Auditoria de Sistemas IS-547

Ingeniera de Sistemas

LA AUDITORIA

SEM
1

Introduccin
Hoy en da, las tecnologas de la informacin estn presentes en todas las reas de las organizaciones.
Esta implantacin generalizada de SI se ha realizado en muchos casos sin la necesaria planificacin, en
parte porque los conceptos necesarios no estaban suficientemente desarrollados. La tendencia hacia los
sistemas abiertos, la interconexin global y el deseo por parte de los consumidores de independizarse de
los fabricantes traen consigo la necesidad de un estudio ms profundo de los SI antes de tomar
decisiones. Por lo tanto, se hace necesario mejorar la planificacin de futuras implementaciones, la
compatibilidad entre sistemas y la organizacin del personal y de la empresa.
En los ltimos tiempos el ejercicio en las actividades de auditoria y control en tecnologas informticas, ha
auspiciado un desenvolvimiento mas que acelerado de todas las dems actividades inmersas en la
economa de un pas. Esto, da pie a pensar que las tareas realizadas por ellas han de ser igualmente
auditadas.
En las organizaciones modernas, tanto pblicas como privadas, la misin de las tecnologas de la
informacin es facilitar la consecucin de sus objetivos estratgicos. Para ello, se invierte una
considerable cantidad de recursos en personal, equipos y tecnologa, adems de los costos derivados de
la posible organizacin estructural que muchas veces conlleva la introduccin de estas tecnologas. Esta
importante inversin debe ser constantemente justificada en trminos de eficacia y eficiencia. Por tanto, el
propsito a alcanzar por una organizacin que contrata la auditoria de cualquier parte de sus SI es
asegurar que sus objetivos estratgicos son los mismos que los de la propia organizacin y que los
sistemas prestan el apoyo adecuado a la consecucin de estos objetivos, tanto en el presente como en su
evolucin futura.
Definicin de Auditoria
La auditora puede definirse como el examen comprensivo y constructivo de la estructura organizativa de
una empresa de una institucin o departamento gubernamental; o de cualquier otra entidad y de sus
mtodos de control, medios de operacin y empleo que d a sus recursos humanos y materiales.

Conceptualmente la auditora, toda y cualquier auditora, es la actividad consistente en la emisin de una

opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que
pretende reflejar y/o cumple las condiciones que le han sido prescritas.

Podemos descomponer este concepto en los elementos fundamentales que a continuacin se

especifican:

1. Contenido

una opinin

2. Condicin

profesional

3. Justificacin :

EGM

sustentada en determinados procedimientos

Pgina 1 de 5

Auditoria de Sistemas IS-547

Ingeniera de Sistemas

4. Objeto

una determinada informacin obtenida en un cierto soporte

5. Finalidad

determinar si presenta adecuadamente la realidad o sta responde a

las expectativas que le son atribuidas, es decir, su fiabilidad.

Clase

Objeto a evaluar

Finalidad

Financiera

Cuentas anuales

Presentan realidad

Sistemas de aplicacin, recursos

Informtica

informticos, planes de contingencia,

Operatividad eficiente y segn

normas establecidas.

etc.
Gestin

Direccin

Cumplimiento

Normas establecidas

Eficacia, eficiencia, econmica

Las operaciones se adecuan a
estas normas

En todo caso es una funcin que se acomete a posteriori, en relacin con actividades ya
realizadas, sobre las que hay que emitir una opinin.
La auditora se clasifica en Auditora Financiera y Operativa.
La auditora financiera efecta un examen sistemtico de los estados financieros, los registros y las
operaciones correspondientes, para determinar la observancia de los principios de contabilidad
generalmente aceptados, de las polticas de la administracin y de la planificacin

La auditora operativa cae dentro de la definicin general de auditora y se define:

Un examen sistemtico de las actividades de una organizacin ( de un segmento estipulado de las
mismas) en relacin con objetivos especficos, a fin de evaluar el comportamiento, sealar oportunidades
de mejorar y generar recomendaciones para el mejoramiento o para potenciar el logro de objetivo
Qu es Auditora en Informtica?

