República Bolivariana de Venezuela

Ministerio del Poder Popular para la Educación

Instituto Universitario de Tecnología “Antonio José de Sucre”
Asignatura: Auditoría de Sistemas

INFORME

Docente: Alumno
Jesús López Angello Gonzalez
 2

Charallave 03/06/19
INTRODUCCIÓN

En este trabajo se muestra la definición de la Auditoría de Sistemas y Auditoría

Informática, de la Auditoría Interna y Externa, así como sus objetivos en el ámbito de la

informática y de las empresas. A su vez, se exponen las características de la Revisión de

Controles de la Gestión y sus pasos. Esto permite tener un mejor conocimiento sobre el

tema y saber en una situación determinada cuál es la función del Auditor.

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.
 3

DESARROLLO
Auditoría de Sistemas

Definición de Auditoría

Se define como un proceso sistemático que consiste en obtener y evaluar

objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter

económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones

y los criterios establecidos, para luego comunicar los resultados a las personas

interesadas. (Ynfante, 2009).

En pocas palabras, la Auditoría es una función de dirección cuya finalidad es

analizar y apreciar, con vistas a las eventuales las acciones correctivas, el control interno

de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su

información y el mantenimiento de la eficacia de sus sistemas de gestión.

Actualmente la auditoria de los sistemas de información es definida como

cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los

sistemas automáticos de procesamiento de la información, incluyendo los procedimientos

no automáticos relacionados con ellos y las interfaces correspondientes.

Auditoría de Sistemas

Es la rama que se encarga de llevar a cabo la evaluación de normas, controles,

técnicas y procedimientos que se tienen establecidos en una empresa para lograr

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.
 4

confiabilidad, oportunidad, seguridad y confidencialidad de la información que se

procesa a través de los sistemas de información. La auditoría de sistemas es una rama

especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de

sistemas de información. (El_rincon_del_vago.com, 2010)

Auditoría Externa

La auditoría externa es el examen crítico, sistemático y detallado del sistema de

información de una unidad económica, el cual se hace por un contador público que no

posea vínculos con la empresa para la cual hará la monitoría. Dicho contador usa técnicas

específicas con el propósito de dar una opinión independiente sobre cómo opera el

sistema operativo y financiero de la empresa, el control interno de esta y así, da

sugerencias para su mejora

La auditoría externa examina y evalúa cualquier sistema de información es una

organización y da una opinión independiente sobre dichos sistemas; las empresas

usualmente necesitan evaluar el sistema de información financiera independientemente

para dar validez ante los clientes de sus productos.

Auditoría Interna

La auditoría interna es una actividad independiente que se realiza dentro de una

empresa, se encamina a la revisión de las operaciones de la empresa (especialmente las

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.
 5

contables), con el propósito de dar un servicio y definir el direccionamiento de los

ejercicios.

Es un control empresarial, que tiene como objetivo medir y evaluar la eficacia de

otro tipo de controles. La auditoría interna nace después de la auditoría interna, pues se

encontró la necesidad de mantener un control permanente y óptimo también dentro de las

empresas; haciendo más rápida y eficaz las funciones de un auditor externo.

Auditoría Informática

La auditoría en informática es la revisión y la evaluación de los controles,

sistemas, procedimientos de informática; de los equipos de cómputo, su utilización,

eficiencia y seguridad, de la organización que participan en el procesamiento de la

información, a fin de que por medio del señalamiento de cursos alternativos se logre una

utilización más eficiente y segura de la información que servirá para una adecuada toma

de decisiones. (Monografías.com, 2010).

 Auditoría de la Gestión: Referido a la contratación de bienes y servicios,

documentación de los programas, etc.

 Auditoría Legal del Reglamento de Protección de Datos: Cumplimiento legal

de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley

Orgánica de Protección de Datos.

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.
 6

 Auditoría de los Datos: Clasificación de los datos, estudio de las aplicaciones y

análisis de los flujogramas.

 Auditoría de las Bases de Datos: Controles de acceso, de actualización, de

integridad y calidad de los datos.

 Auditoría de la Seguridad: Referidos a datos e información verificando

disponibilidad, integridad, confidencialidad, autenticación y no repudio.

