Auditoria Informtica Unidad I

1

Auditoria informtica

Objetivo General del Curso:

Definir y aplicar controles en las diferentes reas de la Informtica como:
instalaciones fsicas, personal, teleinformtica, seguridad en la informacin.
Asimismo, evaluar el desempeo de las mismas reas de la Informtica.

Unidad I Introduccin a la auditoria informtica

1.1 Conceptos de auditoria y auditoria Informtica

Con frecuencia la palabra auditora se ha empleado incorrectamente y se ha considerado
como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha
llegado a acuar la frase "tiene auditora" como sinnimo de que, desde antes de
realizarse, ya se encontraron fallas y por lo tanto se est haciendo la auditora. El
concepto de auditora es ms amplio: no slo detecta errores, sino que es un examen
crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un
organismo.
La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene la
virtud de or, y el diccionario lo define como "revisor de cuentas colegiado". El auditor
tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo
especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que,
por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que
permitan corregir los errores, en caso de que existan, o bien mejorar la forma de
actuacin.

Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad,
fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para lograr un
efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores
recursos posibles, mientras que eficacia es lograr los objetivos.

El Boletn "C" de Normas de Auditora del Instituto Mexicano de Contadores nos dice:

"La auditora no es una actividad meramente mecnica que implique la aplicacin de
ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carcter
indudable. La auditora requiere el ejercicio de un juicio profesional, slido y maduro, para
juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos.

As como existen normas y procedimientos especficos para la realizacin de auditoras
contables, debe haber tambin normas y procedimientos para la realizacin de auditoras
en informtica como parte de una profesin. Pueden estar basadas en las experiencias de
otras profesiones pero con algunas caractersticas propias y siempre guindose por el
concepto de que la auditora debe ser ms amplia que la simple deteccin de errores, y
adems la auditora debe evaluar para mejorar lo existente, corregir errores y proponer
alternativas de solucin.

Despus de analizar algunos conceptos de auditora debemos responder las siguientes
preguntas: Qu es auditora en informtica? y Cul es su campo de accin?

Auditoria Informtica Unidad I
2

sta es la definicin de Ron Weber en Auditing Conceptual Foundations and Practice
sobre auditora informtica:

Es una funcin que ha sido desarrollada para asegurar la salvaguarda de los activos de
los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos
de la organizacin en forma eficaz y eficiente.

Que debemos entender por activos:

La palabra activo se usa con mayor frecuencia en el mbito contable y segn la definicin
de la Wikipedia, nos dice: Un activo es un bien tangible o intangible que posee una
empresa o persona natural. Por extensin, se denomina tambin activo al conjunto de los
activos de una empresa. En s, es lo que una empresa posee.

Tambin nos dice que:

Activo es un Sistema, construido con bienes y servicios, con capacidades funcionales y
operativas que se mantienen durante el desarrollo de cada actividad socioeconmica
especfica.

Se considera activo a aquellos bienes o derechos que tienen un beneficio econmico a
futuro.

Regresando a nuestra definicin de auditoria informtica, tenemos que Mair William
estudioso del tema la define como: La verificacin de los controles en las siguientes
tres reas de la organizacin (informtica):

a). Aplicaciones (programa de produccin).
b). Desarrollo de sistemas.
c). Instalacin del centro de proceso.

Jos Antonio Echenique Garca, en su libro Auditoria en Informtica, nos dice que
auditora en informtica es la revisin y evaluacin de los controles, sistemas y
procedimientos de la informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad; de la organizacin que participa en el procesamiento de la informacin, a fin
de que por medio del sealamiento de cursos alternativos se logre una utilizacin
ms eficiente, confiable y segura de la informacin que servir para una adecuada
toma de decisiones.

La informacin contenida depende de la habilidad de reducir la incertidumbre alrededor de
las decisiones. El valor de la reduccin de la incertidumbre depende del pago asociado
con la decisin que se realiza.

Los factores que pueden influir en una organizacin a travs del control y la auditora en
informtica son:

- Necesidad de controlar el uso evolucionado de las computadoras.
- Controlar el uso de la computadora, que cada da se vuelve ms importante y
costosa.
- Los altos costos que producen los errores en una organizacin.
- Abuso en las computadoras.
Auditoria Informtica Unidad I
3

- Posibilidad de prdida de capacidades de procesamiento de datos.
- Posibilidad de decisiones incorrectas.
- Valor del hardware, software y personal.
- Necesidad de mantener la privacidad individual.
- Posibilidad de prdida de informacin o de mal uso de la misma.
- Toma de decisiones incorrectas.
- Necesidad de mantener la privacidad de la organizacin.

