UNIVERSIDAD LAICA “ELOY ALFARO”

DE MANABÍ
EXTENSIÓN CHONE.

EVALUACION DE SISTEMAS

AUTORES:
MERA VERA VIVIANA LISSETH
BRAVO ZAMBRANO JAIME RUBEN
FARÍAS SOLORZANO YANDRI MAURICIO

CATEDRÁTICO:
ING. CRISTIAN MINAYA

NOVENO SEMESTRE “B” DE ING. EN

SISTEMAS
2017
INTRODUCCIÓN

Este tema relata sobre la auditoria informática, y algunos aspectos que la

engloban tales como: áreas de aplicación, que trata de los
diferentes procedimientos que se van a emplear en el área informática, así como
también el procesamiento electrónico de datos, puesto que el auditor debe
conocer el programa que va a utilizar.
También se observará cuáles son los objetivos primordiales de una auditoria
de sistemas, pues son de mucha importancia centrarse en ellos debido a que se
evalúa la operatividad del sistema y el control de la función informática, que
influyen mucho en los resultados obtenidos (informe final); los procedimientos que
se realizan en la auditoria consiste en la metodología que se va a aplicar para
realizar el análisis correspondiente.
En la actualidad la informática se encuentra evidentemente vinculada con
la gestión de las empresas y es por esto que es de vital importancia que exista la
auditoria informática, para analizar el desempeño y funcionamiento de los
sistemas de información, de los cuales depende la organización.
Cabe aclarar que la informática no gestiona propiamente la empresa, ayuda a la
toma de decisiones, pero no decide por sí misma.
AUDITORÍA EN INFORMÁTICA

La auditoría en informática se desarrolla en función de normas, procedimientos y

técnicas definidas por institutos establecidos a nivel nacional e internacional; por lo
tanto, nada más se señalarán algunos aspectos básicos para su entendimiento.
Así, la auditoría en informática es:

A. Un proceso formal ejecutado por especialistas del área de auditoría y de

informática; se orienta a la verificación y aseguramiento de las políticas y
procedimientos establecidos para el manejo y uso adecuado de la tecnología de
informática en la organización se lleve a cabo de una manera oportuna y eficiente.

B. Las actividades ejecutadas por los profesionales del área de Informática y de

auditoría encaminada a evaluar el grado de cumplimiento de políticas, controles y
procedimientos correspondientes al uso de los recursos de informática por el
personal de la empresa (usuarios, informática, alta direcci6n, etc.). Dicha
evaluaci6n deberá ser la pauta para la entrega del informe de auditoría en
informática, el cual ha de contener las observaciones, recomendaciones y áreas
de oportunidad para el mejoramiento y la optimización permanente de la
tecnología de informática en el negocio.

C. El conjunto de acciones" que realiza el personal especializado en las áreas de

auditoría y de informática para el aseguramiento continuo de que todos los
recursos de informática operen en un ambiente de seguridad y control eficientes,
con la finalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza
de que la información que pasa por el área se manejan con los conceptos básicos
de integridad, totalidad, exactitud, confiabilidad, etc.

D. Proceso metodológico que tiene el propósito principal de evaluar todos los

recursos (humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con
la función de informática para garantizar al negocio que dicho conjunto opera con
un criterio de integración y desempeños de niveles altamente satisfactorios para
que apoyen la productividad y rentabilidad de la organización.(Hernández, 1997).

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos. De este modo la auditoria informática sustenta
y confirma la consecución de los objetivos tradicionales de la auditoria:

 Objetivos de protección de activos e integridad de datos.

 Objetivos de gestión que abarcan, no solamente los de protección de activos,

sino también los de eficacia y eficiencia.

El auditor evalúa y comprueba en determinados momentos del tiempo los

controles y procedimientos informáticos más complejos, desarrollando y aplicando
técnicas mecanizadas de auditoría, incluyendo el uso del software.

El auditor es responsable de revisar e informar a la Dirección de la Organización

sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad
de la información suministrada. Se pueden establecer tres grupos de funciones a
realizar por un auditor informático:

 Participar en las revisiones durante y después del diseño, realización,

implantación y explotación de las aplicaciones informáticas, así como en las fases
análogas de realización de cambios importantes.

 Revisar y juzgar los controles implantados en los sistemas informáticos para

verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos
legales, protección de confidencialidad y cobertura ante errores y fraudes.

 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los

equipos e información.

Auditoría informática:
Es un examen metódico del servicio informático, o de un sistema informático en
particular, realizado de- una forma puntual y objetiva, a instancias de la dirección y
con la intención de ayudar a mejorar conceptos como la seguridad, eficiencia y
rentabilidad del servicio informático. En esta definición hay cuatro palabras que
destacan: "examen", "metódico", "puntual" y "objetivo":

 La auditoría informática es un examen, pues se verifica o comprueba el sistema

informático actualmente en uso.

 Este examen es metódico, ya que sigue un plan de trabajo, perfectamente

diseñado, que permite llegar a conclusiones suficientemente fundamentadas. Este
examen es puntual, ya que se realiza en un momento determinado y bajo petición
de la dirección.

