UNIVERSIDAD TECNOLOGICA DEL NORTE DE

COAHUILA
ASIGNATURA:
AUDITORIA EN SISTEMAS DE T.I.

DE:
INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y
COMUNICACIÓN

DOCENTE:
L.I.A. GINA ELIZABETH CORDOVA LISZT
INTRODUCCIÓN
A partir de 1950. la informática se convierte en una herramienta muy importante en las labores de
auditoria financiera, ya que permite llevar a cabo de forma rápida y precisa, operaciones que
manualmente consumirían demasiados recursos. Empieza la denominada “auditoría con el
computador", que no puede considerarse verdadera auditoría informática, sino que utiliza el
computador como herramienta del auditor financiero.
Sin embargo, al convertirse los sistemas de información de la empresa cada vez mas dependientes de
las computadoras, surge la necesidad de verificar que los sistemas informáticos funcionan
correctamente, empezando a finales de los años sesenta a descubrirse varios casos de fraude cometidos
con ayuda de una computadora que hacen inviable seguir conformándose con la auditoria “alrededor
del computador”.
Surge así la necesidad de una nueva especialidad dentro de la auditoria, cuyo objetivo es precisamente
verificar el funcionamiento correcto, eficaz y eficiente de la informática, en definitiva la “Auditoria de la
Computadora”.

Actualmente la información es un activo importante dentro de las empresas por lo que la seguridad de
la misma requiere de una inversión para su protección y resguardo, así como para garantizar su
confiabilidad.
UNIDAD 1.- EL AUDITOR Y LA ORGANIZACIÓN

OBJETIVO.- El alumno diagnosticará el entorno en el cual se desarrollará la auditoria, analizando las

políticas, manuales y procedimientos, para tener un panorama general de la situación de la empresa.

TEMAS • AUDITORIA DE LA FUNCIÓN INFORMÁTICA

• POLÍTICAS DE LA ORGANIZACIÓN (REGLAS DEL NEGOCIO)

• INTERPRETACION DEL MANUAL DE PROCEDIMIENTOS DE LA ORGANIZACIÓN

• RECURSOS HUMANOS

• DIAGNÓSTICO DE LA SITUACIÓN ACTUAL

• CONTROL INTERNO
 Conceptos de Auditoria Informática
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra
auditor, que se refiere a todo aquel que tiene la virtud de oír.
Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con
el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos,
de la gestión informática y si éstas han brindado el soporte adecuado a los objetivos y
metas del negocio.
La Auditoria de Tecnología de Información (T.I.) como se le conoce actualmente,
(Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado
en el mundo entero como cuerpo de conocimientos cierto y consistente,
respondiendo a la acelerada evolución de la tecnología informática de los últimos 10
años.
• La INFORMACIÓN es considerada un activo tan o más importante que cualquier otro
en una organización.
Conceptos de Auditoria Informática
Existen conocimientos, normas, técnicas y buenas prácticas dedicadas a la
evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad
de la INFORMACION tratada y almacenada a través de la computadora y equipos
afines, así como de la eficiencia, eficacia y economía con que la administración de un
ente están manejando dicha INFORMACION y todos los recursos físicos y humanos
asociados para su adquisición, captura, procesamiento, transmisión, distribución,
uso y almacenamiento, solo con el objetivo de emitir una opinión o juicio, para lo
cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico
específico.
ISO 19011:2012 Directrices para las auditorías
-Términos y definiciones

Según ISO 19011 dice que Auditoría es “ Proceso sistemático, independiente y

documentado para obtener evidencias de la auditoria y evaluarlas
objetivamente a fin de determinar hasta que punto se cumplen los criterios
de auditoria” (ISO, 2012).

La definición de Evidencias de la auditoria es “Registros, declaraciones de

hechos u otra información que son relevantes para los criterios de auditoria y
verificables” (ISO, 2012).

