Universidad Autónoma de Chinandega

“Pbro. y Dr. Tomás Ruiz Romero”

UACH Ingenieria
de Sistemas
Auditoria de Sistemas La auditoria en
informática y su entorno.

Contenidos:
 El entorno en la informática
Organización
 Estrategias y cursos de acción para la función de auditoria
 Estructura organizacional y funciones de auditoria
 Administración de la función de auditoria
 Auditoria en informática eficiente.

La Auditoria de Informática y su Medio Ambiente

Las actividades de un negocio u organización tienen un efecto directo sobre sectores

específicos de la sociedad, de igual manera los eventos y actividades externos al negocio
tienen un grado de impacto en el mismo.

No han sido pocos los negocios que han fracasado al mantenerse estáticos ante los
movimientos que se presentan a su alrededor, así mismo una gran cantidad de ellos que
se han adaptado oportunamente a los cambios sufridos por los elementos externos
obtienen ventajas competitivas de dichas variaciones para lograr el liderazgo o al menos
mantenerse en el mercado.

El medio Ambiente marca regularmente las pautas y caminos estratégicos a seguir en los
diferentes aspectos que contempla un negocio, y los factores que lo afectan pueden ser:
 Económicos
 Políticos
 Culturales
 Tecnológicos
 Organizacionales
 Ecológicos
 Etc.

Es importante para los negocios el evaluar de manera constante cada factor externo que
predomine o afecte de manera trascendente el medio ambiente externo, con la finalidad
de llevar a cabo las acciones necesarias para minimizar o sacar ventaja estratégica del
mismo.
Las estrategias de los negocios son definidas formalmente en un proceso de planeación de
negocios mediante reuniones o juntas en las que se involucran los Accionistas, Alta
Dirección y en algunas ocasiones Consejeros o Consultores expertos en una actividad tan
relevante como es la definición del plan estratégico para cualquier ente organizacional.

Una de las tareas básicas de este proceso es el de determinar los factores internos y
externos que pueden afectar y/o facilitar de manera directa o indirecta las estrategias
emanadas de dicho plan.

La Auditoría en Informática siendo un proceso básico de validación y control del uso de los
Recursos Tecnológicos utilizados en el logro de las estrategias, debe también contemplar
como parte de sus actividades primarias el entendimiento del entorno que rodea al
negocio, así como de la estructura y tiempos del Plan estratégico de Negocios.

En ocasiones la Función de Auditoría en Informática se ve relacionada de manera directa o

indirecta con las acciones definidas por la Alta Dirección, ya sea porque será el
responsable de llevarlas a cabo o porque será el responsable de darle seguimiento formal
a su cumplimiento, a continuación, se dará una explicación a manera de ejemplo en la
siguiente figura.

La auditoria en informática y su entorno 2

 MEDIO AMBIENTE (FACTORES EXTERNOS)
Factor Externo Acciones de la Empresa Responsabilidad del Comentario
Auditor de Informática
Reducción a las cifras Es política de la empresa Verificar que todos los Emana como un decreto
monetarias en tres que todos los Sistemas de Gobierno
dígitos (por ejemplo, documentos y/o Información,
antes 5,000 ahora 5) transacciones reflejen contemplen esta
esa reducción de tres disposición de manera
dígitos formal y oportuna
Auge en el uso de la Se define como Verificar y/o Se obtiene con esta
Tecnología de estratégico que exista Recomendar que exista acción una ventaja
comunicaciones Vía un enlace entre un proyecto de Análisis competitiva
Satélite empresas de la Costo/Beneficio para la
organización por este Adquisición de los Permite una integración
medio permisos de Gobierno, más eficiente entre las
así como la Tecnología entidades de un negocio
Se proyecta a futuro que se requiere para la
enlazar clientes y Implantación de dicha
proveedores con la Estrategia
empresa
Verificar su Implantación
Adecuada y oportuna.
Tratado de Libre Se define como política Recomendar políticas y Algunas Sugerencias de
Comercio con uno o más de empresa que cada procedimientos que Auditoría:
países área o entidad de aseguren la Calidad y  Capacitar a
negocio impulse la eficiencia en cada una personal
calidad y la eficiencia en de las funciones de  Uso de
cada individuo, actividad Informática, así como en Métodos y
y producto terminado los productos y Servicios Técnicas
de esta área. Estándar
 Etc.
(-) Aplica para la Función
de Auditoría de
Informática
Legalización del Es una política en todos Establecer una serie de Acciones:
Software mediante los niveles de la Controles y  Inventariar el
Derechos de Autor organización el contar Procedimientos que Software de la
con Software en la aseguren y verifiquen empresa
empresa que solo sea que solo Software  Comprar e
original (con licencia de Original se encuentre Instalar solo
uso) instalado en el equipo Software Legal
de computo del negocio

Medio Ambiente de Informática:

Son aquellas características dominantes del mercado en cada una de las ramas o criterios
relacionados con la Tecnología de Informática, que definen el rumbo y estrategias de
Implementación y operación de la misma en los negocios.

