Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informacin
Y Comunicaciones
Auditoria de TI
Investigacin:
Unidad 1
Introduccin a la auditoria
SEGURIDAD DE TI | Unidad 1
Contenido
Introduccin a la auditora .................................................................................................................. 3
1.1.
b)
c)
1.2.
Fases de la auditora............................................................................................................ 8
Favorable ........................................................................................................................... 11
2.
Desfavorable ..................................................................................................................... 11
3.
4.
Recomendaciones ......................................................................................................................... 11
Ensayo ............................................................................................................................................... 13
Referencias ........................................................................................................................................ 14
Introduccin a la auditora
La informacin que es tratada en una organizacin es un recurso crtico que debera ser
protegido, ya que la misma es la base de la mayora de las decisiones que son adoptadas a
lo largo del tiempo. Para tener una seguridad razonable sobre si la informacin es exacta y
completa, estar disponible y confidencial es necesario la implementacin de controles
internos informticos, que adems ayudan a cumplir con las exigencias legales en materia
de Derecho Informtico y a asegurar que los sistemas automticos de procesamiento de la
informacin funcionan de acuerdo a lo que se espera de ellos.
Auditoria interna
Es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad
econmica realizado por un profesional que tiene vnculos laborales con la misma,
utilizando sus propios recursos, con el objeto de emitir informes y generar sugerencias para
el mejoramiento de la misma y se recomienda hacerla mnimo cada dos aos.
Auditoria externa
Debe hacerse por una persona o firma independiente de capacidad profesional reconocida
que ofrezca una opinin imparcial y profesionalmente externa, el dictamen un opinin
independiente tiene trascendencia a terceros, pues da plena validez a la informacin
generada por el sistema ya que se produce bajo la figura de la fe pblica, que obliga a los
mismos a tener plena credibilidad en la informacin examinada.
Normas de seguridad.
Control de informacin clasificada.
Control dual de la seguridad informtica.
Licencias y relaciones contractuales con terceros.
Asesorar y transmitir cultura sobre el riesgo informtico.
Similitudes
Diferencias
Auditor informtico
Personal interno.
Conocimientos especializados en Tecnologas de la Informacin.
Verificacin del cumplimiento de controles internos, normativas y procedimientos
establecidos por la Direccin de Informtica y la Direccin General para los sistemas
de informacin.
Inicio
Planificacin estratgica,
planificacin
administrativa,
planificacin tcnica
Planificar
Ejecutar
el
trabajo
Corregir
Revisar
Realizar pruebas de
cumplimiento, pruebas
sustantivas, elaborar informes
y distribuir informes
Reorganizar y archivar
Fin
papeles de trabajo
Preparacin o inicio
Se concreta en la primera entrevista con los responsables del sistema de informacin o de
la empresa. Se debe solicitar un inventario de los recursos del sistema que se va a auditar
para hacerse una idea de la extensin del sistema de informacin y, as, poder presupuestar
el trabajo de auditoria.
Planificacion
Esta fase se utiliza para asegurarse de que el alcance y el contexto de la auditoria sea
establecido correctamente, que todos los riesgos del sistema de informacin se han
identificado y cuantificado, que se asignen los recursos necesarios para que se pueda
realizar la auditoria y que se ha desarrollado un plan para tratar adecuadamente los riesgos
identificados. La actividad del plan se documenta para facilitar la gestin y la trazabilidad
de la auditoria.
10
Fase de Ejecucin
En esta fase se llevan a cabo las decisiones adoptadas, se ejecutan los procedimientos
diseados en la fase de planificacin. No es necesario que esta fase este determinada para
que se active la fase de revisin.
Fase de Revisin
El trabajo de auditoria se debe revisar, hay que asegurarse que las actividades que se hayan
detectado, se debe informar al auditor de las debilidades y de las mejoras necesarias para
prevenir o eliminar estas debilidades. En muchas ocasiones estas debilidades no permiten
alcanzar los objetivos de auditoria por lo que hay que auditar ciertos aspectos del sistema
de informacin con ms detalle, lo que conduce a la fase de correccin.
