Contenido

1. Conceptos de auditora informtica

1
2. Caractersticas, objetivos y alcance de una auditora informtica.
2.1Caractersticas de la auditora informtica
2.2 Objetivos de la auditora informtica
2.3 Alcance de la auditora informtica
2.4Ejemplos de interrogantes a responder mediante la auditora:
3. Tipos y clases de auditoras informticas.
3.1Auditora informtica de explotacin
3.2Auditora informtica de desarrollo de proyectos o aplicaciones:
3.3Auditora Informtica de Sistemas
3.4Auditora Informtica de Comunicaciones y Redes:
3.5Auditora de la seguridad informtica:
4. Normas y mtodos para la auditora informtica
4.1Normas.
4.2Herramientas y tcnicas para la auditora informtica.
CONCLUSIONES.
BIBLIOGRAFA:
Imgenes
CONTROL DE DOCUMENTO
Crditos
 1. CONCEPTOS DE AUDITORA INFORMTICA
La auditora informtica se refiere a un examen o revisin prctica que se

realiza con carcter objetivo, crtico, sistemtico y selectivo sobre los recursos

informticos con que cuenta una entidad, con el fin de evaluar la eficacia y

eficiencia de uso adecuado de dichos recursos y emitir un informe o dictamen

sobre la situacin de la gestin e intentar concluir si estn correctamente

alineadas con los objetivos y metas del negocio.

Segn Juan Jos Acha Iturmendi en su libro Auditora informtica en la

2
empresa (1994) auditora informtica es un conjunto de procedimientos y tcnicas

para evaluar y controlar total o parcialmente un sistema informtico, con el fin de

proteger sus activos y recursos, verificar si sus actividades se desarrollan

eficientemente y de acuerdo con la normativa informtica y general existente en

cada empresa y para conseguir la eficacia exigida en el marco de la organizacin

correspondiente.

Esta tambin es considerada como el proceso de recoger, agrupar y evaluar

evidencias para que el auditor pueda determinar o velar por la correcta utilizacin

de todos los recursos informticos existentes, porque la informacin es un activo

empresarial tan importante o ms que cualquier otro, por lo tanto, el auditor debe

verificar que todos los sistemas de informacin salvaguarden dicho activo

empresarial, mantengan la integridad de los datos, utilicen eficientemente los

recursos y cumplan con las leyes y regulaciones establecidas.

Para ello, es necesario que exista: un banco de conocimientos, normas, tcnicas y

buenas prcticas dedicadas a:

La auditora.
Evaluacin y aseguramiento de la calidad.
Seguridad.
Disponibilidad de la informacin procesada y
almacenada a travs de los equipos de cmputo.

Finalmente, es importante recordar que al auditar lo que se busca es estudiar

3
los mecanismos de control que estn implantados en una entidad y sus propios

objetivos o estrategias, estableciendo los cambios que se deberan realizar, los

cuales deben estar enfocados en los objetivos de la misma entidad, teniendo en

cuenta que cada proceso es diferente, desde sus entradas, procedimientos,

controles, archivos, seguridad y obtencin de la informacin, incluso hasta los

mecanismos de control, tanto preventivos como correctivos.

2. CARACTERSTICAS, OBJETIVOS Y ALCANCE DE UNA AUDITORA INFORMTICA

2.1Caractersticas de la auditora informtica

La informacin es de la empresa y para la empresa, y se ha convertido en

un activo real de la misma, como sus stocks o materias primas, si las hay. Por

ende, han de realizarse inversiones informticas, materia de la que se ocupa la

auditora de inversin informtica.

 Los Sistemas Informticos han de protegerse de modo global y particular, a

ello se debe la existencia de la auditora de seguridad informtica en general o

a la auditora de seguridad de alguna de sus reas, como pudieran ser

Desarrollo o Tcnica de Sistemas.

Cuando se producen cambios estructurales en la informtica, se reorganiza

de alguna forma su funcin: se est en el campo de la auditora de organizacin

informtica.

Estos tres tipos de auditoras engloban a las actividades auditoras que se 4

realizan en una auditora parcial. En otras palabras, cuando se realiza una

auditora del rea de Desarrollo de Proyectos de la Informtica de una empresa,

es porque en ese Desarrollo existen, adems de ineficiencias o debilidades de

organizacin, de inversiones, de seguridad o alguna mezcla de ellas.

