UCALP - FACEI

Auditoría informática
Trabajo final
Facundo Raúl Puzzi
 UCALP – Auditoría informática- Facundo Raúl Puzzi.

INTRODUCCIÓN.

La auditoría en informática es la revisión y la evaluación de los controles, sistemas,

procedimientos de informática, de los equipos de computación, su utilización, eficiencia y
seguridad, de la organización que participa en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una utilización más
eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no solo la evaluación de los equipos de

cómputos, de un sistema o procesamiento específico, sino que además habrá de evaluar
los sistemas de información en general desde sus entradas, procedimientos, controles,
archivos seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los

sistemas de información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Además deben evaluar todo
(informática, organización de centros de información, hardware y software)

El auditor se preocupa por los aspectos administrativos y técnicos de su sistema de

cómputos o centro de cómputos. Saber usar los recursos en forma eficiente, reditúa en
una mejora de producción y trabajo, tener la seguridad y confianza en los datos, la
veracidad y la disponibilidad, así como saber con exactitud los costos por pérdida de
información causa de desastres, robo, daño, etc. es importante para evaluar los alcances
de pérdidas o ganancias de una empresa o negocio.
El auditor debe proveer de un informe de auditoría de sistemas identificando cada una de
sus partes, funcionamiento, fallas actuales, posibles fallas futuras, seguridad y uso
adecuado.

1. ¿Cuantos profesionales son necesarios para llevar a cabo una Auditoria Informática?

La cantidad de recursos humanos a utilizar en una auditoría informática depende del

volumen auditable, si la auditoría es parcial o total, si se realizará por áreas generales o
áreas específicas. En el caso de auditar áreas generales la elaboración es más compleja y
costosa.
El volumen determina no solo el número de auditores necesarios sino las especialidades
necesarias del personal involucrado.

2. Los Profesionales tienen que ser todos informáticos.

La auditoría informática en general suele ser ejercida por profesionales universitarios,

principalmente informáticos (con diferentes orientaciones y experiencias en áreas
particulares, por ej. Informático en general, experto en desarrollo de proyectos, técnico en
sistemas, experto en bases de datos, experto en redes informáticas) y contar con
conocimientos empresariales generales, pero también pueden incluirse profesionales en
otras áreas como Contaduría, Abogacía, Medicina, etc…
El auditor puede actuar como consultor con su auditado, dándole ideas de cómo enfocar
la construcción de los elementos de control y administración que le sean propios. Además,
puede actuar como consejero con la organización en la que está desarrollando su labor.

Pág. | 2
 UCALP – Auditoría informática- Facundo Raúl Puzzi.

3. ¿Los profesionales tienen que ser expertos? ¿Por qué?

Los profesionales deben estar capacitados y ser expertos en el área que tengan que
auditar, para que el relevamiento y agrupación de las pistas de los Sistemas de
Información de la compañía, así como el análisis y evaluación de las mismas, este avalado
por el perfil profesional del auditor, tenga peso y validez a la hora de presentar el informe
final.
Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en
general. En el área informática, se debe tener conocimientos básicos de:
- Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo)
- Administración del Departamento de Informática
- Análisis de riesgos en un entorno informático
- Sistemas operativos
- Telecomunicaciones
- Administración de Bases de Datos
- Redes locales
- Seguridad física
- Operación y planificación informática (efectividad de las operaciones y rendimiento -
del sistema)
- Administración de seguridad de los sistemas (planes de contingencia)
- Administración del cambio
- Administración de Datos
- Automatización de oficinas (ofimática)
- Comercio electrónico
- Encriptación de datos

Especialización en función de la importancia económica que tienen distintos componentes

financieros dentro del entorno empresarial Por ejemplo, en un entorno financiero pueden
tener mucha importancia las comunicaciones, por lo que se debe tener una especialización
en esa rama.
Debe conocer técnicas de administración de empresas y de cambio, ya que las
recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la
empresa y a los recursos que se poseen.
Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean
reconocidos como un elemento valioso dentro de la empresa y que los resultados sean
aceptados en su totalidad.
• Especialista en el entorno informático a auditar y en administración de bases de
datos
• Especialista en comunicaciones y redes
• Responsable de administración de riesgo operativo y aplicaciones
• Responsable de la auditoría de SI, tanto en explotación como en desarrollo
• Especialista para la elaboración de programas de trabajo en conjunto con la
Auditoría Financiera

Pág. | 3
 UCALP – Auditoría informática- Facundo Raúl Puzzi.