La auditoria en informática y su entorno 3

La Función de Informática debe estructurar sus servicios, funciones y proyectos en base a
los requerimientos específicos del negocio, apoyándose en gran parte en la Tecnología de
Vanguardia que domina el mercado, considerando las tendencias de la misma. El grado de
apoyo que se buscará en el medio ambiente Tecnológico depende en gran medida de la
orientación y justificación que se le asigne al enfocarlo a cada estrategia de la empresa.

No todo lo que ofrece el mercado como estándares y soluciones Tecnológicas en caso de

adoptarlos nos garantizará el desempeño eficiente de la Función de Informática en una
Organización, el Auditor de Informática deberá verificar la existencia de un Análisis
Costo/Beneficio en cada proyecto de Inversión orientado a la Adquisición de Nueva
Tecnología o Estándares para el uso y manejo de la misma. Además, Auditoría de
Informática mantendrá un proceso permanente de seguimiento al uso de los Recursos de
Tecnología, Metodologías, Técnicas, Procedimientos y Políticas inherentes a Informática
que Asegure Calidad y Productividad en esta área, no con el fin de ser 'un policía
informático sino un punto de apoyo.

El medio ambiente de Informática sufre de manera continua cambios en algunos de sus

elementos, ya sea en Hardware, Software, Telecomunicaciones, Etc. debido a la búsqueda
constante de soluciones más eficientes en aspectos relativos al Desempeño, Costo, etc.

En consecuencia, cualquier área que tenga como objetivo el operar, manejar y /o evaluar
(Que es el caso que nos interesa) debe estar dispuesta a llevar las acciones pertinentes
que nos aseguren su debido entendimiento y aprovechamiento para brindarle a la
Organización resultados de Alta Calidad y la confianza de que la Información seguirá
cumpliendo con los requisitos de control esperados: Exactitud, Totalidad, Autorización,
Actualización, etc.

En las últimas décadas el medio ambiente de Informática ha sido uno de los campos que
ha registrado un mayor ritmo de crecimiento en todas sus áreas de acción,
traduciéndose esto en:

a) Mejores equipos de cómputo, ya que cuentan con características difícilmente

encontradas anteriormente, tales como conectividad, escalabilidad, etc.

b) Lenguajes de programación y paquetes de software más flexibles y dinámicos que

permiten actualmente a los desarrolladores de aplicaciones ser más productivos,
dando un alto grado de participación a los usuarios en el proceso de Desarrollo e
Implantación de Soluciones de Negocio.

c) Innovaciones Tecnológicas en Telecomunicaciones, ya que se pueden transmitir

voz, datos, imagen y video, Así mismo se ha logrado enlazar a diferentes empresas
con clientes y proveedores a través de Redes Locales (LAN), Redes Metropolitanas

La auditoria en informática y su entorno 4

 (MAN) y Redes Abiertas (WAN) (Iniciales derivadas de su significado en ingles), la
capacidad de volúmenes de información, la velocidad de transmisión y la
protección de los datos ha venido obteniéndose con la aparición del cable coaxial y
la Tecnología de Redes Digitales Integradas por ejemplo.

d) En el campo de la Tecnología Vanguardista se encuentran en proceso de

Implantación y Formalización en la mayoría de las empresas :
 Código de Barras
 Multimedia (Integración de Video, Televisión, Computadora, Etc.)
 C.A.S.E. (Ingeniería de Software Asistida por Computadora)
 E.D.I. (Intercambio Electrónico de Datos)
 Automatización de Oficinas (el enfoque del 'paper less' / 'sin papel')
 Ambientes orientados a Objetos

e) Metodologías, técnicas y herramientas para la Administración de la Función de

Informática, la Planeación y Desarrollo de Sistemas han venido formalizándose y
apegándose a los estándares comúnmente aceptados a nivel nacional e
internacional, lo que ha sido un factor de suma utilidad para el desempeño
eficiente de las tareas y servicios inherentes a la Informática y de la misma
Auditoría de Informática.

La siguiente figura ilustra de manera general algunos comentarios relevantes sobre las
características y aportaciones que han surgido en la Tecnología de Informática y de las
cuales los negocios deben estar evaluando para su posible implantación y lograr el
máximo de beneficios.