2.2 Objetivos de la auditora informtica

El objetivo principal de la auditora informtica es la evaluacin de un sistema

informtico para emitir una opinin sobre la fiabilidad y exactitud de los datos

procesados, as como detectar y corregir errores encontrados y asegurar la

continuidad del soporte automatizado de la gestin y por ltimo elaborar un

informe de recomendacin y de plan de accin.

Los objetivos especficos de la auditora informtica son:

Realizar seguimiento de los sistemas de informacin desde sus entradas,

procedimientos, controles, archivos, seguridad y obtencin de informacin.

Analizar los resultados obtenidos con base en los objetivos, su eficiencia y

eficacia.

Verificar el cumplimiento de la normativa, leyes y regulaciones en este

mbito.
5
Detectar y prevenir fraudes por manipulacin de la informacin o por acceso

de personas no autorizadas.

Eliminar o reducir la posibilidad de prdida de la informacin por fallos en

los equipos, en los procesos o por una gestin inadecuada de los archivos de

datos

Informar a la alta direccin y al resto de las reas de la empresa el estado

de la gestin de la informacin.

Sugerir mejoras a los procesos auditados.

2.3 Alcance de la auditora informtica

As como el resto de las auditoras, la auditora informtica tiene su alcance

definido, el cual debe delinear con precisin el entorno y los lmites que van a
 desarrollarse en la auditora informtica, este alcance es complementario con

los objetivos de la auditora informtica.

Una auditora debe planearse debido a una necesidad finita y objetiva de la

entidad, con la cual se puedan resolver interrogantes medibles y dentro del tiempo

en que la auditora se ejecutar.

2.4 Ejemplos de interrogantes a responder mediante la auditora:

Se tienen mecanismos de verificacin y validacin de entrada de datos?

Los datos guardados son coherentes y mantienen su integridad durante 6

todo el proceso?

Los planes de copia de seguridad son ejecutados segn lo planeado?

3. TIPOS Y CLASES DE AUDITORAS INFORMTICAS.

Dentro de las reas generales, es posible establecer las siguientes divisiones:

3.1 Auditora informtica de explotacin

La explotacin informtica se encarga de producir resultados informticos

como: listados impresos, ficheros soportados magnticamente para otros

informticos, ordenes automatizadas para lanzar o modificar procesos industriales,

etc.

La explotacin informtica se puede considerar como una fbrica con ciertas

peculiaridades que la distinguen de las reales. Para realizar la explotacin

informtica se dispone de una materia prima, los datos, el cual es necesario

transformar, y someter previamente a controles de integridad y calidad.

3.2Auditora informtica de desarrollo de proyectos o aplicaciones:

Con esta se realiza una revisin del proceso completo de desarrollo de

proyectos por parte de la empresa auditada.

El anlisis se basa en cuatro aspectos fundamentales:

Revisin de las metodologas utilizadas. Se analizarn estas, de modo 7

que se asegure la modularidad de las posibles futuras ampliaciones de la

aplicacin y el fcil mantenimiento de las mismas.

Control Interno de las aplicaciones. Se debern revisar las mismas fase

que presuntamente ha debido seguir el rea correspondiente de Desarrollo:

Estudio de viabilidad de la aplicacin.

Definicin lgica de la aplicacin.
Desarrollo tcnico de la aplicacin.
Diseo de programas.
Mtodos de pruebas.
Documentacin.
Equipo de Programacin.
 Satisfaccin de usuarios. Una Aplicacin tcnicamente eficiente y bien

desarrollada, deber considerarse fracasada, si no sirve a los intereses del usuario

ue la solicit. La aceptacin por parte del usuario proporciona grandes ventajas

posteriores, ya que evitar reprogramaciones y disminuir el mantenimiento de la

aplicacin.

Control de procesos y ejecuciones de programas crticos. Se ha de

comprobar la correspondencia biunvoca y exclusiva entre el programa codificado

y su compilacin. Si los programas fuente y los programas mdulo, no coincidieran

podra provocar graves y altos costos de mantenimiento, hasta fraudes, pasando

8
por acciones de sabotaje, espionaje industrial informativo, etc.

Imagen 1. Aspectos fundamentales del anlisis.

Fuente: (SENA Equipo de Adecuacin Didctica y Grfica de Recursos

Educativos Risaralda, 2016).
3.3 Auditora Informtica de Sistemas

Se encarga de analizar la actividad que se conoce como Tcnica de

Sistemas en todas sus facetas.

