Introducción a los sistemas de información y el rol de la auditoría informática

Un sistema de información (SI) es el conjunto de procesos, personas, datos y actividades que

procesan la información en una determinada empresa. Los procesos pueden ser manuales y/o
automáticos.

Todo sistema de información utilizado por la organización (en régimen de propiedad,

subcontratación o pago por uso) deberá:

 Salvaguardar la propiedad de la información.

 Mantener la integridad de los datos (información).
 Asegurar la confidencialidad de la información.
 Garantizar la disponibilidad de la información.
 Llevar a cabo los fines de la organización y utilizar eficientemente los recursos.

Todo sistema de información eficaz y eficiente se basa en:

 Planificación: colaborativa con otros sistemas de información, las personas se

interrelacionan y trabajan con otras personas y departamentos, las aplicaciones
interactúan entre sí y los elementos hardware son parte de una infraestructura TIC,
sobre la que se ejecutan los aplicativos.
 Controles: deberán existir mecanismos para medir y asegurar que el activo de
información lleva a cabo su cometido de una forma eficaz y eficiente.
 Procedimientos: definido por la propia organización como sustento necesario para la
gestión, posibilitadora del adecuado gobierno.
 Estándares: deberá basarse en los estándares internacionales reconocidos para
asegurar la interoperabilidad de la organización con otras organizaciones y con el libre
mercado.
 Sistemas de seguridad: debe conducir a asegurar la integridad, confidencialidad y
disponibilidad de la información generada, tratada o accedida por dicho sistema de
información

El plan estratégico y del plan de las TIC, han de retroalimentarse y estar alienados para
asegurar el adecuado gobierno de las TIC, así como una adecuada coordinación entre el CIO
(Chief Information Officer) y el CEO (Chief Executive Officer).

A mediados del siglo XX, a partir de 1950 y durante la década de los 60, se utiliza el ordenador
como herramienta del auditor financiero.

El auditor financiero empieza a plantearse si la información que les daban los sistemas
(Mainframes) eran correctos o estaban manipulados. Surge entonces la figura del auditor
informático que entendía lo que sucedía en el proceso de información dentro de aquellos
mainframes.

Inicialmente, el auditor informático es un perfil técnico (analistas-programadores), pronto

comienza a realizar funciones de una marcada importancia para las organizaciones, entre las
que podríamos destacar:

 Analista programador para el auditor financiero.

 Revisión de controles internos informáticos generales
 Revisión de controles por área o departamento
 Revisión de controles por aplicaciones
  Revisión de controles de producto informático (Oracle, IBMDB2, CISCO PIX, SAP, etc.).
 Revisión de controles de sistemas de gestión de TICs (estándares ISO, NIST, etc.)
 Revisión de aspectos legales (Ley Orgánica de Protección de Datos–LOPD)

la profesión de auditoría y control interno de las Tecnologías de la Información y las

Comunicaciones se constituye con la creación en 1969 de la EDPAA (Electronic Data
Processing Auditors Association). En 1993, el nombre de la asociación EDPAA cambia a ISACA
(Information Systems Audit and Control Association).

Definición de «auditoría informática» y «control interno informático»

Auditoría: «Una sistemática evaluación de las diversas operaciones y controles, para

determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas
establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la
organización».

El auditor debe obtener evidencia suficiente y completa, mediante la aplicación de

procedimientos de inspección y procedimientos analíticos, para fundamentar en ella las
conclusiones de la auditoría.

Por tanto, la evidencia del auditor ha de ser suficiente (mide la cantidad de la evidencia) y
completa (mide la calidad de la evidencia).

Métodos de obtención de evidencias por parte del auditor son:

 Inspecciones (documentales o físicas).

 Observación.
 Entrevistas.
 Procedimientos analíticos.

Las evidencias pueden ser:

 Físicas: obtenidas a través de las inspecciones y la observación.

