Auditoria Informatica - Grupo 3 PDF
Auditoria Informatica - Grupo 3 PDF
Auditoria Informatica - Grupo 3 PDF
riesgo de la auditoría para que los resultados reflejen la realidad objetiva, así como de la
Definición
contable, cuyo fin es la supervisión del mismo por un profesional independiente, función
que fueron planteados, y que las políticas y procedimientos establecidos se han observado
examen sistemático, que una persona, ya sea de manera personal o en conjunto con otras
de una organización, realiza sobre un registro o proceso que contenga información o datos
erróneos, de esa manera se emite una opinión objetiva y competente, con el fin de evitar
Clases de auditoría
• Auditoría externa
• Auditoría interna
➢ Por su área de aplicación
• Financiera
• Administrativa
• Operacional
• Integral
• Gubernamental
• De sistemas
• Fiscal
• Laboral
• De proyectos de inversión
• Ambiental
• De sistemas
➢ De sistemas computacionales
• Auditoría informática
De acuerdo a lo mencionado por los autores se puede apreciar que los tipos de auditoría
De acuerdo a (Piattii & Del Peso, 2001) las clases de auditoría son:
Tabla 1
Clases de auditoría
CLASES AUDITORÍA AUDITORÍA AUDITORÍA AUDITORÍA
ADMINISTRATIV OPERACIONA CONTABLE INFORMATIC
A L A
NATURALEZA Técnica de control Técnica de Técnica de Técnica de
administrativo control control control
administrativo administrativo administrativo
PROPÓSITO Evaluar y mejorar la Promover la Dictamen a los Evaluar los
administración eficiencia de las estados recursos
operaciones financieros informáticos
ALCANCE La eficiencia y La eficiencia de El sistema Todas las
productividad del las operaciones contable actividades
proceso productivo informáticas
FUNDAMENTO La ciencia La ciencia Principios de Normativa
administrativa y la administrativa y contabilidad y institucional y
normativa de la la normativa de la normas de legal
empresa empresa auditoría
METODOLOGÍ Apoyado en métodos Técnicas y Técnicas y Técnicas y
A científicos procedimientos procedimientos procedimientos
predeterminados predeterminado predeterminados
s
APLICACIÓN A la empresa y sus A las funciones A los estados A todas las áreas
funciones básicas de la empresa financieros de la empresa
PROYECCIÓN Hacia el futuro Hacia el futuro Hacia el pasado Hacia el futuro
INFORME Amplio Amplio Preciso Amplio y preciso
Nota: Adaptado de “Auditoría informática un enfoque práctico” por (Piattii & Del Peso, 2001)
sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva
Es un proceso formal ejecutado por especialistas del área de Auditoría y de Informática, que
se orienta a la verificación y aseguramiento de que las Políticas y procedimientos establecidos
para el manejo y uso adecuado de la Tecnología de Informática en la Organización se lleven
a cabo de una manera oportuna y eficiente. (p. 11)
sistemas, de manera que esta asegure el soporte técnico requerido por la alta dirección
todo esto con el fin de que su organización sea confiable y eficiente en el uso de la
tecnología de la información.
Objetivos
proceso.
proceso.
caso de desastres.
Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como
los errores que normalmente tienen origen en los programas. Es más exigente que el
anterior por lo que es necesario saber con cierto rigor, lenguajes de programación o
desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje. (p. 17)
Objetivos
1. Asegurar que los programas procesan los datos, de acuerdo con las
programas.
aplicación. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin
otros.
informática surge como apoyo a las demás auditorias debido a que se complementan de
cierta manera, las entidades deben contar con controles informáticos de las políticas y
procedimientos que aseguren a los niveles directivos, que los recursos humanos,
servicio del área informática dado a que no se realizó una correcta auditoría de la misma,
las demás auditorías van a verse afectadas directamente, por ello es esencial que todas
generales de los ámbitos en los que ésta se mueve, además de contar con conocimientos
empresariales generales. El auditor puede actuar como consultor con su auditado, dándole
le sean propios.