En la Figura se comenta también de manera somera, la contribución e impacto que ha

tenido la Tecnología de Informática en su campo de acción.

La auditoria en informática y su entorno 5

Concepto Características
Hardware:  Elementos físicos y tangibles
 Mainframes de la Tecnología de
 Mini computadoras Informática Por ellos es
 Microcomputadoras posible alimentar, Procesar,
 Portátiles Generar, transmitir y
 Impresoras Almacenar los datos de los
 Dispositivos de Sistemas de Información
Almacenamiento (Estratégicos, Tácticos y
 Otros Operativos del negocio)
Comunicaciones:
 Voz  El Hardware sufre cambios de
 Datos manera dinámica, hoy en día
 Imagen su tamaño Físico ha
 Video disminuido y su
características de desempeño
y portabilidad han mejorado
de manera sorprendente:
 Almacenamiento
 Procesamiento
 Portabilidad
 Escalabilidad
 Conectividad
 Etc.
Software: Son los Elementos Lógicos de
 Procesadores de Palabras la Computadora.
 Hojas de Cálculo
 Grafícadores Es por medio de este elemento
 Diagramadores que se ha logrado con el paso
 Presentadores del tiempo la Sistematización
 Especializado: Computacional de los Procesos
 Auditoría de negocio (tareas operativas,
 Seguridad tácticas y estratégicas)
 Desempeño
En un nivel más especializado,
 Case:
se ha logrado con la Ingeniería
 Método
de Software la Sistematización
 Técnica
a Través de las Computadoras
 Herramienta
de las actividades del
Desarrollo de Sistemas y en
gran medida de la Planeación
de Sistemas a través del CASE
(Ingeniería de Software
Asistida por Computadora).
La auditoria en informática y su entorno
Impacto en la auditoria de informática.
 Al surgir las primeras computadoras y se
trasladaron a ellas los Sistemas
Financieros Y Contables, el Auditor utilizo
los Equipos de Cómputo para Consulta,
Captura, Proceso y Generación de
Reportes para Evaluar la Situación que
guardaban dichos sistemas.
 Actualmente los equipos de Cómputo
brindan más facilidades al Auditor de
Informática que se pueden Evaluar
Sistemas de Información y otros aspectos
de Interés a través de accesos remotos y
en línea.
 Se pueden utilizar equipos portables que
permiten auditar tareas en el lugar de los
hechos.
 Las facilidades que brindan las
comunicaciones y los equipos de
Cómputo, permiten al Auditor registrar y
monitorear una gran cantidad de
actividades inherentes al uso de las
computadoras y equipos de
Telecomunicaciones.
 Al surgir la necesidad de evaluar
Sistemas Computacionales que
guardaban datos de los estados
Financieros y Contables de la empresa, el
Auditor se apoyo en personal con
especialización en Informática, ya que la
programación (en lenguajes como
COBOL) y el manejo de los equipos de
Cómputo requería de conocimientos
específicos. El apoyo que se le brindo al
Auditor fue el de programar rutina
control y evaluación de procesos en los
Sistemas Computacionales, o para
generar re procesos y respaldos de la
Información a ser auditada.
 Al surgir el Auditor de Informática, éste
se perfilo como el individuo que domina
ambos campos la Auditoría y La
Informática, siendo este el enlace ideal
para la Evaluación, no solo de Sistemas
de Información, sino también del uso
eficiente de todos los Recursos, Servicios
y Productos de Informática en el negocio
6
 Objetivo del Auditor de Informática al estudiar el Medio Ambiente y
su impacto en el negocio:

Es definir el grupo de proyectos de Auditoría de Informática que serán ejecutados en un

plazo determinado con el fin de apoyar directa o indirectamente a las estrategias del
negocio, considerando los diversos factores internos y externos que se relacionan con la
organización. Es conveniente señalar que cada uno de estos proyectos deberá estar
enmarcado en los límites definidos para la función, esto es debe enfocarse al control,
seguridad y auditoría de los diferentes elementos que tengan impacto directo o indirecto
con la Tecnología de Informática.

Organización.

Estrategias y cursos de acción para la implementación formal de la

función de auditoria informática.

