UNIDAD I

INTRODUCCIÓN A LA
AUDITORIA INFORMÁTICA
CONCEPTO DE AUDITORIA:

La auditoría es el examen crítico y sistemático que

realiza una persona o grupo de personas

independientes del sistema auditado.

Función a desarrollar de una Auditoria

 Investigación constante de planes y objetivos
 Estudio de las políticas y sus prácticas
 Revisión constante de la estructura orgánica
 Estudio constante de las operaciones de la
empresa
 Analizar la eficiencia de la utilización de recursos
humanos y materiales

 Revisión del equilibrio de las cargas de trabajo

 Revisión constante de los métodos de control

1.1.- CONCEPTOS DE AUDITORIA
INFORMÁTICA

 Proceso metodológico ejecutado por especialistas

del área de auditoría y de informática.
 Orientado a la verificación y aseguramiento de que
las políticas y procedimientos establecidos para
el manejo y uso adecuado de la tecnología de
información, se lleven a cabo de manera
oportuna y eficiente.
 Que operen en un ambiente se seguridad y control
para generar confiabilidad, integridad, exactitud,
etc. en los datos.
 Debe generar un informe que indique las
observaciones, recomendaciones y áreas de
oportunidad para el mejoramiento y optimización
de las Tecnologías de Información.
Los objetivos de la auditoría Informática son:
 El control de la función informática
 El análisis de la eficiencia de los Sistemas
Informáticos
 La verificación del cumplimiento de la Normativa en
este ámbito
 La revisión de la eficaz gestión de los recursos
informáticos.
La auditoría informática sirve para mejorar

ciertas
características en la empresa como:

 - Eficiencia
 - Eficacia
 - Rentabilidad
 - Seguridad
1.2.- TIPOS DE AUDITORIA

Au d it o ría In t e rn a

Au d it o ría in fo rm á t ic a

Au d it o ría Ext e rn a
La auditoría interna
Es la realizada con recursos materiales y personas

que pertenecen a la empresa auditada. Los

empleados que realizan esta tarea son

remunerados
económicamente. La auditoría interna existe por

expresa decisión de la Empresa, o sea, que puede

optar por su disolución en cualquier momento.

Por otro lado,

La auditoría externa

Es realizada por personas afines a la empresa

auditada; es siempre remunerada. Se presupone

una
mayor objetividad que en la Auditoría Interna,

debido
al mayor distanciamiento entre auditores y
q El auditor tiene relación con la empresa.
q La relación con la empresa puede influir en la emisión del juicio
sobre la evaluación de las áreas de la empresa.
q Informe para uso interno.
q Permite detectar problemas y desviaciones.
q Puede actuar periódicamente como parte de su Plan Anual.
q Los auditados conocen estos planes y se habitúan a las Auditorías.
q Las Recomendaciones habidas benefician su trabajo.




q El auditor no tiene relación con la empresa

q Revisión independiente con total libertad de criterio sin ninguna

influencia

q Realizadas por despachos de auditores

q
Au d it o ria In t e rn a Au d it o ria Ext e rn a
Generalmente solicitado por instituciones gubernamentales


1.3.- CAMPO DE LA AUDITORIA INFORMÁTICA

Algunos campos de aplicación de la informática son

las
siguientes:

 Investigación científica y humanística: Se usan

las computadoras para la resolución de cálculos

matemáticos, recuentos numéricos, etc. Algunas de

estas operaciones:

 Resolución de ecuaciones.
 Análisis de datos de medidas
experimentales, encuestas etc.
 Análisis automáticos de textos.
 Aplicaciones técnicas: Usa la computadora para
facilitar diseños de ingeniería y de productos

comerciales, trazado de planos, etc. Algunas de estas

operaciones:

 Análisis y diseño de circuitos de computadora.
 Cálculo de estructuras en obras de ingeniería.
 Minería.
 Cartografía.

 Documentación e información: Es uno de los
campos más importantes para la utilización de

computadoras. Estas se usan para el

almacenamiento
de grandes cantidades de datos y la recuperación

controlada de los mismos en bases de datos.

Ejemplos de este campo de aplicación son:

 Documentación científica y técnica.

