Introducción

SI/TI
Introducción

Información

Viaja a través del ciberespacio sin ninguna

restricción de tiempo, distancia y velocidad

Aumento de la
Aumento de la
dependencia de la
vulnerabilidad
información
Auditoría - Concepto

Auditoria Contenido: Una opinión.

Condición: Profesional.
Emisión de una opinión
profesional sobre si el Justificación: Sustentada en determinados procedimientos.
objeto sometido a análisis
presenta adecuadamente la Objeto: Una determinada información obtenida de un cierto
realidad que pretende elemento o sujeto de análisis.
reflejar y/o cumple las
condiciones que le han sido Finalidad: Determinar si presenta adecuadamente la realidad
prescritas o ésta responde a las expectativas que le son atribuidas.
Clases de Auditoría

Revisar los actuados por la

dirección, y su finalidad es
comprobar la eficacia,
eficiencia y economía

Gestión
Revisar y comprobar

Cumplimiento
Revisar cuentas las normas
Financiera

anuales, y su establecidas. La
finalidad es Auditoria - Tipos finalidad es ver que las
presentar la realidad operaciones se
de dichas cuentas adecuan a estas
normas
Informática
Revisar sistemas de
información, recursos
informáticos, planes de
contingencia, etc.
La finalidad es comprobar
la operatividad, según las
normas establecidas.
Control Interno Informático

Las medidas que se

Procedimientos,
obtienen de los
estándares y normas
mecanismos implantados
fijados por la Dirección
por cada responsable
de la Organización y/o la
Deben ser correctas y
Dirección de Informática
validas
Control Interno
Las actividades Deben Informático Asesorar sobre el
realizarse cumpliendo conocimiento de las
procedimientos, normas Controla diariamente normas
y asegurarse del que todas las
cumplimiento de las actividades del
sistemas de Definir, implantar y
normas legales
información sean ejecutar mecanismos y
realizadas cumpliendo controles para
Colaborar y apoyar el comprobar el logro de los
trabajo de Auditoría grados adecuados del
Informática servicio informático
 Auditoría Informática
Proceso de recoger, agrupar y
evaluar evidencias para
determinar si un sistema
informatizado salvaguarda los
activos, mantiene la integridad
Auditoria Informática
de los datos, lleva a cabo
eficazmente los fines de la
organización y utiliza
eficientemente los recursos.

 Objetivos de protección de activos e integridad de datos.

 Objetivos de gestión (Protección de activos, eficacia y
eficiencia)

Participar en las revisiones durante y después

del diseño, realización, implantación y
explotación de aplicaciones informáticas

Revisar y juzgar los controles implantados en Funciones del

los sistemas informáticos Auditor
Informático
Revisar y juzgar el nivel de eficiencia, utilidad,
fiabilidad y seguridad de los equipos e
información
 Auditoría Informática

Control Interno Informático Auditor Informático

Similitudes  Personal Interno.
 Conocimientos especializados en Tecnologías de la Información.
 Verificación del Cumplimiento de Controles internos, normativas y procedimientos
establecidos por la Dirección de Informática y la Dirección General para los sistemas
de información.
Diferencias  Análisis de los controles en el día a  Análisis de un momento informático
día. determinado.
 Informa a la Dirección del  Informa a la Dirección General de la
Departamento de Informática. Organización.
 Solo personal Interno.  Personal Interno y/o externo.
 El alcance de sus funciones es  Tiene cobertura sobre todos los
únicamente sobre el Departamento componentes de los sistemas de
de Informática. información de la organización.
 Definición
Cualquier actividad o acción Control Interno
realizada manual o
automáticamente para prevenir,
corregir errores o irregularidades
que puedan afectar al Controles Controles Controles
funcionamiento de un sistema. preventivos detectivos correctivos
 Sistema de Control Interno - Actores
Departamento de Control Interno
 Tienen el conocimiento corporativo de la
Organización.
 Mirada objetiva, independiente e imparcial.
 No tiene intereses creados.
 Planea en conjunto el S.C.I de la
Organización.
 Hace evaluación integral de los planes y
programas.
 Tiene una mirada estratégica.
 Profundiza en los procesos riesgosos de la
institución para determinar acciones
Gerencia
Determinará las pautas generales y trazará los
lineamientos para la ejecución del Sistema de CI.
Jefe de Departamento
Operará las directrices trazadas por la Gerencia y
las contenidas en la norma sobre el Sistema de
Control Interno, mediante la aplicación de
herramientas administrativas diseñadas para este
fin.
Funcionario
Como eje central del Sistema de CI, debe realizar
todas y cada una de sus acciones atendiendo los
conceptos de autocontrol y auto evaluación,
apoyando las actividades orientadas a fortalecer
el funcionamiento del sistema del organismo al
cual pertenece.
Beneficio del Control Interno

Ayudar a los directivos al logro razonable

de las metas y objetivos institucionales.