Sistemas operativos. Engloba los subsistemas de teleproceso,

entrada/salida, etc. Debe verificarse en primer lugar que los sistemas estn

actualizados con las ltimas versiones del fabricante, indagando las causas de las

omisiones si las hubiera.

9
Software bsico. Es fundamental para el auditor conocer los productos de

software bsico que han sido facturados, adems del computador. En cuanto al

software desarrollado por el personal informtico de la empresa, el auditor debe

verificar que este no agreda ni condicione al sistema.

Software de teleproceso (tiempo real). No se incluye en software bsico

por su especialidad e importancia.

Tunning. Es el conjunto de tcnicas de observacin y de medidas

encaminadas a la evaluacin del comportamiento de los subsistemas y del

sistema en su conjunto.

Optimizacin de los sistemas y subsistemas. Acciones permanentes de

optimizacin como consecuencia de la informacin diaria obtenida a travs de

Log, Account-ing, etc. Acta igualmente como consecuencia de la realizacin de

tunnings preprogramado o especfico.

Administracin de base de datos. El diseo de las bases de datos, sean

relaciones o jerrquicas, se ha convertido en una actividad muy compleja y

sofisticada. La administracin tendra que estar a cargo de explotacin. El auditor

10
de base de datos debera asegurarse cul explotacin conoce suficientemente

las que son accedidas por los procedimientos que ella ejecuta; de analizar los

sistemas de salvaguarda existentes, que competen igualmente a explotacin; y de

revisar finalmente la integridad y consistencia de los datos, as como la ausencia

de redundancias entre ellos.

3.4 Auditora informtica de comunicaciones y redes:

Consiste en el anlisis del entramado conceptual que constituyen las redes

nodales, lneas, concentradores, multiplexores, redes locales, etc., no son sino el

soporte fsico-lgico del tiempo real. En este caso es normal que el auditor

requiera de especialistas o expertos en comunicaciones y redes.

3.5Auditora de la seguridad informtica:

La seguridad en la informtica abarca los conceptos de seguridad fsica y

seguridad lgica:
 La seguridad fsica se refiere a la proteccin del hardware y de los soportes

de datos, as como los edificios e instalaciones que los albergan. Contempla las

situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente,

a este mbito pertenece la poltica de seguros.

La seguridad lgica se refiere a la seguridad de uso del software, a la

proteccin de los datos, procesos y programas, as como la del ordenado y

autorizado acceso de los usuarios a la informacin.

4. NORMAS Y MTODOS PARA LA AUDITORA INFORMTICA 11

4.1Normas.

Las normas de auditora se clasifican en:

Normas personales. Son cualidades que el auditor debe tener para ejercer

una auditora, basados en sus conocimientos profesionales as como en un

entrenamiento tcnico, que le permita ser imparcial a la hora de dar sus

sugerencias.

Normas de ejecucin del trabajo. Son la planificacin de los mtodos y

procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditora.

Normas para la preparacin y rendicin de informes. Son las

condiciones tcnicas que deben cumplirse, durante el proceso de preparacin y

 comunicacin de los resultados que el auditor debe entregar a los interesados

para que se den cuenta de su trabajo, tambin es conocido como informe o

dictamen.

Imagen 2. Clases de normas de una auditora.

12
Fuente: (SENA Equipo de Adecuacin Didctica y Grfica de Recursos Educativos
Risaralda, 2016).

4.2 Herramientas y tcnicas para la auditora informtica.

Cuestionarios. Conjunto de preguntas a las que el sujeto puede responder

oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.

Las auditoras informticas se materializan recabando informacin y

documentacin de todo tipo. Los informes finales de los auditores dependen de

sus capacidades para analizar las situaciones de debilidad o fortaleza de los

diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la

informacin necesaria para la emisin de un juicio global objetivo, siempre

amparado en hechos demostrables, llamados tambin evidencias. Estos

 cuestionarios no pueden ni deben ser repetidos para instalaciones distintas,

sino diferentes y especficos para cada situacin, y muy cuidados en su fondo y su

forma.

Entrevistas. La entrevista es una de las actividades personales ms

importantes del auditor; en ellas, este recoge ms informacin, y mejor matizada,

que la proporcionada por medios propios puramente tcnicos o por las respuestas

escritas a cuestionarios. El auditor informtico experto entrevista al auditado

siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo

la forma de una conversacin correcta y lo menos tensa posible, el auditado

13
conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin

sencillas. Sin embargo, esta sencillez es solo aparente.

Lista de chequeo (checklist). El auditor profesional y experto es aquel que

reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados.

Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el

trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que

haya de someter al auditado a unas preguntas estereotipadas que no conducen a

nada. Muy por el contrario, el auditor conversar y har preguntas normales, que

en realidad servirn para la cumplimentacin sistemtica de sus cuestionarios, de

sus listas de chequeos.

 Trazas o huellas. Con frecuencia, el auditor informtico debe verificar que

los programas, tanto de los sistemas como de usuario, realizan exactamente las

funciones previstas, y no otras. Para ello se apoya en productos software muy

potentes y modulares que, entre otras funciones, rastrean los caminos que siguen

los datos a travs del programa. Las trazas se utilizan para comprobar la ejecucin

de las validaciones de datos previstas. Las mencionadas trazas no deben

modificar en absoluto el sistema.

14
Imagen 3. Herramientas y tcnicas para la auditora informtica.

Fuente: (SENA Equipo de Adecuacin Didctica y Grfica de Recursos

Educativos Risaralda, 2016).
 CONCLUSIONES.

Las auditoras informticas son parte esencial de una entidad para verificar que

sus procesos informticos se encuentran funcionando de la forma esperada. Para

realizarla, se debe obtener informacin y documentacin de todo tipo, relacionada

con el proceso a auditar. El trabajo del auditor consiste en lograr obtener toda la

15
informacin necesaria para emitir un juicio global objetivo e imparcial, siempre

amparando las evidencias comprobatorias.

La auditora informtica deber comprender no solo la evaluacin de los

equipos de cmputo de un sistema o procedimiento especfico, sino todo el

entorno que lo compone. Con esta informacin se crearn los informes finales de

los auditores, los cuales dependern de sus capacidades para analizar la

informacin obtenida y de las situaciones de debilidad o fortaleza de las diferentes

reas auditadas.
 BIBLIOGRAFA:

Acha Iturmendi (1994). Auditora informtica en la empresa. Paraninfo.

Echenique G. J.A. (2001). Auditora en Informtica. 2da. Ed. Mc Graw-Hill

Mxico.

Ponce, N. (2016). Auditora a la Gestin Informtica con una Visin de Negocios

16
Integral en una Empresa Comercial. (Tesis, Instituto de Ciencias Matemticas,

Escuela Superior Politcnica del Litoral).

Piattinni, G. M & Peso del E. Auditora Informtica. Un enfoque prctico.

Alfaomega
 Imgenes

Imagen 1. Aspectos fundamentales del anlisis. Fuente: (SENA Equipo de

Adecuacin Didctica y Grfica de Recursos Educativos Risaralda, 2016).

Imagen 2. Clases de normas de una auditora. Fuente: (SENA Equipo de

Adecuacin Didctica y Grfica de Recursos Educativos Risaralda, 2016).

17
Imagen 3. Herramientas y tcnicas para la auditora informtica. Fuente:

(SENA Equipo de Adecuacin Didctica y Grfica de Recursos Educativos

Risaralda, 2016).
 CONTROL DE DOCUMENTO

Autores Nombre Cargo Dependencia Fecha

Expertos Julin Andrs Sierra Expertos Equipo de Adecuacin Didctica y 6 de abril

temticos Dixon Fernando Cano temticos. Grfica de Recursos Educativos de 2016
Risaralda
Sandra Milena Henao
Melchor. Equipo de Adecuacin Didctica y 13 de abril
Guionistas. Grfica de Recursos Educativos de 2016
Revisin Vctor Hugo Surez Risaralda

18
Andrs Felipe Equipo de Adecuacin Didctica y 15 de abril
Valencia Pimienta Lder Grfica de Recursos Educativos de 2016
Risaralda
 Crditos

Equipo
Centro de Diseo e Innovacin Tecnolgica Industrial
Servicio Nacional de Aprendizaje SENA
Dosquebradas, Risaralda

Subdirector de Centro: Jhon Freddy Amaya Taborda

Lder: Andrs Felipe Valencia Pimienta

19
Expertos temticos:
Julin Andrs Sierra
Dixon Fernando Cano

Asesores pedaggicos:
Andrs Felipe Valencia Pimienta
Sandra Milena Henao Melchor

Guionistas:
Vctor Hugo Surez
Sandra Milena Henao Melchor

Diseadores:
Lina Marcela Cardona Osorio
Mario Fernando Lpez Cardona

Desarrolladores Front End:

Cristian Fernando Dvila Lpez

Pasantes
Carlos Arturo Valencia
Jorge Andrs Gonzlez H.