Introducción a los sistemas de

información y su auditoría
[1.1] ¿Cómo estudiar este tema?

[1.2] Introducción a los sistemas de información y el rol de la

auditoría informática

[1.3] Definiciones de «auditoría informática» y de «control

interno informático»

[1.4] Funciones y objetivos de la auditoría informática

[1.5] Diferencias entre control interno y auditoría informática

TEMA
 Esquema

TEMA 1 – Esquema
Introducción a los Sistemas de Información y su auditoría

2
Auditoría informática
Rol de la Reseñas Funciones y objetos de
Glosario vs.
auditoría históricas la auditoría informática
Control Interno Informático

© Universidad Internacional de La Rioja (UNIR)

Auditoría de la Seguridad
 Auditoría de la Seguridad

Ideas clave

1.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee las Ideas clave que encontrarás a continuación y presta
especial atención a los diferentes libros, vídeos y páginas web recomendados en los
respectivos apartados incluidos al final de este tema.

Este tema presenta una Introducción a los sistemas de información y el rol de la auditoría
informática, diferenciándolo del Control Interno Informático.

1.2. Introducción a los sistemas de información y el rol de la

auditoría informática

Este capítulo introductorio realiza un recorrido, a través de sus apartados, por algunos
aspectos que el alumno debe conocer para entender qué es un sistema de información,
la función de la auditoría informática en las organizaciones y su decisiva contribución a
las TIC.

Un sistema de información es el conjunto de procesos, personas, datos y actividades

que procesan la información en una determinada empresa. Los procesos pueden ser
manuales y/o automáticos

Los activos de Sistemas de Información

Según International Standard Organization (ISO): «Algo que tiene valor para la
organización» (ISO/IEC 13335-1:2004). Un activo de sistemas de información (SI)
sería todo aquello que una entidad considera valioso por contener, procesar o generar
información necesaria para el negocio de la misma. Todo sistema de información
utilizado por la organización (en régimen de propiedad, subcontratación o pago por uso)
deberá:

» Salvaguardar la propiedad de la información. Los activos de SI asegurarán que

la propiedad de los datos sea siempre de la organización.

TEMA 1 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

» Mantener la integridad de los datos (información). Los activos de SI deben

garantizar la integridad de la información, es decir, que la información no ha sido
alterada por terceros (físicos o humanos).
» Asegurar la confidencialidad de la información. La información solo es accesible y
entendible por quien tiene derechos.
» Garantizar la disponibilidad de la información. La organización puede
disponer de la información en el momento en que la precise.
» Llevar a cabo los fines de la organización y utilizar eficientemente los recursos.

El último punto indica que los Sistemas de Información (SI) han de ser eficientes
(cumplir con los objetivos de la organización), eficaces (deben ser útiles para la mejor
utilización por parte de los usuarios) y económicos (es decir, al menor coste posible)
en recursos y unidades monetarias.

De manera que todo sistema de información eficaz y eficiente se basa en:

» Planificación: un sistema de información no es un elemento aislado, sino que

convive de forma colaborativa con otros sistemas de información con los que
interactuará en la consecución de los objetivos de negocio.

Las personas se interrelacionan y trabajan con otras personas y departamentos, de

igual modo los datos se estructuran y agregan otros datos, las aplicaciones interactúan
entre sí y los elementos hardware son parte de una infraestructura TIC
interrelacionada sobre la que se ejecutan los aplicativos.

Por tanto, tras asumir el punto anterior como cierto, el diseño, ejecución o adquisición
de un sistema de información no debe ser una decisión aislada sino formar parte de
una plan. Es decir, todo sistema de información, si se desea que sea eficaz y eficiente,
deberá estar adecuadamente planificado.

