INSTITUTO POLITECNICO SANTIAGO MARIÑO.           EXTENSION PORLAMAR      ESCUELA: INGENIERIA DE SISTEMASCATEDRA: AUDITORIA...
Introducción       Desde que el hombre empezó a realizar tareas organizadas en beneficio propioo de un grupo se ha requeri...
Auditoria       1- Definición:       1.1- Auditoria: actividad independiente de los departamentos de cualquierorganización...
operacional de los trabajadores arrojando también las posibles falla que tengas quecorregir, modificar o cambiar por compl...
2.3- Mapa Cronológico C:       3- Tipos de auditoría según Carlos Muñoz Razo:        3.1- Integral: actividad llevada a ca...
3.3- Informática: evaluación desarrollada a través de especialistas tanto anivel informático como de cómputo. Se basa en l...
accesos, datos, funciones, actividades y procedimientos), tomando como baseprincipalmente el respaldo de la información al...
posibles comodidades o repercusión que trae el sistema, para continuarlas osolucionarla en beneficio de la salud, comodida...
organización, que no hayan sido    en la organización.                             propuestos por el auditor              ...
auditoría en la organización y de esta manera generar un informe adecuado que seavalidado y aceptado en su totalidad por l...
La auditoria informática se centra en la evaluación y mejoras de los sistemasde cómputos como memorias extraíbles, disposi...
8- Síntomas de necesidad de una auditoria informática dentro de unaorganización:       Los sistemas de requerir la activid...
Conclusión        La auditoria es una evaluación exhaustiva de todas las operaciones, funciones,dispositivos y todo lo que...
Upcoming SlideShare
Loading in …5
×

Auditoria

4,450 views

Published on

Published in: Technology
  • Be the first to comment

Auditoria

  1. 1. INSTITUTO POLITECNICO SANTIAGO MARIÑO. EXTENSION PORLAMAR ESCUELA: INGENIERIA DE SISTEMASCATEDRA: AUDITORIA Y EVALUACION DE SISTEMAS AUDITORIA Autores: Juan Carlos Martínez, CI- 19.334.831 Porlamar, 30 de Octubre de 2012
  2. 2. Introducción Desde que el hombre empezó a realizar tareas organizadas en beneficio propioo de un grupo se ha requerido de una correcta planificación y una posteriorevaluación para determinar su correcta ejecución. A raíz de estos procesos de evaluación se tuvieron que crear normas estándarpara la evaluación lo que dio origen a la auditoria y sus diferentes ramas de aplicaciónque se han determinado con el avanzar de los estudios y tecnologías. El informe a continuación se encuentra conformado por los siguientes puntos: 1- Definición. 2- Mapa cronológico: Historia y evolución de la auditoria según CarlosMuños Razo. 3- Tipos de auditoría según Carlos Muñoz Razo. 4- Ventajas y desventajas de las auditorías externas e internas. 5- Auditoria informática y su alcance e importancia dentro de unaorganización 6- Cuadro comparativo entre Auditoria en Sistemas de Información yAuditoría Informática. 7- Características y objetivos de la Auditoria informática. 8- Síntomas de necesidad de una auditoria informática dentro de unaorganización. 9- Perfil profesional de un auditor Informático.