Fase de Correccin
Para que la auditoria sea efectiva, el programa de auditoria se debe ir mejorando teniendo
en cuenta los resultados obtenidos en la fase de revisin. Esto supone volver a la fase de
planificacin para redisear los programas de trabajo y continuar el ciclo de vida de
auditoria.
Fin
En un momento determinado se termina el trabajo y el ciclo se interrumpe. Es el momento
de organizar y archivar los papeles de trabajo de tal forma que se pueda reutilizar y localizar
en el futuro, si fuera necesario.
Elaboracin de reporte
Una vez realizadas todas estas fases, el auditor est en condiciones de emitir un informe en
el que exprese su opinin sobre el sistema auditado.
Tipos de informes
Por el tipo de trabajo las opiniones pueden expresarse de forma negativa o positiva. Segn
los resultados del trabajo los tipos de opiniones bsicas generalmente aceptadas en la
auditoria son cuatro.
Uno: si se concluye que el sistema es satisfactorio, el auditor dara una opinin
favorable.
Dos: si al auditor considera que es un desastre, su opinin seria desfavorable.
Tres: el sistema es satisfactorio, aunque contiene ciertas debilidades o
incumplimientos que no lo invalidan, opinin con salvedades.
Cuatro: tambin podra ocurrir que el auditor no tenga suficientes elementos de
juicio para poder opinar; en este caso no opinara y al tipo de opinin se le denomina
denegacin de opinin.
11
1. Favorable
En nuestra opinin el servicio de explotacin y las funciones que sirven de apoyo a las
Tecnologas de la Informacin se realizan con regularidad de forma ordenada y satisfacen
los requisitos empresariales.
2. Desfavorable
En nuestra opinin. Dada la importancia de los efectos de las salvedades comentadas en los
puntos X, X1 de este informe el servicio de explotacin y las funciones que sirven de apoyo
a las Tecnologas de la Informacin NO se realizan con regularidad, NI de forma ordenada
y NO satisfacen los requisitos empresariales.
3. Con salvedades
En nuestra opinin, excepto por los efectos de las salvedades que se comentan en el punto
X de este informe (En una parte del informe se indicaran cules son las salvedades y en
este mismo documento o en documento o en documento aparte se haran las
recomendaciones oportunas para mejorar el sistema; en la siguiente auditoria el auditor
comprobara la implementacin de las recomendaciones). El servicio de explotacin y las
funciones que sirven de apoyo a las Tecnologas de la Informacin se realizan con
regularidad, de forma ordenada y satisfacen los requisitos empresariales.
4. Denegacin de opinin
En el caso de que las salvedades impidan al auditor formarse una opinin del servicio de
explotacin, ya sea por falta de informacin o por no haber tenido acceso a ella por los
motivos que fueren, pero siempre ajeno a la voluntad del auditor, y no obstante, haber
intentado hacer pruebas alternativas, el auditor denegara su opinin.
Recomendaciones
Cuando el auditor, durante la realizacin de la auditoria, detecte debilidades, debe
comunicarlas al auditorio con la mayor prontitud posible. Un esquema generalmente
aceptado de como presentar las debilidades es el siguiente:
Describir la debilidad
Indicar el criterio o instrumento de medida que se ha utilizado
Indicar los efectos que puede tener en el sistema de informacin
Describir la recomendacin con la que esa debilidad se podra alimentar
Respuesta de los directivos
12
motivos porque facilita la comparacin de los informes realizados por distintos auditores.
Por tanto, siguiendo el documento G20 de las directivas de auditoria de sistemas de
informacin de ISACA (Information Systems Audit and Control Association), adems del
prrafo de opinin antes indicado, el informe de auditora deber contener informacin
adicional, los objetivos de la auditoria, el alcance que valla atener, las debilidades que se
detecten y las conclusiones a las que se lleguen. A la hora de preparar el informe, el auditor
debe tener en cuenta las necesidades y caractersticas de los que se suponen sern sus
destinatarios. El informe debe contener un prrafo en el que se indiquen los objetivos que
se deben cumplir. Si, segn la opinin del auditor, alguno de estos objetivos no se pudiera
alcanzar, se debe indicar en el informe.