» Controles: más adelante desarrollaremos ampliamente la definición y tipología de

los controles. Baste decir que un sistema de información eficaz y eficiente deberá estar
controlado; es decir, deberán existir mecanismos para medir y asegurar que el activo
de información lleva a cabo su cometido de una forma eficaz y eficiente.
» Procedimientos: el uso de los sistemas de información por parte de la organización
deberá estar descrito para asegurar su efectividad y eficacia y basarse en un marco de

TEMA 1 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

procesos y procedimientos definido por la propia organización como sustento

necesario para la gestión, posibilitadora del adecuado gobierno.
» Estándares: el marco de gestión indicado en el punto anterior deberá basarse en los
estándares internacionales reconocidos para asegurar la interoperabilidad de la
organización con otras organizaciones y con el libre mercado.
» Sistemas de seguridad: todo sistema de información organizativo debe
desenvolverse en el contexto de un marco de gestión de la seguridad que conduzca a
asegurar la integridad, confidencialidad y disponibilidad de la información generada,
tratada o accedida por dicho sistema de información

La ausencia de alguno de los elementos anteriores como base de un sistema de

información, especialmente en un entorno informático, puede dar lugar a diversos
riesgos con impacto en la organización.

Las TIC como apoyo al plan estratégico de las empresas

El plan TIC debe dar respuesta a las necesidades del negocio expuestas en el plan
estratégico de la organización y ser coherente con este.

El alineamiento del plan estratégico y del plan de las TIC tiene una doble dirección en la
medida en que el negocio conforma las necesidades de sistemas de información y la
tecnología posibilita medios cada vez más eficaces y eficientes para cubrir los objetivos
de negocio, por lo que ambos planes han de retroalimentarse y estar alienados para
asegurar el adecuado gobierno de las TIC.

Si bien es necesario el alineamiento e integración entre el plan estratégico y el plan de

TICs, así como una adecuada coordinación entre el CIO (Chief Information Officer) y el
CEO (Chief Executive Officer) se habrá de tener siempre en cuenta que la tecnología está
al servicio del negocio, de manera que los avances tecnológicos han de ser entendidos y
digeridos por la organización a través de su plan TIC para extraer de ellos todo su
potencial y contribución al negocio, pero sin condicionar este o hacerlo dependiente de
la tecnología (esto que parece obvio evitar, acontece en buena parte de los casos).

Reseña histórica y el rol del auditor informático.

El crecimiento de las organizaciones y el avance tecnológico confluyen a mediados del

siglo XX, de manera que a partir de 1950 y durante la década de los 60, con la aparición

TEMA 1 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

de ordenadores más potentes, pequeños y económicos, la informática se convierte en una

herramienta muy importante en las labores de auditoría financiera, ya que permite
realizar de forma rápida y precisa operaciones complejas que manualmente llevarían
mucho consumo de tiempo y personas. Así, se transforma en un medio decisivo para el
análisis y procesamiento de la información y en la preparación y presentación de los
resultados de auditoría.

Se desarrolla la denominada auditoría con el ordenador, a la que no se le considera

auditoría informática —y no debe confundirse con ella— ya que se trata únicamente de
una auditoría en la que se utiliza el ordenador como herramienta del auditor
financiero.

Pero es el evolucionar tecnológico lo que altera el soporte y medio de generación,

tratamiento y procesamiento de la información.

Es decir, si al inicio de la función auditora los auditores trabajaban con información

escrita, a medida que las TIC penetran en la organización como un medio de desarrollo
estratégico del negocio, el soporte de la información se vuelve electrónico y la
información es generada, tratada, almacenada y procesada a través de medios
informáticos, en algunos casos de forma automática y en otros manual.

La búsqueda de la exactitud y veracidad de la información nos lleva a plantearnos si a lo

largo de su ciclo de vida la información ha podido verse alterada por intervención
humana o por un error de procesamiento; es decir, el auditor financiero empieza a
plantearse si la información que les daban los sistemas (Mainframes) eran correctos o
estaban manipulados.

La Ilustración 1 muestra un esquema del tratamiento informático de la información:

Salida
Entrada Proceso
(Información)

MAINFRAME

Procesamiento informático de la información

TEMA 1 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Es decir, las organizaciones han diseñado e implementado o adquirido procesos

informáticos (aplicativos) capaces de generar información de salida a partir de unos
datos de entrada: elaborar un balance contable cruzando información de distintas
fuentes, generar un informe contable basado en los estados de cuentas de las distintas
unidades, etc.

