Introducción a la Auditoria en informática Unidad I ( Generalidades de la auditoria en las empresas Concepto de auditoria en informática ) Auditoria en

Introducción a la Auditoria en informática

Unidad I (Generalidades de la auditoria en las empresas

Concepto de auditoria en informática )

Auditoria en InformáticaM. en C. Lorena Carmina Moreno Jiménez

Introducción

2

ContenidoAntecedentesTerminología de la auditoria en informática

InformáticaAuditoriaAuditoria en informática

Referencias

Uso e Imp. De Serv. De Internet

M. en C. Lorena Carmina Moreno Jiménez

Auditoria en Informática Introducción

3

AntecedentesOriginalmente la informática se orientó al apoyo de áreas tales como contabilidad, nóminas, etc., lo que originó la necesidad de conocer y medir el apoyo que la misma realizaba en las áreas antes mencionadas, y a la empresa en general, dando paso al proceso conocido como auditoría a sistemas de información o auditoria de sistemas. Posteriormente, cubrió las áreas de negocio en todos los niveles por medio de productos y servicios variados; proliferaron el uso de computadoras personales e irrumpieron de lleno las redes locales, la integración empresarial a través de las telecomunicaciones y un sinnúmero de componentes de tecnología.




4

AntecedentesDe este modo la tarea de los responsables de informática y los auditores de sistemas tradicionales se vió desbordada por estos acontecimientos y les imposibilitó continuar con los métodos utilizados hasta ese entonces

Así surgió la necesidad del replanteamiento de fondo y forma de la auditoría en informática, conocida también como auditoría de sistemas, si bien esta abarca solamente la revisión de los sistemas de información en desarrollo, operación y mantenimiento, siendo éste concepto inadecuado para la auditoría en informática, ya que los elementos de informática suceptibles de revisión y control son muchos y manifiestan diversas complejidades.




5

AntecedentesEntonces la auditoría en informática se encarga de evaluar y verificar políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información, mediante la aplicación de una metodología que debe de ejecutarse con formalidad y oportunidad.La función del auditor en informática es el de funcionar como un punto de control y confianza para la alta dirección o los dueños de la empresa, además debe ser el facilitador de soluciones. Una de las tareas principales del auditor es la de conducir siempre a la empresa a optimizar el uso de los recursos informáticos




6

Antecedentes Por otro lado es incorrecto pensar que la auditoría informática producirá un cambio instantáneo en la cultura organizacional, en los métodos de trabajo, o en la mala calidad o improductividad, se debe pensar que la auditoría en informática es un elemento estratégico directo que apoya o promueve la eliminación o corrección de cada una de las debilidades antes mencionadas. Se espera que un auditor en informática sea un profesional, un experto, pero sobre todo que sea un ser sensible, humano, que entienda el contexto real del negocio que está auditando. Su principal objetivo es darle a cada problema la dimensión justa y convertirlo en una solución para la empresa.




7

Antecedentes Un poco de historia:

En los años cuarenta empezaron a presentarse resultados relevantes en el campo de la computación, a raíz de los sistemas de apoyo para estrategias militares, posteriormente se incrementó el uso de computadoras y sus aplicaciones y se diversificó el apoyo a otros sectores de la sociedad: educación, salud, industria, política, aeronáutica, comercio, etc.En aquellos años la seguridad y control se limitaba a proporcionar custodia física a los equipos y a permitir la utilización de los mismos a personas altamente calificadas, ya que no existía un gran número de usuarios técnicos ni administrativos




8

Antecedentes

En las últimas décadas, la informática se ha extendido a todas las ramas de la sociedad, es decir, es posible desde controlar un vuelo espacial por medio de computadoras hasta armar una receta de cocina en una computadora o llevar los gastos personales.De lo anterior se desprende la idea de que se han obtenido importantes beneficios tangibles (reducción de costos, incremento en ventas, etc.), y otros con aspectos intangibles (mejoría en la imagen o satisfacción del cliente) pero ambos con la misma importancia para seguir impulsando la investigación y actualización constante de la tecnología.




9

Antecedentes

Aunque la idea de que se obtienen mayores beneficios que antes no se halla lejos de la realidad; también se debe tener en cuenta que los costos de estos beneficios han sido altos y en muchas ocasiones han superado los límites esperados, ocasionando grandes pérdidas y decepciones en los negocios.Las empresas y organismos interesados en que la informática continúe creciendo para beneficio de la humanidad (educación, productividad, calidad, ecología, etc.) desean que este incremento se controle y oriente de manera profesional. Esto significa que se debe obtener el resultado planteado y esperado de cada inversión realizada




10

Antecedentes

Por lo tanto es razonable decir que corre por cuenta de quien administra la función de informática la responsabilidad de que las inversiones y proyectos sean justificados y eficaces (entendiendo por eficacia la capacidad de lograr el efecto que se desea o se espera)

También es lógico suponer que la dirección no debe aprobar proyectos que no aseguren la rentabilidad de la inversión a realizar.




11

Antecedentes

El incremento constante de las expectativas y necesidades relacionadas con la informática, al igual que la actualización continua de los elementos que componen la tecnología de este campo, obligan a las entidades que la aplican, a disponer de controles, políticas y procedimientos que aseguren a la alta dirección la correcta utilización de los recursos humanos, materiales, y financieros involucrados, para que se protejan adecuadamente y se orienten a la rentabilidad y competitividad del negocio.




12

Antecedentes

La improductividad, el mal servicio, el rechazo de los usuarios a los sistemas de información y la carencia de soluciones totales de la función de informática, fueron, son y pueden continuar siendo mal de muchas organizaciones.

