ENSAYO TIPOS DE AUDITORIAS

DE LA INFORMÁTICA

INTRODUCCIÓN

Conocer los diferentes tipos de auditoria de la informática nos va a permitir, conocer las opciones con
las que contamos para asegurarnos del buen funcionamiento de la empresa, una vez que se realice la
investigación y conozcamos los objetivos, las ventajas y desventajas, donde se aplican, y cuando se
hace necesaria la auditoría, permitiría al usuario mejorar la calidad eficiencia y eficacia de la compañía
y corregir los errores si se presentasen.

En este sentido procederemos a realizar la investigación y con ello conocer las distintas clases de
auditoría en informática.

TIPOS Y CLASES DE AUDITORIA

El departamento de informática posee una actividad proyectada al exterior al usuario aunque el exterior
sea la misma empresa.
La auditoria informática esta compuesta por áreas generales y áreas especificas.

ÁREAS GENERALES DE LA AUDITORÍA INFORMÁTICA:

AUDITORIA INFORMATICA DE USUARIO: Se hace esta distinción para controlar a la informática
interna, en donde se hace la informática cotidiana y real.
AUDITORIA DE ACTIVIDADES INTERNAS: Se encarga de realizar el control del funcionamiento
del departamento de informática con el exterior, con el usuario, se realiza por medio de la Dirección.
Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una
informática eficiente y eficaz requiere el apoyo continuo de su Dirección frente al "exterior".
AUDITORÍA INFORMÁTICA DE DIRECCIÓN: Se basa en revisar y controlar las interrelaciones
entre la informática y la empresa,
AUDITORÍA DE SEGURIDAD: Siendo el equipo de computación un instrumento que estructura gran
cantidad de información, confidencial para individuos, empresas o instituciones, y la misma puede ser
mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes
o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta
información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar
retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que
considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se
encuentra principalmente para paquetes que son copiados sin autorización ("piratas") y borra toda la
información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan
copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisión del virus.
AREAS ESPECÍFICAS:
Dentro de estas áreas, se establecen las siguientes divisiones de Auditoría Informática: de Explotación,
de Sistemas, de Comunicaciones y de Desarrollo de Proyectos.

Cada área Específica puede ser auditada desde los siguientes criterios generales:
· Desde su propio funcionamiento interno.
· Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las
directrices de ésta.
· Desde la perspectiva de los usuarios, destinatarios reales de la informática.
· Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.
Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.
Auditoría Informática de Explotación:
La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados
impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para
lanzar o modificar procesos industriales, etc. Para realizar la Explotación Informática se dispone de una
materia prima, los Datos, que sea necesario transformar, y que se sometan previamente a controles de
integridad y calidad. La transformación se realiza por medio del Proceso informático, el cual está
gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles
de calidad y, finalmente, son distribuidos al cliente, al usuario. Auditar Explotación consiste en auditar
las secciones que la componen y sus interrelaciones. La Explotación Informática se divide en tres
grandes áreas:
Ø Planificación.
Ø Producción.
Ø Soporte Técnico.

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y
Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizadles tiene la empresa.
Muy escuetamente, una aplicación recorre las siguientes fases:
· Prerrequisitos del Usuario (único o plural) y del entorno
· Análisis funcional
· Diseño
· Análisis orgánico (Pre programación y Programación)
· Pruebas
· Entrega a Explotación y alta para el Proceso.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del disparo de
los costes, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría deberá comprobar la
seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.
Auditoría Informática de Sistemas:
Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Hoy, la
importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y
Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno
general de Sistemas.
Auditoría Informática de Comunicaciones y Redes:
Para el informático y para el auditor informático, el entramado conceptual que constituyen las Redes
Nodales, Líneas, Concentradores, Multiplexores, Redes Locales, etc. no son sino el soporte físico-
lógico del Tiempo Real. El auditor tropieza con la dificultad técnica del entorno, pues ha de analizar
situaciones y hechos alejados entre sí, y está condicionado a la participación del monopolio telefónico
que presta el soporte. Como en otros casos, la auditoría de este sector requiere un equipo de
especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales.
El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas
con información abundante sobre tiempos de desuso. Todas estas actividades deben estar muy
coordinadas y a ser posible, dependientes de una sola organización.

