Evolucin de la Auditora de Sistemas

Expansin del comercio despus de pasar por el trueque, los comerciantes se

agruparon en gremios y luego formaron las primeras empresas. Con esto se inici
el resgistro de operaciones mercantiles a travs de escribas y luego con el
nacimiento de la partida doble surgi la tenedura de libros que lleg a impulsar la
CONTABILIDAD
A la par se requiri que alguien evaluara que estos registros y resultados fueran
veraces y correctos y naci el acto de AUDITAR.
Las primeras revisiones fueron rudimentarias y poco meticulosas, su principal
objetivo era saber si las transacciones eran registradas correctamente y las
cantidades eran exactas, para comprobar que no existan desfalcos o
sustracciones de bienes.
Conforme creca la actividad empresarial y la presencia de los bancos para
custodiar sus depsitos y otorgar prstamos, se requiri la elaboracin de estados
financieros que reflejaban los resultados de perodos anteriores y servan para
demostrar la solvencia cuando solicitaban los prstamos
Luego se hizo necesario que los estados financieros de las empresas fueran
avalados por un profesional independiente. Asi naci la actividad del AUDITOR
El verdadero nacimiento de la auditora fue a finales del siglo XV cuando los
nobles y ricos de Espaa, Francia, Holanda e Inglaterra recurran a los servicios
de revisores de cuentas que se encargaban de revisar las cuentas manejadas por
sus administradores de bienes y asegurar que no haba fraude en los reportes que
les presentaban.
El descubrimiento de Amrica contribuy al crecimiento de la Auditora, pues la
Corona envi visitadores a revisar cuentas y resultados de sus colonias, revisaban
el manejo de los tesoros, las recaudaciones, los gastos y la forma como sus
encargados gobernaban
El origen de los auditores es la Curia Romana, que en un principio daba consejos
en materia de teologa, luego ejerca el poder civil, eclesistico y desde 1831 se
entendi de ciertos asuntos disciplinarios.
A mediados del siglo XIX la ley de Empresas del Reino Unido de Inglaterra
impuso la obligacin de realizar auditoras a los estados financieros de las
Empresas pblicas. Esta costumbre tambin se adopt en Estados Unidos para
las empresas que cotizaban en la bolsa de valores.
Tambin se conocieron los auditores de la Marina y Guerra en 1894
Los antecedentes ms recientes aparecen con la revolucin industrial a partir de
1870, en donde el crecimiento de las operaciones de estas empresas demand la
necesidad de los auditores.
En un principio la Auditora se consider como una rama de la Contabilidad, pero
luego se extendi a las ramas de ingeniera, medicina, sistemas y as a casi todas
las disciplinas del quehacer humano.
Concepto de Auditora
Es la revisin independiente de alguna o algunas actividades, funciones
especficas, resultados u operaciones de una entidad administrativa, realizada por
un profesional de auditora, con el propsito de evaluar la correcta realizacin y
poder emitir una opinin autorizada sobre la razonabilidad de sus resultados y el
cumplimiento de sus operaciones
La auditoria en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia
y seguridad, de la organizacin que participan en el procesamiento de la
informacin, a fin de que por medio del sealamiento de cursos alternativos se
logre una utilizacin ms eficiente y segura de la informacin que servir para una
adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que adems
habr de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin.

Concepto de Auditora Informtica

La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene
la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo
especfico que es el de evaluar la eficiencia y eficacia con que se est operando
para que, por medio del sealamiento de cursos alternativos de accin, se tomen
decisiones que permitan corregir los errores, en caso de que existan, o bien
mejorar la forma de actuacin.
En administracin y en negocios, existen 2 trminos que en muchas ocasiones son
frecuentemente confundidos por la gente de negocios y por el pblico en general:
eficacia y eficiencia.
La eficacia tiene que ver con resultados, est relacionada con lograr los objetivos.
La eficiencia, en cambio, se enfoca a los recursos, a utilizarlos de la mejor manera
posible. Se puede ser eficiente sin ser eficaz? Qu tal ser eficaz sin ser
eficiente? La respuesta a ambas interrogantes es afirmativa
El examen y evaluacin de los procesos del rea de Procesamiento automtico de
Datos y de la utilizacin de los recursos que en ellos intervienen, para llegar a
establecer el grado de eficiencia, efectividad y economa de los sistemas
computarizados en una empresa y presentar conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes y mejorarlas.