I. Formalizar la auditoria en informática en la organización a través de:

a. Cursos de acción que justifiquen el desarrollo de la función de auditoria en
informática en el negocio.
b. Presentación a la alta dirección del documento de justificación.
c. Aprobación del proceso por la alta dirección.
d. Difusión de la auditoria en informática en las áreas relacionadas directa e
indirectamente con informática.
e. Desarrollo del proceso de auditoria en informática en el negocio.
II. Proporcionar a la empresa un proceso de auditoria en informática permanente con
el objetivo de garantizar a la alta dirección:
a. Que la seguridad, políticas y procedimientos que se orientan hacia los
recursos de informática y a la información que estos manejan sean
eficientes y confiables.
b. Apoyo a los objetivos del negocio al tomar decisiones con base en
información que cumplan con los requisitos mínimos exigidos por auditoria
como exactitud, totalidad autorización, actualización, etc. Asimismo se
cumplirán los requisitos de calidad y oportunidad.
c. La verificación del uso de tecnología de vanguardia que requiere y justifica
cada área y nivel organizacional dentro del negocio.
d. La existencia de un proceso de evaluación y justificación de cada proyecto
de inversión relacionado con la función de informática.
e. La elaboración y desarrollo formal de un proceso de planeación en
informática que se oriente al plan de negocio.
f. El uso formal de metodologías, técnicas y herramientas por el personal de
informática para el desempeño eficiente de sus tareas y generador de
productos de calidad.

La auditoria en informática y su entorno 7

 g. Promover que el personal de informática se desarrolle en un ambiente de
profesionalismo y de alta productividad tomando como base sus
habilidades, conocimientos y perfiles requeridos por la organización.

Cursos de acción.
1. Lograr que la alta dirección, las áreas o departamentos usuarios y el personal de
informática tome conciencia de la necesidad de contar con una función de
auditoria en informática que asegure y oriente el uso eficiente de los recursos
involucrados con la misma.
2. Formalizar un proceso que contemple la divulgación, asimilación de los planes,
objetivos, beneficios y áreas de oportunidad que representa la auditoria en
informática para la organización.
3. Una vez aprobada la creación o contratación de externos para el proceso de
auditoria en informática, se procede a la planeación y desarrollo formal del mismo.
4. El proceso de planeación de auditoria ha de reflejar proyectos que contemplen
prioridades para la alta dirección, áreas de oportunidad para el negocio y
evaluaciones que la función de auditoria en informática considere fundamentales
para el aseguramiento de la calidad y uso eficiente de los recursos informáticos y
de la información manejada por dichos recursos.
5. Coordinar formalmente las visitas y reuniones necesarias con el personal de
usuario y de informática involucrados en cada proyecto.
6. Ejecutar de manera formal y oportuna cada proyecto de acuerdo con lo planeado.
7. Entregar a la alta dirección informes ejecutivos y detallados de cada proyecto
aprobado por el comité de trabajo.
8. Lograr que todas las áreas y niveles involucrados en los proyectos de auditoria en
informática reconozcan la importancia que representa el apoyo formal y oportuno
que requiere este tipo de proyectos para la implantación de las soluciones
emanadas del proceso.
9. Investigar, analizar, actualizar y formalizar la metodología de auditoria en
informática utilizada por el personal de la función, con el objeto de orientar los
requerimientos actuales y futuros de la organización.
10. Capacitar de manera permanente al personal de auditoria en informática.
11. Desarrollar cada proyecto de auditoria en informática dentro de las normas y
estándares nacionales e internacionales sugeridos.
12. Orientar los esfuerzos de la función de auditoria en informática hacia la búsqueda
y logro de soluciones que apoyen los objetivos del negocio.

Estructura organizacional y funciones de la auditoria en informática.

Ubicación jerárquica de la función.

La alta dirección de cualquier empresa tiene que estar consciente de que la función de
auditoria se debe ejercer con el criterio básico de independencia personal jerárquica, es

La auditoria en informática y su entorno 8

decir, que el desempeño de las actividades profesionales en el proceso de evaluación y
control no debe verse afectado por aspectos emocionales ni autoridad emanados de los
responsables e involucrados en el momento de la auditoria.

En la medida que la alta dirección establezca políticas claras que especifiquen que la
función del auditor es asegurar el control y la seguridad de todos los elementos
relacionados con la informática y que responde a una necesidad de alta dirección, el
apoyo y participación de todas las áreas del negocio fluirá de manera natural.

Se recomienda ubicar la función de auditoria en informática en un nivel organizacional

que le asegure la independencia y soporte requerido de la alta dirección, a fin de contar
con una entidad confiable y eficiente.

Tipos y estructuras donde se ubica la auditoria en informática.

La auditoría en informática se debe considerar en un alto nivel organizacional, de igual
manera que cualquier otra rama de la auditoria tradicional.
La ubicación deseable es subordinada jerárquicamente a una dirección o subdirección, ya
sea una dirección administrativa o informática.