CONCLUSION.

Una vez realizada la investigación pudimos conocer que la informática ha ido creciendo de tal manera,
que han ido naciendo diferentes tipos de auditoría para lograr un mejor funcionamiento de la
informática dentro de la empresa. En este sentido podemos decir, que la auditoría informática se ha
convertido en un apoyo fundamental para el éxito de la empresa ya que nos permite visualizar errores,
incluso antes de que ocurran, realizando un continuo control y aplicación de auditoría en las diferentes
áreas y departamentos de la compañía se puede lograr ahorrar tiempo, trabajo, esfuerzos y por ende se
obtienen mayores beneficios y el logro de las metas propuestas con mayor facilidad.
Pudimos conocer la que la auditoría bien aplicada es fundamental en la toma de decisiones. Y que la
aplicación de estás es indispensable ya que también permite conocer si existe un virus que pueda
ocasionar fraude o que borre los archivos de la empresa y esto traería como consecuencia que la
compañía necesite información y no pueda acceder a ella.

Auditoría Informática del Desarrollo

26 Nov Auditoría Informática del Desarrollo
Publicado el 22:09h en Auditoria TI, Blog, Desarrollo de aplicaciones, Dirigido a gerentes y directivos,
Reflexiones, Varios por LV. Interim Manager

Introducción
El concepto de Auditoría Informática se podría definir como: el conjunto de procedimientos y técnicas
para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas
conforme a las normativas generales prefijadas en la organización, así como con el cumplimiento
estricto de la ley al efecto.
Dentro de las áreas generales de una Auditoría Informática podríamos dividirlas en las siguientes
divisiones:
• Auditoría de Desarrollo.
• Auditoría de Explotación.
 • Auditoría de Sistemas.
• Auditoría de Comunicaciones.
• Auditoría de Seguridad.

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y

Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores tenga una empresa y deseen ser
informatizados.
El desarrollo de un software debe estar sometido a un exhaustivo control de cada una de sus fases, ya
que en caso contrario, además del habitual disparo de los costes, podría producirse una total
insatisfacción del usuario si finalmente no cumple las funcionalidades necesarias así como la
ergonomía de los interfaces de la misma. Además, la auditoría deberá comprobar la seguridad del
software desarrollado al objeto de garantizar que el resultado de su ejecución sea exactamente el
previsto, y que no interfiere con el resto de aplicaciones de la empresa.