Por tanto, las organizaciones necesitan poner en marcha controles para asegurar la
integridad y exactitud de la información, pero también necesitarán de una auditoría
independiente capaz de entender las interioridades de los procesos informáticos y revisar
el correcto funcionamiento de los controles existentes.

Surge entonces la figura del auditor informático que entendía lo que sucedía en
el proceso de información dentro de aquellos mainframes.

Inicialmente, el auditor informático es un perfil técnico (analistas-programadores)

independiente que extraía información del sistema informático auditado, dando soporte
a las necesidades que pudiera tener el auditor financiero, quien era el verdadero
conductor y responsable de la auditoría.

Pero pronto el auditor informático va asumiendo nuevas funciones y responsabilidades,

pasando de ser un mero soporte técnico al servicio del auditor financiero para cubrir los
aspectos tecnológicos de la auditoría a realizar funciones de una marcada importancia
para las organizaciones, entre las que podríamos destacar:

» Analista programador para el auditor financiero.

» Revisión de controles internos informáticos generales
» Revisión de controles por área o departamento
» Revisión de controles por aplicaciones
» Revisión de controles de producto informático (por ejemplo Oracle, IBM-
DB2, CISCO PIX, SAP, etc.).
» Revisión de controles de sistemas de gestión de TICs (por ejemplos
estándares ISO, NIST, etc.)
» Revisión de aspectos legales (en España y otros países existe la Ley Orgánica de
Protección de Datos–LOPD)

La Auditoría Informática se desarrolla principalmente en Estados Unidos, Reino Unido

y Australia a finales de los años 60. Concretamente, la profesión de auditoría y control

TEMA 1 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

interno de las Tecnologías de la Información y las Comunicaciones se constituye con la

creación en 1969 de la EDPAA (Electronic Data Processing Auditors Association).

En 1993, el nombre de la asociación EDPAA cambia a ISACA (Information Systems

Audit and Control Association, www.isaca.org).

En 1998, ISACA funda el ITGI (IT Governance Institute), encargado de desarrollar y

divulgar conocimientos sobre el gobierno de los sistemas de información.

1.3. Definición de «auditoría informática» y «control interno

informático»

Este apartado define los conceptos de auditoría, de auditoría informática y de

control interno informático y presenta algunos tipos de auditoría.

Definición de Auditoría

Lawrence B. Sawyer (1985) (Sawyer’s Internal Auditing: The Practice of Modern Internal
Auditing) en (Sawyer’s Internal Auditing: The Practice of Modern Internal Auditing)
define la auditoría como: «Una sistemática evaluación de las diversas operaciones y
controles de una organización, para determinar si se siguen políticas y
procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos
eficientemente y si se han alcanzado los objetivos de la organización».

La auditoría evalúa ajustándose a un sistema con el objetivo de determinar de

forma objetiva, basada en evidencias, el uso eficiente de los sistemas de información,
la conformidad a una norma, etc.

Los resultados de una auditoría han de estar basados en evidencias

El auditor debe obtener evidencia suficiente y completa, mediante la aplicación de

procedimientos de inspección y procedimientos analíticos, para fundamentar en ella las
conclusiones de la auditoría.

TEMA 1 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Por tanto, la evidencia del auditor ha de ser suficiente y completa:

» La suficiencia mide la cantidad de la evidencia; es decir, si sustenta las

conclusiones o hay un margen de incertidumbre. Está asociada a la característica de
relevancia de la evidencia.
» La completitud mide la calidad de la evidencia y el grado en que está basada en
hechos demostrables. Está asociada a las características de neutralidad, autenticidad
y verificabilidad de la evidencia.

Algunos métodos de obtención de evidencias por parte del auditor son:

» Inspecciones (documentales o físicas).

» Observación.
» Entrevistas.
» Procedimientos analíticos.

Las evidencias pueden ser:

» Físicas: obtenidas a través de las inspecciones y la observación.

» Testimoniales: obtenidas en las entrevistas.
» Documentales: obtenidas en inspecciones y en las entrevistas.
» Analíticas: obtenida a través de cálculos, comparaciones, tendencias, etc.