  3. 3. Auditoria 1- Definición: 1.1- Auditoria: actividad independiente de los departamentos de cualquierorganización, la cual se basa en estudiar las operaciones llevadas a cabo dentro de unaempresa y verificar si se están realizando correctamente o si se está cometiendoalguna falla que pueda afectar el objetivo principal de la organización, corregirlo yencontrar la raíz del problema. Además una de sus tareas más importantes es guiar yproponer la utilización de mejores y nuevos métodos de operación a la alta gerencia yal gobierno empresarial. Por otro lado con los avances de la auditoria, esta se havenido encargando desde algunos años de evaluar los riesgos presentes en losdiferentes tipos de mercados al que pertenecen las empresas. La auditoria cuenta con Normas Internacionales para el Ejercicio Profesionalde la Auditoría Interna, que deben cumplir para llevar a cabo un buen ejercicio de laauditoria en cualquier empresa, además a estas se les suma las normas y reglasimpuesta por la empresa que se le practique dicha auditoria tomando en cuenta loscontroles básicos de revisión y actualización los cuales son el medio ambienteempresarial, riesgos relevantes externos e internos, política empresarial, los sistemasde información que utilice la empresa y el chequeo de los supervisores y susoperaciones departamentales. Por último, se encuentra el área de los fraudes, donde elauditor deber estar siempre documentado, informado y alerta a los hechos yactividades relacionadas con fraudes que puedan atacar a la organizaciónocasionándole tanto problemas legales como económicos a la alta gerencia. 1.2- Auditor: actor quien lleva acabo las auditorias en empresas públicas yprivadas, el cual debe poseer conocimientos de una carrera profesional y un maestríadel área a auditar (por lo menos); un auditor generalmente debe ser profesional condiversos conocimientos empresariales y tecnológicos para que pueda prestar un buenservicio de revisión de todos los procesos del área que se esté evaluando, sinembargo, los auditores se clasifican en dos grandes grupos los cuales son: a) junior,posee una experiencia menor a 5 años (auditando); y b) sénior: posee una experienciamayor a 5 años (auditando). Los años de experiencia del auditor sea junior o sénior,son importantes para los políticos empresariales ya que a mayor experiencia mayorserá la fiabilidad del diagnostico y resultado final arrojado por el mismo ante la altagerencia. Generalmente el auditor pertenece (junior) o posee un grupo de trabajo(sénior), los cuales en conjunto son los que realizan las evaluaciones a cada estructuraque conforman a una empresa y en conjunto tomas las decisiones de la eficiencia
  4. 4. operacional de los trabajadores arrojando también las posibles falla que tengas quecorregir, modificar o cambiar por completo. 2- Mapa cronológico: Historia y evolución de la auditoria según CarlosMuños Razo: En base al autor, se presentaran tres mapas cronológicos de la evolución de laauditoria según los tipos de perspectivas del mismo. 2.1- Mapa Cronológico A: 2.2- Mapa Cronológico B:
  5. 5. 2.3- Mapa Cronológico C: 3- Tipos de auditoría según Carlos Muñoz Razo: 3.1- Integral: actividad llevada a cabo por un grupo interdisciplinarioespecializado para la evaluación de las áreas comunes y no comunes en su correctodesarrollo de cada una de sus funciones administrativas departamentales, para regularlas actividades compartidas en función de los objetivos de la organización. La meta de esta auditoría tan especializada es que cada personaje colegiadoevalué las actividades de la empresa en estudio, según sea su rama empresarial y deesta manera no afecte la operatividad de los demás departamentos. 3.2- Gubernamental: auditoria desarrollada para evaluar las actividades delos diferentes tipos de gobierno, debido a que estos son los responsables directos delmanejo y uso de los ingresos adquiridos por los contribuyentes así como el control delos egresos generados para la satisfacción de las necesidades de los ciudadanos. Este tipo de auditoria evalúa las diferentes ramas especializadas queconforman el gobierno para el cumplimiento de todos los objetivos y el buen uso desus recursos, debido a la estrecha vigilancia a la cual se someten las funcionesgubernamentales para el cumplimiento de los programas, actividades y funciones porparte de quienes tienen la responsabilidad ante la sociedad. Cuando se iniciaron estas evaluaciones especializadas, la auditoria tradicionalfue incapaz de cubrir todas sus áreas, por lo que se dio origen a la auditoriagubernamental.
