MONOGRAFA
TEMA:
AUTOR:
MILAGRO - ECUADOR
2013
ii
iii
DEDICATORIA
A mis Padres.
Quienes con dedicacin, amor y nobleza han sabido guiarme en el camino de
la vida y ayudarme a convertirme en una persona til ante la sociedad y
prximamente un profesional de nuestro pas.
iv
AGRADECIMIENTO
RESPONSABILIDAD Y DERECHO
.............................................................
JULIO JOSE DONOSO LAVAYEN
C.I.:0925855264
vi
RESUMEN
La Auditora Informtica como apoyo a la gestin empresarial es un campo
relativamente nuevo de asesoramiento que ayuda a analizar, diagnosticar y
establecer recomendaciones a las empresas y negocios, con el fin de conseguir
con xito objetivos basados en una correcta informacin. Uno de los motivos
principales por el cual una empresa puede decidir emprender una Auditora
Informtica es la necesidad de saber a ciencia cierta si sus sistemas y dems
equipos informticos funcionan correctamente brindando seguridad y confiabilidad
en la informacin, pilar fundamental del desarrollo empresarial.
Esta investigacin va a permitir, analizar los aspectos que encierran una Auditora
Informtica y cmo esta apoya a la gestin ya que a travs de ella, se controla el
manejo de la informacin y los equipos que hacen posible la emisin de
informacin como herramienta vital para la toma de decisiones. Adems, por
medio de la Auditora Informtica, se puede conocer cmo establecer polticas y
optimizar los controles que evitan cualquier anomala dentro de un departamento
informtico donde se maneja y procesa los datos.
En los tres captulos se puede conocer informacin como por ejemplo qu es la
Auditora en general, sus tipos y clasificacin, la importancia y necesidad que
tiene una empresa en aplicar Auditora Informtica entre otros aspectos
importantes encerrados en el primer captulo. El en segundo captulo se hace un
reconocimiento a las tcnicas y herramientas que se usan para una Auditora e
indicadores de gestin que pueden arrojar y por ltimo el captulo tres que
encierra en entorno de desarrollo de una Auditora Informtica, sus tcnicas para
poder realizarlas, las reas departamentales ms importantes a auditar
incluyendo aspectos de hardware y software pasando tambin por la seguridad a
nivel de datos y accesos a los recursos informticos, en definitiva un texto
importante para consulta y estudio para todo tipo de usuario.
vii
SUMMARY
The Computer Audit as support to the managerial administration is a relatively new
field
of
advice
that
helps
to
analyze,
to
diagnose
and
to
establish
recommendations to the companies and business, with the purpose of getting with
success objectives based on a correct information. One of the main reasons for
which a company can decide to undertake a Computer Audit is the necessity to
taste like certain science if its systems and other computer teams work offering
security and dependability in the fundamental information piles of the managerial
development correctly. This work will allow to know, to analyze the aspects that
contain a Computer Audit and how this it supports since to the administration
through her, it is controlled the handling of the information and the teams that
make possible the emission of information like vital tool for the taking of decisions.
Also, by means of the Computer Audit, it can know how to settle down political and
to optimize the controls that avoid any anomaly inside a computer department
where it is managed and it processes the data. In the three chapters it can know
information like for example what the Audit is in general, its types and
classification, the importance and necessity that it has a company in applying
Computer Audit among other important aspects locked in the first chapter. The
second chapter makes a recognition to the techniques and tools that are used for
an Audit and administration indicators that can hurtle and lastly the chapter three
that locks in environment of an Audit Computer specialist development, their
techniques to be able to carry out them, the most important departmental areas to
Audit, including hardware aspects and software also going by the security to level
of data and accesses to the computer resources, in definitive an important text for
consultation and study for user's type.
