Universidad Técnica de Manabí.

Facultad de Ciencias Informáticas.

Consulta de Auditoria de Sistemas.

Integrante:
Cristhian Velásquez García.

Tema:
Auditoria Concepto General.

Docente:

Ing. Manolo Mera.

Nivel Paralelo

7to “A”
 Temas.
1. Auditoria concepto general

2. Clasificación:

2.1. Tipos de auditoria

2.2 Clases de auditoria.

3. Concepto de auditoria informática.

3.1 Objetivos.
AUDITORIA.

1. Concepto general.

Auditoria, en su acepción más amplia significa verificar la información financiera,

operacional y administrativa que se presenta es confiable, veraz y oportuna. Es revisar que
los hechos, fenómenos y operaciones se den en la forma como fueron planeados; que las
políticas y lineamientos establecidos han sido observados y respetados; que se cumplen con
obligaciones fiscales, jurídicas y reglamentarias en general. Es evaluar la forma como se
administra y opera teniendo al máximo el aprovechamiento de los recursos.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha

considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A
causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha
entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

El concepto de auditoría es mucho más que esto. La palabra auditoría proviene del latín
auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la
virtud de oír.

De todo esto sacamos como deducción que la auditoría es un examen crítico pero no
mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el
fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

TIPOS DE AUDITORIA.

1. Auditoría fiscal.
2. Auditoría contable ( de estados financieros )
3. Auditoria interna.
4. Auditoria externa.
5. Auditoria operacional.
6. Auditoria administrativa.
7. Auditoría integral.
8. Auditoria gubernamental.
Clasificación.

1. Auditoria Interna.

1.1Auditoria de Gestión.
1.2Auditoria de Cumplimiento.
2 Auditoria Externa.
2.1Auditoría Financiera.
2.2Auditoria Operativa.
2.3Auditoria Forense.
2.4Auditoría Ambiental.
2.5Auditoria de Sistemas.

TIPOS DE AUDITORIA.

• Auditoría fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes

impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista
físico ( SHCP ), direcciones o tesorerías de hacienda estatales o tesorerías
municipales.
• Auditoría Financiera: Consiste en una revisión exploratoria y critica de los
controles subyacentes y los registros de contabilidad de una empresa realizada por
un contador público, cuya conclusión es un dictamen a cerca de la corrección de los
estados financieros de la empresa.
• Auditoria interna: Proviene de la auditoría financiera y consiste en: una actividad
de evaluación que se desarrolla en forma independiente dentro de una organización,
a fin de revisar la contabilidad, las finanzas y otras operaciones como base de un
servicio protector y constructivo para la administración. En un instrumento de
control que funciona por medio de la medición y evaluación de la eficiencia de otras
clases de control, tales como: procedimientos; contabilidad y demás registros;
informes financieros; normas de ejecución etc.
• Auditoria de operaciones: Se define como una técnica para evaluar
sistemáticamente de una función o una unidad con referencia a normas de la
empresa, utilizando personal no especializado en el área de estudio, con el objeto de
asegurar a la administración, que sus objetivos se cumplan, y determinar qué
condiciones pueden mejorarse. A continuación se dan algunos ejemplos de la
autoridad de operaciones:
• Auditoria administrativa: Es un examen detallado de la administración de un
organismo social realizado por un profesional de la administración con el fin de
evaluar la eficiencia de sus resultados, sus metas fijadas con base en la
organización, sus recursos humanos, financieros, materiales, sus métodos y
controles, y su forma de operar.
• Auditoria de resultados de programas: Esta auditoria la eficacia y congruencia
alcanzadas en el logro de los objetivos y las metas establecidas, en relación con el
avance del ejercicio presupuestal.
 • Auditoria de legalidad: Este tipo de auditoria tiene como finalidad revisar si
la dependencia o entidad, en el desarrollo de sus actividades, ha observado el
cumplimiento de disposiciones legales que sean aplicables ( leyes, reglamentos,
decretos, circulares, etc. )
• Auditoría integral: Es un examen que proporciona una evaluación objetiva y
constructiva acerca del grado en que los recursos humanos, financieros y materiales
son manejados con debidas economías, eficacia y eficiencia.

