¿Qué es?

Conceptos Generales de Auditoria Informatica

Antecedentes de la auditoría

La auditoría nació desde el momento en que fue necesario
rendir cuentas de algún negocio y revisar que éstas fueran correctas.

Antecedentes de la auditoría de sistemas

En 1988, Echenique, establece
las principales bases para el desarrollo de una auditoría de sistemas computacionales,
con un enfoque teórico-práctico.

En 1998, Mario G. Piattini y Emilio del Peso presentan un enfoque práctico, donde mencionan diversos enfoques y aplicaciones de esta disciplina.

Conceptos básicos

Auditoría

Es la revisión independiente de actividades, funciones específicas,
resultados u operaciones de una entidad, realizada por un auditor, con el propósito de evaluar su realización y, con base en
ese análisis, poder emitir una opinión autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones.

Auditor

Persona capacitada para realizar auditorías en empresas u otras instituciones. Pertenece a un colegio oficial [...]

Tipos de auditorías

Por su lugar de origen

Externa

La realizan auditores totalmente
ajenos a la empresa.

Ventajas

Es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada.

Desventajas

Como el auditor conoce poco la empresa, su evaluación puede estar limitada a la información que pueda recopilar.

Interna

El auditor que lleva a cabo la auditoría
labora en la empresa donde se realiza la misma.

Ventajas

El auditor que lleva a cabo la auditoría
labora en la empresa donde se realiza la misma.

Desventajas

Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede haber cierta injerencia por parte de las autoridades de la institución sobre la forma de evaluar y emitir el informe.

Por su área de aplicación

Auditoría financiera (contable)

La principal actividad del auditor
consiste en revisar la correcta y oportuna aplicación de los registros contables y
operaciones financieras de las empresas.

Auditoría administrativa

Es la revisión sistemática y exhaustiva que se realiza a una empresa, en cuanto a su organización, las relaciones entre sus integrantes y el cumplimiento de las funciones y actividades que regulan sus
operaciones.

Operacional

Es la revisión exhaustiva, sistemática y específica que se realiza a las actividades
de una empresa, con el fin de evaluar el correcto desarrollo de sus operaciones, en el establecimiento y cumplimiento de los métodos, técnicas y procedimientos de trabajo necesarios para el desarrollo de sus operaciones.

Integral

Es la revisión exhaustiva, sistemática y global que realiza un equipo multidisciplinario de profesionales a todas las actividades y operaciones de una empresa, con el propósito de evaluar, de manera integral, el correcto desarrollo de las funciones en todas sus áreas administrativas.

Informática

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas
computacionales, software e información utilizados en una empresa, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo.

Auditorías especializadas en áreas específicas

Auditoría al área médica (evaluación médico-sanitaria)
• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
• Auditoría fiscal
• Auditoría laboral
• Auditoría de proyectos de inversión
• Auditoría a la caja chica o caja mayor (arqueos)
• Auditoría al manejo de mercancías (inventarios)
• Auditoría ambiental

Auditoría de sistemas computacionales (Auditoría informática)

Auditoría informática

Auditoría con la computadora

Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente
computarizadas, pero sí susceptibles de ser automatizadas; dicha auditoría se realiza también a las actividades del propio centro de sistemas y a sus componentes.

Auditoría sin la computadora

Es la evaluación tanto a la estructura
de organización, funciones y actividades de funcionarios y personal de un centro de cómputo, así como a los perfiles de sus puestos, como de los reportes, informes y bitácoras de los sistemas, de la existencia y aplicación de planes,
programas y presupuestos en dicho centro, así como del uso y aprovechamiento de los recursos informáticos para la realización de actividades, operaciones
y tareas.

SubtemaAuditoría a la gestión informática

Es la auditoría cuya aplicación se enfoca exclusivamente a la revisión de las
funciones y actividades de tipo administrativo que se realizan dentro de un
centro de cómputo, tales como la planeación, organización, dirección y control
de dicho centro.

Auditoría al sistema de cómputo

Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación
del funcionamiento y uso correctos del equipo de cómputo, su hardware,
software y periféricos asociados.