viii
INDICE
LA
INFORMACIN
COMO
MATERIA
PRIMA
EN
LA
AUDITORA
INFORMTICA..........................................................................................................15
1.11.1 Definicin de Informacin ............................................................................15
1.12 IMPORTANCIA DE LA INFORMACIN PARA LA TOMA DE DECISIONES EN
UNA ORGANIZACIN ..............................................................................................16
1.13 ATRIBUTOS DE LA INFORMACIN QUE LA HACEN VALIOSA PARA LA
TOMA DE DECISIONES EN UNA ORGANIZACIN ................................................17
1.14 LA INFORMACIN COMO UN RECURSO CRTICO EN UNA ORGANIZACIN
..................................................................................................................................17
CAPTULO II ....................................................................................................................... 19
AUDITORA INFORMTICA Y EL SOPORTE A LA GESTIN: UN RETO PARA
EMPRESAS Y PROFESIONALES MODERNOS ....................................................................... 19
2.1 AUDITORA A LA GESTIN INFORMTICA ......................................................19
2.2 OBJETIVOS DE LA AUDITORA INFORMTICA A LA GESTIN ......................19
2.3 EVALUACIN EN EL REA INFORMTICA .....................................................20
2.4 INDICADORES APLICADOS EN LA AUDITORA INFORMTICA DE GESTIN
..................................................................................................................................20
2.5 FACTORES CRTICOS DE XITO EN UNA AUDITORA ...................................22
2.5.1 Participacin de la Direccin .........................................................................22
2.5.2 Estructura Organizativa .................................................................................23
2.5.3 Marco Metodolgico ......................................................................................23
2.6 PROCESO DE AUDITORA ................................................................................24
2.6.1 Planificacin de las Actuaciones de Auditora ...............................................25
2.6.2 Formalizacin del Inicio de la Actuacin ........................................................25
2.6.3 Trabajos de Campo .......................................................................................26
2.6.4 Evaluacin de la Informacin.........................................................................27
2.6.5 Comunicacin de los Resultados ..................................................................27
x
xi
I. INTRODUCCIN
La Auditora es el examen crtico y sistemtico que realiza una persona o
grupo de personas independientes del sistema auditado. Aunque hay muchos
tipos de Auditora, la expresin se utiliza generalmente para designar a la
auditora externa de estados financieros que es una auditora realizada por un
profesional experto en informtica y otras ramas para opinar sobre la
razonabilidad de la informacin contenida en las bases de datos y sobre el
cumplimiento de las normas de Auditora.
de
la
organizacin
utiliza
eficientemente
los
recursos.
Detallar
la
importancia
de
la
Auditora
Informtica
aspectos
de los
II. METODOLOGA
Para el desarrollo de esta monografa se utilizaron los siguientes mtodos:
Mtodo Documental
Con el mtodo se logra tener una concepcin clara de cmo ha ido
trascendiendo la Auditora Informtica de gestin en el tiempo, as se podr
entender por qu esta rama de la informtica ha escalado posiciones altas dentro
de una organizacin empresarial. Este mtodo permite documentar el progreso
de la Auditora Informtica desde sus inicios hasta la actualidad y la importancia
en la gestin empresarial.
Mtodo Inductivo
Mtodo muy relacionado con el deductivo pero este, permite conocer desde
la decisin de realizar una Auditora Informtica estudiando hechos irregulares
hasta, cuestiones de ndole general que informan la situacin real de una
organizacin. Sin duda, partir de premisas particulares para llegar a las generales
es una forma correcta de trabajar en este tipo de estudio.
Mtodo Deductivo
Es un mtodo que deduce los mecanismos de control, los campos de
accin y las normativas para aplicar Auditora Informtica sin duda son relevantes
en este estudio por lo que este mtodo es apto para este tipo de investigacin.
Por lo tanto, se elige este mtodo para pormenorizar el accionar de una Auditora
Informtica de gestin.
Mtodo Analtico
Este mtodo permite tener una exploracin minuciosa de los puntos ms
importantes que ocasionan problemas en la gestin empresarial a la vez, permiten
a la Auditora Informtica, detectar y corregir dichas falencias a nivel tecnolgico,
Mtodo de Sntesis
Mtodo que permite obtener mediante el procesamiento de la informacin,
los anlisis previos, pasando por recopilacin de informacin hasta las
conclusiones, contrastes y recomendaciones, que se constituyen en el producto
final que reflejar este trabajo monogrfico.
