Auditoria de

Sistemas
La auditoria en informtica y su entorno
Encuentro II

Docente: Ing. Carlos Leonidas Gmez Olivas.

Contenido
El entorno en la informtica
Organizacin
Estrategias y cursos de accin para la funcin de
auditoria
Estructura organizacional y funciones de auditoria
Administracin de la funcin de auditoria
Auditoria en informtica eficiente.
Introduccin.
Las actividades de un negocio u organizacin tienen un efecto
directo sobre sectores especficos de la sociedad, de igual
manera los eventos y actividades externos al negocio tienen un
grado de impacto en el mismo.

No han sido pocos los negocios que han fracasado al mantenerse

estticos ante los movimientos que se presentan a su alrededor,
as mismo una gran cantidad de ellos que se han adaptado
oportunamente a los cambios sufridos por los elementos
externos obtienen ventajas competitivas de dichas variaciones
para lograr el liderazgo o al menos mantenerse en el mercado.
Introduccin
El medio Ambiente marca regularmente
las pautas y caminos estratgicos a seguir
en los diferentes aspectos que contempla
un negocio, y los factores que lo afectan
pueden ser:
Econmicos
Polticos
Culturales
Tecnolgicos
Organizacionales
Ecolgicos
Etc.
Estrategias
Las estrategias de los negocios son definidas
formalmente en un proceso de planeacin
de negocios mediante reuniones o juntas en
las que se involucran los Accionistas, Alta
Direccin y en algunas ocasiones Consejeros
o Consultores expertos en una actividad tan
relevante como es la definicin del plan
estratgico para cualquier ente
organizacional.
La Auditora en Informtica siendo un
proceso bsico de validacin y control del
uso de los Recursos Tecnolgicos utilizados
en el logro de las estrategias, debe tambin
contemplar como parte de sus actividades
primarias el entendimiento del entorno que
rodea al negocio, as como de la estructura y
tiempos del Plan estratgico de Negocios.
Medio Ambiente
En ocasiones la Funcin de Auditora en Informtica
se ve relacionada de manera directa o indirecta con
las acciones definidas por la Alta Direccin, ya sea
porque ser el responsable de llevarlas a cabo o
porque ser el responsable de darle seguimiento
formal a su cumplimiento, a continuacin se dar una
explicacin a manera de ejemplo en la siguiente
figura.
Medio Ambiente
MEDIO AMBIENTE (FACTORES EXTERNOS)
Factor Externo Acciones de la Empresa Responsabilidad del Comentario
Auditor de Informtica
Reduccin a las cifras Es poltica de la empresa Verificar que todos los Emana como un decreto
monetarias en tres que todos los Sistemas de Gobierno
dgitos (por ejemplo, documentos y/o Informacin,
antes 5,000 ahora 5) transacciones reflejen contemplen esta
esa reduccin de tres disposicin de manera
dgitos formal y oportuna
Auge en el uso de la Se define como Verificar y/o Se obtiene con esta
Tecnologa de estratgico que exista un Recomendar que exista accin una ventaja
comunicaciones Va enlace entre empresas un proyecto de Anlisis competitiva
Satlite de la organizacin por Costo/Beneficio para la
este medio Adquisicin de los Permite una integracin
permisos de Gobierno, ms eficiente entre las
Se proyecta a futuro as como la Tecnologa entidades de un negocio
enlazar clientes y que se requiere para la
proveedores con la Implantacin de dicha
empresa Estrategia

Verificar su Implantacin
Adecuada y oportuna.
Medio Ambiente
MEDIO AMBIENTE (FACTORES EXTERNOS)
Factor Externo Acciones de la Empresa Responsabilidad del Comentario
Auditor de Informtica
Tratado de Libre Se define como poltica Recomendar polticas y Algunas Sugerencias de
Comercio con uno o ms de empresa que cada procedimientos que Auditora:
pases rea o entidad de aseguren la Calidad y Capacitar a personal
negocio impulse la eficiencia en cada una de Uso de Mtodos y
calidad y la eficiencia en las funciones de Tcnicas Estndar
cada individuo, actividad Informtica, as como en Etc.
y producto terminado los productos y Servicios
de esta rea.