4. ¿Un Auditor puede determinar e informar que un sistema de información no cumple con
los objetivos de la organización, sin mostrar las evidencias? ¿Por qué?

La auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es

el reflejo de su calidad.
El auditor puede redactar borradores e informes parciales previos al informe final, que son
elementos de contraste entre las opiniones del auditor y auditado y que pueden descubrir
fallos de apreciación en el auditor.
El auditor cuenta con herramientas de trabajo cómo:
- Cuestionario general
- Cuestionario tipo Checklist
- Matrices de riesgo
- Estándares

Con estas herramientas el auditor puede utilizar distintas técnicas o metodologías de

trabajo, por ejemplo realizando entrevistas por área o departamentos, analizando la
información recabada del auditado, analizando la información propia, cruzando con
información anterior, etc.

El informe final comienza con la fecha de comienzo de la auditoría y la fecha de redacción

del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las
personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo
que ostente.

5. Describir tipos de Auditoría.

Se pueden clasificar (dentro de otras posibilidades) según: el personal que las realiza, la
amplitud de las tareas y los objetivos que persiguen.

SEGÚN EL PERSONAL QUE LAS REALIZA

Auditoría interna: La auditoría interna es la realizada con recursos materiales y personas

que pertenecen a la empresa auditada. La auditoría interna existe por expresa decisión de
la Empresa, o sea, que puede optar por su disolución en cualquier momento.
Auditoría externa: la auditoría externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes
respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías
convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente
realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los
auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las
consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e informan sobre las
posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La

Pág. | 4
 UCALP – Auditoría informática- Facundo Raúl Puzzi.

empresa necesita controlar su Informática y ésta necesita que su propia gestión esté
sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción
de ambas necesidades cristaliza en la figura del auditor interno informático.

SEGÚN LA AMPLITUD DE LAS TAREAS

Auditoria parcial: consiste en una revisión circunscripta a determinados aspectos de la

empresa, como por ejemplo a un departamento determinado.
Auditoría integral: consiste en una revisión total para informar sobre un aspecto total de
la empresa, sea este patrimonial, de gestión, de administración y costos, de cumplimiento
de normas jurídicas e internas de la empresa.

También hay otros tipos de auditoría como:

Auditoría operacional: se refiere a la revisión de la operación de una empresa y juzga la
eficiencia de la misma.
Auditoría administrativa: se refiere a la organización y eficiencia de la estructura del
personal con la que cuenta el personal y los procesos administrativos en que actúa dicho
personal.
Auditoría social: se refiere a la revisión del entorno social en que se ubica y desarrolla una
empresa, con el fin de valorar aspectos externos e internos que interfieren en la
productividad de la misma.

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los

programas, etc.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las
medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de
los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También
está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoría de los procesos de autenticación
en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

6. Desarrollar 6 preguntas que realizarían para Auditar las bases de datos. Justificar

Pág. | 5
 UCALP – Auditoría informática- Facundo Raúl Puzzi.

I. Quien tiene acceso a la base de datos (usuarios, desarrolladores, aplicativos)? Por

qué? Debe tener acceso, es decir, está autorizado? Que uso le da a los datos
consultados? Hay políticas definidas para estos accesos?
II. Como acceden a las bases dichos usuarios autorizados? Cual es el nivel de
protección en el acceso? Se restringe el acceso a los usuarios según su rol? Que
operaciones pueden realizar los usuarios?
III. Se registra y monitorea los logs de seguridad? Comandos del usuario, accesos no
autorizados, estadísticias de uso, informes de acceso por usuario y por tiempo.
IV. Los datos sensibles como claves están encriptados/cifrados?
V. Con respecto a la seguridad, cuenta con un plan de contingencia para la
recuperación ante desastres? Se ha probado en su totalidad? Funciono?
VI. Existe documentación de la BD?
VII. Que responsabilidades tuiene el DBA?
VIII. Quién puede modificar los datos en las bases? Requieren autorización? Quién es
responsable de brindar dicha autorización?
IX.

Pág. | 6