Auditora en Informtica es la revisin y evaluacin de los controles, sistemas, procedimientos de

informtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin
que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir
para la adecuada toma de decisiones.

Un conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un

sistema informtico , con el fin de proteger sus activos y recursos, verificar si sus actividades se
desarrollan eficientemente y de acuerdo con la normativa informtica y general existente en cada
empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente.

La auditoria informtica abarca conceptos tanto de auditoria como de consultora (no son
trminos equivalentes y es preciso distinguirlos).

EFICACIA : VIRTUD, ACTIVIDAD y PODER PARA OBRAR

EGM

Pgina 2 de 5

Auditoria de Sistemas IS-547

Ingeniera de Sistemas
EFICAZ

: Activo, fervoroso, poderoso para obrar.

EFICIENCIA: VIRTUD y FACULTAD PARA LOGRAR UN EFECTO DETERMINADO. ACCION CON

QUE SE LOGRA ESTE EFECTO. Aptitud, competencia, eficacia en el cargo que se ocupa o trabajo
que se desempea.

Econ: UTILIZACION RACIONAL DE LOS RECURSOS PRODUCTIVOS, ADECUANDOLOS CON

LA TECNOLOGIA EXISTENTE.
EFICIENTE : QUE TIENE EFICIENCIA.
Bases sobre las que se sustenta la Auditora en SI
En la actualidad los temas relativos a la auditora informtica cobran cada vez ms relevancia, debido a
que la informacin se ha convertido en el activo ms importante de las empresas, representando su
principal ventaja estratgica, por lo que estas invierten enormes cantidades de dinero y tiempo en la
creacin de sistemas de informacin, con el fin de obtener la mayor productividad y calidad posibles.
Hoy, estamos inmersos en un profundo cambio, las empresas y organizaciones dependen de las pautas
econmicas, industriales, y sociales en las que se encuentran inmersas, por lo tanto, si las tendencias
tecnolgicas y los entornos econmicos e industriales cambian, deben adaptarse rpidamente a las
nuevas circunstancias para sobrevivir.
Este cambio es muy rpido, est afectando al mundo entero, y su comprensin es fundamental para las
organizaciones de todo tipo, particularmente en el contexto de los sistemas y tecnologas de informacin.
Aunque los avances tecnolgicos de los ltimos veinte aos han sido constantes y espectaculares, en los
ltimos cinco se ha producido una verdadera revolucin tecnolgica de gran envergadura e impacto para
la propia industria informtica, as como de consecuencias importantes para el resto de sectores.
Cada vez, con mayor frecuencia, un mayor nmero de organizaciones considera que la informacin y la
tecnologa asociada a ella representan sus activos ms importantes. Entonces, de igual modo que se
exige para los otros activos de la empresa, los requerimientos de calidad, controles, seguridad e
informacin, son indispensables. Los directivos, por ende, deben establecer un sistema de control interno
adecuado y tal sistema debe soportar debidamente los procesos del negocio.
Haciendo eco de estas tendencias, la Organizacin ISACA (Information Systems Audit and Control
Association), a travs de su Fundacin, public en diciembre de 1995 el COBIT, como resultado de cuatro
aos de intensa investigacin y del trabajo de un gran equipo de expertos internacionales. Siendo est
metodologa el marco de una definicin de estndares y conducta profesional para la gestin y el control
de los SI, en todos sus aspectos, unificando diferentes estndares, mtodos de evaluacin y controles
anteriores. Adicionalmente, esta metodologa aporta la orientacin hacia el negocio y est diseada no
solo para ser utilizada por usuarios y auditores, sino tambin como una extensa gua para gestionar los
procesos de negocios.