 Archivos automatizados de bibliotecas.
 Bases de datos jurídicas.
 Gestión administrativa: Automatiza las
funciones
de gestión típicas de una empresa. Existen

programas
que realizan las siguientes actividades:

 Contabilidad.
 Facturación.
 Inteligencia artificial: Las computadoras se
programan de forma que emulen el

comportamiento
de la mente humana. Los programas responden

como
previsiblemente lo haría una persona inteligente.

Aplicaciones como:

 Reconocimiento del lenguaje natural.
 Programas de juego complejos (ajedrez).
 Instrumentación y control: Instrumentación
electrónica, electromedicina, robots industriales,

entre otros.


1.4.- CONTROL INTERNO

Se puede definir el control interno como "cualquier actividad

o
acción realizada manual y/o automáticamente para prevenir,

corregir errores o irregularidades que puedan afectar al

funcionamiento de un sistema para lograr o conseguir sus

objetivos.

Los controles internos se clasifican en los siguientes:

 Controles preventivos: Para tratar de evitar el hecho,
como un software de seguridad que impida los
accesos no autorizados al sistema.
 Controles detectivos: Cuando fallan los preventivos
para tratar de conocer cuanto antes el evento. Por
ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para
detectar errores u omisiones.etc.
 Controles correctivos: Facilitan la suelta a la
normalidad cuando se han producido incidencias. Por
ejemplo, la recuperación de un fichero dañado a partir
de las copias de seguridad.
Para la implantación de un sistema de controles
internos
informáticos habrá que definir:

 Gestión de sistema de información: políticas,

pautas y normas técnicas que sirvan de base
para el diseño y la implantación de los sistemas
de información y de los controles
correspondientes.
 Administración de sistemas: Controles sobre la
actividad de los centros de datos y otras
funciones de apoyo al sistema, incluyendo la
administración de las redes.
 Seguridad: incluye las tres clases de controles
fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad
(control de acceso) y disponibilidad.
 Gestión del cambio: separación de las pruebas y
la producción a nivel del software y controles de
procedimientos para la migración de programas
1.5.- MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos de

control interno.

Los modelos de control interno COSO y COBIT son los dos

modelos más difundidos en la actualidad.

COSO esta enfocado a toda la organización, contempla

políticas, procedimientos y estructuras organizativas

además de procesos para definir el modelo de control

interno.

Mientras que COBIT (Control Objectives for Information

and
Related Technology, Objetivos de Control para Tecnología

de Información y Tecnologías relacionadas) se centra en

el
entorno IT, contempla de forma específica la seguridad de

la
información como uno de sus objetivos, cosa que COSO

no
hace. Además el modelo de control interno que presenta

COBIT es más completo, dentro de su ámbito.

Existen otros tipos de modelos los cuales se mencionan a continuación:
 OECD (Organization for Economic Cooperation and Development)
 GAPP (Generaly Accepted Principles and Practices). National
Institute of Standards and Technology (NIST)
 BS 7799 (British Standard Institute)
 SAC (Security Auditability and Control). The Inst. of Internal Audit.
 COSO (Internal Control Integrated Framework. Committee of
Sponsoring Organizations)
 SSE CMM (Systems Security Engineering Capability Maturity Model)
 National Security Agency (NSA) Defense- Canada.
 CoCo (Criteria of Control Board of The Canadian Instituteof
Chartered Accountants.)
 ITCG (Information Technology Control Guidelines). Canadian
Institute of Chartered Accountants(CICA)
 GASSP (Generaly Accepted System Security Principles).
International Information Security Foundation (IISF)
 Cobit (Control Objectives for Information and Related Technologies)
 FISCAM (Federal Information Systems Controls Audit Manual). GAO
 SysTrust (AICPA/CICA SysTrust Principles and Criteria for System
Reliability)
 SSAG (System Self-Assessment Guide for Information Technology
Systems). NIST
COBIT - DEFINICIÓN

 Es un marco de control interno de TI.