Paradójicamente los proyectos prioritarios hacen gala del apoyo que obtienen de la informática. Por este motivo es ilógico descuidar su control y no garantizar su eficacia.




13

AntecedentesImportancia de la auditoria en informática:

La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática




14

AntecedentesImportancia de la auditoria en informática:Surge entonces la obvia necesidad de auditar la

función informática, ya que resulta innegable que la misma se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un aliado confiable y oportuno. Esto es posible si se implementan los controles y esquemas de seguridad requeridos para su aprovechamiento óptimo.Una vez que la alta dirección comprenda la importancia de contar con un área independiente que asegure y promueva el buen uso y aprovechamiento de la tecnología de informática, ya puede delegar la responsabilidad en personal altamente capacitado para ejercer la auditoria en informática dentro de la organización de manera formal y permanente.




15

Terminología de la auditoria en informática

Informática: es el campo que se encarga del estudio y aplicación práctica de la tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de la información por medios electrónicos, el cual comprende las áreas de la tecnología de información orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya (entidades internas y externas de los negocios) de manera oportuna y veraz.




16


También se puede decir que es el proceso metodológico que se desarrolla de manera permanente en las organizaciones para el análisis, evaluación, selección, implementación y actualización de los recursos humanos, conocimientos, habilidades, normas, etc., tecnológicos (hardware, software, etc.), materiales (escritorios, edificios, accesorios, etc.) y financieros (inversiones) encaminados al manejo de la información, buscando que no se pierdan los propósitos, confiabilidad, oportunidad, integridad y veracidad, entre otros.




17


Auditoria, es un proceso formal y necesario para las empresas que tiene como fin asegurar que sus activos sean protegidos en forma adecuada.Asimismo, la alta dirección espera que de los proyectos de auditoria surjan las recomendaciones necesarias para que se lleven a cabo de manera oportuna y satisfactoria las políticas, controles y procedimientos definidos formalmente, con objeto de que cada individuo o sector de la organización opere de modo productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptadas.




18


También es un conjunto de tareas realizadas por un especialista para la evaluación o revisión de políticas y procedimientos relacionados con las diferentes áreas de una empresa

Administrativas. Financieras. Operativas. Informática. Crédito. Fiscales.




19


Auditoria en informática. Es un proceso formal ejecutado por especialistas del área de auditoria y de informática cuyo objetivo es el de verificar y asegurar que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se realicen de manera eficiente y eficaz.Las actividades ejecutadas por los profesionales del área de informática y de auditoria están encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).




20


Dicha evaluación deberá ser la pauta para la entrega del informe de auditoria en informática, el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de la tecnología de informática en el negocio.




21


Otras definiciones de auditoria en informática

1. Se puede definir como el conjunto de acciones que realiza el personal especializado en las áreas de auditoria y de informática para asegurar que los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza de que la información que circula por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud y confiabilidad requeridos.




22


2. Proceso metodológico que tiene el propósito principal de evaluar los recursos (humanos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente satisfactorios, para que a su vez apoyen la productividad y rentabilidad de la organización.




23


Sistemas de información. Son el conjunto de módulos computacionales organizados e interrelacionados de una manera formal para la administración y uso eficiente de los recursos (humanos, materiales, tecnológicos, etc.) de un área específica de la empresa (manufactura, administración, dirección, etc.) con la finalidad de representar los procesos reales del negocio y orientar los procedimientos, políticas y funciones inherentes para lograr las metas y objetivos del negocio en forma eficiente.Los sistemas de información pueden orientarse al apoyo de los siguientes aspectos:

Niveles operativos del negocioNiveles tácticos del negocioNiveles estratégicos del negocio




24


Sistemas de información estratégica (SIE). Son aquellos que de manera permanente proporcionan a la alta dirección una serie de parámetros y acciones encaminadas a la toma de decisiones que apoyarán al negocio en el seguimiento de la rentabilidad y competitividad respecto a la competencia.Metodología. Es un conjunto de etapas (fases o módulos) formalmente estructurados, de manera que brinden a los interesados los siguientes parámetros de acción en el desarrollo de sus proyectos:

Plan generalTareas y accionesTiemposAseguramiento de calidadInvolucradosEtapas (fases o módulos)Revisiones de avanceResponsablesRecursos requeridosOtros




25


Una buena metodología debe responder a los siguientes cuestionamientos: ¿qué hacer?, ¿dónde debo hacerlo?,¿cómo plantearlo?,¿por qué aprobarlo?,¿cuándo revisarlo?,¿cuándo empezarlo?,¿quién debe hacerlo?, ¿por qué debo hacerlo?,¿cómo aprobarlo?,¿quiénes deben comprometerse?,¿por qué revisarlo?,¿cuándo terminarlo?, ¿cómo justificarlo?, etc.

Técnicas. Es un conjunto de procedimientos y pasos ordenados que se usan con el desarrollo de un proyecto con el propósito de finalizar las etapas, fases o módulos definidas en el proceso metodológico, por ejemplo:

Análisis estructuradosDiseño estructuradoAnálisis costo-beneficioGráficas de PertGráficas de GantDocumentaciónEntrevistasOtras




26


Herramientas. Es el conjunto de elementos físicos utilizados para llevar a cabo las acciones y pasos definidos en la técnica.Herramientas de productividad. Ayudan a optimizar el tiempo de los recursos en el desarrollo de un proyecto; asimismo, se encaminan a proporcionar resultados de alta calidad para apoyar el logro de las actividades administrativas relacionadas con los procesos de información.




27

Referencias

Hernández, Hernández. Auditoria en Informática.




Documents

Introducción a la Auditoria en informática Unidad I ( Generalidades de la auditoria en las empresas Concepto de auditoria en informática ) Auditoria en