EGM

Pgina 3 de 5

Auditoria de Sistemas IS-547

Ingeniera de Sistemas
Apertura interdisciplinaria de la Auditoria
Toda entidad tiene que hacer frente a riesgos de la ms variada ndole, que le pueden afectar de las ms
diversas formas posibles dentro de la actividad de la empresa. Las empresas deben determinar cules
son los niveles de riesgo aceptables y tratar de evitar que sobrepasen esos lmites.
Pero, antes de determinar los riesgos, hay que determinar los objetivos. Cada entidad debe determinar
sus objetivos, sus puntos fuertes y dbiles y las oportunidades y amenazas del entorno. De esta manera
obtendr un plan estratgico que identificar los factores de xito o condiciones para alcanzar sus
objetivos. Los objetivos pueden clasificarse entre objetivos operacionales, objetivos relacionados con la
informacin financiera y objetivos de cumplimiento.
Una vez identificados los objetivos, podemos pasar a la identificacin y el anlisis de riesgos. La direccin
debe identificar los riesgos existentes en todos los niveles de la empresa, hay muchos procedimientos
para proceder a su identificacin pero no es relevante cul de ellos se use. Una vez identificados, la
direccin debe realizar un anlisis de los factores que generan los riesgos, de manera que debe estimar la
importancia de los mismos, evaluar la probabilidad de que se den y analizar cmo han de gestionarse
(estableciendo medidas que tiendan a limitarlos o reducirlos).
Hay que tener en cuenta que los cambios producidos en la economa, el sector de actividad, la
reglamentacin y las actividades de las empresas hacen que un sistema de control interno que se
considera eficaz en un contexto determinado quizs no lo ser en otro. El anlisis de riesgos es, por tanto,
una actividad que debe renovarse de forma continuada. La direccin debe estar permanentemente alerta
para detectar las circunstancias que van modificando el entorno y por consiguiente los riesgos a enfrentar.
Las actividades de control, junto con ciertas actividades de gestin, nos ayudarn a evitar que los riesgos
a los que est sujeta la entidad se lleguen a materializar y produzcan efectos negativos en sta. Las
actividades de control se traducen en polticas (lo que debe de hacerse) y procedimientos (mecanismos
concretos de control).
El objeto sometido a estudio, sea cual sea su soporte, por un lado, y la finalidad con que se realiza el
estudio, por otro, definen el tipo de auditora que se esta manejando. De esta manera podramos clasificar
los tipos de auditoria segn la siguiente tabla:

EGM

Pgina 4 de 5

Auditoria de Sistemas IS-547

Ingeniera de Sistemas
Modelo de metodologa COBIT, para la implementacin de la auditora en cualquier negocio.
La misin y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de
control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de
negocios y auditores.
COBIT ha sido desarrollado como estndares generalmente aplicables y aceptados para mejorar las
prcticas de control y seguridad de las TI, que provean un marco de referencia para la administracin, los
usuarios y los auditores de cualquier tipo. Bsicamente consta de 4 pasos, los cuales conforman el
planeamiento y realizacin de una auditoria, ellos son:
Resumen Ejecutivo
El Resumen Ejecutivo se basa en una visin ejecutiva, la cual provee a la administracin un
entendimiento de los principios y conceptos claves de COBIT, as como el marco que provee a la
administracin con ms detalle y entendimiento de COBIT y define cuatro dominios con sus
correspondientes procesos de TI, 34 en total.

Antecedentes y Marco de Referencia

El Marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los
requerimientos del negocio para la informacin e impactos preliminares de recursos de TI para cada
objetivo de control.
Los objetivos de control contienen declaraciones de los resultados deseados o propsitos a ser
alcanzados para la implementacin de 302 objetivos de control especficos, a travs de los 34 Procesos
de TI.
Guas de Auditora
Las Guas de Auditora, las cuales contienen pasos de auditora sugeridos, correspondientes a cada uno
de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de informacin en revisar los
procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administracin
y recomendar sus mejoras.
Herramientas de Implementacin
Las Herramientas de implementacin, las cuales contienen el conocimiento de la administracin y
diagnstico de control de TI, una gua de implementacin. Esta nueva herramienta es diseada para
facilitar la implementacin de COBIT y relacionar sesiones aprendidas desde organizaciones que
rpidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.

EGM

Pgina 5 de 5