(-) Aplica para la Funcin

de Auditora de
Informtica

Legalizacin del Es una poltica en todos Establecer una serie de Acciones:

Software mediante los niveles de la Controles y Inventariar el
Derechos de Autor organizacin el contar Procedimientos que Software de la
con Software en la aseguren y verifiquen empresa
empresa que solo sea que solo Software Comprar e Instalar
original (con licencia de Original se encuentre solo Software Legal
uso) instalado en el equipo de
computo del negocio
Medio Ambiente de
Informtica
Son aquellas caractersticas dominantes del mercado en cada una
de las ramas o criterios relacionados con la Tecnologa de
Informtica, que definen el rumbo y estrategias de
Implementacin y operacin de la misma en los negocios.
La Funcin de Informtica debe estructurar sus servicios,
funciones y proyectos en base a los requerimientos especficos
del negocio, apoyndose en gran parte en la Tecnologa de
Vanguardia que domina el mercado, considerando las tendencias
de la misma. El grado de apoyo que se buscar en el medio
ambiente Tecnolgico depende en gran medida de la orientacin
y justificacin que se le asigne al enfocarlo a cada estrategia de la
empresa.
Medio Ambiente de
Informtica
No todo lo que ofrece el mercado como
estndares y soluciones Tecnolgicas en caso
de adoptarlos nos garantizar el desempeo
eficiente de la Funcin de Informtica en una
Organizacin, el Auditor de Informtica deber
verificar la existencia de un Anlisis
Costo/Beneficio en cada proyecto de Inversin
orientado a la Adquisicin de Nueva Tecnologa
o Estndares para el uso y manejo de la misma.
Adems Auditora de Informtica mantendr un
proceso permanente de seguimiento al uso de
los Recursos de Tecnologa, Metodologas,
Tcnicas, Procedimientos y Polticas inherentes
a Informtica que Asegure Calidad y
Productividad en esta rea, no con el fin de ser
'un polica informtico sino un punto de apoyo.
Medio Ambiente de
Informtica
En las ltimas dcadas el medio ambiente de Informtica ha sido uno de los campos que ha
registrado un mayor ritmo de crecimiento en todas sus reas de accin, traducindose esto en:

Mejores equipos de cmputo, ya que cuentan con caractersticas difcilmente encontradas

anteriormente, tales como conectividad, escalabilidad, etc.

Lenguajes de programacin y paquetes de software ms flexibles y dinmicos que permiten

actualmente a los desarrolladores de aplicaciones ser ms productivos, dando un alto grado de
participacin a los usuarios en el proceso de Desarrollo e Implantacin de Soluciones de
Negocio.

Innovaciones Tecnolgicas en Telecomunicaciones, ya que se pueden transmitir voz, datos,

imagen y video, As mismo se ha logrado enlazar a diferentes empresas con clientes y
proveedores a travs de Redes Locales (LAN), Redes Metropolitanas (MAN) y Redes Abiertas
(WAN) (Iniciales derivadas de su significado en ingles), la capacidad de volmenes de
informacin, la velocidad de transmisin y la proteccin de los datos ha venido obtenindose
con la aparicin del cable coaxial y la Tecnologa de Redes Digitales Integradas por ejemplo.
Medio Ambiente de
Informtica
La siguiente figura ilustra de manera general algunos
comentarios relevantes sobre las caractersticas y
aportaciones que han surgido en la Tecnologa de
Informtica y de las cuales los negocios deben estar
evaluando para su posible implantacin y lograr el
mximo de beneficios.