 Parte de la premisa de que la TI requiere
proporcionar información para lograr los
objetivos de la organización.
 Promueve el enfoque y la propiedad de los
procesos.
 Apoya a la organización al proveer un marco que
asegura que:
 La Tecnología de Información (TI) esté alineada
con la misión y visión.
 LA TI capacite y maximice los beneficios.
 Los recursos de TI sean usados
responsablemente.
 Los riesgos de TI sean manejados
apropiadamente.
COBIT - PRINCIPIOS

Requerimientos
de información
del negocio

Procesos
de TI

Recursos
de TI
COBIT - ESTRUCTURA

Crit e rio s d e la In f o rm a c ió n

a d
li d a

Re c u rs o Hu m a n o
ad b i
r i d
l id ia u
a f g

In s t a la c io n e s
n
C
C o Se
d

Te c n o lo g ía
Ap lic a c io n e s
D o m in io s
P ro c e s o s TI

Da t o s
P ro c e s o TI
s de
o s
Ac t iv id a d e s s
u r
e c
R
COBIT – REQUERIMIENTOS DE LA
INFORMACIÓN DEL NEGOCIO

COBIT combina los principios contenidos por modelos

existentes y conocidos, como COSO, SAC Y SAS.


Requerimientos Calidad.
 Costo.
de Calidad
Oportunidad.

Requerimientos Efectividad y eficiencia operacional.

Financieros Confiabilidad de los reportes financieros
(COSO) Cumplimiento de leyes y regulaciones.

Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
COBIT – REQUERIMIENTOS DE LA
INFORMACIÓN DEL NEGOCIO

 Efectividad: Información relevante y pertinente,

proporcionada en forma oportuna, correcta, consistente
y utilizable
 Eficiencia: Empleo óptimo de los recursos.
 Confidencialidad: Protección de la información sensitiva
contra divulgación no autorizada
 Integridad: Información exacta y completa, así como
válida de acuerdo con las expectativas de la
organización.
 Disponibilidad: accesibilidad a la información y la
salvaguarda de los recursos y sus capacidades.
 Cumplimiento: Leyes, regulaciones y compromisos
contractuales.
 Confiabilidad: Apropiada para la toma de decisiones
adecuadas y el cumplimiento normativo
COBIT – RECURSOS DE TI

q Datos: Todos los objetos de información interna y

externa, estructurada o no, gráficas, sonidos,
etc.
q Aplicaciones: Sistemas de información, que
integran procedimientos manuales y
sistematizados.
q Tecnología: Hardware y software básico,
sistemas operativos, de administración de
bases de datos, de redes, telecomunicaciones,
multimedia, etc.
q Instalaciones: Recursos necesarios para alojar y
dar soporte a los sistemas.
q Recurso Humano: Habilidad, actitud y
productividad del personal.
COBIT – PROCESOS DE TI – TRES NIVELES

Agrupación natural de procesos,

Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades unidas
con delimitación o cortes de control.

Actividades
Acciones requeridas para lograr un
o tareas resultado medible. Las Actividades
Tienen un ciclo de vida mientras que las
tareas son discretas.
1.6.- PRINCIPIOS APLICADOS A AUDITORES
INFOMÁTICOS

PRINCIPIO DE BENEFICIO DE AUDITADO

En este principio el auditor debe conseguir la

máxima eficacia y rentabilidad de los medios

informáticos de la empresa auditada, no debe de

ningún modo obtener beneficio propio.

PRINCIPIO DE CALIDAD
En el auditor deberá prestar sus servicios conforme

las posibilidades de la ciencia y medios a su

alcance
con absoluta libertad respecto a la utilización de

dichos medios y en unas condiciones técnicas

adecuadas para el idóneo cumplimiento de su

labor.


PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la
confianza
del auditoreo en base a una actuación de

transparencia en su actividad profesional sin

alardes
PRINCIPIOS APLICADOS A AUDITORES
INFOMÁTICOS

PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la

realización de la auditoría encomendada, maximice

teniendo en cuenta que, a los auditados en algunos

casos les puede ser extremadamente difícil verificar

sus recomendaciones y evaluar correctamente la

precisión de las mismas.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

El auditor, tanto en sus relaciones con el auditado

como con terceras personas, deberá, en todo

momento, actuar conforma a las normas, implícitas o

explícitas, de dignidad de la profesión y de corrección

en el trato personal.