Tipos de auditoría

Tradicionalmente han existido diversas clases de auditoría en función de su contenido,

objeto y finalidad:

» De Cumplimiento: tiene como objetivo verificar e informar sobre el cumplimiento

de las disposiciones, normativas y leyes laborales, civiles, estatutarias, tributarias,
comerciales, de seguridad social e industrial, medio ambiente, etc.
» Financiera: es la revisión de los controles y los registros de contabilidad de una
empresa, cuya conclusión es un dictamen acerca de la corrección de los estados
financieros de la misma.
» De Gestión: su objetivo es evaluar el grado de eficacia en el logro de los objetivos
previstos por la organización y la eficiencia en el uso de los recursos.

TEMA 1 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

» Informática (o de sistemas de información): su objetivo es evaluar el

alineamiento de las TIC con la estrategia organizativa, la eficacia de los sistemas de
información y el uso eficiente de los recursos.

Desde otro enfoque, podríamos clasificar las auditorías como:

» Interna: realizada por personal vinculado laboralmente a la institución pero

independiente al ámbito auditado, con el fin de garantizar los principios de
independencia y objetividad.
» Externas: realizada por personal no vinculada a la empresa auditada.

Todas los tipos de auditoría se basan en los principios de independencia, sistematicidad

y objetividad.

Definición de control interno informático

El control interno informático es el conjunto de medidas (controles) que la organización

implementa para asegurar en el día a día el adecuado alineamiento de las TIC a los
objetivos de negocio sin perder la eficacia, eficiencia y economía. Los objetivos del
control interno informático son:

» Garantizar diariamente que todas las actividades de SI sean realizadas

cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la
Organización y/o Dirección de Informática, así como los requerimientos legales.
» El grado de eficacia de los SI, es decir, la medida en que los sistemas de
información cubren los objetivos de negocio para los que fueron diseñados.
» El uso eficiente de los recursos por parte de los SI: la misión del Control
Interno Informático es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y válidas.

TEMA 1 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Definición de Auditoría Informática

Ron Weber (1988) ha definido la auditoria informática como el proceso de recoger,

agrupar y evaluar evidencias para determinar si un sistema informático:

» salvaguarda los activos

» mantiene la integridad de los datos
» lleva a cabo los fines de la organización
» utiliza eficientemente los recursos

Es importante mencionar que el proceso de auditoría informática no debe contemplar

únicamente los aspectos técnicos, sino también los de planificación, gestión y
organizativos.

1.4. Funciones y objetivos de la auditoría informática

El objetivo principal del auditor es el de evaluar y comprobar en determinados

momentos del tiempo los controles y procedimientos informáticos más complejos,
objeto del análisis, desarrollando y aplicando metodologías de auditoría.

La auditoría informática emplea las mismas técnicas descritas de inspección y

observación, entrevistas, documentación y procedimientos analíticos propios de
cualquier tipo de auditoría, si bien:

» En la auditoría informática, las técnicas de inspección harán un mayor uso de

software de inspección capaz de automatizar la verificación de los sistemas de
información que en el caso del resto de tipos de auditoría.
» La auditoría informática no se denomina de ese modo por este mayor uso de medios
informáticos sino porque el objeto auditado son los sistemas de información, las TIC.

Es decir, actualmente no es posible verificar manualmente procedimientos

informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear
software de auditoría–CAATS (Computer Assisted Audit Techniques).

TEMA 1 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

El auditor es responsable de:

» Llevar a cabo la auditoría, lo cual implica:

o Planificar la auditoría.
o Llevar a cabo las distintas tareas definidas en las fases de la auditoría.
o Escuchar y observar (recordemos el origen latino del término: aquel que tiene la
capacidad de oír).
o Gestionar las desviaciones y riesgos que pudieran producirse durante la auditoría.

» De informar a la Dirección de la Organización acerca de:

o El diseño y funcionamiento de los controles implantados.

o La fiabilidad de la información suministrada (su competencia).
o La suficiencia de las evidencias, o la medida en que sustentan las conclusiones de
auditoría

El auditor presentará a la dirección de la organización un informe de auditoría que

contendrá, entre otros puntos:

» Las conclusiones de la auditoría.