  6. 6. 3.3- Informática: evaluación desarrollada a través de especialistas tanto anivel informático como de cómputo. Se basa en la evaluación de los programas,equipos, dispositivos, redes y todo instrumento lógico y físico que se utilice para elmanejo de los datos que administra, recibe y procesa para arrojar la informaciónsolicitada por sus usuarios. Otra área que evalúa este tipo de auditoría son los niveles de acceso queposeen los sistemas de información identificando a los usuarios según sus funcionesen la organización. 3.4- Con computadora: evaluación que no necesariamente se realiza acentros o equipos de cómputos; se tiene esta clasificación debido a que sonevaluaciones de sistemas utilizando equipos computarizados como herramientasprincipales para el registro y análisis de las operaciones llevadas a cabo por el auditortanto de centros computacionales como no computacionales. 3.5- Sin computadora: evaluación llevada a cabo a las transaccioneseconómicas, administrativas y operacionales tanto a centros de cómputos como aotras especialidades, a través de la vía óptica del auditor haciendo uso de las técnicastradicionales aceptadas por las normas de la auditoria. Además evalúa la estructuraorganizacional, funciones y operaciones llevadas a cabo por el personal, así como suuso de los recursos informáticos y computacionales ante la empresa, verificando deesta manera la seguridad de la información que maneja la organización. 3.6- Sistema de cómputo: evaluación técnica especializada a todo equipo queconforme el sistema de cómputo como el software, hardware, dispositivos dealmacenamiento externos, entre otros. Este tipo de auditoría abarca también equiposasociados, redes que se compartan, comunicación externa e interna y la arquitecturaque conforme dicho sistema de cómputo. 3.7- Alrededor de la computadora: auditoria que se lleva a cabo a nivel notécnico, es decir evalúa el ambiente y medio al cual pertenece el sistemacomputarizado sin tomar en cuenta el computador como tal, basando su evaluación enla seguridad de la información del sistema ante la empresa, el control de accesoadministrativo a los equipos computarizados a los empleados, la comunicacióninterna o externa manejada a través del sistema y todos las áreas que lo utilicen o serelacionen directamente con los equipos automatizados con el sistema de computo. 3.8- De la seguridad de los sistemas computacionales: evaluación profundatécnica especializada exclusivamente de la seguridad de todo lo que conforma elsistema de cómputo (base de datos, redes, memorias externas, dispositivos, usuarios y
  7. 7. accesos, datos, funciones, actividades y procedimientos), tomando como baseprincipalmente el respaldo de la información almacenada o en proceso en caso de queocurran accidentes informáticos. El principal objetivo de esta auditoría es reguardar elsistema de cómputo de cualquier posible daño o ataque tanto externo e interno el cualpueda dañar la información almacenada en el sistema, además se mantener el sistemalibre de las acciones de los virus informáticos. 3.9- Sistema de redes: evaluación estricta técnica y especializada del sistemade redes que utilice la empresa, revisando sus protocolos de comunicación, accesos,administración y demás aspectos relacionados a la instalación, uso, administración ymantenimiento de las redes dentro de cualquier organización; además se encarga dechequear los software, dispositivos y equipos que se conectan a la redes para eltransporte de datos y almacenamiento de los mismo en los diferentes niveles de laempresa. 3.10- Integral de los centros de computo: evaluación técnica especializada anivel global de todo los que conforma a un sistema de computo tanto forma directa eindirecta, llevada a cabo por un grupo multidisciplinario el cual verifica el estado,acceso y seguridad de los equipos y sus procesos de registro, procesamiento y entregade datos e información a los usuarios que los solicitan según los niveles de accesoque posea el sistema computarizado. Esta auditoría se caracteriza por realizar unaevaluación global que cubra todos los aspectos de auditorías especializadas en cadaárea del sistema de cómputo. 3.11- ISO-9000 de sistemas computacionales: son evaluaciones exhaustivaspor auditores certificados a las empresas que utilizan la calidad de ISO-9000,guiándose de las normas y procedimientos descritos por esta asociación, certificandode esta manera que la empresa se encuentra en correcto funcionamiento y calidad delsistema computacional el cual se apega a los requerimientos de la ISO-9000. 3.12- Outsourcing: evaluación estricta de los soportes de asesoramientotécnico y análisis de los procesamientos de los datos que se realiza de una empresa aotra; de esta manera se certifica la calidad tanto del servicio computarizado prestadocomo del servicio de asesoramiento especializado. Este tipo de auditoría tambiénpuede evaluar la funcionalidad del equipo donde se lleven a cabo los servicios decómputos prestados. 3.13- Ergonómica de sistemas computacionales: evaluación especializadasque se centra en el medio ambiente y la relación hombre maquina, con la correctaadquisición de equipos automatizados computacionales, donde se identifica lacorrecta utilización de las herramientas que provee el sistemas, así como de las