Además, puede actuar como consejero con la organización en la que está
no es consistente con los objetivos de la organización. Según Piattii & Del Peso (2001).
El auditor informático debe ser una persona con un alto grado de calificación técnica y al
mismo tiempo estar integrado a las corrientes organizativas empresariales. Así mismo el
Historia de ISACA
ISACA fue conformada por personas que reconocieron la necesidad de contar con
controles de los sistemas computacionales. Hoy, ISACA tiene más de 115,000 miembros
en todo el mundo. ISACA comenzó en 1967, cuando un pequeño grupo de personas con
trabajos similares como auditar controles en los sistemas computacionales que se estaban
haciendo cada vez más críticos para las operaciones de sus respectivas organizaciones, se
en dicho campo.
gobierno y control de TI. Conocida previamente como la Information Systems Audit and
relacionados con TI sólo por nombrar algunos ejemplos, auditor de SI, consultor,
de información (CIO) y auditor interno. Algunos son nuevos en el campo, otros están en
niveles medios de la gerencia y algunos otros están en los rangos más elevados. Trabajan
Esta diversidad permite que los miembros aprendan unos de otros, e intercambien
puntos de vista muy diferentes sobre una variedad de tópicos profesionales. Esta ha sido
considerada durante mucho tiempo como una de las fortalezas. Desde su creación, ISACA
se ha convertido en una organización global que establece las pautas para los
Sus investigaciones abordan temas profesionales que son desafíos para sus miembros.
CISA
• Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las
competencias de los individuos al realizar auditorías de sistemas.
• Proveer una herramienta motivacional para los auditores de sistemas de
información para mantener sus habilidades, y monitorizar la efectividad de los
programas de mantenimiento.
El primer examen se llevó a cabo en 1981, y los registros han crecido cada año.
Requisitos de CISA
• 60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos años
de experiencia respectivamente de auditoría de sistemas, control interno y
seguridad informática.
informática conocer los productos de software que han sido creados para apoyar su
función aparte de los elementos del propio computador resulta esencial, esto por razones
gerentes para reducir la brecha entre los requerimientos de control y los riesgos del
sean autorizados, actualizados, e internacionales para el uso del día a día de los gestores
Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda
Este marco de trabajo cuenta con cinco principios que una organización debe
seguir para adoptar la gestión de TI:
• Satisfacción de las necesidades de los accionistas: se alinean las necesidades de
son asumidos desde una perspectiva global, de tal modo que se cubren todas las
de Information Systems Audit and Control Association (ISACA) como Val IT,
que relaciona los procesos de COBIT con los de la gerencia requeridos para
necesidades de los accionistas, así como las condiciones y las opciones existentes.
una decisión estratégica para una organización. El diseño e implementación del SGSI de
la organización;
se aplica para estructurar todos los procesos del SGSI como se describe en la tabla:
entregar resultados.
Contexto de la organización
tamaño y naturaleza. Está diseñado para ser adecuado para varios tipos diferentes de uso,
seguridad.
• Utilizar dentro de las organizaciones como una forma de garantizar que los riesgos
y reglamento.
la información.
necesarias para darles apoyo. El marco de ITIL está basado en un ciclo de vida del servicio
y consiste de cinco etapas (estrategia del servicio, diseño del servicio, transición del
servicio, operación del servicio y mejora continua del servicio) que cuentan con su propia
publicación de apoyo”
• Diseño del servicio: garantizar que los servicios de TI equilibren los costos,
retirados cumplan las necesidades del negocio. Y que los cambios sean
Misión
definiciones. Tal vez la más precisa sea la propuesta por Andreu, Ricart y Valor (1991),
que, operando sobre una colección de datos estructurada de acuerdo a las necesidades de
estrategia”.
necesaria para que los estamentos ejecutivos de una organización puedan realizar una
Todo sistema de información utiliza como materia prima los datos, los cuales
almacena, procesa y transforma para obtener como resultado final información, la cual
será suministrada a los diferentes usuarios del sistema, existiendo además un proceso de
toma de decisiones.