» Las no conformidades:
o Menores y mayores
o Evidencias relacionadas

» Las observaciones:
o Evidencias relacionadas

» Una descripción de la auditoría:

o Objetivo.
o Alcance.
o Fases y fechas.
o Técnicas empleadas.
o Áreas auditadas.
o Entrevistados.

TEMA 1 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

» La relación de evidencias detectadas y por cada una:

o Su competencia.
o Su suficiencia.

1.5. Diferencias entre control interno y auditoría informática

La auditoría informática es la revisión independiente, sistemática y objetiva

del control interno informático.

La Ilustración 2 esquematiza las diferencias entre control interno informático y auditoría

informática:

CONTROL INTERNO
AUDITOR INFORMÁTICO
INFORMÁTICO
• Personal interno. Conocimiento especializados en TIC

Semejanzas • Verificación del cumplimiento de controles internos, normativa y

procedimientos establecidos por Dirección Informática y la Dirección general
para los SI
• Análisis de los controles en el día a
día • Análisis de un momento informático
determinado
• Informa a la Dirección del
Departamento de Informática • Informa a la dirección General de la
Organización
Diferencias • Son personal interno
• Personal interno y/o externo
• El alcance de sus funciones es
únicamente sobre el Departamento de • Tiene cobertura sobre todos los
Informática componentes de los Sistemas de
Información de la Organización

La principal diferencia entre ambos radica en que:

» el control interno informático realiza su verificación en el día a día, asegurando la

eficacia y eficiencia de los controles.
» la auditoría informática lleva a cabo un análisis con una frecuencia puntual, en un
momento determinado y con un propósito muy concreto. Es como una «foto» en un
momento concreto.

TEMA 1 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Gobierno corporativo y gobierno de TI

El gobierno corporativo se define como un comportamiento empresarial ético por

parte de la Dirección y Gerencia para la creación y entrega de los beneficios para
todas las partes interesadas (Stakeholders).

Según IT Governance Institute (ITGI) —cuya misión es asistir a los líderes empresariales
en su responsabilidad de asegurar que las TIC están alineadas con el negocio y generan
valor, medir su rendimiento y comprobar que sus recursos son adecuadamente
administrados y sus riesgos gestionados y mitigados — el gobierno de TI es una parte
integral del gobierno corporativo. Y consiste en liderar y definir las estructuras y procesos
organizativos que aseguran que las Tecnologías de la Información y Comunicaciones
(TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización,
siendo la responsabilidad del comité de dirección y gerencia.

De ambos conceptos podemos extraer los siguientes planteamientos:

» El gobierno de TI es el alineamiento estratégico de las TI con la organización, de tal

forma que se consigue el máximo valor de negocio por medio del desarrollo y
mantenimiento de un control y responsabilidad efectivos, la gestión de la eficiencia y
la eficacia (desempeño), así como la gestión de riesgos de TI.
» El plan informático (plan TICs) se tiene que corresponder con el plan estratégico de
la empresa, en el que el primero es un Control General de más alto nivel tal, y como
veremos más adelante.

Es necesario que cada organización administre sus recursos de TI a través de un conjunto

estructurado de controles para asegurar la integridad, exactitud, confidencialidad y
disponibilidad que requiere para su negocio.

La ISACA (Information System Audit and Control Association) y el ITGI han

desarrollado un Marco de Objetivos de Control para Información y Tecnologías
Relacionadas (COBIT, en inglés: Control Objectives for Information and related
Technology) que viene a ser una guía —en su actual versión es COBIT 5— de mejores
prácticas dirigida a la gestión de tecnología de la información (TI).

TEMA 1 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Directrices del gobierno de TI

El gobierno no solo persigue el logro de los objetivos del negocio (para lo cual será
necesaria la gestión) sino que además estos objetivos habrán de lograrse asegurando la
sostenibilidad de la organización o entidad, en equilibrio y cumplimiento de unos
principios de responsabilidad, ética y conducta. Ver la siguiente ilustración.

