Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema1xxxx PDF
Tema1xxxx PDF
información y su auditoría
[1.1] ¿Cómo estudiar este tema?
TEMA
Esquema
TEMA 1 – Esquema
Introducción a los Sistemas de Información y su auditoría
2
Auditoría informática
Rol de la Reseñas Funciones y objetos de
Glosario vs.
auditoría históricas la auditoría informática
Control Interno Informático
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación y presta
especial atención a los diferentes libros, vídeos y páginas web recomendados en los
respectivos apartados incluidos al final de este tema.
Este tema presenta una Introducción a los sistemas de información y el rol de la auditoría
informática, diferenciándolo del Control Interno Informático.
Este capítulo introductorio realiza un recorrido, a través de sus apartados, por algunos
aspectos que el alumno debe conocer para entender qué es un sistema de información,
la función de la auditoría informática en las organizaciones y su decisiva contribución a
las TIC.
Según International Standard Organization (ISO): «Algo que tiene valor para la
organización» (ISO/IEC 13335-1:2004). Un activo de sistemas de información (SI)
sería todo aquello que una entidad considera valioso por contener, procesar o generar
información necesaria para el negocio de la misma. Todo sistema de información
utilizado por la organización (en régimen de propiedad, subcontratación o pago por uso)
deberá:
El último punto indica que los Sistemas de Información (SI) han de ser eficientes
(cumplir con los objetivos de la organización), eficaces (deben ser útiles para la mejor
utilización por parte de los usuarios) y económicos (es decir, al menor coste posible)
en recursos y unidades monetarias.
Por tanto, tras asumir el punto anterior como cierto, el diseño, ejecución o adquisición
de un sistema de información no debe ser una decisión aislada sino formar parte de
una plan. Es decir, todo sistema de información, si se desea que sea eficaz y eficiente,
deberá estar adecuadamente planificado.
El plan TIC debe dar respuesta a las necesidades del negocio expuestas en el plan
estratégico de la organización y ser coherente con este.
El alineamiento del plan estratégico y del plan de las TIC tiene una doble dirección en la
medida en que el negocio conforma las necesidades de sistemas de información y la
tecnología posibilita medios cada vez más eficaces y eficientes para cubrir los objetivos
de negocio, por lo que ambos planes han de retroalimentarse y estar alienados para
asegurar el adecuado gobierno de las TIC.
Salida
Entrada Proceso
(Información)
MAINFRAME
Por tanto, las organizaciones necesitan poner en marcha controles para asegurar la
integridad y exactitud de la información, pero también necesitarán de una auditoría
independiente capaz de entender las interioridades de los procesos informáticos y revisar
el correcto funcionamiento de los controles existentes.
Surge entonces la figura del auditor informático que entendía lo que sucedía en
el proceso de información dentro de aquellos mainframes.
Definición de Auditoría
Lawrence B. Sawyer (1985) (Sawyer’s Internal Auditing: The Practice of Modern Internal
Auditing) en (Sawyer’s Internal Auditing: The Practice of Modern Internal Auditing)
define la auditoría como: «Una sistemática evaluación de las diversas operaciones y
controles de una organización, para determinar si se siguen políticas y
procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos
eficientemente y si se han alcanzado los objetivos de la organización».
Tipos de auditoría
o Planificar la auditoría.
o Llevar a cabo las distintas tareas definidas en las fases de la auditoría.
o Escuchar y observar (recordemos el origen latino del término: aquel que tiene la
capacidad de oír).
o Gestionar las desviaciones y riesgos que pudieran producirse durante la auditoría.
» Las observaciones:
o Evidencias relacionadas
CONTROL INTERNO
AUDITOR INFORMÁTICO
INFORMÁTICO
• Personal interno. Conocimiento especializados en TIC
Según IT Governance Institute (ITGI) —cuya misión es asistir a los líderes empresariales
en su responsabilidad de asegurar que las TIC están alineadas con el negocio y generan
valor, medir su rendimiento y comprobar que sus recursos son adecuadamente
administrados y sus riesgos gestionados y mitigados — el gobierno de TI es una parte
integral del gobierno corporativo. Y consiste en liderar y definir las estructuras y procesos
organizativos que aseguran que las Tecnologías de la Información y Comunicaciones
(TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización,
siendo la responsabilidad del comité de dirección y gerencia.
El gobierno no solo persigue el logro de los objetivos del negocio (para lo cual será
necesaria la gestión) sino que además estos objetivos habrán de lograrse asegurando la
sostenibilidad de la organización o entidad, en equilibrio y cumplimiento de unos
principios de responsabilidad, ética y conducta. Ver la siguiente ilustración.
Estos principios vertebran las directrices del buen gobierno mencionadas por el estándar
internacional ISO 38500; en concreto:
Es importante destacar que recomendar e informar a la alta dirección por parte del
auditor implica:
Lo + recomendado
No dejes de leer…
Fernández, C. M. (2010). Auditoría de los estándares ISO en las TIC: una herramienta
de la Dirección. Revista red de seguridad, 45.
Este artículo elaborado por D. Carlos Manuel Fernández, Gerente de TICs de AENOR,
presenta el modelo de ISO en las TIC y el papel de la auditoría interna y externa como
herramienta para la dirección.
No dejes de ver…
+ Información
A fondo
Anantha Sayana, S., CISA, y CIA (2002). The IS Audit process. ISACA Journal, 1.
Este excelente artículo concentra en su corta extensión los aspectos clave de la auditoría
de sistemas de información con tanta completitud como concreción y brevedad en su
exposición.
Enlaces relacionados
ISACA
ISO
Bibliografía
Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniería del
software. AENOR Ediciones.
Fernández, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. AENOR Ediciones.
Gómez, L., Fernández P.P. (2015). Cómo implantar un SGSI según UNE-ISO/IEC
27001:2014 y su aplicación en el Esquema Nacional de Seguridad. AENOR Ediciones.
Guide to Using International Standards on Auditing in the Audits of Small- and
Mediumsized Entities. NY, 2007.
INTOSAI: Guía para las normas de control interno del sector público. (INTOSAI GOV
9100).
Marco para la auditoría de los sistemas de información. 2009 ISACA Capítulo Madrid.
Piattini, M., Del Peso, E. (2000). Auditoría Informática: Un enfoque práctico. Editorial
Ra-MA.
Piattini, M., Del Peso, E. y Fernández, C.M. (Coautor). (2008). Auditoría de Tecnologías
y Sistemas de Información, RA-MA.
The Institute of Internal Auditors (2007). The GAIT Principles. Altamonte Springs.
GTAG 1: Information Technology Controls.
VV.AA. (2009). Marco para la auditoria de los sistemas de información. ISACA Madrid.
Weber, R. (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw
Hill.
Test
8. El Comité de informática:
A. Se encarga de hacer de interfaz entre los usuarios y los informáticos. Está
compuesto por expertos en una materia y conocen muy bien el negocio/modelo de
datos que manejan.
B. Diseña el plan estratégico de la compañía.
C. Elabora el Plan Director de Informática, que se corresponde con el Plan
Estratégico. Puede ser a un año o a dos.
D. Ninguna de las anteriores.
10. El CII (Control Interno Informático) se diferencia del auditor informático en:
A. No tiene cobertura sobre todos los componentes del sistema de información de
la organización.
B. Son personal interno o externo.
C. Realizan un análisis del control interno informático diariamente.
D. Informan a la Dirección General en tiempo real.