Clase de tica

Auditora

Auditora se define como la actividad para determinar con base a la investigacin,

la adecuacin de los procedimientos establecidos, instrucciones, especificaciones,
codificaciones y estndares u otros requisitos, el apego a los mismos y la eficiencia en su
implantacin.

Los tipos de auditora que existen son:

Auditora Financiera.- la cual tiene como finalidad te

Auditora Organizativa.- su finalidad es mostrar si las operaciones de la empresa

se adecuan a los estndares establecidos en la misma.

Auditora de Gestin.- la finalidad de esta auditora es determinar la eficacia,

eficiencia y economicidad que existe en la organizacin.

Auditora Informtica.- determina la eficiencia de operatividad de

los sistemas informticos.

 Concepto de Auditora Infor
La definicin de Ron Weber en

Auditing Conceptual Foundations and Practice sobre

auditora en informtica es:

Una funcin que ha sido desarrollada para asegurar la

salvaguarda de los activos de los sistemas de computadoras,
mantener la integridad de los datos y lograr los objetivos de la
organizacin en forma eficaz y eficiente.

Mientras que la definicin de Mair William es la siguiente: Auditora en

informtica es la
verificacin de los
controles en las siguientes tres reas de la organizacin

(informtica):

- Aplicaciones (programas de produccin).

- Desarrollo de sistemas.
- Instalacin del centro de proceso.
 Concepto de Auditora Infor
Por tanto, podemos decir que auditora en informtica es la
revisin y evaluacin de los controles, sistemas y procedimientos de la
informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad; de la organizacin que participa en el procesamiento de la
informacin, a fin de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente, confiable y segura de
la informacin que servir para una adecuada toma de decisiones.

La informacin contenida depende de la habilidad de reducir la

incertidumbre alrededor de las decisiones. El valor de la reduccin de la
incertidumbre depende del pago asociado con la decisin que se realiza.
 Factores que pueden influir en una organizacin

a travs del control y la auditora en informtica

Necesidad de controlar el uso evolucionado de las computadoras.

Controlar el uso de la computadora, que cada da se

Los altos costos que producen los errores en una organizacin.

Abuso de las computadoras.

Posibilidad de prdida de capacidades de procesamiento de datos.

Posibilidad de decisiones incorrectas.

Valor del hardware, software y personal.

Necesidad de mantener la privacidad individual.

Posibilidad de prdida de informacin o de mal uso de la misma.

Toma de decisiones incorrectas.

Necesidad de mantener la privacidad de la organizacin.

 La informacin es un recurso necesario para la organizacin y para la
continuidad de las operaciones, ya que provee de una imagen de su ambiente actual, su
pasado y su futuro. Si la imagen de la organizacin es apropiada, sta crecer
adaptndose a los cambios de su entorno.

En el proceso de la informacin se debe detectar sus errores u omisiones,

y evitar su destruccin por causas naturales (temblores, inundaciones) o cualquier
contingencia que pudiera suscitarse.

La toma de decisiones incorrectas, producto de datos errneos proporcionados

por los sistemas, trae como consecuencia efectos significativos, que afectan
directamente a la organizacin.
 El mayor estmulo para el desarrollo de la auditora en informtica dentro de
la organizacin normalmente est dado por el abuso en el uso de las computadoras. El
abuso en computadoras es cualquier incidente asociado con la tecnologa en
computacin, en el cual la vctima sufra o pueda sufrir una prdida y un dao hechos
intencionalmente o para obtener una ganancia. EL problema ms serio est en los errores
u omisiones que causan prdidas a la organizacin. En seguida est el desastre de las
computadoras debido a causas naturales, tales como fuego, agua o fallas en el
suministro de energa. Las tcnicas de control que manejan estos dos tipos de
problemas han sido mejor desarrolladas que aquellas que se relacionan con el abuso en
las computadoras.
 El control en el abuso de las computadoras es normalmente ms difcil debido
a lo inadecuado de las leyes. Es ms difcil condenar a alguien que hizo un inadecuado
uso del tiempo de las computadoras, o copias ilegales de los programas, debido a que las
leyes no consideran a las computadoras como una persona, y slo las personas
pueden ser declaradas como culpables, o bien considerar a la informacin como un
bien tangible y un determinado costo.
El abuso tiene una importante influencia en el desarrollo de la auditora en
informtica, ya que en la mayora de las ocasiones el propio personal de la organizacin
es el principal factor que puede provocar las prdidas dentro del rea de informtica.
Los abusos ms frecuentes por parte del personal son la utilizacin del equipo en
trabajos distintos a los de la organizacin, la obtencin de informacin para fines
personales (Internet), los juegos o pasatiempos, y los robos hormiga, adems de los
delitos informticos que en muchas ocasiones tambin son levados a cabo por el propio
personal de la organizacin.
 La auditora en informtica deber comprender no slo la evaluacin de los
equipos de cmputo o de un sistema o procedimiento especfico, sino que adems habr
de evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, comunicacin, controles, archivos, seguridad, personal (desarrollador,
operador, usuarios) y obtencin de informacin. En esto se deben incluir los equipos de
cmputo, por ser la herramienta que permite obtener una informacin adecuada y una
organizacin especfica (departamento de cmputo, departamento de informtica, gerencia
de procesos electrnicos, etc.), y el personal que har posible el uso de los equipos de
cmputo.
 Adems de los datos, el hardware de computadora,
el software y personal son recursos crticos de las
organizaciones. Algunas organizaciones tienen inversiones en
equipo de hardware con un valor multimillonario. Aun con un
seguro adecuado, las prdidas intencionales o no
intencionales pueden causar daos considerables. En forma
similar, el software muchas veces constituye una inversin
importante. Si el software es corrompido o destruido, es posible
que la organizacin no pueda continuar con sus operaciones,
si no es prontamente recobrado. Si el software es robado, se
puede proporcionar informacin confidencial a la competencia, y
si el software es de su propiedad, pueden tener prdidas en
ganancias o bien en juicios legales. Finalmente, el personal es
siempre un recurso valioso, sobre todo ante la falta de personal de
informtica bien estrenado.
 Consecuentemente, las prdidas pueden ser muy altas y pueden ir desde
prdidas multimillonarias en lo econmico, hasta prdidas de libertad o de la vida
en el caso de errores en laboratorios mdicos o en hospitales.
Adems de los aspectos constitucionales y legales, muchos pases han
considerado la privacidad como parte de los derechos humanos. Consideran que
esta posibilidad de las personas que estn con las computadoras. Una
responsabilidad adicional en el sentido de asegurarse de que la informacin sea
usada solamente para los propsitos que fue elaborada.

En este caso se encuentran las bases de datos, las cuales pueden ser

usadas para fines ajenos para los que fueron diseadas o bien entrar en la privacidad

de las personas.
 Campo de la Auditora Infor
El campo de accin de la auditora en informtica es:

La evaluacin administrativa del rea de informtica.

La evaluacin de los sistemas y procedimientos, y de la eficiencia

que se tiene en el uso de la informacin. La evaluacin de la eficiencia
y la eficacia con la que se trabaja.

La evaluacin del proceso de datos, de los sistemas y de los

equipos de cmputo (software, hardware, redes, base de datos,

comunicaciones).

Seguridad y confidencialidad de la informacin.

Aspectos legales de los sistemas y de la informacin.

 Campo de la Auditora Infor
Para lograr los puntos antes sealados se necesita:
A. Evaluacin administrativa del departamento de informtica.
Esto comprende la evaluacin de:

Los objetivos del departamento, direccin o gerencia.

Metas, planes, polticas y procedimientos de

Organizacin del rea y su estructura orgnica.

Funciones y niveles de autoridad y

responsabilidad del rea de procesos electrnicos.

Integracin del los recursos materiales y tcnicos.

Direccin.

Costos y controles presupuestales.

Controles administrativos del rea de

electrnicos.
B) Evaluacin de los sistemas y procedimientos, y de la eficiencia y eficacia que se
tiene en el uso de la informacin, lo cual comprende:

Evaluacin del anlisis de los sistemas y sus diferentes etapas.

Evaluacin del diseo lgico del sistema.

Evaluacin del desarrollo fsico del sistema.

Facilidades para la elaboracin de los sistemas.

Control de proyectos.

Control de sistemas y programacin.

Instructivos y documentacin.

Formas de implantacin.

Seguridad fsica y lgica de los sistemas.

Confidencialidad de los sistemas.

Controles de mantenimiento y forma de respaldo de los sistemas.

Utilizacin de los sistemas.

Prevencin de factores que pueden causar contingencias, seguros y recuperacin

en caso de desastre.

Productividad.

Derechos de autor y secretos industriales.

C) Evaluacin del proceso de datos y de los equipos de cmputo que comprende:

Controles de los datos fuentes y manejo de cifras de control.

Control de operacin.

Control de salida.

Control de asignacin de trabajo.

Control de medios de almacenamiento masivo.

Control de medios de comunicacin.

Orden en el centro de cmputo.

D) Seguridad:

Seguridad fsica y lgica.

Confidencialidad.

Respaldos.

Seguridad del personal y Seguros.

Seguridad en la utilizacin de los equipos.

respaldo para
Plan de contingencia y procedimiento de desastre.

Restauracin de equipo y de sistemas.

 Objetivos de la Auditora Informtica

Salvaguardar los activos. Se refiere a la proteccin del hardware, software y

recursos humanos.

Integridad de los datos. Los datos deben mantener consistencia y no duplicarse.

Efectividad de sistemas. Los sistemas deben

cumplir con los objetivos de la organizacin.

Eficiencia de sistemas. Que cumplan los objetivos con menores

recursos.

Seguridad y confidencialidad.

Para que sea eficiente la auditora en informtica, sta se debe realizar tambin
durante el proceso de diseo del sistema. Los diseadores de sistemas tienen la difcil
tarea de asegurarse que interpretan las necesidades de los usuarios, que disean
los controles requeridos por los auditores y que aceptan y entienden los diseos
propuestos.
 La interrelacin que debe existir entre la auditora en informtica y los diferentes tipos
de auditora es la siguiente: el ncleo o centro de la informtica son los programas, los
cuales pueden ser auditados por medio de la auditora de programas. Estos programas se
usan en las computadoras de acuerdo con la organizacin del centro de cmputo (personal).

La auditora en informtica debe de evaluar todo (informtica, organizacin del centro de

cmputo, computadoras, comunicacin y programas), con auxilio de los principios de
auditora administrativa, auditora interna, auditora contable/financiera y, a su vez, puede
proporcionar informacin a esos tipos de auditora. Las computadoras deben ser una
herramienta para la realizacin de cualquiera de las auditoras.

La adecuada salvaguarda de los activos, la integridad de los datos y la eficiencia

de los sistemas solamente se puede lograr si la administracin de la organizacin desarrolla un

adecuado sistema de control interno.

 El tipo y caractersticas del control interno dependern de una serie de factores, por
ejemplo, si se trata de un medio ambiente de minicomputadoras o macrocomputadoras, si
estn conectadas en serie o trabajan en forma individual, si se tiene Internet y Extranet. Sin
embargo, la divisin de responsabilidades y la delegacin de autoridad es cada vez
ms fcil debido a que muchos usuarios comparten recursos, lo que dificulta el proceso de
control interno.

Como se ve, la evaluacin que se debe desarrollar para la realizacin de la

auditora en informtica debe ser hecha por personas con un alto grado de conocimiento
en informtica y con mucha experiencia en el rea.

La informacin proporcionada debe ser confiable, oportuna, verdica, y debe

manejarse en forma segura y con la suficiente confidencialidad, pero debe estar
contenida dentro de parmetros legales y ticos.
 Auditora Informtica de Prog
La auditora de programas es la evaluacin de la eficiencia tcnica, del
usos de los diversos recursos (cantidad de memoria) y del tiempo que utilizan los
programas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el
riesgo que tienen para la organizacin.
La auditora de programas tiene un mayor grado de profundidad y de
detalle que la auditora en informtica, ya que analiza y evala la parte central del
uso de las computadoras, que es el programa, aunque se puede considerar como
parte de la auditora en informtica.
Para lograr que la auditora en programas sea eficiente, las personas que la
realicen han de poseer conocimientos profundos sobre sistemas operativos,
sistemas de administracin de base de datos, lenguajes de programacin, utileras,
bases de datos, medios de comunicacin y acerca del equipo en que fue escrito
el programa.
 Auditora Informtica de Prog
Asimismo, se deber comenzar con la revisin de la documentacin del
mismo. Para poder llevar a cabo una auditora adecuada de los programas se
necesita que los sistemas estn trabajando correctamente, y que se obtengan
los resultados requeridos, ya que al cambiar el proceso del sistema en general se
cambiarn posiblemente los programas. Sera absurdo intentar optimizar un
programa de un sistema que no est funcionando correctamente.

Para optimizar los programas se deber tener pleno conocimiento y

aceptacin del sistema o sistemas que usan ese programa, y disponer de toda

la documentacin del sistema total.

Las diferentes acepciones de auditora informtica que existen en nuestro pas son:

Auditora informtica como soporte a la auditora tradicional, financiera, etc.

Auditora informtica en el concepto anterior, pero aadiendo la funcin de auditora

de la funcin de gestin del entorno informtico.

Auditora informtica como funcin independiente, enfocada hacia la obtencin de

la situacin actual de un entorno de informacin e informtico en aspectos de

seguridad y riesgo, eficiencia y veracidad e integridad.

Las acepciones anteriores desde un punto de vista interno y externo.

Auditora como funcin de control dentro de un departamento de sistemas.

 La persona o personas que integren esta funcin deben contemplar en su formacin
bsica una mezcla de conocimientos de auditora financiera y de informtica general. Estos
ltimos deben contemplar conocimientos bsicos en cuanto a:
Desarrollo informtico; gestin de proyectos y del ciclo de vida de un proyecto de
desarrollo.

Gestin del departamento de sistemas.

Anlisis de riesgos en un entorno informtico.
Sistema operativo (este aspecto depender de varios factores, pero principalmente de
si va a trabajar en un entorno nico -auditor interno- o, por el contrario, va a tener
posibilidades de trabajar en varios entornos como auditar externo).
Telecomunicaciones y Gestin de base de datos.
Redes locales.
Seguridad fsica.
Operaciones y planificacin informtica; efectividad de las operaciones y del
rendimiento de los sistemas.

Gestin de la seguridad de los sistemas y de la continuidad empresarial a travs de

planes de contingencia de la informacin.

Gestin de problemas y de cambios en entornos informticos.

Administracin de datos.
 Normas de Auditora Informtica

La mayora de los organismos emisores de las normas tcnicas

sobre auditora las agrupan en 3 clases:

Normas Personales.- estas normas muestran las caractersticas, conocimientos ,

experiencia y comportamiento tico que los auditores deben poseer para que puedan
desarrollar su trabajo de manera satisfactoria. Es muy importante mencionar que el
auditor, debe ser una persona independiente de la unidad o de la entidad que se vaya a
auditar.

Normas para realizar el Trabajo.- estos lineamientos son los que debe seguirse en la
estrategia global basada en el objetivo y alcance del trabajo que se haya designado al
auditor.

Normas para elaborar los Informes.- estos informes se deben ajustar a los principios y
normas de auditora generalmente aceptados (NAIGA), emitidas por el organismo Electronic
Data Proccesing Auditors Foundation (EDPAF). El informe de las auditoras es el medio
por el cual se comunica los objetivos, alcances de la auditora, as como las debilidades
que se detecten y las conclusiones que se obtengan de la misma. El informe se debe
presentar de una manera lgica y organizada.