Auditoría de la seguridad de los sistemas computacionales

Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cómputo, sus áreas y personal, así
como a las actividades, funciones y acciones preventivas y correctivas que contribuyan
a salvaguardar la seguridad de los equipos computacionales, las bases
de datos, redes, instalaciones y usuarios del sistema.

Auditoría a los sistemas de redes

Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas
de redes de una empresa, considerando en la evaluación los tipos de redes,
arquitectura, topología, sus protocolos de comunicación, las conexiones,
accesos, privilegios, administración y demás aspectos que repercuten en su
instalación, administración, funcionamiento y aprovechamiento.

Auditoría integral a los centros de cómputo

Es la revisión exhaustiva, sistemática y global que se realiza por medio de un equipo multidisciplinario de auditores, de todas las actividades y operaciones de un centro de sistematización, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas de cómputo, equipos periféricos y de apoyo para el procesamiento de información de la empresa, así como de la red de servicios de una empresa y el desarrollo correcto de las funciones de sus áreas, personal y usuarios.

Auditoría ISO-9000 a los sistemas computacionales

Es la revisión exhaustiva, sistemática y especializada que realizan únicamente
los auditores especializados y certificados en las normas y procedimientos ISO-9000, aplicando exclusivamente los lineamientos, procedimientos e instrumentos establecidos por esta asociación. El propósito fundamental de esta revisión es evaluar, dictaminar y certificar que la calidad de los sistemas computacionales de una empresa se apegue a los requerimientos del ISO-9000.

Auditoría outsourcing

Es la revisión exhaustiva, sistemática y especializada que se realiza para evaluar
la calidad en el servicio de asesoría o procesamiento externo de información
que proporciona una empresa a otra.

Objetivos generales de la auditoría

Realizar una revisión independiente de las actividades, áreas o funciones especiales
de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad
de sus operaciones y resultados.

Hacer una revisión especializada, desde un punto de vista profesional y autónomo,
del aspecto contable, financiero y operacional de las áreas de una empresa.

Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos
que regulan la actuación de los empleados y funcionarios de una institución,
así como evaluar las actividades que se desarrollan en sus áreas y
unidades administrativas.

Dictaminar de manera profesional e independiente sobre los resultados obtenidos
por una empresa y sus áreas, así como sobre el desarrollo de sus funciones
y el cumplimiento de sus objetivos y operaciones.

Marco esquemático de la auditoría de sistemas
computacionales

Hardware

Plataforma de hardware
Tarjeta madre
Procesadores
Dispositivos periféricos
Arquitectura del sistema
Instalaciones eléctricas, de datos y de telecomunicaciones
Innovaciones tecnológicas de hardware y periféricos

Software

Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas, paqueterías de aplicación y bases de datos
Utilerías, bibliotecas y aplicaciones
Software de telecomunicación
Juegos y otros tipos de software

Gestión informática

Actividad administrativa del área de sistemas
Operación del sistema de cómputo
Planeación y control de actividades
Presupuestos y gastos de los recursos informáticos
Gestión de la actividad informática
Capacitación y desarrollo del personal informático
Administración de estándares de operación, programación y desarrollo

Información

Administración, seguridad y control de la información
Salvaguarda, protección y custodia de la información
Cumplimiento de las características de la información

Diseño de sistemas

Metodologías de desarrollo de sistemas
Estándares de programación y desarrollo
Documentación de sistemas

Bases de datos

Administración de bases de datos
Diseño de bases de datos Metodologías para el diseño y programación de bases de datos
Seguridad, salvaguarda y protección de las bases de datos

Seguridad

Seguridad del área de sistemas
Seguridad física
Seguridad lógica
Seguridad de las instalaciones eléctricas, de datos y de
telecomunicaciones
Seguridad de la información, redes y bases de datos
Administración y control de las bases de datos
Seguridad del personal informático

Redes de cómputo

Plataformas y configuración de las redes
Protocolos de comunicaciones
Sistemas operativos y software
Administración de las redes de cómputo
Administración de la seguridad de las redes
Administración de las bases de datos de las redes

Especializadas

Outsourcing
Helpdesk
Ergonomía en sistemas computacionales

ISO-9000

Internet/intranet

Sistemas multimedia