Estructura Gobierno de TI según ISO 38500.

Fuente: ISO

Estos principios vertebran las directrices del buen gobierno mencionadas por el estándar
internacional ISO 38500; en concreto:

» Responsabilidad: todo el mundo debe comprender y asumir sus responsabilidades

en la oferta o demanda de TI. La responsabilidad sobre una acción lleva aparejada la
autoridad para su realización.

» Estrategia: la estrategia de negocio de la organización tiene en cuenta las

capacidades actuales y futuras de las TI. Los planes estratégicos de TI satisfacen las
necesidades actuales y previstas derivadas de la estrategia de negocio.

» Adquisición: las adquisiciones de TI se hacen por razones válidas, basándose en un

análisis apropiado y continuo, con decisiones claras y transparentes. Hay un
equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto
como a largo plazo. Existe una planificación.

TEMA 1 – Ideas clave 15 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

» Rendimiento: la TI está dimensionada para dar soporte a la organización,

proporcionando los servicios con la calidad adecuada para cumplir con las
necesidades actuales y futuras. Es decir, existe una gestión de la capacidad y
continuidad de la TI para que sea resiliente, asegurando la sostenibilidad del negocio.

» Conformidad: la función de TI cumple todas las legislaciones y normas aplicables.

Las políticas y prácticas al respecto están claramente definidas, implementadas y
exigidas.

» Conducta humana: las políticas de TI, prácticas y decisiones demuestran respecto

por la conducta humana, incluyendo las necesidades actuales y emergentes de todas
las partes involucradas.

El rol de la auditoría en el gobierno de TI

La auditoría informática —o de sistemas de información— es una pieza clave

en la medición de la eficacia de los controles puestos en marcha por la organización para
asegurar el cumplimiento de los objetivos del negocio, ya que es la que está mejor
posicionada para:

» Recomendar prácticas a la alta dirección, con el fin de mejorar la calidad y efectividad

de las iniciativas y controles de gobierno de TI implantados.
» Asegurar el cumplimiento de las iniciativas de gobierno de TI.

La auditoría informática necesitará evaluar los siguientes aspectos relacionados con el

gobierno de TI:

» El alineamiento de la función de TI con la misión, la visión, los valores, los objetivos

y las estrategias de la organización.
» El logro por parte de la función de TI de los objetivos de eficiencia y eficacia
establecidos por el negocio.
» Los requisitos legales, de seguridad y los propios de la empresa.
» El entorno de control diseñado y puesto en marcha por la organización.
» Los riesgos intrínsecos dentro de TI, su probabilidad de ocurrencia y su grado de
impacto en el negocio.

TEMA 1 – Ideas clave 16 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Es importante destacar que recomendar e informar a la alta dirección por parte del
auditor implica:

» Definir el alcance de la auditoría, incluyendo áreas y aspectos funcionales a cubrir.

» Establecer el nivel de dirección al que se entregará el informe de auditoría.
» Garantizar el derecho de acceso a la información por parte del auditor, poniendo a su
disposición el conjunto de información necesario y la colaboración por parte de todos
los departamentos de la empresa, así como de los terceros relacionados.

TEMA 1 – Ideas clave 17 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Lo + recomendado

No dejes de leer…

Auditoría de los estándares ISO en las TIC: una herramienta de la dirección

Fernández, C. M. (2010). Auditoría de los estándares ISO en las TIC: una herramienta
de la Dirección. Revista red de seguridad, 45.

Este artículo elaborado por D. Carlos Manuel Fernández, Gerente de TICs de AENOR,
presenta el modelo de ISO en las TIC y el papel de la auditoría interna y externa como
herramienta para la dirección.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.redseguridad.com/opinion/articulos/auditoria-de-los-estandares-iso-en-
las-tic-una-herramienta-de-la-direccion

No dejes de ver…

Auditoría informática y modelo COBIT

Este vídeo presenta los aspectos introductorios de los sistemas de información y el

concepto de la auditoría informática.