Consideraciones
Una auditoria de Desarrollo pasa sin lugar a dudas por la observación y el análisis de cuatro
consideraciones fundamentales:
• Examen de las metodologías utilizadas: Se analizaran estas, de modo que se asegure la
modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de
las mismas.
• Revisión Interna de las Aplicaciones: Se deberá controlar las mismas fases que presuntamente
ha debido seguir el área correspondiente de Desarrollo:
Estudio de Aptitud de la Aplicación. (Muy determinante para Aplicaciones complejas, largas y caras).
Definición lógica de la Aplicación. (Se examinará que se han completado los propósitos lógicos de
actuación, en función de la metodología elegida y la finalidad del proyecto).
Desarrollo Técnico de la Aplicación. (Se verificará que éste es ordenado y correcto. Las herramientas
técnicas utilizadas en los diversos programas deberán ser compatibles entre sí, y a ser posible con las ya
existentes en el sistema de la empresa).
Diseño de Algoritmos. (Deberán poseer la máxima sencillez, modularidad y economía de recursos).
Metodología de Ensayos. (Se realizaran de acuerdo a las Normas de la Instalación. Se realizarán juegos
de ensayo de datos, sin que se permita en ningún caso el uso de datos reales).
Documentación de la Aplicación. (Cumplirá la Normativa establecida en la Instalación, tanto la de
Desarrollo como la de su puesta a Explotación).
Recursos Humanos Utilizados. (Deben fijarse las tareas de análisis puro, de programación y las
intermedias para cada elemento que constituye el grupo de desarrollo. En Aplicaciones complejas se
recomienda variaciones en la composición del mismo, pero estos deberán estar siempre previstos en la
planificación inicial).
• Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá
considerarse una pérdida si no sirve a los intereses del usuario que la solicitó, o resulta
ergonómicamente insuficiente. La aprobación del usuario proporciona grandes ventajas
posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento posterior de la
Aplicación.
• Control de Procesos y Ejecuciones Críticas: El auditor no debe descartar la posibilidad de que
se esté ejecutando un módulo que no se corresponde con el programa fuente que se desarrolló,
codificó y probó el grupo de Desarrollo de la Aplicación. Se ha de comprobar la
correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los
programas fuente y los programas módulo no coincidieran se podría provocar, desde errores de
bulto (bugs) que producirían graves y altos costes de mantenimiento, hasta fraudes, pasando por
acciones de sabotaje, espionaje industrial/informativo, etc. Por ende, hay normas muy rígidas en
cuanto a las Librerías de programas; aquellos programas fuente que hayan sido dados por bueno
por Desarrollo, son entregados a Explotación con el fin de que éste:
• Copie el programa fuente en la Librería de Fuentes de Explotación, a la que nadie
más tiene acceso.

• Compile y monte el Programa, depositándolo en la Librería de Módulos de

Explotación, a la que nadie más tiene acceso.

• Copie los programas fuente que les sean solicitados para modificarlos, arreglarlos,
etc. en el lugar que se le indique. Cualquier cambio exigirá pasar de nuevo por el
punto 1.

El sistema para auditar y dar de alta un nuevo Desarrollo es bastante arduo y complejo, por ello muchas
empresas se apoyan en profesionales y en la auditoría externa como mejor método para la
confirmación de que el Desarrollo cumple con todas las expectativas y fases expuestas.

¿Interna o externa?
Por último concluir el artículo matizando que una auditoría interna tiene sus desventajas frente a una
externa:
• El Auditor Interno es un empleado de la empresa, mientras que el Externo es un profesional
independiente. Esto confiere imparcialidad frente a posible corporativismo.
• La responsabilidad del Auditor Interno es sólo laboral, mientras que la del Externo es penal;
tiene consecuencias jurídicas, con lo cual, su labor ha de ser intachable.
 • El objetivo del Auditor Interno es un simple examen de gestión. El del Auditor Externo es
confirmar y ratificar que todo el proceso ha seguido las directrices y fases del proyecto bajo su
total imparcialidad.
• El Informe emitido por el Auditor Interno va dirigido a la gerencia, dirección y/o Consejo de
Administración. El del Auditor Externo va dirigido a Accionistas o Consejo de
Administración: con carácter obligatorio si lo obliga la ley, o con carácter optativo si lo desea la
empresa.

Conclusión
Para asegurar que el Desarrollo de un Software o Sistema nuevo, desde su inicio hasta su finalización
pasando por todas las etapas descritas, va a terminar con éxito, depende del grado de control de cada
una de ellas a través del sistema de eficacia de una Auditoría de Desarrollo.
En el inicio de la etapa de desarrollos a medida, cuando la informática estaba en su primitivo estado de
sistemas aislados, era el propio usuario el que testeaba y con buena voluntad probaba los nuevos
sistemas. Pero en la época actual, donde por pequeño que sea un desarrollo casi siempre interactúa con
otros sistemas externos, se hace indispensable incorporar en la planificación del desarrollo la etapa de
la Auditoría, y sopesando los pros y los contras de las dos clases, qué duda cabe que apoyarse en
profesionales externos garantizará el éxito del desarrollo