Criterios de auditoría son el “Conjunto de políticas, procedimientos o

requisitos utilizados como una referencia” (ISO, 2012).
Sistema de Información organizacional

La siguiente definición es la de un Sistema de Información, conocido por sus siglas como SI.
Un sistema de información es “un conjunto de elementos que están interrelacionados
que sirve para procesar datos y que estos puedan ser de utilidad en las actividades
de las organizaciones”.
Dentro de un SI se da una interacción entre las personas, los datos, software, hardware; y si
no se cuenta con ellos, bases de datos físicas que funcionan como registros, además de
otros medios de comunicación y tecnología, acompañados de normas y reglamentos de la
empresa.

El proceso que realiza un sistema de información consta de cuatro fases:

• Entrada
• Almacenamiento
• Procesamiento
• Salida
La entrada de datos se da cuando se registran los datos deseados. El almacenamiento se refiere a
la actividad de guardar los datos en una base de datos ya sea física o electrónicamente
(computadora). La siguiente fase es el procesamiento de los datos, en ella los datos son
transformados en información útil. Finalmente se encuentra la salida, esta fase se requiere a
sacar los la información que servirán para toma de decisiones.

Los datos por si solos no contienen ningún valor para las empresas hasta que son analizadas y
procesados, la información que se obtiene genera conocimientos importantes. Es por esa razón
que los sistemas de información deben de ser de calidad.

Las características principales que debe tener la información en un sistema de apoyo empresarial
son las siguientes:

 Se refiere a que se debe contar con la información en el momento deseado, ni antes ni

después, para poder hacer uso de ella sin retrasos.
 Eso quiere decir que la información debe ser siempre real, sin alteraciones y sin errores.
 Que sea información completa.
 Que la información esté protegida, y sea manejada por personas de confianza.
Debido a la gran utilidad de los Sistemas de Información, éstos son implementados con diferentes objetivos dentro
de una empresa.

Existen con fines comerciales, de producción, de finanzas y administrativos. Ejemplos de cada uno de ellos son:

Sistema empresarial: usado para planear compras, ventas y control de inventarios.

Sistema de producción: compras de materiales, contacto con proveedores, planeación de órdenes, costos de
manufactura.
Sistema contable: para realizar proyecciones, presupuestos, razones financieras, control fiscal.
Sistema de nóminas: integra nóminas, IMSS, afore, seguros.
Auditoría de los Sistemas de Información organizacionales

Esta actividad se define como: “La verificación de controles en el procesamiento

de la información, desarrollo de sistemas e instalación con el objetivo de evaluar
su efectividad y presentar recomendaciones a la Gerencia” (Naranjo, 2005).

Consiste en verificar y evaluar los controles pero además los sistemas y los
procesos para el tratamiento de la información de la empresa.

Objetivos
Los objetivos de esta auditoría son:

• Salvaguardar los activos útiles para el procesamiento de datos, evitando robos,

destrucción, usos no adecuados.
• Mantener la integridad de los datos.
• Mediante la contribución de la información que se maneja en la empresa,
alcanzar las metas organizacionales.
Objetivos de la Auditoria Informática
La Auditoría Informática deberá comprender no sólo la
¿Por que de la evaluación de los equipos de cómputo, de un sistema o
Auditoria procedimiento específico, sino que además habrá de evaluar
Informática? los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de
información.

http://www.witsa.org/v2/media_center/pdf/DigitalPlanet2008_ExecutiveSummary.pdf
Razones para implementar una auditoría
Situaciones que podrían indicar la necesidad de una auditoría son (Infante, 2010):

• Aumento considerable e injustificado del presupuesto del PAD (Departamento

de Procesamiento de Datos)
• Desconocimiento de información en áreas de la empresa.
• Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad
del personal, equipos e información.
• Descubrimiento de fraudes efectuados con la computadora.
• Falta de una planificación por carencia de información oportuna.
• Descontento de los clientes por incumplimiento de plazos y mala calidad de los
resultados.
Los organismos que se ocupan del control y de la auditoría de SI

Algunos de los principales organismos que sirven como fuentes de estándares

para realizar auditorías son:

• ISACA – Asociación de Auditoría y Control de Sistemas de Información

• ISO – Organización Internacional para la estandarización.
• NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.
Políticas de la organización