Accede al vídeo desde el aula virtual o a través de la siguiente dirección web:

http://www.youtube.com/watch?v=va8RRPmMaac

TEMA 1 – Lo + recomendado 18 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

+ Información

A fondo

The IS Audit process

Anantha Sayana, S., CISA, y CIA (2002). The IS Audit process. ISACA Journal, 1.

Este excelente artículo concentra en su corta extensión los aspectos clave de la auditoría
de sistemas de información con tanta completitud como concreción y brevedad en su
exposición.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

https://isaudit101.wordpress.com/chapter_i/

Enlaces relacionados

ISACA

Página web de la Asociación de Auditoría y Control de Sistemas de Información. En ella

también encontrarás información sobre el ITGI, el IT Governance Institute.

Accede a la página desde el aula virtual o a través de la siguiente dirección web:

http://www.isaca.org

TEMA 1 – + Información 19 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

ISO

Página web de ISO (International Standards Organization).

Accede a la página desde el aula virtual o a través de la siguiente dirección web:

http://www.iso.org

Bibliografía

Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniería del
software. AENOR Ediciones.

Fernández, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. AENOR Ediciones.

Gómez, L., Fernández P.P. (2015). Cómo implantar un SGSI según UNE-ISO/IEC
27001:2014 y su aplicación en el Esquema Nacional de Seguridad. AENOR Ediciones.
Guide to Using International Standards on Auditing in the Audits of Small- and
Mediumsized Entities. NY, 2007.

ISO 20000-1 para PYMES. Como implantar un sistema de gestión de servicios de

tecnologías de la información. Nextel y AENOR Ediciones.

ICAC (2003). Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos

informatizados. BOICAC nº 54.

INTOSAI: Guía para las normas de control interno del sector público. (INTOSAI GOV
9100).

Lynne, M. y Daniel, R. TIC y cambios organizativos.

TEMA 1 – + Información 20 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Marco para la auditoría de los sistemas de información. 2009 ISACA Capítulo Madrid.

NIST SP 800-100, Information Security Handbook.

Piattini, M., Del Peso, E. (2000). Auditoría Informática: Un enfoque práctico. Editorial
Ra-MA.

Piattini, M., Del Peso, E. y Fernández, C.M. (Coautor). (2008). Auditoría de Tecnologías
y Sistemas de Información, RA-MA.

Piattini, M., Hervada, F. (2007). Gobierno de las tecnologías y los sistemas de

información. RA-MA.

The Institute of Internal Auditors (2007). The GAIT Principles. Altamonte Springs.
GTAG 1: Information Technology Controls.

VV.AA. (2009). Marco para la auditoria de los sistemas de información. ISACA Madrid.

Weber, R. (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw
Hill.

TEMA 1 – + Información 21 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Test

1. A principios de la segunda mitad del siglo XX la informática se convierte en una

herramienta muy importante para la auditoría financiera. En este ámbito, marque la
verdadera:
A. La auditoría informática es sinónima de la auditoría financiera con el ordenador.
B. La auditoría con el ordenador, como apoyo al auditor financiero, no es auditoría
informática.
C. La auditoría informática es la realización de auditorías de cualquier tipo con un
ordenador.
D. El auditor financiero y el auditor informático no colaboran entre sí.

2. En los años 60, el auditor informático:

A. No se le tiene en cuenta para ninguna actividad.
B. Es un analista financiero que aprende de las arquitecturas de sistemas de la
época y realiza él mismo las auditorías.
C. Es inicialmente un analista programador que forma parte de los mainframes
que audita.
D. Es inicialmente un analista programador independiente que presta ayuda al
auditor financiero.

3. ¿Cuál de las siguientes afirmaciones no es cierta?

A. Una función del auditor informático puede ser realizar revisiones del control
interno de una empresa.
B. Una función del auditor informático puede ser revisar aspectos legales
directamente relacionados con la tecnología.
C. Una función del auditor informático puede ser revisar el balance contable de una
empresa.
D. Una función del auditor informático puede ser revisar la instalación de un
producto software de acuerdo a unas especificaciones.