El proceso de recoleccin y evaluacin de evidencia para determinar en un
sistema automatizado:
- Daos
- Salvaguarda activos Destruccin
- Uso no autorizado
- Robo
- Mantiene Integridad de Informacin Precisa, Completa, Oportuna y Confiable
- Alcanza metas Contribucin de la organizacionales funcin informtica
- Consume recursos
- Utiliza los recursos adecuadamente y eficientemente en el procesamiento de la
informacin
Tipos y clases de Auditora
Por su lugar de aplicacin:
Auditora Externa: realizada por auditores totalmente ajenos a la Empresa
Auditora Interna: realizada por auditores con relacin de trabajo directa y
subordinada a la Empresa
Por su rea de aplicacin:
Auditora Financiera (contable): Revisin del registro de las operaciones
financieras y la emisin de los estados Financieros
Auditora Administrativa: Revisin a la actividad administrativa, en
cuanto a su organizacin, relacin entre sus integrantes y cumplimiento de
las funciones y actividades que regulan sus operaciones
Auditora Operacional: Revisin a las actividades de una empresa,
cumplimiento de mtodos, tcnicas y procedimientos para el desarrollo de
sus operaciones
Auditora Integral: Revisin a todas las actividades y operaciones de una
Empresa de manera integral, evala las funciones de todas sus reas, los
resultados conjuntos y relaciones de trabajo, comunicaciones y
procedimientos interrelacionados, para alcanzar el objetivo institucional.
Auditora Gubernamental: Evala la correcta aplicacin de los
presupuestos y gastos del gobierno en las diferentes entidades
gubernamentales y de administracin pblica.
Auditora de Sistemas: Revisin a los sistemas computacionales,
software e informacin, as como a sus instalaciones, telecomunicaciones,
mobiliario, perifricos, aprovechamiento de recursos, medidas de seguridad
y bienes de consumo necesarios para el centro de cmputo.
Auditoras especializadas en reas especficas
Auditora al rea mdica (evaluacin mdico-sanitaria): Aplicada por
especialistas de ciencias mdicas y similares, evala el correcto
desempeo de las funciones y actividades del personal mdico,
paramdico, tcnicos de salud y similares, as como la atencin que
prestan a pacientes, familiares y proveedores.
Auditora al desarrollo de obras y construcciones (evaluacin de
ingeniera): revisin a la edificacin de construcciones, ciimientos,obra
negra, acabados, y servicios urbansticos de casas, edificios, puentes,
caminos, presas y aulquier otro tipo de construccin.
Auditora Fiscal: Para comprobar el correcto pago de impuestos y demas
obligaciones tributariaas tanto de la Empresa, como de sus empleados,
clientes y proveedores
Auditora Laboral: Su propsito es dictaminar sobre el adecuaco
cumplimiento de la seleccin, capacitacin y desarrollo del personal,
correcta aplicacin de prestaciones sociales y econmicas, medidas de
 seguridad e higiene, elaboracin de contratos colectivos e individuales,
reglamentos internos, normas de conducta.
Auditora de proyectos de inversin: revisin a los planes, programas y
ejecucin de las inversiones de los recursos econmicos de una institucin
pblica o privada
Auditora a la caja chica o caja mayor (arqueos): revisin peridica del
manejo de efectivo que se asigna a una persona o rea de una empresa, y
de los comprobantes de ingreso y egreso generados por sus operaciones
Auditora al manejo de mercancas (inventarios): Revisin fsica a
travs del conteo de bienes, productos y materias primas, intermedias o de
consumo final, para verificar que lo fsico concuerde con los registros
contables.
Auditora ambiental: Revisin de las medidas preventivas y correctivas
que disminuyan y eviten la contaminacin, para as preservar la naturaleza
y mejorar la calidad de vidad de la sociedad.
Auditora de Sistemas
Auditora de Sistemas computacionales:
Auditora con la computadora: se realiza con equipos y programas para evaluar cualquier
tipo de operaciones y actividades, automatizadas o suceptibles de ser automatizadas.
Auditora sin la computadora: evaluacin de la estructura de la organizacin, funciones y
actividades de funcionarios y personal del centro de cmputo, reportes informes y
bitcoras de los sistemas, existencia y aplicacin de planes, programas y presupuestos,
uso y aprovechamiento de los recursos informticos, evaluacin de sistemas de seguridad
y prevencin de contingencias, adquisicin de hardware,software y personal, y en si todo
lo relacionado a un centro de cmputo, pero sin el uso directo de sistemas
computacionales.