 Auditoría de la Seguridad Física: Referido a la ubicación de la organización,

evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física

de esta. También está referida a las protecciones externas (arcos de seguridad,

CCTV, vigilantes, etc.) y protecciones del entorno.

 Auditoría de la Seguridad Lógica: Comprende los métodos de autenticación de

los sistemas de información.

 Auditoría de las Comunicaciones: Se refiere a la auditoria de los procesos de

autenticación en los sistemas de comunicación.

 Auditoría de la Seguridad en Producción: Frente a errores, accidentes y

fraudes.

Auditoría Informática de Comunicación y Redes

Es un tipo de Auditoría Informática que permite la gestión de la red empresarial,

la monitorización de sus comunicaciones, la revisión de costes y la asignación formal de

proveedores, y la creación y aplicabilidad de estándares.

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.
 7

Objetivos

 Tener una gerencia con autoridad de voto y acción.

 Llevar un registro actualizado de módems, controladores, terminales y líneas.

 Mantener una vigilancia de las acciones en la red.

 Mejorar el rendimiento y la resolución de problemas presentados en la red.

 Registrar un coste de comunicaciones

Auditoría de la Seguridad Informática

Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por

profesionales para identificar, enumerar y posteriormente describir las diversas

vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de

trabajo, redes de comunicaciones o servidores.

Fases en la Auditoría de la Seguridad Informática

 Enumeración de redes, topologías y protocolos

 Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT,

etc.

 Identificación de los sistemas operativos instalados

 Análisis de servicios y aplicaciones

 Detección, comprobación y evaluación de vulnerabilidades

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.
 8

 Medidas específicas de corrección

 Recomendaciones sobre implantación de medidas preventivas.

Objetivos de la Auditoría de Información

Objetivos Generales

Participación en el desarrollo de nuevos sistemas.

Evaluación de controles

Cumplimiento de la metodología.

Respaldos, proveer qué va a pasar si se presentan fallas

Objetivos Específicos

 Evaluación de la seguridad en el área informática.

 Evaluación de suficiencia en los planes de contingencia.

 Opinión de la utilización de los recursos informáticos.

 Control de modificación a las aplicaciones existentes.

 Participación en la negociación de contratos con los proveedores.

 Revisión de la utilización del sistema operativo y los programas

 Auditoría de la base de datos.

 Auditoría de la red de teleprocesos.

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.
 9

 Desarrollo de software de auditoría. (Ynfante, 2009)

Revisión de Controles de la Gestión Informática

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la

auditoría es la verificación de la observancia de las normas teóricamente existentes en el

departamento de Informática y su coherencia con las del resto de la empresa. Para ello,

habrán de revisarse sucesivamente y en este orden.

1. Las Normas Generales de la Instalación Informática. Se realizará

unarevisión inicial sin estudiar a fondo las contradicciones que pudieranexistir, pero

registrando las áreas que carezcan de normativa, y sobretodo verificando que esta

Normativa General Informática no está encontradicción con alguna Norma General no

informática de laempresa.

2. Los Procedimientos Generales Informáticos. Se verificará suexistencia, al

menos en los sectores más importantes. Por ejemplo, larecepción definitiva de las

máquinas debería estar firmada por losresponsables de Explotación. Tampoco el alta de

una nueva Aplicación podría producirse si no existieran los Procedimientos deBackup y

Recuperación correspondientes.

3. Los Procedimientos Específicos Informáticos. Igualmente, se revisarasu

existencia en las áreas fundamentales. Así, Explotación no deberíaexplotar una

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.
 10

Aplicación sin haber exigido a Desarrollo la pertinentedocumentación. Del mismo modo,

deberá comprobarse que losProcedimientos Específicos no se opongan a los

ProcedimientosGenerales. En todos los casos anteriores, a su vez, deberá verificarseque

no existe contradicción alguna con la Normativa y losProcedimientos Generales de la

propia empresa, a los que laInformática debe estar sometida

Este trabajo ha sido realizado en versión Microsoft Word 2016. Si existe alguna alteración visible en la estructura de este mientras se visualiza
en una versión diferente, puede que sea debido a la incompatibilidad de estas versiones.