  8. 8. posibles comodidades o repercusión que trae el sistema, para continuarlas osolucionarla en beneficio de la salud, comodidad y bienestar de los usuarios de laempresa que lo utilicen. 4- Ventajas y desventajas de las auditorías externas e internas: Ventajas Desventajas 1- Se mantiene al personal en 1- Los empleados normalmente supervisión constante para que por esta supervisión constante se cumplan las planificaciones pueden sentirse presionados, realizadas por la alta gerencia ocasionando fallas por errores de la empresa. humanos. 2- Se vela por la correcta 2- Los costos iníciales por la aplicación de las normas de instalación o seguridad impuesta por la acondicionamiento de los gerencia y departamentos sistemas de seguridad suelen especializados de la empresa. ser elevados.Auditoría Interna 3- Tras la evaluación de los 3- Las malos procedimientos procedimientos, técnicas y detectados por el auditor procesos, los auditores pueden generalmente vienen asociadas sugerir mejoras al sistema a una amonestación al operacional o proponer la empleado o encargado del implantación de un nuevo. departamento. 4- Estas evaluaciones son 4- El sueldo y salario de este llevadas a cabo por especialistas tipo de auditores suele ser colegiados los cuales mantienen elevado, debido a la gran a la alta gerencia de los nuevos cantidad de estudios que debe avances tecnológicos y teóricos. poseer para ejecutar esta tarea. 5- La credibilidad del informe presentado por el auditor podría verse cuestionado debido a que es otro empleado que trabaja para la empresa. 1- Es una evaluación realizada 1- La evaluaciones por los por un grupo multidisciplinario auditores externos pueden que contratado por la empresa no sean llevadas a cabo a gran solicitante el cual a través de las profundidad debido a que los políticas, normas y conocimientos que poseen de procedimientos descritos a una los procedimientos de la previa reunión, los auditores empresa fuero los descritos en evalúan todos los procesos la previa reunión, por lo tanto, empresariales a los que se les de si un punto no es tratado en acceso, además de evaluar la dicha reunión lo más posible es efectividad operacional del que no sea evaluado. auditor interno según los resultados obtenidos. Auditoría Externa 2- El auditor externo puede 2- Las nuevas propuestas presentar nuevos proyectos e pueden significar que el auditor instrumentos de trabajos y interno no se encuentra bien tecnológicas, que sean más documentado y actualizado en actualizados de los que se cuanto a la rama de encuentren en uso en la especialización a la cual audita
  9. 9. organización, que no hayan sido en la organización. propuestos por el auditor interno. 3- Son evaluaciones sumamente 3- La asesoría de estos tipos de importantes que deben ser auditores suelen ser sumamente llevadas a cabo periódicamente, costosas, debido al grupo para identificar posibles fallas multidisciplinario, internas en la organización que instrumentos, equipos la alta gerencia y el auditor computacionales y otras interno no haya identificado; herramientas que estos utilicen además estos auditores para llevar a cabo estas generalmente llegan con nuevos evaluaciones. proyectos y propuestas. 4- Estos auditores evalúan a través de un contexto externo a la empresa, por lo tanto su validez operacional no tendrá relación con el personal interno de la empresa; por lo tanto, el informe presentado a la gerencia luego de culminar la auditoria, su porcentaje de credibilidad será sumamente alto, debido a que es una persona totalmente externa a la organización y a sus objetivos. 5- Auditoria informática y su alcance e importancia dentro de unaorganización: Auditoria de tipo especializada la cual evalúa exhaustivamente de losperiféricos, software, discos de almacenamiento, redes, dispositivos eléctricos deemergencia y todo equipo que utilice el sistema de cómputo para su buenfuncionamiento; esta evaluación se encarga de verificar la correcta operatividad tantodel equipo como al medio ambiente al cual pertenece el equipo y se desenvuelvesegún los diferentes niveles de acceso de los usuarios, además de validad el respaldode la información que maneje el sistema en caso de emergencias o situaciones noesperadas. Los sistemas informáticos por lo general abarcan varios departamentos de lasorganizaciones, por lo tanto el personaje colegiado especializado en la auditoria debeencargarse de analizar, evaluar, validar, proponer o corregir tanto los procesos comolas tecnologías aplicadas y utilizadas en la organización. El auditor informático,realiza esta evaluación global de todo el campo del sistema informático de laorganización, diferenciando los datos recolectados con los informes de otras ramas de
