Qu es la Auditoria en Sistemas de Informacin?

AUDITORIA DE SISTEMAS DE INFORMACIN

Es el examen objetivo, crtico, sistemtico, posterior y selectivo

que se hace a la administracin informtica de una
organizacin, con el fin de emitir una opinin acerca de:

La eficiencia en la adquisicin y utilizacin de los

recursos informticos.
La confiabilidad, la integridad, la seguridad y
oportunidad de informacin.
La efectividad de los controles en los sistemas de
informacin

1
 Qu es la Auditoria en Sistemas de Informacin?
AUDITORIA DE SISTEMAS DE INFORMACIN

Una auditoria de SI es diferente de una auditoria de estados

financieros. Mientras que una auditoria financiera su propsito
es evaluar si una organizacin est cumpliendo con las prcticas
contables habituales, los efectos de una auditoria de SI deben
evaluar el diseo del sistema de control interno y la eficacia.
Esto incluye pero no se limita a la eficiencia y protocolos de
seguridad, los procesos de desarrollo o de supervisin de SI.
El objetivo es evaluar la capacidad de la organizacin para
proteger sus activos de informacin y debidamente prescindir
de la informacin a personas autorizadas.

2
 Qu es la Auditoria en Sistemas de Informacin?
AUDITORIA DE SISTEMAS DE INFORMACIN

La auditoria de SI se centra en determinar los riesgos que son

relevantes para los activos de informacin, y en la evaluacin
de los controles a fin de reducir o mitigar estos riesgos.
Mediante la implementacin de controles, el efecto de los
riesgos se pueden minimizar, pero no puede eliminar por
completo todos los riesgos.

3
 Definicin
AUDITORIA DE SISTEMAS DE INFORMACIN

La auditora de SI, auditora informtica o auditora de sistemas

es un tipo de auditora consistente en el examen de los
sistemas de informacin y de los centros de proceso de datos,
instalaciones y unidades informticas de las organizaciones, con
objeto de facilitar la consecucin de los objetivos que
persiguen, tanto los del rea informtica como,
primordialmente los del conjunto de la organizacin .

Verificar la calidad de los sistemas de informacin de la

organizacin y proponer mejoras de los mismos, coherentes
con el proyecto de calidad adoptado por la organizacin
(cumplimiento de normas de calidad o modelo de excelencia en
gestin). 4
 Definicin
AUDITORIA DE SISTEMAS DE INFORMACIN

La auditora de sistemas de informacin persigue propiciar con

sus actuaciones:

El establecimiento y mantenimiento de sistemas de gestin

de la seguridad.
La reduccin de los riesgos inherentes a la utilizacin de los
SI.
El incremento de la confianza de los usuarios internos y
externos en los sistemas de informacin.

5
 Definicin
AUDITORIA DE SISTEMAS DE INFORMACIN

Comprobar el cumplimiento de los requerimientos de

negocio de la informacin, es decir las propiedades que la
informacin debe tener para optimizar su utilizacin por la
organizacin.

Analizar la gestin de los riesgos asociados a los sistemas de

informacin, proponiendo la adopcin de medidas que
mejoren el sistema de anlisis y gestin de los riesgos
informticos, o que conduzcan a que los riesgos sean
mitigados, eliminados, compartidos o aceptados por la
organizacin.

Comprobar e impulsar la seguridad de los sistemas de 6

informacin.
 Principales razones para auditar y controlar los SI
AUDITORIA DE SISTEMAS DE INFORMACIN

Toma de decisiones incorrectas

Reducir el costo de los errores
Control del uso de las TIC
Consecuencias de las prdidas de datos
Valor del hardware, del software y del personal
Privacidad de los datos personales
Fraude informtico

7
 Funcin
AUDITORIA DE SISTEMAS DE INFORMACIN

Velar por la eficacia y eficiencia del SI, de forma que ste

alcance con el menor costo posible los objetivos.