Auditora a la gestin informtica: Revisin de la planeacin, organizacin, direccin y
control de un centro de cmputo, para dictaminar la adeuada gestin administrativa
Auditora al Sistema de Cmputo: Auditora que se enfoca al hardware,software y
perifricos, instalaciones y comunicaciones internas y externas, as como al diseo,
desarrollo y uso del software de oeracin,de aplicacin y de apoyo
Auditora alrededor de la computadora: evaluacin de los mtodos y procedimientos de
acceso y procesamiento de datos, emisin y almacenamiento de resultados, actividades
de planeacin y presupuestacin, aspectos operacionales y financieros, atencin a los
usuarios y el desarrrollo de nuevos sistemas
Auditora de Sistemas computacionales:
Auditoria de la seguridad de sistemas computacionales: revisin de actividades y
acceiones preventivas que contribuyan a salvaguardar la seguridad de los equipos, bases
de datos, redes, instalaciones y usuarios del sistema, as como tambien planes de
contingencia para proteger la informacin y los propios sistemas computacionales.
Auditora a los sistemas de redes: evaluacin d los tipos de redes, arquitectura,
topologas, protocolos de comunicacin, conexiones, accesos, privilegios y
administracin. Es tambin la revisin del software institucional, de los recursos
informticos e informacin de las funciones que permite compartir bases de datos,
instalaciones, hardware y software de un sistema de red.
Auditora integral de los centros de cmputos: rewalizada por un equipo
multidisciplinarios de auditores, evala en forma integral el uso adecuado de los sistemas
de cmputo, equipos perifricos y de apoyo para el procesamiento de informacin de la
Empresa, asi como de la red de servicios, y el desarrollo correcto de funciones en sus
reas, personal y usuarios
Auditora ISO 9000 a los sistemas computacionales: realizada por auditores
especializados y certificados, evalan, determinan y certifican que la calidad de los
sistemas computacionales se apegan a los requerimientos del ISO 9000
Auditora Outsourcing: evala la calidad en el servicio de asesora o procesamiento
externo de informacin que una empresa proporciona a otra.
Auditora ergonmica de sistemas computacionales: evala la calidad, eficiencia y utilidad
del entorno hombre-mquina-medio ambiente que rodea el uso de sistemas
computacionales en una empresa
Objetivos de la Auditora de sistemas
Objetivos Generales:
Buscar una mejor relacin costo-beneficio de los sistemas automticos o
computarizados diseados e implantados.
Incrementar la satisfaccin de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad y disponibilidad de la informacin
mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de funcin informtica a las metas y objetivos de la organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico.
Minimizar existencias de riesgos en el uso de Tecnologa de informacin.
Decisiones de inversin y gastos innecesarios.
Capacitacin y educacin sobre controles en los Sistemas de Informacin
B. Objetivos Especficos:
1. Participacin en el desarrollo de nuevos sistemas:
Evaluacin de controles
Cumplimiento de la metodologa.
2. Evaluacin de la seguridad en el rea informtica.
3. Evaluacin de suficiencia en los planes de contingencia.
Respaldos, proveer qu va a pasar si se presentan fallas.
4. Opinin de la utilizacin de los recursos informticos.
Resguardo y proteccin de activos.
5. Control de modificacin a las aplicaciones existentes.
Fraudes
Control a las modificaciones de los programas (Metodologa)
6. Participacin en la negociacin de contratos con los proveedores:
 Firma de conformidad
7. Revisin de la utilizacin del sistema operativo y los programas utilitarios.
8. Auditoria de la base de datos.
Estructura sobre la cual se desarrollan las aplicaciones.
9. Auditoria de la red de teleprocesos: Seguridades fsicas y lgicas, Trafico de datos
10. Desarrollo de software de auditora: Es el objetivo final de una auditora de sistemas
bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de
las operaciones del rea de procesamiento de datos
Alcance de la Auditora de sistemas
La auditoria informtica persigue corroborar que exista seguridad informtica. La
Seguridad Informtica se define, como la estructura de control establecida para gestionar
la disponibilidad, integridad, confidencialidad y consistencia de los datos, sistemas de
informacin y recursos informticos.
1. CONTROL INTEGRIDAD DE REGISTROS El concepto de integridad significa que el
sistema no debe modificar o corromper la informacin que almacene, o permitir que
alguien no autorizado lo haga. Esta propiedad permite asegurar que no se ha falseado la
informacin. Por ejemplo, que los datos recibidos o recuperados son exactamente los que
fueron enviados o almacenados, sin que se haya producido ninguna modificacin, adicin
o borrado. De hecho el problema de la integridad no slo se refiere a modificaciones
intencionadas, sino tambin a cambios accidentales o no intencionados.