 Testimoniales: obtenidas en las entrevistas.
 Documentales: obtenidas en inspecciones y en las entrevistas.
 Analíticas: obtenida a través de cálculos, comparaciones, tendencias, etc.

Tradicionalmente han existido diversas clases de auditoría en función de su contenido, objeto

y finalidad:

 De Cumplimiento: verificar e informar sobre el cumplimiento de las disposiciones,

normativas y leyes.
 Financiera: revisión de los controles y los registros de contabilidad
 De Gestión: evaluar el logro de los objetivos previstos por la organización y la
eficiencia en el uso de los recursos.
 Informática (o de sistemas de información): evaluar el alineamiento de las TIC con la
estrategia organizativa.

Objetivos del control interno informático son:

 Garantizar diariamente que todas las actividades de SI

 El grado de eficacia de los SI
 El uso eficiente de los recursos por parte de los SI
Auditoria informática: proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informático: salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
los fines de la organización, utiliza eficientemente los recursos.

Funciones y objetivos de la auditoría informática

El auditor presentará a la dirección de la organización un informe de auditoría que contendrá,

entre otros puntos:

 Las conclusiones de la auditoría

 Las no conformidades
 Las observaciones
 Una descripción de la auditoría: Objetivo, Alcance, Fases y fechas, Técnicas empleadas,
Áreas auditadas, Entrevistados.
 La relación de evidencias detectadas y por cada una

La auditoría informática es la revisión independiente, sistemática y objetiva del control

interno informático.

Semejanzas
CONTROL  Personal interno.
INTERNO Conocimientos especializados
INFORMÁTICO en TIC
 Verificación del cumplimiento
de controles internos,
normativa y procedimientos
AUDITOR establecidos por Dirección
INFORMÁTICO Informática y la Dirección
general para los SI
Diferencias
 Análisis de los controles en el día a día
 Informa a la Dirección del Departamento de
Informática
 Son personal interno
 El alcance de sus funciones es únicamente sobre el
Departamento de Informática
 Análisis de un momento informático determinado
 Informa a la dirección General de la Organización
 Personal interno y/o externo
 Tiene cobertura sobre todos los componentes de
los Sistemas de Información de la Organización

El gobierno corporativo se define como un comportamiento empresarial ético por parte de la

Dirección y Gerencia para la creación y entrega de los beneficios para todas las partes
interesadas (Stakeholders).

El gobierno no solo persigue el logro de los objetivos del negocio (para lo cual será necesaria la
gestión) sino que además estos objetivos habrán de lograrse asegurando la sostenibilidad de
la organización o entidad, en equilibrio y cumplimiento de unos principios de responsabilidad,
ética y conducta. Ver la siguiente ilustración.

Principios vertebran las directrices del buen gobierno mencionadas por el estándar
internacional ISO 38500; en concreto:

 Responsabilidad
 Estrategia
 Adquisición
 Rendimiento
 Conformidad
 Conducta humana
La auditoría informática necesitará evaluar los siguientes aspectos relacionados con el
gobierno de TI:

 Alineamiento de la función de TI con la misión, la visión, los valores, los objetivos y las
estrategias de la organización.
 El logro por parte de la función de TI de los objetivos de eficiencia y eficacia
establecidos por el negocio.
 Los requisitos legales, de seguridad y los propios de la empresa.
 El entorno de control diseñado y puesto en marcha por la organización.
 Los riesgos intrínsecos dentro de TI, su probabilidad de ocurrencia y su grado de
impacto en el negocio.

Es importante destacar que recomendar e informar a la alta dirección por parte del auditor
implica:

 Definir el alcance de la auditoría, incluyendo áreas y aspectos funcionales a cubrir.

 Establecer el nivel de dirección al que se entregará el informe de auditoría.
 Garantizar el derecho de acceso a la información por parte del auditor, poniendo a su
disposición el conjunto de información necesario y la colaboración por parte de todos
los departamentos de la empresa, así como de los terceros relacionados.