La informacin es un recurso necesario para la organizacin y para la continuidad de las
operaciones, ya que provee de una imagen de su ambiente actual, su pasado y su futuro.
Si la imagen de la organizacin es apropiada, sta crecer adaptndose a los cambios de
su entorno.

En el proceso de la informacin se deben detectar sus errores u omisiones, y evitar su
destruccin por causas naturales (temblores, inundaciones) o cualquier contingencia que
pudiera suscitarse.

La toma de decisiones incorrectas, producto de datos errneos proporcionados por los
sistemas, trae como consecuencia efectos significativos, que afectan directamente a la
organizacin.

El mayor estmulo para el desarrollo de la auditora en informtica dentro de la
organizacin normalmente est dado por el abuso en el uso de las computadoras. El
abuso en computadoras es cualquier incidente asociado con la tecnologa en
computacin, en el cual la vctima sufra o pueda sufrir una prdida y un dao hechos
intencionalmente o para obtener una ganancia. El problema ms serio est en los errores
u omisiones que causan prdidas a la organizacin. En seguida est el desastre de las
computadoras debido a causas naturales, tales como fuego, agua o fallas en el suministro
de energa. Las tcnicas de control que manejan estos dos tipos de problemas han sido
mejor desarrolladas que aquellas que se relacionan con el abuso en las computadoras.

El control en el abuso de las computadoras es normalmente ms difcil debido a lo
inadecuado de las leyes. Es ms difcil condenar a alguien que hizo un inadecuado uso
del tiempo de las computadoras, o copias ilegales de programas, debido a que las leyes
no consideran a las computadoras como una persona, y slo las personas pueden ser
declaradas como culpables, o bien considerar a la informacin como un bien tangible y un
determinado costo.

El abuso tiene una importante influencia en el desarrollo de la auditora en informtica, ya
que en la mayora de las ocasiones el propio personal de la organizacin es el principal
factor que puede provocar las prdidas dentro del rea de informtica. Los abusos ms
frecuentes por parte del personal son la utilizacin del equipo en trabajos distintos a los de
la organizacin, la obtencin de informacin para fines personales (Internet), los juegos o
pasatiempos, y los robos hormiga, adems de los delitos informticos que en muchas
ocasiones tambin son llevados a cabo por el propio personal de la organizacin.

La auditora en informtica deber comprender no slo la evaluacin de los equipos de
cmputo o de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacin en general desde sus entradas, procedimientos,
comunicacin, controles, archivos, seguridad, personal (desarrollador, operador, usuarios)
y obtencin de informacin. En esto se deben incluir los equipos de cmputo, por ser la
Auditoria Informtica Unidad I
4

herramienta que permite obtener una informacin adecuada y una organizacin especfica
(departamento de cmputo, departamento de informtica, gerencia de procesos
electrnicos, etc.), y el personal que har posible el uso de los equipos de cmputo.

Adems de los datos, el hardware de computadora, el software y personal son recursos
crticos de las organizaciones. Algunas organizaciones tienen inversiones en equipo de
hardware con un valor multimillonario. Aun con un seguro adecuado, las prdidas
intencionales o no intencionales pueden causar daos considerables. En forma similar, el
software muchas veces constituye una inversin importante. Si el software es corrompido
o destruido, es posible que la organizacin no pueda continuar con sus operaciones, si no
es prontamente recobrado. Si el software es robado, se puede proporcionar informacin
confidencial a la competencia, y si el software es de su propiedad, pueden tenerse
prdidas en ganancias o bien en juicios legales. Finalmente, el personal es siempre un
recurso valioso, sobre todo ante la falta de personal de informtica bien estrenado.

Las computadoras ejecutan automticamente muchas funciones crticas en nuestra
sociedad. Consecuentemente, las prdidas pueden ser muy altas y pueden ir desde
prdidas multimillonarias en lo econmico, hasta prdidas de libertad o de la vida en el
caso de errores en laboratorios mdicos o en hospitales.

Adems de los aspectos constitucionales y legales, muchos pases han considerado la
privacidad como parte de los derechos humanos. Consideran que es responsabilidad de
las personas que estn con las computadoras y con las redes de comunicacin, asegurar
que el uso de la informacin sea recolectada, integrada y entregada rpidamente y con la
privacidad y confidencialidad requeridas. Existe una responsabilidad adicional en el
sentido de asegurarse de que la informacin sea usada solamente para los propsitos
que fue elaborada.

En este caso se encuentran las bases de datos, las cuales pueden ser usadas para fines
ajenos para los que fueron diseadas o bien entrar en la privacidad de las personas.

