ING RICARDO RODRÍGUEZ MENDOZA Mg.

TELETRABAJO FUNDAMENTOS DE AUDITORIA MAYO – SEPT 2021

LA AUDITORÍA INFORMÁTICA
La tecnología de la información (TI) se ha convertido en un elemento esencial para apoyar el crecimiento y la
sostenibilidad de todo tipo de organizaciones; para controlar este conjunto heterogéneo de tecnologías, es necesaria su
gestión eficaz utilizando estructuras, procesos y mecanismos relacionales; cada uno de estos mecanismos tiene una
función y cuando se implementa, debe impactar positivamente a la organización.

El desarrollo vertiginoso en las redes informáticas trajo consigo un aumento considerable en la velocidad de
procesamiento y en la transmisión de información del negocio, pero con riesgos cada vez mayores en lo referente a
seguridad de los datos transportados por estos medios; en este sentido, en la actualidad, la convergencia de las
tecnologías de la información han ocasionado una tecnodependencia que impide una separación certera entre la
seguridad propia de las aplicaciones (seguridad informática) con la seguridad de la información como tal.

La gestión de la seguridad de la información es un factor importante para proteger los activos de información de una
organización; el auge del comercio electrónico a través de los proveedores de servicios y directamente con los clientes,
la pérdida de barreras organizacionales y exposiciones de seguridad de alto perfil tales como riegos físicos (Robos, daños
por siniestros, destrucción de equipamiento, etc.) y lógicos (Virus, acceso clandestino de redes, Violación de
contraseñas, etc), han elevado el perfil de riesgo de la información, y la necesidad de administrar la Seguridad de la
Información; por esta razón, han cobrado relevancia las Auditorias sobre la Seguridad de la Información, ya que las
mismas permiten obtener una ventaja competitiva y satisfacer los requerimientos básicos del negocio.

ANTECEDENTES Por su parte, la auditoría informática o de tecnología de información, se originó en los Estados
Unidos en los años sesenta; a principios de los años sesenta, IBM publicó "auditoría electrónica de procesamiento de
datos" y "Las normas de auditoría y métodos de organización con procesamiento electrónico de datos", que regula nuevas
reglas de auditoría interna y métodos organizativos en el entorno de procesamiento electrónico de datos; en 1968, el
Instituto de Contadores Públicos de los Estados Unidos publicó "Auditoría contable e informática", que había realizado
requisitos técnicos para la auditoría de TI; en 1969, se creó la Asociación Internacional de Auditoría y Control de
Sistemas de Información (ISACA), la única organización internacional en el campo de auditoría de TI hasta el momento.

DEFINICIÓN Una auditoría informática es "la revisión, verificación y evaluación con un conjunto de métodos,
técnicas y herramientas de los sistemas de información de una organización, de forma continua y a petición de su
Dirección y con el fin de mejorar su rentabilidad, seguridad y eficacia.

La auditoría informática comprende el diagnóstico y evaluación del entorno informático (hardware, software, bases de
datos, redes, instalaciones, etc.) sobre la base de estándares internacionalmente aceptados y de modelos de referencia
que hacen énfasis en la mejor forma de gestionarlo; se trata de un proceso empresarial, en el cual intervienen de manera
conjunta los responsables del área de informática, administradores, contadores, auditores generales y coordinadores del
resto de procesos ejecutados en la organización; su participación puede concretarse en las diferentes etapas de la auditoría
informática: planificación, ejecución (levantamiento de información), análisis de resultados, hallazgos o evidencias
útiles en la elaboración del informe final.

IMPORTANCIA La importancia de este tipo de auditoría radica en que permite determinar las fortalezas y
debilidades en la gestión de proyectos, el nivel de funcionalidad de los sistemas de información automatizados, la
adecuación de la configuración de la plataforma informática, el nivel de calidad de los servicios prestados por la unidad
encargada y la situación de los contratos con proveedores de productos y servicios, entre otros aspectos, todo ello en el
ámbito del uso y aplicación de las TIC´s en la organización.

OBJETIVOS La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un
sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtención de información.

❖ El análisis de la eficiencia de los Sistemas Informáticos

❖ La verificación del cumplimiento de la Normativa en este ámbito
❖ La revisión de la eficaz gestión de los recursos informáticos.
ING RICARDO RODRÍGUEZ MENDOZA Mg. TELETRABAJO FUNDAMENTOS DE AUDITORIA MAYO – SEPT 2021

ALCANCE El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria
informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de
modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias
fronterizas han sido omitidas.

IMPORTANCIA
➢ La auditoría permite a través de una revisión independiente, la evaluación de actividades, funciones específicas,
resultados u operaciones de una organización, con el fin de evaluar su correcta realización.
➢ Este autor hace énfasis en la revisión independiente, debido a que el auditor debe mantener independencia mental,
profesional y laboral para evitar cualquier tipo de influencia en los resultados de la misma.
➢ La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en
Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de
la auditoría.

FASES DE LA AUDITORÍA INFORMÁTICA

• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas críticas
• Comunicación de resultados

Estudio Preliminar: Incluye definir el grupo de trabajo, el programa de Auditoría, efectuar visitas a la unidad
informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar
preliminarmente el Control Interno, solicitud de plan de actividades, Manuales de políticas, Reglamentos, entrevistas
con los principales funcionarios de la entidad.

Revisión y Evaluación de Controles y Seguridades: Consiste en la revisión de los diagramas de flujo de procesos,
realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, revisión de
procesos históricos (backups), revisión de documentación y archivos, entre otras actividades.

Examen Detallado de Áreas Críticas: Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace
un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del
mismo, establecerá los motivos, objetivos, alcance recursos que usara, definirá la metodología de trabajo, la duración de
la Auditoría, presentará el plan de trabajo y analizara detalladamente cada problema encontrado.

Comunicación de Resultados: Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa
hasta llegar al informe definitivo, el cual presentará esquemáticamente en forma de matriz, cuadros o redacción simple
y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

✓ El informe debe contener lo siguiente:

✓ Motivos de la Auditoría
✓ Objetivos
✓ Alcance
✓ Estructura Orgánico-Funcional del área Informática
✓ Configuración del Hardware y Software instalado
✓ Control Interno
✓ Resultados de la Auditoría