El objetivo primordial para alta dirección del negocio es asegurar que el desempeño de las
actividades de la auditoria en informática se ejecuten oportuna y eficientemente, de
manera que se logre que los auditores cuenten con:
a) Independencia funcional.
b) Libertad de acción.
c) Facultad para la toma de decisiones.
d) Negociación con los niveles gerenciales.
e) Involucramiento en proyectos de alto impacto en el negocio.

Funciones de la auditoria en informática.

a) Evaluación y verificación de los controles y procedimientos relacionados con la
función de informática dentro de la organización.
b) La validación de los controles y procedimientos utilizados para el aseguramiento
permanente del uso eficiente de los sistemas de información computarizados y de
los recursos de información dentro de la organización.
c) Evaluación, verificación e implantación oportuna de los controles y procedimientos
que se requieran para el aseguramiento del buen uso y aprovechamiento de la
función de informática.
d) Aseguramiento permanente de la existencia y cumplimento de los controles y
procedimientos que regulan las actividades y utilización de los recursos de
informática de acuerdo con las políticas de la organización.
e) Evaluar las áreas de riesgo de la función de informática y justificar su evaluación
con la alta dirección del negocio.
f) Elaborar un plan de auditoria en informática en los plazos determinados por el

La auditoria en informática y su entorno 9

 responsable de la función.
g) Obtener la aprobación formal de los proyectos del plan y difundirlos entre los
involucrados para su compromiso.
h) Administrar y ejecutar de manera eficiente los proyectos contemplados en el plan
de la auditoria en informática.

Administración de la función de auditoria en informática.

Garantizara que todos los recursos y proyectos involucrados en el proceso de desempeño
y gestión de la auditoria en informática, obedezcan los principios básicos de un proceso
administrativo. Entre otros los elementos más importantes e indispensables son la
planeación, el personal, el control y el seguimiento del desempeño.

Objetivos principales de la administración de la auditoria en informática.

 Asegurar que la función de auditoria cubra y proteja los mayores riesgos y
exposiciones existentes en el medio informático en el negocio.
 Asegurar que los recursos de informática sean orientados al logro de los objetivos
y las estrategias de las organizaciones.
 Asegurar la formulación, elaboración y difusión formal de las políticas, controles y
procedimientos inherentes a la auditoria en informática que garanticen el uso y
aprovechamiento óptimo y eficiente de cada uno de los recursos de informática
del negocio.
 Asegurar el cumplimiento formal de las políticas, controles y procedimientos
definidos en cada proyecto de auditoria en informática mediante un seguimiento
oportuno.
 Asegurar que se den los resultados esperados por el negocio mediante la
coordinación y apoyo reciproco con: auditoria, asesores externos, informática, alta
dirección.

Con el fin de que los objetivos y metas de la función de auditoria en informática se lleven
a cabo con éxito, es necesario considerar lo siguiente:
 Elaborar y formalizar los planes de auditoria en informática.
 Organizar y administrar la función de manera eficiente.
 Dirigir y controlar los proyectos de auditoria en informática con oportunidad.
 Revisar y evaluar de manera periódica el desempeño de los auditores en
informática.

Hacia una auditoria en informática eficiente.

Los conocimientos, habilidades y capacidades profesionales y personales del auditor en

informática tienen una función clave durante el desarrollo de sus tareas.

Conocer teóricamente las normas, políticas y estándares tanto de auditoria como de

La auditoria en informática y su entorno 10

informática no es garantía de seguridad ni confianza en las áreas sujetas a revisión.

La experiencia se adquiere con la práctica; disciplina, orden y objetividad son la mayoría

de las veces factores innatos. Es posible ocultar la realidad; quien no tenga facultades
apropiadas para analizar escenarios de negocio objetivamente, quien no desarrolle
habilidades de comunicación y modelación conceptual, quien no sea observador de lo que
se encuentre a la vista, quien no tenga capacidad para la toma de decisiones, no podrá ser
un auditor de informática eficiente.

Actividades de clase: conteste.

1. Enumere los aspectos que influyen en la aplicación de auditorías en las empresas.

2. Explique que es el entorno en la informática.
3. Explique el objetivo del auditor de informática.
4. Explique el apoyo que brinda la auditoria informática al negocio u organización.
5. Explique las estrategias y curso de acción para la implementación formal de
auditoria.
6. Enumere las funciones de la auditoria informática en la organización.
7. Defina el perfil del personal a cargo de la auditoria en informática.

Bibliografía.
Auditoria en informática de Enrique Hernández Hernández.

La auditoria en informática y su entorno 11