Por otro lado, Gonzales (2012) lo define como cualquier equipo o sistema
conocido por todos los usuarios de la unidad de Informática, el cual empieza con el
desarrolla planes detallados para asegurar que las estrategias se sigan con el fin de que
la unidad de Informática, por los usuarios y por el nivel Director de la empresa y/u
críticas del plan y su prioridad. El plan informático normalmente debe concluir con la
identificación de muchos proyectos ordenados cronológicamente que van dando cuenta
años dependiendo del tamaño de la organización. No obstante, el mismo debe ser revisado
por lo menos en períodos anuales, y reformulado cada vez que se modifiquen en forma
(Niemann, 2014)
pocas palabras existe durante toda la vida de la organización. Se debe tener claro que un
información, también conocidas como las etapas de vida de un S.I son las siguientes de
• Análisis de Requerimientos
• Diseño Lógico
• Diseño Físico
• Construcción
• Pruebas
• Explotación
• Mantención o mantenimiento
Cada etapa debe ser documentada con elementos físicos o electrónicos que den
deben hacerse controles de calidad que minimicen el riesgo de errores, mediante pruebas
y simulaciones.
almacenamiento.
1. Organización no estructurada: son los datos que no están en una base de datos o
de clientes, etc.). Este diseño deberá reconocer con método y exactitud los datos
realizadas por medio de equipos de registros unitario, tales como el sistema de tarjetas
perforadas creada por Herman Hollerith basado en la lógica de Boole. (Laudon &
Laudon, 1996)
Por otro lado, un dato es un símbolo lingüístico o numérico que representa ya sea
algo concreto como abstracto En el momento de enlazar datos como, por ejemplo, "1, 2,
3" = "ventas diarias de enero 1,2,3", los datos se convierten en información. Es habitual
etc., interrelacionados que concurren a un mismo fin, es decir, que realizan una misma
función con un mismo propósito. Los integrantes se modifican entre sí, y los agentes
Mientras que el procedimiento esta es la acción que se ejecuta, en este caso sobre
los datos, y que logra en ellos una transformación. Entonces podemos concluir que el
requerida en cada etapa. Una vez que se ingresan los datos la computadora efectúa los
mismo contexto (haciendo uso de una misma red de equipos con conectividades
invariables) pueden tener características diferentes cada vez. (Uyless Black, 2010).
Redes
En su formulación más sencilla, una red informática está formada por dos o más
ordenadores conectados entre sí. Esta conexión es doble: la conexión física, que
de datos será diferente según los estándares que utilicemos y también según el
tipo de red o medio a través del que se transmiten los datos (inalámbrica, fibra
• Seguridad de la red Es uno de los aspectos más peligrosos que rodean a las redes
quitan ancho de banda es una de las razones que convierte estas redes en bastante
más vulnerables.
la topología de la red que hallamos instalado y del lugar que ocupa el componente
errores.
recoge todos aquellos que son realmente necesarios para la realización de análisis e
Aunque su nombre provenga de la palabra almacén, sus labores van más allá del
una compañía o en la nube y que recopila datos sobre las OLTP (Procesamiento de
Una arquitectura que se divide en 3 estructuras: básica, básica con zona de ensayo
y básica con zona de ensayo y con data martes. La primera proporciona datos brutos junto
depurada para su posterior empleo a nivel empresarial, es una herramienta que facilita la
toma de decisiones dentro de una compañía, así como también mejora la calidad de estas.
2.2.9. Datamining
de un repositorio de datos. Con este fin, hace uso de prácticas estadísticas y, en algunos
neuronales.
De forma general, los datos son la materia prima bruta. En el momento que el
que surge entre la información y ese modelo represente un valor agregado, entonces nos
experiencia, se ajusten a nuevas aportaciones y realicen tareas como hacen los humanos.
La mayoría de los ejemplos de inteligencia artificial de los que usted escucha hoy se
Mediante el uso de estas tecnologías, las computadoras pueden ser entrenadas para
neuronales artificiales.
tareas de forma similar a como lo hacen las personas. Es el caso de los robots.
racional de los humanos, es decir, se investiga cómo lograr que las máquinas
inteligentes.