PRINCIPIO DE CRITERIO PROPIO

El auditor durante la ejecución deberá actuar con

criterio propio y no permitir que esté subordinado al

de
otros profesionales, aun de reconocido prestigio, que

no
coincidan con el mismo.

P RIN CIP IOS AP LICAD OS A AUD ITORES
IN FOMÁTICOS

PRINCIPIO DE CONCENTRACION EN EL TRABAJO

El auditor deberá evitar que un exceso de trabajo supere sus

posibilidades de concentración y precisión en cada una de

las
tareas a él encomendadas, y a que la estructuración y

dispersión de trabajos suele a menudo, si no está

debidamente
controlada, provocar la conclusión de los mismos sin las

debidas garantías de seguridad.

PRINCIPIO DE DISCRECIÓN
El auditor deberá en todo momento mantener una cierta

discreción en la divulgación de datos, aparentemente

inocuos,
que se le hayan puesto de manifiesto durante la ejecución

de
la auditoria.

PRINCIPIO DE ECONOMÍA
El auditor deberá proteger, en la medida de sus

conocimientos, los derechos económicos del auditado

P RIN CIP IOS AP LICAD OS A AUD ITORES
IN FOMÁTICOS
PRINCIPIO DE FORMACIÓN CONTINUADA
Este principio impone a los auditores el deber y la

responsabilidad de mantener una permanente

actualización
de sus conocimientos y métodos a fin de adecuarlos a las

necesidades de la demanda y a las exigencias de la

competencia de la oferta.

PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA

PROFESIÓN

La defensa de los auditados pasa por el fortalecimiento de

la
profesión de los auditores informáticos, lo que exige un

respeto por el ejercicio, globalmente considerado, de la

actividad desarrollada por los mismos y un

comportamiento
acorde con los requisitos exigibles para el idóneo

cumplimiento de la finalidad de las auditorias.

PRINCIPIO DE INDEPENDENCIA
Esta relacionado con el principio de criterio propio, obliga

al
auditor, tanto si actúa como profesional externo o con

dependencia laboral respecto a la empresa en la que deba

P RIN CIP IOS AP LICAD OS A AUD ITORES
IN FOMÁTICOS

PRINCIPIO DE INFORMACIÓN SUFICIENTE

Este principio obliga al auditor a aportar, en forma

pormenorizada, clara, precisa e inteligible para el

auditado, información de los puntos y conclusiones

relacionados con la auditoria.

PRINCIPIO DE INTEGRIDAD MORAL

Este principio, inherentemente ligado a la dignidad

de la persona, obliga al auditor a ser honesto, leal y

diligente en el desempeño de su misión, a

ajustarse a
las normas morales de justicia y prioridad.

PRINCIPIO DE LEGALIDAD
La primacía de esta obligación exige del auditor un

comportamiento activo de oposición a todo intento,

por parte del auditado o de terceras personas,

tendente a infringir cualquier precepto integrado

en
el derecho positivo.


P RIN CIP IOS AP LICAD OS A AUD ITORES
IN FOMÁTICOS

PRINCIPIO DE LIBRE COMPETENCIA

La actual economía de mercado exige que el

ejercicio
de la profesión se realice en el marco de la libre

competencia siendo rechazables, por tanto, las

prácticas colusorias tendentes a impedir o limitar la

legitima competencia de otros profesionales.

PRINCIPIO DE NO DISCRIMINACIÓN
El auditor en su actuación previa, durante y

posterior a la auditoria deberá evitar cualquier tipo

de condicionantes personalizados y actuar en todos

los casos con similar diligencia.

PRINCIPIO DE NO INJERENCIA
El auditor, deberá evitar injerencias en los trabajos

de otros profesionales, respetar su labor y eludir

hacer comentarios que pudieran interpretarse

como
despreciativos de la misma, deberá igualmente

evitar
aprovechar los datos.
P RIN CIP IOS AP LICAD OS A AUD ITORES
IN FOMÁTICOS
PRINCIPIO DE PRECISIÓN
Este principio exige del auditor la no conclusión de
su trabajo hasta estar convencido, en la medida de

lo
posible, de la viabilidad de sus propuestas.