3. AUDITORIA INFORMATICA.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para

determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

- Gobierno corporativo
- Administración del Ciclo de vida de los sistemas
- Servicios de Entrega y Soporte
- Protección y Seguridad
- Planes de continuidad y Recuperación de desastres

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la

auditoría informática ha promovido la creación y desarrollo de mejores prácticas como
COBIT, ISO, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems

Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que
el proceso de selección consta de un examen inicial bastante extenso y la necesidad de
mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.
Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la
empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital
son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la
informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener
beneficios económicos y reducción de costes.

Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados,
Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control
correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta
herramienta se puede deducir de varios aspectos. He aquí algunos:

• Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos

apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En
este caso interviene la Auditoría Informática de Seguridad.
• Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son, a
su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas
que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes. En este caso interviene la Auditoría
Informática de Datos.

• Un Sistema Informático mal diseñado puede convertirse en una herramienta harto

peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes
recibidas y la modelización de la empresa está determinada por las computadoras
que materializan los Sistemas de Información, la gestión y la organización de la
empresa no puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoría de Sistemas.

3.1 OBJETIVOS DE LA AUDITORIA INFORMATICA.

La Auditoría Informática la podemos definir como “el conjunto de procedimientos y

técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus
actividades son correctas y de acuerdo a las normativas informáticas y generales prefijadas
en la organización”.

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de

cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que
proporciona los controles necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad. Además debe evaluar todo: informática, organización de centros de
información, hardware y software.

La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control

que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la
eficacia del sistema mecanizado de información en que se sustenta.

En un principio hablaremos de todo lo relacionado con la seguridad, luego trataremos todo

aquello relacionado con la eficacia y terminar con la evaluación del sistema informático.

Los aspectos relativos al control de la Seguridad de la Información tienen tres líneas

básicas en la auditoria del sistema de información:

• Aspectos generales relativos a la seguridad. En este grupo de aspectos habría que

considerar, entre otros: la seguridad operativa de los programas, seguridad en
suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas
agresivas, agresiones y posibles sabotajes, seguridad física de las instalaciones, del
personal informático, etc.

• Aspectos relativos a la confidencialidad y seguridad de la información. Estos

aspectos se refieren no solo a la protección del material, el logicial, los soportes de
la información, sino también al control de acceso a la propia información (a toda o a
parte de ella, con la posibilidad de introducir modificaciones en la misma).

• Aspectos jurídicos y económicos relativos a la seguridad de la información. En este

grupo de aspectos se trata de analizar la adecuada aplicación del sistema de
información en la empresa en cuanto al derecho a la intimidad y el derecho a la
información, y controlar los cada vez más frecuentes delitos informáticos que se
cometen en la empresa.

De la misma manera, a través de la auditoria del sistema de información será necesario

controlar el adecuado equilibrio entre riesgos y costes de seguridad y la eficacia del propio
sistema.

En cuanto a la Eficacia del Sistema, esta vendrá determinada, básicamente, por la

aportación a la empresa de una información válida, exacta, completa, actualizada y
oportuna que ayude a la adopción de decisiones, y todo ello medido en términos de calidad,
plazo y coste. Sin el adecuado control, mediante la realización de auditorías al sistema de
información, esos objetivos serían difíciles de conseguir, con la siguiente repercusión en
una adecuada dirección y gestión en la empresa.

Uno de los aspectos más significativos de la Auditoría Informática se refiere a los datos
relativos a la Rentabilidad del Sistema, homogenizadas en unidades económicas de
cuenta.
La rentabilidad del sistema debe ser medida mediante el análisis de tres valores
fundamentales: la evaluación de los costes actuales, la comparación de esos costes actuales
con magnitudes representativas de la organización, y la comparación de los costes del
sistema de información de la empresa con los de empresas similares, preferentemente del
mismo sector de actividad.

Como evaluar de forma concreta estos tres aspectos fundamentales, que conforman la
rentabilidad del sistema de información, es lo que se analiza seguidamente.

 Evaluación de los costes actuales. Conocer, en términos económicos, los costes que
para una empresa supone su sistema de información, constituye uno de los aspectos básicos
de la auditoría informática. Se trata de cuantificar los costes de los distintos elementos que
configuran el sistema de información y que en términos generales son los siguientes:

 Hardware. Se trata de analizar la evolución histórica del hardware en la empresa,

justificando dicha evolución. Es importante conocer el coste del material (unidad central,
periféricos, soporte,...) durante los últimos cinco años. También será necesario analizar la
utilización de cada elemento hardware de la configuración, cifrándola en horas/mes,
asegurando que la configuración utilizada se corresponde con el menor valor
utilización/coste, y examinar la coherencia del mismo.