TEMA 1 – Test 22 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

4. El Gobierno de TI se puede definir como:

A. El alineamiento estratégico de las TI con la organización de tal forma que se
consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de
un control y responsabilidad efectivas, gestión de la eficiencia y la eficacia.
B. El alineamiento estratégico de las TI con la organización de tal forma que se
consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de
un control y responsabilidad efectivas, gestión de la eficiencia y la eficacia, así como
la gestión de riesgos de TI.
C. Consiste en liderar y definir las estructuras y procesos organizativos que
aseguran que las Tecnologías de la Información y Comunicaciones (TIC) de la
empresa soportan y difunden la estrategia y los objetivos de la organización,
manteniéndose de forma autónoma al comité de dirección y gerencia.
D. Ninguna de las anteriores.

5. Es función del gobierno de TI:

A. Gestión de eficacia y eficiencia así como gestión de riesgos, entre otros.
B. Políticas y procedimientos, gestión de riesgos entre otros.
C. Exclusivamente gestión de eficacia y eficiencia.
D. Control y responsabilidad así como gestión de riesgos entre otros.

6. ¿Cuál de las siguientes afirmaciones es cierta?

A. El plan estratégico de la empresa se tiene que corresponder con el plan
informático de TI. El primero se diseña en función del segundo.
B. Las organizaciones con consideración a las TI, tienen menor retorno de
inversión que aquellas que no lo consideran ante los mismos objetivos estratégicos,
de tal forma que con la madurez tecnológica se llegue a un estado de mayor retorno.
C. El plan informático de TI no se tiene que corresponder con el plan estratégico
de la empresa.
D. Ninguna afirmación es cierta.

TEMA 1 – Test 23 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

7. El rol de la Auditoría en el Gobierno de TI consiste en:

A. Implantar prácticas a la alta dirección, con el fin de mejorar la calidad y
efectividad de las iniciativas del gobierno de TI implantadas y asegura el
cumplimiento de las iniciativas de gobierno de TI.
B. Asumir responsabilidades de Dirección detectando necesidades e
implantándolas como función de control interno dentro del departamento de TI.
C. Realizar evaluaciones y únicamente asegurar el cumplimiento de las iniciativas
de gobierno de TI.
D. Recomendar prácticas a la alta dirección, con el fin de mejorar la calidad y
efectividad de las iniciativas del gobierno de TI implantadas y asegura el
cumplimiento de las iniciativas de gobierno de TI.

8. El Comité de informática:
A. Se encarga de hacer de interfaz entre los usuarios y los informáticos. Está
compuesto por expertos en una materia y conocen muy bien el negocio/modelo de
datos que manejan.
B. Diseña el plan estratégico de la compañía.
C. Elabora el Plan Director de Informática, que se corresponde con el Plan
Estratégico. Puede ser a un año o a dos.
D. Ninguna de las anteriores.

9. Señala la correcta en relación a objetivos y funciones del auditor informático:

A. Participar en las revisiones e implantaciones durante y después del diseño,
realización, implantación y explotación de aplicaciones informáticas.
B. Revisar y analizar los controles implantados en los sistemas de información para
verificar su adecuación de acuerdo a las directrices de la Dirección, requisitos
legales, protección de confidencialidad y cobertura ante errores y fraudes.
C. Revisar, analizar y en su caso corregir indicando acciones a realizar, el nivel de
eficacia, utilidad, fiabilidad y seguridad de los equipos y sistemas informáticos en
general.
D. Revisar y analizar los controles implantados en los sistemas de información para
verificar su adecuación de acuerdo a las directrices de la Dirección, estableciendo
y dirigiendo las desviaciones detectadas aplicando acciones de mejora.

TEMA 1 – Test 24 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

10. El CII (Control Interno Informático) se diferencia del auditor informático en:
A. No tiene cobertura sobre todos los componentes del sistema de información de
la organización.
B. Son personal interno o externo.
C. Realizan un análisis del control interno informático diariamente.
D. Informan a la Dirección General en tiempo real.

TEMA 1 – Test 25 © Universidad Internacional de La Rioja (UNIR)