III. RESULTADOS
CAPTULO I
procedimientos
establecidos,
instrucciones,
especificaciones,
Contrastar algn Informe interno con el que resulte del externo. en aquellos
supuestos de emisin interna de graves recomendaciones que chocan con
la opinin generalizada de la propia empresa.
utilizados,
la organizacin
10
1.7.1 Definicin
Segn Piattini, Mario; Del Peso, Emilio (2007). La Auditora Informtica
es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficientemente los recursos.
permanente
para
alcanzar
soluciones.
continuacin
se
14
Segn
Hernndez,
Enrique.
(2007).
Evidentemente
la
Auditora
15
para
que
sean
consistentes con
los
objetivos
estratgicos
son
necesarias para
mantener
la
empresa
en
funcionamiento.
16
Segn Vargas Avils, Julio. (2009) Sin duda una buena informacin
produce buenas decisiones y arma parmetros para futuras evaluaciones con
ms eficiencia; por lo tanto la informacin debe ser:
Completa.- Si la informacin se pierde u oculta al que toma la decisin, el
resultado de la decisin ser pobre.
Exacta.- Errores en la entrada, conversin o procesos puede dar como resultado
conclusiones invlidas que darn lugar a decisiones errneas.
Autorizada.-
La
informacin
puede
ser
semnticamente
correcta,
pero
21.14
LA
INFORMACIN
COMO
UN
RECURSO
CRTICO
EN
UNA
ORGANIZACIN
relacin a la
17
Una vez que se es consciente de que tal software puede ser instalado y
utilizado de distintas maneras, es ms evidente que poseer este software, por si
mismo, no garantiza la seguridad sino que la administracin es la clave del xito.
Aun cuando el software de control de acceso est instalado y bien administrado,
hay numerosas vas por las cuales, los programadores de sistemas desde dentro
y los hackers desde fuera de la organizacin pueden burlar los mecanismos de
seguridad.
18
CAPTULO II
AUDITORA INFORMTICA Y EL SOPORTE A LA GESTIN: UN
RETO PARA EMPRESAS Y PROFESIONALES MODERNOS
19
20
Ingeniera de procesos
Las polticas de control de la informacin estn alineadas con los planes
estratgicos globales.
Redes
Se cuenta con un proceso centralizado de administracin de usuarios que
permite identificar y asignar autorizaciones en forma estndar y eficiente.
21
Comunicaciones
Existe una forma precisa de comunicar los problemas y sus sntomas,
diagnstico y solucin al personal de soporte correspondiente.
22
23
24
Los trabajos comenzarn con una reunin entre el equipo auditor con el
mximo responsable de la unidad auditada, para dejar establecido el alcance y la
planificacin de los trabajos. Durante la entrevista se describir la informacin a
recopilar durante la actuacin, las pruebas y verificaciones a realizar.
25
26
A paso seguido, se redacta el borrador del informe, que incluir todos los
hechos, hallazgos, conclusiones y recomendaciones. En la redaccin del
documento se emplear un lenguaje claro, exento de tecnicismos, y el detalle
tcnico de las pruebas y evidencias se acompaar en anexos. El borrador se
remitir a la direccin del rea auditada, para que remita los comentarios por
escrito que estime convenientes.
29
auditores
informticos
deben
proveer
anlisis,
apreciaciones,
31
32
CAPITULO III
LAS HERRAMIENTAS Y TCNICAS DE LA AUDITORA
INFORMTICA Y SUS REAS DE INFLUENCIA DENTRO DE LA
GESTIN EMPRESARIAL
3.1 ANTECEDENTES
33
34
Entrada no autorizada
Dao de equipo
Vandalismo
Sala de cmputo
Consola de operador
Impresoras
Equipos de teleproceso
36
Fuentes de poder
Bvedas de respaldo
rea de Programacin
Guardias de seguridad
Alarmas
Registro de visitantes
Salidas de emergencia
37
Respaldos
38
No menos de 4 caracteres
Debe ser intransferible. Cada usuario es responsable del buen o mal uso
de la clave
No desplegables en pantalla
Cambiados peridicamente
39
3.3.2 Entrevistas
40
3.3.3 Checklist
3.3.5 Log
Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atmicas de
modificaciones dentro de una base de datos; toda esa serie de modificaciones
se encuadra dentro de una transaccin, y todo lo que va realizando la aplicacin
(grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log.