 Software. Análisis de los costes relativos al sistema lógico, tanto en sus aspectos
relativos a la explotación (adecuación del sistema operativo, versión del software
utilizado,...) como en los aspectos relativos a la programación de las distintas aplicaciones
(prioridades de ejecución, lenguaje utilizado,...).

 Capturas de datos. Análisis de los costes relativos a la captura de datos, de las fuentes
de información, tanto internas como externas de la empresa.

 Grabación de datos. Es necesario conocer también los costes relativos a la transcripción

de datos en los soportes adecuados (costes de personal, equipos y máquinas auxiliares).

 Explotación. Análisis de los costes imputados a los factores relativos a la explotación en

sentido amplio (tratamiento manual, tiempos de realización de aplicaciones, tiempo de
respuesta, control errores, etc...)

 Aplicaciones. Se trata de evaluar los costes del análisis funcional, el análisis orgánico,
la programación, las pruebas de programas, preparación de datos y costes de desarrolló de
cada aplicación medido en horas.

 Personal. Teniendo en cuenta el nivel cualitativo y cuantitativo (las distintas categorías,

equilibrio entre esas categorías, remuneraciones salariales, horas extraordinarias), se trata
de analizar los costes de personal directamente relacionado con el sistema de información.
En este apartado deberán tenerse en cuenta también los costes relativos a la formación del
personal.
 Documentación. Es necesario no sólo verificar que la documentación relativa al sistema
de información sea clara, precisa, actualizada y completa, sino también los costes relativos
a su elaboración y actualización.

 Difusión de la información. Se trata de evaluar los costes de di-fundir la información, es

decir, hacer llegar a los usuarios del sistema la información demandada o aquella
considerada necesaria en los distintos niveles de la organización.

Se trata, en definitiva, de conocer y analizar los costes que para la empresa supone disponer
del sistema de información.

2) Comparación de los costes actuales con magnitudes representativas de la organización.

No es suficiente conocer los costes totales del sistema de información; es necesario,
además, comparar este coste con magnitudes representativas de la empresa.

Se trata de conocer los porcentajes que en relación con el coste total son imputables al
hardware, al software, a la captura de datos, grabación, explotación, aplicaciones,
suministros, mantenimiento, personal, documentación y difusión de la información.
Conocer la relación de costes/ahorro/productividad del personal (analistas, programadores,
operadores, auxiliares, etc.) y analizar la evolución del coste de la hora útil de la memoria
central. Pero ese análisis de costes adquiere su especial significado cuando éstos se
relacionan con magnitudes representativas de la empresa, por ejemplo: la cifra de negocios,
la cifra de ventas, etc.

El dato de costes del sistema y su comparación con otras magnitudes constituye una valiosa
información que deberá ser especificada en las conclusiones de la auditoría informática y
que tendrá una notable incidencia respecto a los planteamientos de futuro del sistema de
información.

3) Comparación de los costes del sistema de información de la empresa con los de

empresas similares. El análisis de costes y su comparación con otras magnitudes
representativas, debe completarse, siempre que ello sea posible, con los costes de los
sistemas de información de empresas similares a la que es objeto de auditoría.

Es imprescindible conocer los costes que representan la obtención, tratamiento y difusión

de la información en la empresa. La información es un recurso de la empresa y por lo tanto
un activo de la misma. De ahí la importancia de poder disponer de una comparación de los
costes del sistema de información con los de otras empresas. Esa comparación debe
realizarse con empresas del mismo sector. Ello permite comparar el nivel de costes del
sistema de información de la empresa auditada con la media del sector.

Los tres aspectos analizados en relación con los costes aportarán una importante
información que permitirá adoptar correctas decisiones, a partir de la auditoría realizada
sobre el sistema de información de la empresa.
Bibliografía.
Internet:

http://www.monografias.com/trabajos17/auditoria/auditoria.shtml

http://html.rincondelvago.com/auditoria-informatica_1.html

http://www.mitecnologico.com/Main/ConceptosDeAuditoriaInformatica