Control integridad de registros en tablas relacionadas
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicacin no
tiene integrado los registros en comn, cuando necesite utilizar alguno de ellos y este
borrado, por accidente o no, la aplicacin no funcionara como debera. Un ejemplo se
observa cuando se vende productos con factura, donde la cabecera de la factura
representa un registro en la tabla cabecera y cada uno de los tems vendidos son un
registro cada uno en una tabla diferente que la podemos llamar detalle. Eliminar la
cabecera, nos dejara solo los registros detalle sin informacin del comprador, fecha y
otros datos de la cabecera, pero esto es un error ms profundo que se notar cuando se
hagan anlisis de las ventas por cliente o por rangos de fecha.
2. CONTROL VALIDACION DE ERRORES
En el argot informtico es comn escuchar garbage in, garbage out o lo que es lo mismo
basura que entra, basura que sale.
Las validaciones evitan que las amenazas por datos, de adrede o sin intencin, mal
ingresados u omitidos, hagan trabajar mal el sistema de computacin. El ingreso de datos
errneos tambin son producto de la permisin y uso de recurso humano con poco
entrenamiento.
Un ejemplo de datos mal ingresados es un producto con un precio cero y stock que se
quiere activar para la venta. Un precio altsimo para un producto. O un cdigo de cliente
con su nombre en blanco. O un asiento contable con valores no cuadrados entre el debe y
el haber. O fechas inconsistentes entre si, como la de nacimiento con la de graduacin.
Entonces errores pueden ser: Malos datos, omisin e inconsistencia de los datos.
En el mbito de las redes y las comunicaciones, se trata de proporcionar los medios para
verificar que el origen de los datos es el correcto, quin los envi y cundo fueron
enviados y recibidos.
En los bancos, cuando se realizan transferencias de fondos u otros tipos de
transacciones, normalmente es ms importante mantener la integridad y precisin de los
datos que evitar que sean interceptados o conocidos (mantener la confidencialidad).
En el campo de la criptografa hay diversos mtodos para mantener/asegurarla
autenticidad de los mensajes y la precisin de los datos recibidos. Se usan para ello
cdigos o firmas aadidos a los mensajes en origen y recalculadas (comprobadas) en el
destino. Este mtodo puede asegurar no slo la integridad de los datos (lo enviado es
igual a lo recibido), sino la autenticidad de la misma (quin lo enva es quien dice que es).
3. INFORMACION INTERNA DEL COMPUTADOR
Definicin operacional:
Un ordenador es seguro si podemos contar con que su hardware y su software se
comporten como se espera de ellos. Veamos algunas propiedades que hacen posible que
la informacin interna del computador sea ms segura y por tanto son propiedades que
deben ser evaluadas al momento de realizar una auditora informtica.
Confidencialidad
Se entiende como el servicio de seguridad, o condicin, que asegura que la informacin
no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no
autorizados.
La confidencialidad, a veces denominada secreto o privacidad, se refiere a la capacidad
del sistema para evitar que personas no autorizadas puedan acceder a la informacin
almacenada en l.
En entornos de negocios, la confidencialidad asegura la proteccin en base a
disposiciones legales o criterios estratgicos de informacin privada, tal como datos de las
nminas de los empleados, documentos internos sobre estrategias, nuevos productos o
campaas, etc. Este aspecto de la seguridad es particularmente importante cuando
hablamos de organismos pblicos, y ms concretamente aquellos relacionados con la
defensa
Diferencias entre Auditora financiera, administrativa e informtica
AUDITORIA FINANCIERA
Realizar una evaluacin, de manera independiente, de las operaciones financieras
de una institucin, a fin de emitir un dictamen sobre la razonabilidad de sus
registros, operaciones y resultados financieros.
Hacer una revisin, desde un punto de vista autnomo, de las actividades financieras
y de las operaciones y registros contables de las reas de una empresa.
Evaluar el cumplimiento de los planes, programas, polticas, lineamientos y normas que
regulan las actividades financieras de una institucin, as como de sus
reas presupuestales y unidades administrativas.
Vigilar el ejercicio y cumplimiento de los planes, presupuestos y programas de
inversin de una empresa, as como sus bienes e inventarios.
Revisar los estados financieros que se presentan ante las autoridades fiscales y
terceros, con el propsito de evaluar su correcta elaboracin, los pagos de impuestos y
utilidades de una empresa, as como emitir una opinin sobre el comportamiento de sta.
AUDITORIA ADMINISTRATIVA
Realizar una evaluacin, de manera independiente, de las actividades, operaciones,
estructura organizacional y funciones de una institucin, con el fin de emitir un dictamen
sobre la razonabilidad de su gestin administrativa.
Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos que
regulan la gestin directiva de las reas y unidades administrativas de una institucin.
Evaluar la actividad administrativa de los directivos y dems empleados de una
empresa, as como dictaminar sobre el cumplimiento de sus funciones y actividades.
Analizar todo lo relacionado con la gestin administrativa de una empresa.
Diferencias entre Auditora financiera, administrativa e informtica
AUDITORIA INFORMATICA
Realizar una evaluacin con personal multidisciplinario y capacitado en el rea de
sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de
las operaciones del sistema y la gestin administrativa del rea de informtica.
Hacer una evaluacin sobre el uso de los recursos financieros en las reas del centro de
informacin, as como del aprovechamiento del sistema computacional, sus equipos
perifricos e instalaciones.
Evaluar el uso y aprovechamiento de los equipos de cmputo, sus perifricos, las
instalaciones y mobiliario del centro de cmputo, as como el uso de sus recursos tcnicos
y materiales para el procesamiento de informacin.
Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos,
los lenguajes, programas y paqueteras de aplicacin y desarrollo, as como el desarrollo
e instalacin de nuevos sistemas.
Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y
lineamientos que regulan las funciones y actividades de las reas y de los sistemas de
procesamiento de informacin, as como de su personal y de los usuarios del centro de
informacin.
Realizar la evaluacin de las reas, actividades y funciones de una empresa, contando
con el apoyo de los sistemas computacionales, de los programas especiales para
auditora y de la paquetera que sirve de soporte para el desarrollo de auditoras por
medio de la computadora.
Areas a auditar en informtica
Hardware
Plataforma de hardware
Tarjeta madre
Procesadores
Dispositivos perifricos
Arquitectura del sistema
Instalaciones elctricas, de datos y de telecomunicaciones
Innovaciones tecnolgicas de hardware y perifricos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas, paqueteras de aplicacin y bases de datos
Utileras, bibliotecas y aplicaciones
Software de telecomunicacin
Juegos y otros tipos de software
Informacin
Administracin, seguridad y control de la informacin
Salvaguarda, proteccin y custodia de la informacin
Cumplimiento de las caractersticas de la informacin
Gestin informtica
Actividad administrativa del rea de sistemas
Operacin del sistema de cmputo
Planeacin y control de actividades
Presupuestos y gastos de los recursos informticos
Gestin de la actividad informtica
Capacitacin y desarrollo del personal informtico
Administracin de estndares de operacin, programacin y desarrollo
Diseo de sistemas
Metodologas de desarrollo de sistemas
Estndares de programacin y desarrollo
Documentacin de sistemas
Bases de datos
Administracin de bases de datos
Diseo de bases de datos
Metodologas para el diseo y programacin de bases de datos
Seguridad, salvaguarda y proteccin de las bases de datos
Seguridad
Seguridad del rea de sistemas
Seguridad fsica
Seguridad lgica
Seguridad de las instalaciones elctricas, de datos y de telecomunicaciones
Seguridad de la informacin, redes y bases de datos
Administracin y control de las bases de datos
Seguridad del personal informtico
Redes de cmputo
Plataformas y configuracin de las redes
Protocolos de comunicaciones
Sistemas operativos y software
Administracin de las redes de cmputo
Administracin de la seguridad de las redes
Administracin de las bases de datos de las redes
Especializadas
Outsourcing
Helpdesk
Ergonoma en sistemas computacionales
ISO-9000
Internet/intranet
Sistemas multimedia
Ventajas y desventajas de auditora de sistemas
VENTAJAS
Se asegura una mejora en la calidad del trabajo del operador y en el desarrollo del
proceso, esta depender de la eficiencia del sistema implementado.
Se obtiene una reduccin de costos, puesto que se racionaliza el trabajo, se
reduce el tiempo y dinero dedicado al mantenimiento.
Existe una reduccin en los tiempos de procesamiento de informacin.
Flexibilidad para adaptarse a nuevos productos y disminucin de la contaminacin
y dao ambiental.
Racionalizacin y uso eficiente de la energa y la materia prima.
Aumento en la seguridad de las instalaciones y la proteccin a los trabajadores
DESVENTAJAS
Elevado costo inicial
Limitada habilidad para determinar si la aplicacin es propensa a error.
Slo se verifican aplicaciones que se estn ejecutando, son dependientes del
sistema en uso en la entidad auditada.
Necesidad de mantenimiento del sistema debido a las modificaciones que habr
tenido la aplicacin en los exmenes subsiguientes o por cambio de aplicacin.