciones diferentes
que se requieren para objetivos diferentes. Todo esto no se llega a contradecir con que las auditorías
e inspecciones tengan aspectos en común o que sean complementarias. Hay técnicas y habilidades
que puedas ponerlas en práctica para ambas tareas. Por ejemplo el uso de listas de chequeo, la
planificación previa, etc.
También es común la necesidad de disponer de personal apropiado para llevar a cabo ambas
tareas, si bien el auditor debe ser imparcial al área auditada, también se requiere de personas con
gran experiencia en esta tarea. Se deberá valorar su experiencia, formación, capacidades… Un
auditor podrá ser inspector mientras que un inspector no siempre podrá ser un auditor. Aunque
es mucho más fácil para los inspectores llegar a ser auditores por su experiencia, formación en higiene,
tecnología de los alimentos, y otras disciplinas sobre los procesos, actividades, tecnologías e
instalaciones.
Y una cuestión más a tener en cuenta es si la misma persona puede ser auditor e inspector a la vez.
En mi opinión, lo más aconsejable es que sean personas distintas. Ya que el inspector debe
desempeñar más un papel de “fiscalizador” mientras que el auditor debe tener un papel de“apoyo y
amigo”. Esto es bajo mi opinión, claro que habrá que adaptarse a los recursos disponibles.
Y por último y lo que parece que puede estar fuera de discusión u opiniones es que no se deben
simultanear las auditorias con las inspecciones. Ya que como se he dicho antes el propio proceso
de la auditoria requiere de una actitud diferente a la inspección y la metodología a seguir van a ser
distintas.
6. UNIVERSIDAD DEL NORTE DE NICARAGUA
SEDE -ESTELI
Docente: Ing. Reynaldo R Castillo Martínez ing.reynaldorcm@gmail.com
6
El Auditor Informático
EL AUDITOR INFORMÁTICO
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz sistema de Información.
Características del auditor informático
1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general.
En el área informática, se debe tener conocimientos básicos de: Desarrollo de SI, Sistemas operativos,
Telecomunicaciones, Administración de Bases de Datos, Redes locales, Seguridad física,
Administración de Datos, Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc.
2) Especialización en función de la importancia económica que tienen distintos componentes
financieros dentro del entorno empresarial.
3) Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y
soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se
poseen.
4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean
reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en
su totalidad.
Responsabilidades del auditor informático
1. Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.
2. Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de
seguridad, administración y efectividad de la administración.
3. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.
4. Auditoría del riesgo operativo de los circuitos de información
5. Análisis de la administración de los riesgos de la información y de la seguridad implícita.
6. Verificación del nivel de continuidad de las operaciones.
7. Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias
empresariales que un desfase tecnológico puede acarrear.
8. Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y
operativas de información de la empresa
9. También el auditor informático es responsable de establecer los objetivos de control que reduzcan
o eliminen la exposición al riesgo de control interno.
7. UNIVERSIDAD DEL NORTE DE NICARAGUA
SEDE -ESTELI
Docente: Ing. Reynaldo R Castillo Martínez ing.reynaldorcm@gmail.com
7
Temas de Investigación: