INTRODUCCION

Los datos y la información generada en las empresas a día de hoy son infinitos. La
información que se procesa y trata dentro de una empresa es incalculable. Las
empresas, cada vez en mayor medida, necesitan la tecnología para trabajar, precisando
complejos software y equipos informatizados para desarrollar su actividad de manera
optimizada y eficiente. Esa presencia imperante de software y tecnología, provoca la
necesidad de la auditoría de sistemas.

La auditoría de sistemas tiene como principal objetivo validar la integridad de la

información y datos almacenados en las bases de datos de los sistemas de información
y su procesamiento. Se trata de uno de los tipos de auditoria que van más allá del factor
económico.
HISTORIA DE LA AUDITORIA DE SISTEMAS

Existe la evidencia de que alguna especie de auditoria se practicó en tiempos remotos.

El hecho de que los soberanos exigieran el mantenimiento de las cuentas de su
residencia por dos escribanos independientes, pone de manifiesto que fueron tomadas
algunas medidas para evitar desfalcos en dichas cuentas. A medidas que se desarrolló
el comercio, surgió la necesidad de las revisiones independientes para asegurarse de
la adecuación y finalidad de los registros mantenidos en varias empresas comerciales.

La auditoría como profesión fue reconocida por primera vez bajo la Ley Británica
de Sociedades Anónimas de 1862 y el reconocimiento general tuvo lugar durante el
período de mandato de la Ley "Un sistema metódico y normalizado de contabilidad era
deseable para una adecuada información y para la prevención del fraude". También
reconocía..."Una aceptación general de la necesidad de efectuar una versión
independiente de las cuentas de las pequeñas y grandes empresas". Desde 1862 hasta
1905, la profesión de la auditoria creció y floreció en Inglaterra, y se introdujo en
los Estados Unidos hacia 1900. En Inglaterra se siguió haciendo hincapié en cuanto a
la detección del fraude como objetivo primordial de la auditoria. En 1912 Montgomery
dijo:

En los que podría llamarse los días en los que se formó la auditoria, a los estudiantes
se les enseñaban que los objetivos primordiales de ésta eran:

La detección y prevención de fraude.

La detección y prevención de errores; sin embargo, en los años siguientes hubo

un cambio decisivo en la demanda y el servicio, y los propósitos actuales son:

El cerciorarse de la condición financiera actual y de las ganancias de una empresa.

La detección y prevención de fraude, siendo éste un objetivo menor.

Este cambio en el objetivo de la auditoria continuó desarrollándose, no sin oposición,

hasta aproximadamente 1940. En este tiempo "Existía un cierto grado de acuerdo en
que el auditor podía y debería no ocuparse primordialmente de la detección de fraude".
El objetivo primordial de una auditoría independiente debe ser la revisión de la posición
financiera y de los resultados de operación como se indica en los estados
financieros del cliente, de manera que pueda ofrecerse una opinión sobre la adecuación
de estas presentaciones a las partes interesadas.

Paralelamente al crecimiento de la auditoría independiente en lo Estados Unidos, se

desarrollaba la auditoría interna y del Gobierno, lo que entró a formar parte del campo
de la auditoría. A medida que los auditores independientes se apercibieron de la
importancia de un buen sistema de control interno y su relación con el alcance de
las pruebas a efectuar en una auditoría independiente, se mostraron partidarios del
crecimiento de los departamentos de auditoría dentro de las organizaciones de los
clientes, que se encargaría del desarrollo y mantenimiento de unos
buenos procedimientos del control interno, independientemente del departamento de
contabilidad general. Progresivamente, las compañías adoptaron la expansión de las
actividades del departamento de auditoría interna hacia áreas que están más allá del
alcance de los sistemas contables. En nuestros días, los departamentos de auditoría
interna son revisiones de todas las fases de las corporaciones, de las que
las operaciones financieras forman parte.

La auditoría gubernamental fue oficialmente reconocida en 1921 cuando el Congreso

de los Estados Unidos estableció la Oficina General de contabilidad.
AUDITORIA DE SISTEMAS

La auditoría en informática es la revisión y la evaluación de los controles, sistemas,

procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de cursos
alternativos se logre una utilización más eficiente y segura de la información que servirá
para una adecuada toma de decisiones

La auditoría de sistemas deberá comprender no sólo la evaluación de los equipos de

cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar
los sistemas de información en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los

sistemas de información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo
(informática, organización de centros de información, hardware y software).

En definitiva, la auditoría de sistemas consiste en:

La verificación de controles en el procesamiento de la información e instalación de
sistemas, con el objetivo de evaluar su efectividad y presentar también alguna
recomendación y consejo.

Verificar y juzgar de manera objetiva la información.

Examen y evaluación de los procesos en cuanto a informatización y trato de datos se

refiere.

Además, se evalúa la cantidad de recursos invertidos, la rentabilidad de cada proceso y

su eficacia y eficiencia.

El análisis y evaluación realizados a través de la auditoría de sistemas debe ser objetivo,

crítico, sistemático e imparcial.
El informe de auditoría final deberá ser un claro ejemplo de la realidad de la empresa en
cuanto a los procesos y la informatización se refiere, para tomar mejores decisiones y
mejorar en el negocio.
 IMPORTANCIA DE AUDITORIA DE SISTEMAS

La adecuada planeación de una organización,

propicia el espacio para sus evaluaciones, que
permite dimensionar sus principales
características, dando la oportunidad de
organización a través de una auditoría contable
para garantizar su buen desempeño,
proporcionando a su vez mejor control
en su implementación sistemática;
rentabilidad a la organización, eficiencia
y seguridad en el procesamiento de la
información , y un manejo más seguro
de la información que facilita la toma de
decisiones de una forma más seguras y
veraz. Luego entonces, podríamos decir
que una buena gestión en una empresa
debería adjudicarse en el eficiente
manejo de la información contable, pero
sin dejar de lado que para que haya un
resultado eficiente es necesario que
exista unos sistemas de información,
pues este último en nuestro mundo
globalizado se ha convertido en la estructura de las empresas y los procedimientos que
intervienen en el almacenamiento de la
información trabajan juntos para lograr un
óptimo desempeño al momento de
presentar resultados a la administración.
No obstante, existen procedimientos a
seguir en el ejercicio de las funciones de
un auditor, como son el comprender que
no solo se enfocaría en los equipos de
cómputo, sino que deberá evaluar los
sistemas de forma integral, partiendo
desde sus entradas, pasando por sus
procedimientos, sus controles, la
seguridad y el almacenamiento de la
información para determinar su confiabilidad. Por todo; lo anterior se podría decir que la
auditoria de los sistemas informático es de vital importancia en las empresas u
organizaciones.

Pues esta forma de control interno proporciona un alto grado de éxito; todo esto habría
de cedérselos a dos factores indispensable; como lo son la parte humana (quien lo
ejecuta), y la otra seria los sistemas que le ofrecen al profesional independiente, un logro
en sus funciones de manera eficiente y eficaz al momento de rendir informe a la
gerencia.
 PERFIL DEL AUDITOR DE SISTEMAS

Cada empresa tiene establecidos los

criterios, condiciones y obligaciones que
deben de ser respetados por el personal que
labora en ella, esto obedece a que son
aspectos vigentes que regulan la actuación
de quienes administran la empresa, por tanto,
es compromiso del auditor apegarse a las
normas o políticas establecidas, sean estas
internas o externas en el ejercicio del servicio
profesional, auditoría de sistemas debe de
exigir el cumplimiento de normas básicas o
principios generales aceptados.

En cualquier ámbito laboral existen necesidades que cumplir, el primer requisito que
debe poseer quien se dedica a esta profesión, es estar totalmente libre de cualquier tipo
de influencia; es decir debe ser autónomo en su actuación y no permitir ningún tipo de
injerencia, ya sea de cualquier carácter,
sean estas; laborales, morales, conducta,
independencia y conocimiento profesional.
El segundo requisito son los conocimientos
computacionales que debe tener, con un
amplio cúmulo de nociones en áreas
vinculadas al trabajo, métodos,
herramientas y técnicas de auditoría a fin de
que pueda realizar sus tareas con eficiencia
y eficacia.

Sin embargo, este debe poseer otras

características personales que son representativas del auditor tales como: honradez,
valores, confianza, tenacidad, capacidad analítica, en este contexto también lo ideal es
la experiencia profesional para el buen desempeño del trabajo dentro de la
Organización. Así mismo debe el auditor de
sistemas manejar otros factores que
contribuyen y se encuentran ligados a su
profesión, tales como:

a) El auditor debe de aprender a manejar

adecuadamente las relaciones personales,
profesionales y laborales entre él y el auditado.

b) Como profesional de auditoría debe utilizar

la misma metodología, procedimientos,
herramientas y técnicas que se hayan
establecido para la revisión de las áreas.
c) Los resultados que obtiene el auditor forman evidencias en las que se respalda, para
emitir el dictamen.

d) Es obligación profesional, moral y personal del auditor respetar la confidencialidad de

dicha información y no divulgarla.

PRINCIPIOS DEL AUDITOR DE SISTEMAS

La sociedad misma identifica una serie de aspectos fundamental que debe de tener el
profesional dedicado a la auditoría, a fin de que identifique y cumpla con los principios y
valores del auditor, citando alguno de ellos:

 PRINCIPIO DE INDEPENDENCIA

La independencia supone una actitud mental que permite al auditor actuar con libertad
respecto a su juicio profesional, para lo cual debe encontrarse libre de cualquier
predisposición que limite su imparcialidad en la consideración objetiva de los hechos,
así como en la formulación de sus conclusiones.

Para ser independiente, el auditor no debe tener intereses ajenos a los profesionales, ni
estar sujeto a influencias susceptibles de comprometer tanto la solución objetiva de los
asuntos que le son sometidos, como la libertad de expresar su opinión profesional.

 PRINCIPIO DE INTEGRIDAD

La integridad debe entenderse como la rectitud intachable en el ejercicio profesional,

que le obliga a ser honesto y sincero en la realización de su trabajo y en la emisión de
su informe. En consecuencia, todas y cada una de las funciones que realice han de estar
regidas por una honradez profesional irreprochable.

 PRINCIPIO DE OBJETIVIDAD

La objetividad implica el mantenimiento de una actitud imparcial en todas las funciones

del auditor. Para ello, debe gozar de una total independencia en sus relaciones con la
entidad auditada. Debe ser justo y no permitir ningún tipo de influencia o perjuicio.

 PRINCIPIO DE CONFIDENCIALIDAD

El Auditor deberá respetar la confidencialidad respecto a la información que reúna en el

desarrollo de su trabajo y no deberá ninguna información a terceros sin la autorización
específica, a menos que tenga el derecho o la obligación profesional o legal de hacerlo.
También tiene la obligación de garantizar que el personal bajo su control respete
fielmente el principio de la confidencialidad. El principio de confidencialidad es más
amplio que la revelación de la información; incluye el hecho de que un auditor que
obtenga información en el curso de la prestación de sus servicios, no debería usarla ni
aparentar usarla para su beneficio personal o para terceros.

 PRINCIPIO DE RESPONSABILIDAD

Se mantiene como responsabilidad el hecho de aceptar el compromiso que implica la

toma de decisiones y las consecuencias previstas por las acciones y omisiones en el
cumplimiento del trabajo.

 PRINCIPIO DE CONDUCTA PROFESIONAL

Actuar de acuerdo con la buena reputación de la profesión y evitar cualquier conducta

que pueda desacreditarla. Esto requiere que las normas de ética tengan en cuenta las
responsabilidades profesionales.

 COMPETENCIA PROFESIONAL

Es la obligación de mantener su nivel de competencia a lo largo de toda su carrera

profesional, así como de mantener sus conocimientos y sus habilidades a un nivel
adecuado para asegurar que la evaluación será la adecuada.

 NORMAS TÉCNICAS

El auditor deberá conducir una auditoría conforme las Normas y Políticas, locales o
internacionales. Estas deberán contener principios básicos y procedimientos esenciales
junto con lineamientos relativos y asociados a las funciones del auditor.

Los elementos referenciados con anterioridad se encuentran integrados en normas

llamadas código de ética, aplicadas para el auditor de sistemas, siendo estos utilizados
y difundidos por instituciones nacionales e internacionales.
 OBJETIVOS DE LA AUDITORÍA DE SISTEMAS

A continuación, se exponen los objetivos que persigue la auditoría de sistemas, los

cuales se presentan agrupados en objetivos generales y objetivos específicos, de la
siguiente forma:

 Objetivos Generales:

 Evaluar las políticas generales sobre planeación, ambiente laboral,

entrenamiento y capacitación, desempeño, supervisión, motivación y
remuneración del talento humano.

 Evaluar las políticas generales de orden técnico con respecto al software,

hardware, desarrollo, implantación, operación y mantenimiento de
sistemas de información.

 Evaluar las políticas generales sobre seguridad física con respecto a

instalaciones, personal, equipos, documentación, back-ups, pólizas y
planes de contingencias.

 Evaluar los recursos informáticos de la empresa con énfasis en su nivel

tecnológico, producción de software y aplicaciones más comúnmente
utilizadas.

 Asesorar a la gerencia y altos directivos de la empresa en lo relacionado

con los sistemas de información, de tal forma que el proceso de toma de
decisiones se efectúe lo más acertadamente posible.
  Conocer las políticas generales y actitudes de los directivos frente a la
auditoría y seguridad de los sistemas de información y proceder a hacer
las recomendaciones pertinentes.

 Efectuar un análisis sobre la concepción, implementación y funcionalidad

de la seguridad aplicada a los sistemas de información.

 Analizar los componentes del costo involucrado en la sistematización de

los diferentes procesos, así como evaluar los beneficios derivados de la
misma.

 OBJETIVOS ESPECIFICOS:

 Participación en el desarrollo de nuevos sistemas:

Evaluación de controles
Cumplimiento de la metodología.

 Evaluación de la seguridad en el área informática.

 Evaluación de suficiencia en los planes de contingencia.

Respaldos, prever qué va a pasar si se presentan fallas.

 Opinión de la utilización de los recursos informáticos.

Resguardo y protección de activos.

 Control de modificación a las aplicaciones existentes.

Fraudes
Control a las modificaciones de los programas.

 Participación en la negociación de contratos con los proveedores.

 Revisión de la utilización del sistema operativo y los programas

Utilitarios.
Control sobre la utilización de los sistemas operativos
Programas utilitarios.
 Auditoría de la base de datos.
Estructura sobre la cual se desarrollan las aplicaciones.
 Auditoría de la red de teleprocesos.

 Desarrollo de software de auditoría.

JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE SISTEMAS

Con el paso de los años la informática ha ido abarcando cada día más las distintas áreas
en las cuales nos movemos a diario, por ello podemos decir con seguridad que en la
actualidad toda empresa ya sea pública o privada o en su mayoría que maneja gran
cantidad de información cuenta con sistemas de información, lo cual las lleva a ser
sometidas a un control estricto de evaluación de eficiencia y eficacia el cual les permita
garantizar que los sistemas de información que dicha empresa posee funcionen de una
manera adecuada y correcta.

En este caso la Auditoria informática, siendo un área especializada de la auditoría

general, propone evaluar y examinar, de una manera independiente, el sistema de
control interno informático que la empresa maneje, esto con el objetivo de emitir una
validez y la confiabilidad de la información que es generada por el sistema auditado

Por lo que la presente investigación se enfocará en realizar una auditoría de sistemas

computacionales en la empresa Grupo Flores ya que es importante para el buen
desempeño de los sistemas de información debido a que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

La auditoría consistirá en una revisión de las actividades desarrollada por un grupo de

estudiantes de la carrera de Ingeniería y sistemas con el propósito de evaluar el área
informática de la empresa, la correcta realización de las funciones, la organización de
los sistemas de información, hardware y software en base a ese análisis poder brindar
una recomendación eficiente para que la empresa pueda solucionar los problemas
encontrados con el fin de mejorar la rentabilidad, la seguridad y la eficiencia del sistema
de información.

Las personas beneficiadas serán primeramente la empresa ya que se le realizará un

trabajo limpio y sin ningún costo por medio de la auditoría podrá ver qué se está
haciendo mal y corregirlo, qué se está haciendo bien, pero que se puede hacer mejor y
cuáles van a ser los protocolos de actuación en el caso de problemas para que esto no
afecte directamente a la productividad de la empresa.

Los segundos serán el grupo de estudiantes que realizará la auditoría ya que adquirirán
experiencia en un campo laboral verdadero y desarrollarán habilidades y competencias
que les servirán en un futuro al momento de realizar una auditoría de cualquier tipo. Esta
son algunas justificaciones para iniciar la auditoria:

Aumento considerable e injustificado del presupuesto del PAD (Departamento de

Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situación informática de la empresa

Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del
personal, equipos e información.

Descubrimiento de fraudes efectuados con el computador

Falta de una planificación informática

Organización que no funciona correctamente, falta de políticas, objetivos,

normas, metodología, asignación de tareas y adecuada administración del Recurso
Humano

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los
resultados

Falta de documentación o documentación incompleta de sistemas que revela la

dificultad de efectuar el mantenimiento de los sistemas en producción

TIPOS DE AUDITORÍA INFORMÁTICA

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los

programas, etc.

Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las

medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis
de los flujogramas.

Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad

y calidad de los datos.

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad,

integridad, confidencialidad, autenticación y no repudio.

Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando

ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.
También está referida a las protecciones externas (arcos de seguridad, CCTV,
vigilantes, etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los

sistemas de información.

Auditoría de las comunicaciones: Se refiere a la auditoría de los procesos de

autenticación en los sistemas de comunicación.

Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Principales pruebas y herramientas para efectuar una auditoría informática

En la realización de una auditoría informática el auditor puede realizar las siguientes

pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SO del organismo. Se

suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad
y validez de la información.

Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante

el análisis de la muestra. Proporciona evidencias de que los controles claves existen y
que son aplicables efectiva y uniformemente.