En la Figura se comenta tambin de manera somera, la

contribucin e impacto que ha tenido la Tecnologa de
Informtica en su campo de accin.
Medio Ambiente de
Informtica
Concepto Caractersticas
Hardware: Elementos fsicos y tangibles
Mainframes de la Tecnologa de
Mini computadoras Informtica Por ellos es
Microcomputadoras posible alimentar, Procesar,
Porttiles Generar, transmitir y
Impresoras Almacenar los datos de los
Dispositivos de Sistemas de Informacin
Almacenamiento (Estratgicos, Tcticos y
Otros Operativos del negocio)
Comunicaciones:
Voz El Hardware sufre cambios
Datos de manera dinmica, hoy en
Imagen da su tamao Fsico ha
Video disminuido y su
caractersticas de
desempeo y portabilidad
han mejorado de manera
sorprendente:
Almacenamiento
Procesamiento
Portabilidad
Escalabilidad
Conectividad
Etc.
Impacto en la auditoria de informtica.
Al surgir las primeras computadoras y se
trasladaron a ellas los Sistemas
Financieros Y Contables, el Auditor
utilizo los Equipos de Cmputo para
Consulta, Captura, Proceso y Generacin
de Reportes para Evaluar la Situacin
que guardaban dichos sistemas.
Actualmente los equipos de Cmputo
brindan ms facilidades al Auditor de
Informtica que se pueden Evaluar
Sistemas de Informacin y otros
aspectos de Inters a travs de accesos
remotos y en lnea.
Se pueden utilizar equipos portables
que permiten auditar tareas en el lugar
de los hechos.
Las facilidades que brindan las
comunicaciones y los equipos de
Cmputo, permiten al Auditor registrar y
monitorear una gran cantidad de
actividades inherentes al uso de las
computadoras y equipos de
Telecomunicaciones.
Medio Ambiente de
Informtica
Concepto Caractersticas Impacto en la auditoria de informtica.
Software: Son los Elementos Lgicos de la Al surgir la necesidad de evaluar Sistemas
Procesadores de Palabras Computadora. Computacionales que guardaban datos de
Hojas de Clculo los estados Financieros y Contables de la
Grafcadores Es por medio de este elemento que empresa, el Auditor se apoyo en personal
Diagramadores se ha logrado con el paso del con especializacin en Informtica, ya que
Presentadores tiempo la Sistematizacin la programacin (en lenguajes como
Especializado: Computacional de los Procesos de COBOL) y el manejo de los equipos de
Auditora negocio (tareas operativas, tcticas Cmputo requera de conocimientos
Seguridad y estratgicas) especficos. El apoyo que se le brindo al
Desempeo Auditor fue el de programar rutina control
Case: En un nivel ms especializado, se ha y evaluacin de procesos en los Sistemas
Mtodo logrado con la Ingeniera de Computacionales, o para generar re
Tcnica Software la Sistematizacin a Travs procesos y respaldos de la Informacin a
Herramienta de las Computadoras de las ser auditada.
actividades del Desarrollo de Al surgir el Auditor de Informtica, ste se
Sistemas y en gran medida de la perfilo como el individuo que domina
Planeacin de Sistemas a travs del ambos campos la Auditora y La
CASE (Ingeniera de Software Informtica, siendo este el enlace ideal
Asistida por Computadora). para la Evaluacin, no solo de Sistemas de
Informacin, sino tambin del uso
eficiente de todos los Recursos, Servicios y
Productos de Informtica en el negocio
Objetivo del Auditor de
Informtica al estudiar el Medio
Ambiente
Es definir el grupo de proyectos de Auditora de
Informtica que sern ejecutados en un plazo determinado
con el fin de apoyar directa o indirectamente a las
estrategias del negocio, considerando los diversos factores
internos y externos que se relacionan con la organizacin.
Es conveniente sealar que cada uno de estos proyectos
deber estar enmarcado en los lmites definidos para la
funcin, esto es debe enfocarse al control, seguridad y
auditora de los diferentes elementos que tengan impacto
directo o indirecto con la Tecnologa de Informtica.
Organizacin
Estrategias
Formalizar la auditoria en informtica en la organizacin a
travs de:
Cursos de accin que justifiquen el desarrollo de la funcin de
auditoria en informtica en el negocio.
Presentacin a la alta direccin del documento de justificacin.
Aprobacin del proceso por la alta direccin.
Difusin de la auditoria en informtica en las reas relacionadas
directa e indirectamente con informtica.
Desarrollo del proceso de auditoria en informtica en el negocio.
Organizacin
Estrategias
Proporcionar a la empresa un proceso de auditoria en informtica permanente con el objetivo de garantizar
a la alta direccin:
Que la seguridad, polticas y procedimientos que se orientan hacia los recursos de informtica y a la
informacin que estos manejan sean eficientes y confiables.
Apoyo a los objetivos del negocio al tomar decisiones con base en informacin que cumplan con los
requisitos mnimos exigidos por auditoria como exactitud, totalidad autorizacin, actualizacin, etc.
Asimismo se cumplirn los requisitos de calidad y oportunidad.
La verificacin del uso de tecnologa de vanguardia que requiere y justifica cada rea y nivel
organizacional dentro del negocio.
La existencia de un proceso de evaluacin y justificacin de cada proyecto de inversin relacionado con la
funcin de informtica.
La elaboracin y desarrollo formal de un proceso de planeacin en informtica que se oriente al plan de
negocio.
El uso formal de metodologas, tcnicas y herramientas por el personal de informtica para el
desempeo eficiente de sus tareas y generador de productos de calidad.
Promover que el personal de informtica se desarrolle en un ambiente de profesionalismo y de alta
productividad tomando como base sus habilidades, conocimientos y perfiles requeridos por la
organizacin.
Organizacin
Cursos de accin.
Lograr que la alta direccin, las reas o departamentos usuarios y el personal de informtica