2.2.11. E-Business / E-Comerce
E-Business
de negocio para desarrollar estos negocios en línea, Pero no hay que confundir, e-business
Tipos de E-Business
• Subastas en Línea: Las subastas por Internet son más democráticas que las que
negocios más exitosos de la red. Permite que los clientes accedan a sus cuentas
bancarias y operen por medio de un sitio Web fácil de usar, La banca on-line
• Guías Electrónicas: Las guías son siempre útiles para encontrar un servicio o
producto en especial.
Todo aquel que tenga conexión a Internet puede participar en el desarrollo. Se han
• Juegos de Azar electrónicos: Son uno de los negocios más rentables en Internet.
• E-learning: El aprendizaje on-line brinda una nueva dimensión del aprendizaje
que explique un tema y contenga una evaluación, el alumno accede al material on-
line. Y se puede además hacer consultas y chatear con las demás personas que
negocios digitales, pero la comunicación es la base de todo negocio Cada vez más
Internet las empresas pueden responder a las demandas de cada cliente y tratar a
E- Comerce
cubre los procesos por los cuales se llega a los clientes y proveedores y cubre todos los
en su totalidad, pero también cubre otros procesos internos como pueden ser la
(Business to Business).
• C2A: En este último caso nos referimos a la relación que se establece entre la
Administration).
sistemas luego de una contingencia o desastre, en la que se vean afectados los procesos y
Los desastres a los que se ven expuestos los sistemas informáticos pueden ser de
diversos tipos y así mismo su impacto a nivel físico puede variar. A continuación, algunos
• Incendios. • Terremotos.
• Inundaciones • Volcanes.
• Tsunamis.
Los eventos en la anterior lista tienen el potencial de infligir daño a edificios, equipo
y sistemas de TI. Pueden matar, herir o desplazar personas, sin mencionar que pueden evitar
que asistan a sus trabajos. Los desastres pueden tener los siguientes efectos en las
organizaciones:
• Los desastres naturales son imposibles de predecir y mucho menos de contener, estos
eventos normalmente presentan daños graves en edificios que impiden el acceso a los
mismos, además de los efectos que causa en los trabajadores debido a las potenciales
• Un desastre puede afectar los sistemas de telecomunicación, lo que puede dejar a una
• Las fallas en el trasporte, ya sea por daños en las vías o por disturbios que afecten los
la empresa, que protejan los activos de información y brinden confianza a las partes
o en informática, ya que esta debe brindar a la empresa una ventaja competitiva, una
auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada,
de todo tipo dentro de la organización. Los informes finales de los auditores deben
ser realizados de manera objetiva de acuerdo a sus capacidades para analizar las
Piloto de Colombia.
Andreu, Ricart, & Valor. (1991). Estrategia y sistemas de información. Madrid: Mc Graw
Hill.
Recuperado de https://bit.ly/34SBiYm
https://www.iso.org/standard/42103.html
Joannes. (2010, febrero 4). E-business y aspectos fundamentales de los negocios
fundamentales-negocios-electronicos/
Kessinger, K. & Gellman, M. (2009). ISACA Lanza Risk IT Framework Para Ayudar a
Laudon, K., & Laudon, J. (1996). Administración de los sistemas de información. México:
Prentice Hall.
Piattii, M., & Del Peso, E. (2001). Auditoría informatica: un enfoque práctico. México:
Alfaomega.
fromhttps://www.sinnexus.com/business_intelligence/datawarehouse.aspx.
Tapia , C., Guevara, E., Castillo, S., Rojas , M., & Salomon, L. (2016). Fundamentos de
http://ocw.uc3m.es/ingenieria-informatica/informatica/documentos-teoria/tema-
5organizacion-de-los-datos
Violeta, V. (2004). Data Mining y el descubrimiento del conocimiento (7th ed.). Lima,Perú:
Industrial Data.