41
Estos productos son utilizados solamente por los auditores externos, por
cuanto los internos disponen del software nativo propio de la instalacin. Del
mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que el
auditor informtico copia en su propia PC la informacin ms relevante para su
trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen
datos e informacin parcial generada por la organizacin informtica de la
Compaa.
informacin de los mencionados usuarios finales, lo cual puede realizar con suma
facilidad con los polivalentes productos descritos.
43
IV. CONCLUSIONES
La Auditora Informtica es la indicada para evaluar de manera profunda,
una determinada organizacin a travs de su sistema de informacin
automatizado, de aqu su importancia y relevancia. Como siempre, la Auditora de
Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha
puede
acarrear
consecuencias
drsticas
para
la
empresa
auditada,
44
BIBLIOGRAFA
Arjonilla Domnguez, Sixto; Medina Garrido, Jos. 2009. La gestin de los
sistemas de informacin en la empresa: Teora y casos prcticos. 10-55 pp.
Fernndez, Nubia.
organizaciones.
Disponible
en:
http://www.enterate.unam.mx/Articulos/2005/octubre/auditoria.htm .
Consultada en la web el 20 de abril del 2012.
un
Sistema
Informtico.
Disponible
en:
http://dis.um.es/~lopezquesada/documentos/IES_0910/DFSI/curso/UT4/UT
4.pdf. Consultada en la web el 19 de abril del 2012.
Mosquera,
Deisy.
2012.
Auditoria
Informtica.
Disponible
en:
www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Informtic. Consultada en la
web el 20 de abril del 2012.
45
Soto,
Lauro.
2010.
Auditoria
de
la
Informacin.
Disponible
en:
http://www.mitecnologico.com/Main/AuditoriaDeLaInformacion. Consultada
en la web el 18 de abril del 2012.
Disponible
en:
http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/
auditoria_informatica/auditoria_informatica.pdf. Consultada en la web el 18
de abril del 2012.
en:
http://jrvargas.files.wordpress.com/2009/03/conceptos-
46
GLOSARIO DE TRMINOS
47
ANEXOS
Auditora
Administrativa
Auditora
Operacional
Auditora
Contable
Auditora
Informtica
Naturaleza
Tcnica de
control
Administrativo
Tcnica de
control
Administrativo
Tcnica de
control
Administrativo
Tcnica de control
Administrativo
Propsito/
Objetivo
Evaluar y
mejorar la
administracin
Promover la
eficiencia de las
operaciones
Dictamen a los
estados
financieros
Evaluar los
recursos
informticos
Alcance
La eficiencia y
productividad
del proceso
productivo
La eficiencia de
las operaciones
El sistema
contable
Todas las
actividades
informticas
Fundamento
La ciencia
administrativa y
la normatividad
de la empresa
La ciencia
administrativa y
la normatividad
de la empresa
Principios de
contabilidad y
normas de
auditoria
Normatividad
institucional y legal
Metodologa
Apoyado en
mtodos
cientficos
Tcnicas y
procedimientos
Tcnicas y
procedimientos
predeterminados
predeterminados
Tcnicas y
procedimientos
predeterminados
Aplicacin
A la empresa y
sus funciones
bsicas
A las funciones
de la empresa
A los estados
financieros
Proyeccin
Hacia el futuro
Hacia el futuro
Hacia el pasado
Hacia el futuro
Amplio
Amplio
Preciso
Amplio y Preciso
Informe
48
PLANIFICACIN
MANTENIMIENTO
IMPLEMENTACIN
Y MEJORA
Y EJECUCIN
MONITOREO
Y EVALUACIN
49