Tarea 1.1_1
Los alumnos se organizaran en equipos de no mas de cinco integrantes y
propondrn su propia definicin de Auditoria Informtica, la debern entregar el da
pactado por el catedrtico en una hoja carta blanca escrita con letra arial tamao
11, se deber entregar una sola definicin por equipo con el nombre de los
integrantes, la definicin deber estar bien sustentada y si es necesario se podr
explicar el porqu de la definicin.


Auditoria Informtica Unidad I
5

1.2 Tipos de auditoria.

1.2.1 Auditoria interna y externa.

La auditoria se divide principalmente en dos tipos:

Auditora interna
Probablemente la definicin ms acorde con la realidad del tema, sea la propuesta por
Instituto de Auditores Internos (IIA), la cual nos dice que se trata de una actividad
independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y
mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus
objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la
eficacia de los procesos de gestin de riesgos, control y gobierno. Por tal motivo
podemos expresar que este tipo de auditoria trata el examen detallado de un sistema de
informacin perteneciente a una unidad econmica, que se lleva a cabo por un profesional
utilizando diferentes tcnicas con el objeto de formular sugerencias para una mejora de la
misma. Los informes de circulacin que realizan los auditores no tienen ninguna
trascendencia por lo que este tipo de auditoria jams se lleva a cabo bajo la figura de la
Fe Pblica. La auditoria interna es hecha por personal de la misma empresa denominado
auditor interno, y el mismo tiene bajo su cargo una supervisin constante sobre el control
de las operaciones financieras que se realice; se preocupa por el mejoramiento de los
procedimientos mediante los cuales se puedan llevar a cabo los controles internos que
suelen derivar a una operacin mucho ms eficaz.

Auditora Externa
Una auditora externa es aquella que es realizada por una firma externa de profesionales
con el propsito de evaluar los estados financieros de una empresa. Se trata de un
procedimiento de uso comn cuando se quiere comprobar que una empresa se maneja
financieramente de forma honrosa, se suele recurrir a las auditoras externas por ser
agentes externos a la empresa y as poder tener un criterio ms objetivo, la actividad
bsicamente se centra en realizar un examen crtico efectuado por un contador pblico
que no posee ningn tipo de vnculo laboral con la empresa, en este caso el profesional o
la firma externa que lleva a cabo la auditoria tiene como funcin emitir una opinin sobre
la forma en la cual opera el sistema de dicha empresa, como tambin el control interno de
la misma, y en este caso debemos decir que la auditoria externa obliga a los contadores
pblicos a poseer una completa credibilidad ya que stos exmenes se realizan bajo la
figura de Fe Publica.

Aunque la diferencia entre ambas es ms que clara, es importante que la tengamos muy
en cuenta, por ello diremos que la diferencia entre la auditoria interna y externa radica en
lo siguiente:

En el caso de la auditoria interna, existe un vnculo laboral entre el auditor y la entidad
empresarial, mientas que en la auditoria externa, los profesionales son independientes; el
diagnstico de una auditor en la auditora interna suele estar destinado nicamente para
la empresa, y en el otro caso, la auditoria externa esta destinada a terceras personas que
resultan ajenas a la empresa. Por ltimo debemos sealar que la auditoria interna se
encuentra inhabilitada para ser realizada bajo la figura de Fe Publica debido a lo que
precisamente acabamos de mencionar, que el auditor mantiene una relacin laboral con
la empresa, mientras que la auditora externa tiene la caracterstica legal de estar
publicada bajo la figura de Fe Publica.
Auditoria Informtica Unidad I
6


Es comn encontrar algunos otros tipos de auditoria, a continuacin mencionaremos
algunos de ellos:

Auditoria Financiera
Consiste en una revisin exploratoria y critica de los controles subyacentes y los registros
de contabilidad de una empresa realizada por un contador publico, cuya conclusin es un
dictamen a cerca de la correccin de los estados financieros de la empresa.

Auditoria de operaciones
Se define como una tcnica para evaluar sistemticamente de una funcin o una unidad
con referencia a normas de la empresa, utilizando personal no especializado en el rea de
estudio, con el objeto de asegurar a la administracin, que sus objetivos se cumplan, y
determinar que condiciones pueden mejorarse.

Auditoria administrativa
Es un examen detallado de la administracin de un organismo social realizado por un
profesional de la administracin con el fin de evaluar la eficiencia de sus resultados, sus
metas fijadas con base en la organizacin, sus recursos humanos, financieros, materiales,
sus mtodos y controles, y su forma de operar.