tome conciencia de la necesidad de contar con una funcin de auditoria en informtica que
asegure y oriente el uso eficiente de los recursos involucrados con la misma.
Formalizar un proceso que contemple la divulgacin, asimilacin de los planes, objetivos,
beneficios y reas de oportunidad que representa la auditoria en informtica para la
organizacin.
Una vez aprobada la creacin o contratacin de externos para el proceso de auditoria en
informtica, se procede a la planeacin y desarrollo formal del mismo.
El proceso de planeacin de auditoria ha de reflejar proyectos que contemplen prioridades
para la alta direccin, reas de oportunidad para el negocio y evaluaciones que la funcin
de auditoria en informtica considere fundamentales para el aseguramiento de la calidad y
uso eficiente de los recursos informticos y de la informacin manejada por dichos recursos.
Coordinar formalmente las visitas y reuniones necesarias con el personal de usuario y de
informtica involucrados en cada proyecto.
Organizacin
Cursos de accin.
Ejecutar de manera formal y oportuna cada proyecto de acuerdo con lo planeado.
Entregar a la alta direccin informes ejecutivos y detallados de cada proyecto aprobado por el
comit de trabajo.
Lograr que todas las reas y niveles involucrados en los proyectos de auditoria en informtica
reconozcan la importancia que representa el apoyo formal y oportuno que requiere este tipo
de proyectos para la implantacin de las soluciones emanadas del proceso.
Investigar, analizar, actualizar y formalizar la metodologa de auditoria en informtica utilizada
por el personal de la funcin, con el objeto de orientar los requerimientos actuales y futuros
de la organizacin.
Capacitar de manera permanente al personal de auditoria en informtica.
Desarrollar cada proyecto de auditoria en informtica dentro de las normas y estndares
nacionales e internacionales sugeridos.
Orientar los esfuerzos de la funcin de auditoria en informtica hacia la bsqueda y logro de
soluciones que apoyen los objetivos del negocio.
Ubicacin jerrquica de la
funcin.
La alta direccin de cualquier empresa tiene que
estar consciente de que la funcin de auditoria se
debe ejercer con el criterio bsico de independencia
personal jerrquica, es decir, que el desempeo de
las actividades profesionales en el proceso de
evaluacin y control no debe verse afectado por
aspectos emocionales ni autoridad emanados de los
responsables e involucrados en el momento de la
auditoria.
Tipos y estructuras donde se
ubica la auditoria en informtica.
El objetivo primordial para alta direccin del negocio es
asegurar que el desempeo de las actividades de la auditoria
en informtica se ejecuten oportuna y eficientemente, de
manera que se logre que los auditores cuenten con:
Independencia funcional.
Libertad de accin.
Facultad para la toma de decisiones.
Negociacin con los niveles gerenciales.
Involucramiento en proyectos de alto impacto en el negocio.
Funciones de la auditoria en
informtica.
Evaluacin y verificacin de los controles y procedimientos relacionados con la funcin de informtica
dentro de la organizacin.
La validacin de los controles y procedimientos utilizados para el aseguramiento permanente del uso
eficiente de los sistemas de informacin computarizados y de los recursos de informacin dentro de la
organizacin.
Evaluacin, verificacin e implantacin oportuna de los controles y procedimientos que se requieran
para el aseguramiento del buen uso y aprovechamiento de la funcin de informtica.
Aseguramiento permanente de la existencia y cumplimento de los controles y procedimientos que
regulan las actividades y utilizacin de los recursos de informtica de acuerdo con las polticas de la
organizacin.
Evaluar las reas de riesgo de la funcin de informtica y justificar su evaluacin con la alta direccin del
negocio.
Elaborar un plan de auditoria en informtica en los plazos determinados por el responsable de la
funcin.
Obtener la aprobacin formal de los proyectos del plan y difundirlos entre los involucrados para su
compromiso.
Administrar y ejecutar de manera eficiente los proyectos contemplados en el plan de la auditoria en
informtica.
Objetivos principales de la administracin
de la auditoria en informtica.
Asegurar que la funcin de auditoria cubra y proteja los mayores riesgos y
exposiciones existentes en el medio informtico en el negocio.
Asegurar que los recursos de informtica sean orientados al logro de los
objetivos y las estrategias de las organizaciones.
Asegurar la formulacin, elaboracin y difusin formal de las polticas,
controles y procedimientos inherentes a la auditoria en informtica que
garanticen el uso y aprovechamiento ptimo y eficiente de cada uno de los
recursos de informtica del negocio.
Asegurar el cumplimiento formal de las polticas, controles y procedimientos
definidos en cada proyecto de auditoria en informtica mediante un
seguimiento oportuno.
Asegurar que se den los resultados esperados por el negocio mediante la
coordinacin y apoyo reciproco con: auditoria, asesores externos, informtica,
alta direccin.
Hacia una auditoria en
informtica eficiente.
Conocer tericamente las normas, polticas y estndares tanto de
auditoria como de informtica no es garanta de seguridad ni
confianza en las reas sujetas a revisin.

La experiencia se adquiere con la prctica; disciplina, orden y

objetividad son la mayora de las veces factores innatos. Es posible
ocultar la realidad; quien no tenga facultades apropiadas para
analizar escenarios de negocio objetivamente, quien no desarrolle
habilidades de comunicacin y modelacin conceptual, quien no
sea observador de lo que se encuentre a la vista, quien no tenga
capacidad para la toma de decisiones, no podr ser un auditor de
informtica eficiente.