  10. 10. auditoría en la organización y de esta manera generar un informe adecuado que seavalidado y aceptado en su totalidad por la alta gerencia y gobierno de la empresa. 6- Cuadro comparativo entre Auditoria en Sistemas de Información yAuditoría Informática: A. Sistema de Información A. Informática1- Requiere de profesional colegiado, el cual 1- Requiere de profesional colegiado, el cualpueda evaluar sistemas de información tanto posea altos conocimientos a nivel informático ycomputacionales como no computacionales, por sistemas de computo, además de posee losello el auditor que lleve a cabo la evaluación no conocimientos necesarios para evaluar procesosrequiere de conocimiento informáticos, sino del de información a través de sistemas informáticos.tratado, métodos, técnicas y otras prácticasrelacionadas con la información2- Evalúa los diferentes niveles de acceso a la 2- Evalúa la seguridad de la información segúninformación relacionados directamente con los niveles de accesos al sistema, además losniveles de accesos y tipos de trabajadores métodos de almacenamiento de la informacióncorrespondientes a los departamentos de la que administra el sistema con susorganización lo cuales tengas acceso a los correspondiente sistema y método deregistros de los datos confidenciales recuperación en caso de ataques inesperados,almacenados. accesos no permitidos, fallas de energía eléctrica (dispositivos de energía eléctrica para emergencia), en otros, elementos y acciones que intenten acceder o dañar la información almacenada en el sistema informático.3- Presenta ante la alta gerencia y gobierno de la 3- Presenta ante la alta gerencia y gobierno de laempresa nuevos métodos acordes a los avances empresa nuevas tecnologías de información parade los sistemas de información. mejorar parcial o totalmente el sistema de cómputo que posea la organización. Además de proponer nuevas tecnologías, también presentan los avances tecnológicos para el ahorro de energía, menor consumo de papeles, equipos de energía, entre otros.4- Verifica los procesos y fases que 5- Verifica líneas de código, línea decomponen el sistema de información en comunicación, redes internas y externas,busca de posibles fugas de información, estado de los dispositivos de computo ymal uso de la información o validación eléctricos, y todo lo relacionado condel buen cumplimiento y ejecución del equipos del medio y fuera del mismosistema de información. para su funcionamiento. 7- Características y objetivos de la Auditoria informática: La auditoria informática posee características de evaluación específicas por lacual se creó esta rama en la auditoria global, debido a los altos conocimientos,certificados y validaciones de normas a nivel internacional que debe posee poseer unauditor informático.
  11. 11. La auditoria informática se centra en la evaluación y mejoras de los sistemasde cómputos como memorias extraíbles, dispositivos, equipos energéticos, entre otrosque utilice la empresa que utilice para su funcionamiento, además de los equipos,metodologías y diseño de comunicación y redes que deben estar bien desarrolladospara que funcionen eficientemente a la par con el sistema informáticoproporcionando los resultados solicitados por los diferentes departamentos o usuarios(según sea su nivel de acceso al sistema) del sistema, cumpliendo determinadospuntos de seguridad que debe poseer el sistema a auditar. Otro punto sumamente importante que evalúa el auditor informático es laeficiencia de respaldo de dato temporales en tiempos definidos a través de las líneasde programación en caso de situaciones inesperadas o ataques de virus informáticos,con el objetivo de resguardar la información administrada por el sistema endispositivos de almacenamiento externo o creando copias de seguridad, evitando deesta manera la pérdida total de los datos de relevancia para la organización. Seguidamente de evaluar el correcto funcionamiento y uso por parte de losusuarios del sistema, el auditor debe verificar y certificar la eficiencia operacional delsistema con respecto a las áreas externas indirectamente relacionadas con este a laorganización, que puede afectar la operatividad de estos departamentos o divisiones sillegase a fallar el sistema de computo o alguno de sus dispositivos y programas. Por otro lado, la auditoria informática esencialmente abarca 3 objetivos loscuales son: * Mejorar la eficacia de la organización informática y proteger sus archivos yrecursos (seguridad, políticas, normas, entre otras); buscando con esto proteger laoperatividad de la organización con respecto a los datos, programas y equipos loscuales han representado altas inversiones económicas y operacionales para laempresa. * Garantizar resultados fiables en el tiempo, coste y utilidad de los sistemasinformáticos, es decir, asegurar la eficiencia operacional del sistema en cuanto a losresultados solicitados en tiempos específicos y que no vallan a ocurrir errores querepresenten problemas y pérdidas económicas para la empresa. * Mejorar los procedimientos, estándares y planificación, colaborando en sudiseño y en la actualización de las normas; siendo certificados por el auditor dondeseñala en su informe de actividades en correcto uso y aplicación del sistemainformático según las normas vigentes para el momento de la auditoria.