 Este examen es objetivo, ya que se realiza por un equipo externo al servicio de

informática para buscar la objetividad requerida.

El servicio de auditoría cubre una serie de actividades (controles, verificaciones,

pruebas, etc.) para concluir elaborando un conjunto de recomendaciones y un plan
de acción. La elaboración de este plan de acción es una de las características que
verdaderamente diferencia la auditoría informática del resto de tipos de auditorías.

Objetivos de la auditoría informática.

La definición de los objetivos de la auditoría informática es un tema difícil y

complejo. No existe un total acuerdo en la definición de tales objetivos y en
consecuencia, en el establecimiento de las funciones que debe desarrollar un
auditor informático. Para precisar esta situación sería necesario:

 Definir el campo de actuación del auditor informático.

 Definir los objetivos de la auditoría informática. Para el campo de actuación del

auditor, sería preciso reflexionar sobre los siguientes aspectos:

 Organización en la que se desenvolverá el auditor.

 Estructura.

 Tipo de actividad de la empresa.

Departamento de informática objeto de la auditoría.

 Grado de sofisticación.

 Tamaño.

 Recursos del departamento

 Relaciones con la auditoría financiera.

 Las propias limitaciones técnicas del auditor.

De un modo general los objetivos de la auditoría informática podrían ser:

 Elaborar un informe sobre los aspectos que afecten al alcance de una auditoría
y señalar riesgos de errores o fraudes de un sistema informático.

 Evaluar la fiabilidad de los sistemas informáticos, en cuanto a la exactitud de

los datos y a las informaciones tratadas.

 Verificar el cumplimiento de la normativa general de la empresa.

 Comprobar la eficacia de los sistemas implantados.

 Comprobar si se ha estudiado el coste / beneficio.

 Garantizar la seguridad física y lógica.

 Evaluar la dependencia de una organización respecto a sus sistemas

informáticos, revisando las medidas tomadas en el caso de que se produzca un
fallo y que permitan asegurar la continuidad de las actividades normales.

 Emisión de informes con la evaluación independiente de los sistemas

informáticos, sintetizando riesgos, deficiencias, sugerencias y recomendaciones.
 Análisis de la calidad y eficacia del servicio de atención a los usuarios.
Participación y seguimiento de proyectos de investigación.

Control interno

Básicamente todos los cambios que se realizan en una organización someten a

una gran tensión a los controles internos existentes. Cuando un auditor profesional
se somete a auditar una empresa, lo primero que se le viene a la cabeza es
mejorar todos los procesos que se llevan en la misma para buscar la eficiencia
total. Este trabajo no se hace de la noche a la mañana; para ello se empieza ya
bien sea por áreas o departamentos o mejor dicho se empieza a trabajar
internamente. La mayoría de las organizaciones han acometido varias iniciativas
en tal sentido tales como:

 La reestructuración de los procesos empresariales.

 La gestión de la calidad total.

 El redimensionamiento por reducción y/o por aumento de tamaño hasta el nivel

correcto.

 La contratación externa.

 La descentralización.

CONTROL INTERNO INFORMATICO

El control interno informático controla diariamente que todas las actividades de

sistemas de información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la dirección de la organización y/o la dirección
informática, así como los requerimientos legales. La función del control interno
informático es asegurarse de que las medidas que se obtienen de los mecanismos
implantados por cada responsable sean correctas y válidas.
Control interno informático suele ser un órgano staff de la dirección del
departamento de informática y está dotado de las personas y medios materiales
proporcionados a los cometidos que se le encomienden. Como principales
objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realicen cumpliendo los procedimientos y

normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías

externas al grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de

los graso adecuados del servicio informático, lo cual no debe considerarse como
que la implantación de los mecanismos de medida y responsabilidad del logro de
esos niveles se ubique exclusivamente en la función de control interno, si no que
cada responsable de objetivos y recursos es responsable de esos niveles, así
como de la implantación de los medios de medida adecuados.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias

para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo los eficazmente los fines de la organización y
utiliza eficiente mente los recursos.

DEFINICION Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como "cualquier actividad o acción realizada

manual y/o automáticamente para prevenir, corregir errores o irregularidades que
puedan afectar al funcionamiento de un sistema para lograr o conseguir sus
objetivos. Los controles internos se clasifican en los siguientes: Controles
preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.

Controles Detectivos:

Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por
ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, etc.

Controles correctivos:

Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por

ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS

INFORMATICOS

Para llegar a conocer la configuración del sistema es necesario documentar los

detalles de la red, así como los distintos niveles de control y elementos
relacionados:

Entorno de red:

Esquema de la red, descripción de la configuración hardware de comunicaciones,

descripción del software que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de entornos de base que
soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.

Configuración del ordenador base:

Configuración del soporte físico, en torno del sistema operativo, software con
particiones, entornos (pruebas y real), bibliotecas de programas y conjunto de
datos.

Entorno de aplicaciones:
Procesos de transacciones, sistemas de gestión de base de datos y entornos de
procesos distribuidos.