PRINCIPIO DE PUBLICIDAD ADECUADA

La oferta y promoción de los servicios de auditoria
deberán en todo momento ajustarse a las

características, condiciones y finalidad

perseguidas.


PRINCIPIO DE RESPONSABILIDAD
El auditor deberá, como elemento intrínseco de
todo
comportamiento profesional, responsabilizarse de

lo
que haga, diga o aconseje.

PRINCIPIO DE SECRETO PROFESIONAL

La confidencia y confianza entre el auditor y el

auditado e imponen al primero la obligación de

guardar en secreto los hechos e informaciones que

P RIN CIP IOS AP LICAD OS A AUD ITORES
IN FOMÁTICOS

P RIN CIP IO D E S ERVICIO P UBLICO

La a p lic a c ió n d e e s t e p rin c ip io d e b e in c it a r a l
a u d it o r
a h a c e r lo q u e e s t e e n s u m a n o y s in p e rju ic io d e
lo s
in t e re s e s d e s u c lie n t e , p a ra e vit a r d a ñ o s s o c ia le s .

P RIN CIP IO D E VERACID AD

El Au d it o r e n s u s c o m u n ic a c io n e s c o n e l a u d it a d o
d e b e rá t e n e r s ie m p re p re s e n t e la o b lig a c ió n d e
a s e g u ra r la ve ra c id a d d e s u s m a n ife s t a c io n e s c o n
lo s lim it e s im p u e s t o s p o r lo s d e b e re s d e re s p e t o ,
c o rre c c ió n , y s e c re t o p ro fe s io n a l.
1.7.- RESPONSABILIDADES DE LOS
ADMINISTRADORES Y EL AUDITOR
El auditor informático debe ser una persona con un alto grado de
calificación técnica y al mismo tiempo estar integrado a las corrientes
organizativas empresariales. Es responsable de realizar las siguientes
actividades:

Verificación del control interno tanto de las aplicaciones como de los SI,
periféricos, etc.
Análisis de la administración de Sistemas de Información, desde un
punto de vista de riesgo de seguridad, administración y efectividad de la
administración.
Análisis de la integridad, fiabilidad y certeza de la información a través
del análisis de aplicaciones.
Auditoría del riesgo operativo de los circuitos de información
Análisis de la administración de los riesgos de la información y de la
seguridad implícita.
Verificación del nivel de continuidad de las operaciones.
Análisis del Estado del Arte tecnológico de la instalación revisada y las
consecuencias empresariales que un desfase tecnológico puede acarrear.
Diagnóstico del grado de cobertura que dan las aplicaciones a las
necesidades estratégicas y operativas de información de la empresa.
RESPONSABILIDADES DE LOS ADMINISTRADORES Y
EL AUDITOR

Organización de la función de Auditoría Informática

La función de la auditoría informática se ha convertido en una
función que desarrolla un trabajo más acorde con la importancia
que para las organizaciones tienen los SI, que son su objeto de
estudio y análisis. El auditor informático pasa a ser auditor y
consultor de empresas en materias de:

•Seguridad
•Control interno operativo
•Eficiencia y eficacia
•Tecnologías de Información
•Continuidad de operaciones
•Administración de riesgos
RESPONSABILIDADES DE LOS ADMINISTRADORES Y
EL AUDITOR

 Su localización puede estar ligada a la auditoría interna operativa

y financiera (aunque exista una coordinación lógica entre
ambos departamentos), con independencia de objetivos,
planes de formación y presupuestos.
 Debe ser un grupo independiente del de auditoría interna, con
acceso total a los SI y demás tecnología, que depende de la
misma persona que la auditoría interna (Director General o
Consejero)
 La dependencia debe ser del máximo responsable de la
organización, nunca del departamento de sistemas o del
financiero. Esto es para que no se pueda sospechar que existe
sesgo al momento de realizar el trabajo de auditoría y ofrecer
conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el
departamento debe ser una mezcla equilibrada de
personas con formación en auditoría y organización y
con perfil informático (especialidades).