  12. 12. 8- Síntomas de necesidad de una auditoria informática dentro de unaorganización: Los sistemas de requerir la actividad de auditar en una organización, varíansegún la empresa, los equipos computacionales y las fallas que se encuentre afectandola organización. Por lo tanto se podría decir que los síntomas generales que puede presentaruna organización son: * Fallas en la eficacia de la organización informática, la cual afecte laseguridad de los archivos y funcionalidad de los recursos. * Los resultados proporcionados por el sistema informático no son losesperados o se duda de sus fiabilidad, retrasos elevados en el tiempo, los costo seconsumo de recursos se han elevado en grandes porcentajes. * Los procedimientos, estándares y planificación no se están ejecutandocorrectamente o se posee alguna duda de su efectividad debido a indeficiente diseño ofalta de actualización de las normas 9- Perfil profesional de un auditor Informático: Un auditor informático debería cumplir un mínimo perfil profesional como elque se muestra a continuación: * Licenciado o Ingeniero en Informática, Computación, Sistemas. * Maestrías, especialidad o cursos en sistemas de redes. * Maestría, especialidad o cursos en sistemas computacionales. * Maestría, especialidad o cursos en sistemas de comunicación. * Maestría, especialidad o cursos de dispositivos energéticos de emergencia. * Especialidad en normas de usos tecnológicos, según sea el campo deaplicación de la empresa a evaluar. * Conocimientos generales de los tipos de auditoría.
  13. 13. Conclusión La auditoria es una evaluación exhaustiva de todas las operaciones, funciones,dispositivos y todo lo que componga la unidad a auditar. A través de los años laauditoria ha ido creciendo en cuanto a sus ramas de aplicación, debido que alprincipio de sus tiempo solo se aplica a las actividades contables y administrativas delas organización, sin embargo, por los avances en áreas como administración,medicina, ciencias, ingeniería, entre otras, se requiriendo que el actor principal de laauditoria, es decir, el auditor, poseyera determinados y específicos conocimientosbásicos para poder evaluar las diferentes ramas que fueron surgiendo de la auditoriatradicional. Hoy en día la auditoria es aplicada a casi todos los campos laborales de lasociedad, en busca de mejorar las eficiencias operacionales de las organizaciones,asegurando el buen uso de los sistemas y recursos para que lo resultados esperadossean alcanzados a través de los planes y normas establecidos en los reglamentosinternacionales y de la organización. Por otro lado, estas auditoria poseen dos grandesdivisiones las cuales son: a) interna, llevada a cabo por un empleado de laorganización el cual vela por el cumplimiento correcto de las funciones y el buen usode los recurso en base a los objetivos de la empresa; y b) externa, donde la empresasolicita profesionales externos para que realicen avalúos de los procesos y recursos enbusca de solucionar algún problema o con el objetivo de actualizar la empresa encuanto a procesos, funciones, normas, tecnologías, entre otras vigentes para elmomento de la auditoria. Otras áreas que han evolucionado a gran velocidad, son la informática la cuala través de la tecnología a alcanzo automatizar gran cantidad de trabajo queanteriormente requerían de horas de trabajos, materiales y muchos empleados parapoder llevarse a cabo las tareas diarias de las empresa; y los sistemas de información,los cuales han generado procesos, técnicas y normas para el uso, traslado, análisis yalmacenado de los datos de cualquier organización. Ambas áreas son auditadas porespecialistas diferentes en las ramas de procesos de información y de sistemascómputo correspondientemente, requiriendo conocimiento y validaciones de normascertificadas a nivel internacional para laborar correctamente. Se puede decir con certeza que toda organización requiere de las auditoriaspara asegurar la veracidad y fiabilidad de sus resultados que son obtenidos a través delos planes, recursos, técnicas en otras, además la auditoría es un proceso no solo deevaluación sino también de actualización de los avances tecnológicos relacionadosdirectamente con las áreas de operaciones de los distintos tipos de organización.

×