En el informe de auditora de debe hacer mencin de cules son las NASIGA que se han
seguido para realizar el trabajo de auditoria. Tambin se deben indicar: las excepciones en
el seguimiento de estas normas tcnicas, motivo de no seguirlas, y cuando proceda,
tambin se deben indicar los efectos potenciales que pudieran tener en los resultados de la
auditoria.
13
Ensayo
Actualmente nadie duda que la informacin se ha convertido en uno de los activos
principales de las empresas, as las tecnologas y sistemas relacionados con la informacin
es la principal ventaja estratgica, las organizaciones invierten enormes cantidades de
dinero y tiempo en la creacin de sistemas de informacin y en la adquisicin y desarrollo
de las tecnologas que les ofrezca la mayor productividad y calidad posibles. Gracias a esto
los temas relativos a la auditoria de tecnologas y sistemas de informacin cobran cada vez
ms relevancia a nivel mundial. La Auditora de TI es una herramienta importante que sirve
para revisar que todos los controles, normas, leyes, reglamentos etc. Diseados he
implantados que hagan de manera eficaz y eficiente el funcionamiento de los procesos,
servicios y utileras que ofrecen los sistemas de informacin y comunicaciones, tambin es
til para la preparacin de una certificacin, es un hecho que ninguna auditoria es igual,
cada metodologa utilizada vara dependiendo de la unidad que se est auditando, en lo
que son similares es en los estndares que se deben seguir incluso para la elaboracin de
reportes y formatos de documentos que exponen los resultados de una actividad o
actividades de auditoria, principalmente se busca encontrar debilidades, amenazas y
riesgos de la seguridad de la informacin, uso de las tecnologas y aprovechamiento de los
recursos de una unidad econmica. Los auditores debe ser personas con un alto grado de
moralidad que apliquen su trabajo ntegramente sin ningn tipo de restricciones que
perturben los resultados reales sobre las evaluaciones echas a nivel de tecnologas de la
informacin, desde un punto de vista profesional, comprometido he imparcial, apoya las
decisiones futuras o inmediatas que ayudan a el mejoramiento del aprovechamiento de los
sistemas, redes, bases de datos, comunicaciones y tecnologas, en el momento en el que las
organizaciones adquieren conciencia sobre la necesidad de aumentar el nivel de control
sobre la gestin de sus sistemas informacin, si bien an queda la pregunta sobre que es
realmente una auditoria y como ayudar, se puede decir que los departamentos de control
interno o auditoria interna estn compuestos por perfiles muy cercanos al negocio,
principalmente financiero y operativo, as en el momento en el que el auditor informtico
comienza a plantearse objetivos de control sobre quin debe acceder a que informacin,
que puede hacer con ella, o cuestionarse la integridad de la misma, comienza a necesitar y
a obtener un conocimiento profundo sobre los procesos de negocio de la compaa, por
otra parte aumentan la confianza que se deposita en los sistemas y tecnologas de la
informacin. Es necesario tener en cuenta el objetivo de la auditoria, si es dentro del marco
de la certificacin de una norma o como un dictamen independiente con un alcance y un
objetivo determinado que sirve para informar a la direccin de una entidad o por
requerimientos externos, si existen deficiencias en la gestin de las tecnologas ya sea en el
presente o futuro.
14
Referencias
[1] Mur Bohigas, Alfonso, Los servicios de auditora interna de sistemas de informacin,
Seminario Auditoria de los Sistemas de Informacin y Control Interno(AUDISI2000),
organizado por Informticos Europeos Expertos, Madrid, febrero 2000.
[2] Lora Lara, B. y Serrano, F., La auditora a debate: presente y futuro, en Partida Doble,
n 65, marzo 1996, pginas 55 y ss.
[3] Piattini, Mario, Del Peso; Emilio y del peso Mar (2008). Auditoria de tecnologas y
sistemas de informacin. Mxico: Alfaomega Grupo Editor.
[4] Derrier, Yann (1995). Tcnicas de la auditoria informtica. Mxico: Alfaomega grupo
Editor.