Auditoria fiscal
Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y
obligaciones fiscales de los contribuyentes desde el punto de vista fsico ( SHCP ),
direcciones o tesoreras de hacienda estatales o tesoreras municipales.

Auditoria de resultados de programas
Esta auditoria verifica la eficacia y congruencia alcanzadas en el logro de los objetivos y
las metas establecidas, en relacin con el avance del ejercicio presupuestal.

Auditoria de legalidad
Este tipo de auditoria tiene como finalidad revisar si la dependencia o entidad, en el
desarrollo de sus actividades, ha observado el cumplimiento de disposiciones legales que
sean aplicables (leyes, reglamentos, decretos, circulares, etc.)

Auditoria integral
Es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en
que los recursos humanos, financieros y materiales son manejados con debidas
economas, dentro de la eficacia y eficiencia.

1.3 Campo de la auditoria informtica.

Hablaremos del campo de accin de la auditoria informtica considerando tres principales
puntos:

A. La evaluacin administrativa del departamento de procesos electrnicos.
B. La evaluacin de los sistemas y procedimientos, y de la eficiencia que se tiene en el
uso de la informacin.
C. La evaluacin del proceso de datos y de los equipos de cmputo.

Para poder lograr los puntos anteriormente sealados se necesita:
Auditoria Informtica Unidad I
7


A. Evaluacin administrativa del departamento de informtica.

Esto comprende la evaluacin de:

Los objetivos del departamento, direccin o gerencia.
Las Metas, planes, polticas y procedimientos de procesos electrnicos estndar.
La Organizacin del rea y su estructura orgnica.
Las Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos.
La Integracin de los recursos materiales y tcnicos.
Los Costos y controles presupuestales.
Los Controles administrativos del rea de procesos electrnicos.

B. Evaluacin de los sistemas y procedimientos, y de la eficiencia y eficacia que se
tienen en el uso de la informacin, lo cual comprende:

La Evaluacin del anlisis de los sistemas y sus diferentes etapas.
La Evaluacin del diseo lgico del sistema.
La Evaluacin del desarrollo fsico del sistema.
Las Facilidades para la elaboracin de los sistemas.
El Control de proyectos.
El Control de sistemas y programacin.
Los Instructivos y la documentacin.
Las Formas de implantacin.
La Seguridad fsica y lgica de los sistemas.
La Confidencialidad de los sistemas.
Los Controles de mantenimiento y forma de respaldo de los sistemas.
La Prevencin de factores que puedan causar contingencias; seguros y recuperacin en
caso de desastre.
La Productividad.
Los Derechos de autor y secretos industriales.

C. Evaluacin del proceso de datos y de los equipos de cmputo que comprende:

Controles de los datos fuente y manejo de cifras de control.
Control de operacin.
Control de salida.
Control de asignacin de trabajo.
Control de medios de almacenamiento masivos.
Control de otros elementos de cmputo.
Control de medios de comunicacin.
Orden en el centro de cmputo.

Ejercicio 1.1_2
Para cada uno de los tres incisos anteriores (A, B y C) el alumno de manera
individual seleccionar dos actividades las que a su juicio sean las ms
importantes explicando el porqu de su seleccin.




Auditoria Informtica Unidad I
8

1.4 Control interno.

Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o
automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.

Los controles internos se clasifican en los siguientes:

Controles preventivos
Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no
autorizados al sistema.

Controles detectivos
Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo,
el registro de intentos de acceso no autorizados, el registro de la actividad diaria para
detectar errores u omisiones. etc.

Controles correctivos
Facilitan el retorno a la normalidad cuando se han producido incidencias. Por ejemplo, la
recuperacin de un fichero daado a partir de las copias de seguridad.

Para la implantacin de un sistema de controles internos informticos habr que definir:

Gestin de sistema de informacin
Polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin
de los sistemas de informacin y de los controles correspondientes.

Administracin de sistemas
Controles sobre la actividad de los centros de datos y otras funciones de apoyo al
sistema, incluyendo la administracin de las redes.

Seguridad
Incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestin del cambio
Separacin de las pruebas y la produccin a nivel del software y controles de
procedimientos para la migracin de programas software aprobados y probados.

1.5 Modelos de control utilizados en auditoria informtica.


Tarea 1.1_3
El alumno investigar de manera individual los diferentes modelos de control
utilizados en auditora informtica, la investigacin ser entregada el da pactado
por el catedrtico y deber incluir la bibliografa o fuente consultada de preferencia
que sean libros de texto, la debern entregar en una hoja carta blanca escrita con
letra arial tamao 11,