Productos y herramientas:

Software para desarrollo de programas, software de gestión de bibliotecas y para

operaciones automáticas. Seguridad del ordenador base: Identificar y verificar
usuarios, control de acceso, registro e información, integridad del sistema,
controles de supervisión, etc. Para la implantación de un sistema de controles
internos informáticos habrá que definir:

Gestión de sistema de información:

Políticas, pautas y normas técnicas que sirvan de base para el diseño y la

implantación de los sistemas de información y de los controles correspondientes.

Administración de sistemas:

Controles sobre la actividad de los centros de datos y otras funciones de apoyo al

sistema, incluyendo la administración de las redes.

Seguridad:

Incluye las tres clases de controles fundamentales implantados en el software del

sistema, integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.

Gestión del cambio:

Separación de las pruebas y la producción a nivel del software y controles de

procedimientos para la migración de programas software aprobados y probados.
 CONCLUSIÓN

Las auditorias informáticas se conforman obteniendo información

y documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes medios. El trabajo del auditor consiste en lograr obtener toda la
información necesaria para emitir un juicio global objetivo, siempre amparando las
evidencias comprobatorias.
El auditor debe estar capacitado para comprender los mecanismos que se
desarrollan en un procesamiento electrónico. También debe estar preparado para
enfrentar sistemas computarizados en los cuales se encuentra la información
necesaria para auditar.
Toda empresa, pública o privada, que posean Sistemas de Información
medianamente complejos, deben de someterse a un control estricto
de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de
las empresas tienen toda su información estructurada en Sistemas Informáticos,
de aquí, la vital importancia que los sistemas de información funcionen
correctamente. El éxito de una empresa depende de la eficiencia de sus sistemas
de información. Una empresa puede contar con personal altamente capacitado,
pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la
empresa nunca saldrá a adelante.
La auditoría de Sistemas debe hacerse por profesionales expertos, una auditoria
mal hecha puede acarrear consecuencias drásticas para la empresa auditada,
principalmente económicas.
En conclusión la auditoria informática es la indicada para evaluar de manera
profunda, una determinada organización a través de su sistema de información
automatizado, de aquí su importancia y relevancia.
Bibliografía.

 Hernández, Enrique. 1997. "Auditoria Informática: Un Enfoque Metodológico

y Practico” Continental. México
 Pinilla Forero, José Dagoberto. “Auditoria Informática: Un Enfoque
Operacional” Ecoe Ediciones. Colombia
 Auditoria de tecnologías y sistemas de información Mario piattini velthuis,
Emilio del peso Navarro, Mar del Peso Ruiz ALFAOMEGA RA-MA
 CUESTIONARIO

1. DETERMINE CUAL DE LAS SIGUIENTES OPCIONES PERTENECE A LA DEFINICION DE LA

AUDITORIA INFORMATICA
A. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos.
B. La auditoría informática es definir, recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado actualiza los activos, mantiene la unión
de los datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.
C. La auditoría informática es el proceso de procesar evidencias para determinar si
un sistema informatizado salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.
D. La auditoría informática es el proceso de investigar las evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización y
utiliza eficientemente los recursos.
2. CUAL DE LAS SIGUIENTES DEFINICIONES PERTENECE AL CONTROL INTERNO.
A. Se puede definir el control interno como "cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades que
puedan afectar al funcionamiento de un sistema para lograr o conseguir sus
objetivos.
B. Se puede definir el control interno como "sistema automático que sirve para
prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento
de un sistema para lograr o conseguir sus objetivos.
C. Se puede definir el control interno como "control que sirve para corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para lograr o
conseguir sus objetivos.
D. Se puede definir el control interno como "cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades que
puedan ayudar al funcionamiento de un sistema para lograr o conseguir sus
objetivos.
3. DETERMINE A QUE PERTENECE LA SIGUIENTE DEFINICION:
Facilitan la vuelta a la normalidad cuando se han producido incidencias.
A. Controles Detectivos
B. Controles Correctivos
C. Control Interno
D. Control Externo
E. Ninguna de las anteriores
4. CUAL DE LOS SIGUIENTES PERTENECE A LOS OBJETIVOS DE LA AUDITORIA INFORMATICA.
A. Comprobar la eficacia de los sistemas implantados.
B. Garantizar la seguridad física y lógica.
C. Comprobar si se ha estudiado el coste / beneficio.
D. Evaluar la fiabilidad de los sistemas informáticos, en cuanto a la exactitud de los
datos y a las informaciones tratadas.
E. Todas las anteriores
5. INDIQUE A QUE PERTENECE LA SIGUIENTE DEFINICION:
Configuración del soporte físico, en torno del sistema operativo, software con particiones,
entornos (pruebas y real), bibliotecas de programas y conjunto de datos.
A. Configuración del ordenador base
B. Entorno de aplicaciones
C. Entorno de red
D. Entorno del sistema
E. Ninguna de las anteriores
6. DETERMINE A QUE PERTENECE LA SIGUIENTE DEFINICION:
Incluye las tres clases de controles fundamentales implantados en el software del sistema,
integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
A. Seguridad
B. Gestión de cambio
C. Administración de sistema
D. Gestión de sistema de información
E. Ninguna de ellas.