Es la orientación o directriz que debe ser divulgada, entendida y

acatada por todos los miembros de la organización, en ella se
contemplan las normas y responsabilidades de cada área de la
organización. Las políticas son guías para orientar la acción; son
lineamientos generales a observar en la toma de decisiones, sobre
algún problema que se repite una y otra vez dentro de una
organización. En este sentido, las políticas son criterios generales
de ejecución que complementan el logro de los objetivos y facilitan
la implementación de las estrategias. Las políticas deben ser
dictadas desde el nivel jerárquico más alto de la empresa.
Normas
Son reglas específicas que se deben seguir o a que se deben ajustar las conductas,
tareas, o actividades en una organización para poder llevar a cabo el cumplimiento de
una política organizacional. Cabe destacar que forman parte del contenido de las
políticas organizacionales.

Tipos de políticas
Generales; son las que aplica a todos los niveles de la organización, son de alto
impacto o criticidad, por ejemplo: políticas de presupuesto, políticas de
compensación, política de la calidad, política de seguridad integral, entre otras.

Específicas; son las que aplican a determinados procesos, están delimitadas por su
alcance, por ejemplo: política de ventas, política de compras, política de seguridad
informática, políticas de inventario, entre otras.
Beneficios de la aplicación de las políticas

• Aseguran un trato equitativo para todos los empleados.

• Generan seguridad de comunicación interna en todos los niveles.
• Es fuente de conocimiento inicial, rápido y claro, para ubicar en su puesto
nuevos empleados.
• Facilita una comunicación abierta y promueve la honestidad.
• Desarrolla la autoridad, poder y liderazgo.
• Asegura la confianza, transparencia, objetividad y aprendizaje.
• Son indispensables para una adecuada delegación de autoridad.
• Reflejan la imagen de la empresa y deben reajustarse a tiempo.
Importancia
Las empresas deben establecer políticas y procedimientos y comprometerse a imprimirlas antes de
contratar al primer empleado. Las políticas, definidas simplemente como reglas en cuanto a cómo la
empresa y sus representantes deben manejar situaciones específicas y procedimientos, es decir,
instrucciones sobre cómo llevar a cabo determinadas tareas, son cruciales para todas las empresas,
independientemente de su tamaño.

Beneficios
El establecimiento de políticas y procedimientos de la empresa proporciona varios beneficios. La
empresa está en condiciones de operar con mayor coherencia, tanto en su funcionamiento interno
como externo. La moral de la empresa generalmente aumenta, porque las directrices están
disponibles en cómo realizar una tarea. Al establecer políticas y procedimientos también se pueden
eludir ciertas cuestiones jurídicas.
Importancia de los manuales y procedimientos

Manuales
Los manuales de políticas y procedimientos de una empresa deben estar en conformidad con las leyes
locales, estatales y federales, así como conscientes del uso de Internet. Los libros tienen que parecer
profesionales, un financiero puede solicitar una copia de las políticas y procedimientos de una empresa
para examinarlas.

Manual de procedimientos
El manual de procedimientos describe claramente los procesos, tales como la forma de introducir una
factura en el sistema, procesos con los que el nuevo empleado aún no está familiarizado. Describe los
procedimientos específicamente. Esto puede parecer muy simplista el escritor que está familiarizado con
las tareas a mano, pero para los novatos, una explicación precisa del procedimiento puede ser muy valiosa.
Manual de políticas
Este manual debe contener las políticas de la empresa sobre el empleo, la divulgación, la competencia, el
servicio al cliente, compras, etcétera. Al escribir un manual de políticas, ten en cuenta si el propietario no pudo
ser localizado, lo que tendría un empleado que saber para realizar sus tareas asignadas.

Manual del empleado

Este será la primera comunicación oficial que la empresa tiene con un nuevo empleado. Como un manual de
políticas y procedimientos abreviados, define las normas de comportamiento y describe lo que sucederá cuando
no se respetan las normas. El manual debe incluir las políticas y procedimientos de los empleados de la
compañía para pedir solicitudes de licencia y similares. La gerencia encontrará que se trata de una herramienta
de empoderamiento en caso de que tenga que disciplinar a un empleado.