Verificar el cumplimiento de las normas y estndares

vigentes en la organizacin (leyes de firma electrnica, de
proteccin de datos de carcter personal, de propiedad
intelectual del software, etc.).

Supervisar el control interno ejercido sobre los SI

conducente a la proteccin de los activos de informacin de
informacin de la organizacin: recursos humanos, locales e
instalaciones, infraestructuras tecnolgicas, sistemas y
aplicaciones, informacin tributaria.
8
 Qu es la metodologa de Auditoria de SI?
AUDITORIA DE SISTEMAS DE INFORMACIN

Un camino estructurado de forma lgica para asegurar el

xito de proyectos de auditora de informtica.

Un grupo de etapas que pueden adaptarse a empresas

pequeas, medianas y grandes de cualquier giro para
planear y desarrollar proyectos de auditora en informtica.

9
 Metodologa y Estndares
AUDITORIA DE SISTEMAS DE INFORMACIN

Utilizacin de metodologas, instrumentos y procedimientos

operativos propios.

En la planificacin de las auditoras informticas Empleo de

marcos referenciales para la declaracin de los objetivos del
control.

En el desarrollo de las auditoras informticas empleo de

herramientas de auditora especficas.

10
 Metodologa y Estndares
AUDITORIA DE SISTEMAS DE INFORMACIN

Los organismos internacionales que se ocupan del control y

de la auditora de SI son fuente de fuente de estndares:

ISACA - Asociacin de Auditora y Control de

Sistemas de Informacin

ISO Organizacin Internacional para la

estandarizacin.

NIST Instituto Nacional de Estndares y Tecnologa

de los Estados Unidos.

11
 Metodologa y Estndares
AUDITORIA DE SISTEMAS DE INFORMACIN

En la actualidad existen tres tipos de metodologas de auditoria

informtica:

R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur

Andersen.
CHECKLIST o cuestionarios.
AUDITORIA DE PRODUCTOS (por ejemplo, Red Local
Windows NT; sistemas de Gestin de base de Datos DB2;
paquete de seguridad RACF, etc.).

12
 Metodologa y Estndares
AUDITORIA DE SISTEMAS DE INFORMACIN

En s las tres metodologas estn basadas en la minimizacin de

los riesgos, que se conseguir en funcin de que existan los
controles y de que stos funcionen. En consecuencia el auditor
deber revisar estos controles y su funcionamiento.

Las metodologas de auditora de SI son de tipo

cualitativo/subjetivo. Se puede decir que son subjetivas por
excelencia. Estn basadas en profesionales de gran nivel de
experiencia y formacin, capaces de dictar recomendaciones
tcnicas, operativas y jurdicas, que exigen en gran
profesionalidad y formacin continua.

13
 Metodologa y Estndares
AUDITORIA DE SISTEMAS DE INFORMACIN

Solo existen dos tipos de metodologas para la auditoria de SI

Controles Generales.- Son el producto estndar de los

auditores profesionales. El objetivo aqu es dar una opinin
sobre la fiabilidad de los datos del computador para la
auditora financiera, es resultado es escueto y forma parte
del informe de auditora, en donde se hacen notar las
vulnerabilidades encontradas. Estn desprestigiadas ya que
dependen en gran medida de la experiencia de los
profesionales que las usan.
14
 Metodologa y Estndares
AUDITORIA DE SISTEMAS DE INFORMACIN

Solo existen dos tipos de metodologas para la auditoria de SI

Metodologas de los auditores internos.- Estn formuladas

por recomendaciones de plan de trabajo y de todo el
proceso que se debe seguir. Tambin se define el objetivo de
la misma, que habr que describirlo en el memorando de
apertura al auditado. De la misma forma se describe en
forma de cuestionarios genricos, con una orientacin de los
controles a revisar. El auditor interno debe crear sus
metodologas necesarias para auditar los distintos aspectos
o reas en el plan auditor
15