Integrar e involucrar al personal con los

objetivos de control.

Ayudar al personal a medir su desempeño

Control Interno Informático
y por ende, a mejorarlo.

Lograr que las piezas del motor

funcionen armónica y Contribuir a evitar el fraude
sincronizadamente
Facilitar a los directivos la información de
cómo se han aplicado los recursos y cómo
se han alcanzado los objetivos.
 Auditoría de Sistemas de Información
 ISACA (Information Systems Audit and Control Association).

Procedimientos Interrelacion
relacionados no es entre
automáticos ellos.

Revisión y evaluación de todos los

aspectos (o alguna sección/área) de
los sistemas automatizados de
procesamiento de información

Auditoría
 ISO 9001:2015 - Auditoría
 Proceso sistemático, independiente y documentado para
obtener evidencias y evaluarlas de manera objetiva
 Con el fin de determinar el alcance al que se cumplen los
procedimientos o requisitos contra los que se compara la
evidencia.
ISO 9001:2015 - Auditoría
Informe de Auditoría

Permite entender el trabajo realizado, las

circunstancias que afectan a su fiabilidad
y las conclusiones de la auditor
Informe de auditoria
Permite prevenir una interpretación
Producto final del trabajo de errónea del grado de responsabilidad
auditoría y la única asumido por el auditor.
documentación que va a llegar a
quien la ha encargado
Contrato de Auditoria

Personas independientes y teóricamente

competentes del entorno informático de una entidad.

Abarcando todas o algunas de las áreas de la

entidad, estándares y procedimientos en vigor, su
idoneidad y el cumplimiento de estos.
Contrato de auditoria
Verificando cumplimiento de objetivos fijados,
Comprende la revisión contratos y normas legales aplicables.
y la evaluación
independiente y
objetiva Verificar el grado de satisfacción de usuarios y
directivos, controles existentes y análisis de los
riesgos relacionados con la informática.
Función de la Auditoria de S.I.

Asegurar tareas realizadas y

logradas por el equipo de auditoría

Cumplir objetivos de la
función de auditoría

 Preservar independencia de la Auditoria

 Preservar competencia de la auditoría
 Asegurar contribuciones de valor agregado a la alta
gerencia respecto a la eficiente administración de TI y
al logro de los objetivos del negocio.
Función / Administración – Auditoria de S.I.
Provistos internamente
El rol de la función interna de
auditoría de SI debiera
establecerse en un estatuto
de auditoría
El estatuto debería establecer
claramente la responsabilidad
y los objetivos de la dirección
para la función de auditoría
de SI y la delegación de
autoridad para la misma.
Comité de Auditoría
Se reporta
Servicios de
auditoría de SI
Provistos externamente
El alcance y los objetivos
deben ser documentados en
un contrato formal o
declaración de trabajo entre
Plan anual detallado de la organización contratante y
capacitación del personal el proveedor de servicios.
basado en la dirección de
la organización, en
términos de tecnología y
aspectos relacionados de
riesgo que necesiten ser
considerados.
Planeación de la Auditoria

Planeación Anual
 Revisados por la alta  Nuevos aspectos de control
dirección  Cambios en el entorno del
 Aprobados por el comité de riesgo
auditoría  Cambiante tecnología
 Comunicados a los niveles  Procesos de negocio en
de dirección relevantes. constante cambio
 Técnicas mejoradas de
evaluación.

La planeación a largo plazo La planeación a corto plazo

Se refiere a planes de auditoría a tomar en Toma en cuenta los aspectos relevantes de
aspectos relacionados con riesgos debido a los auditoría que serán cubiertos durante el año
cambios en la dirección estratégica de TI de la
organización que afectarán el ambiente de TI
de la organización.
 Planeación de la Auditoria
 Resultados de la evaluación periódica de riesgos
Correspondencia entre los recursos de auditoría
 Cambios en la aplicación de tecnología
disponibles y las tareas definidas en el plan de
 Aspectos de privacidad evolucionantes
auditoría
 Requisitos regulatorios
Pueden afectar el enfoque
general de la auditoría Comprensión general de las
Auditor de Sistemas de diversas prácticas del negocio y de
Plan de auditoría
Información las funciones relativas al sujeto de
Pueden afectar el enfoque la auditoría.
general de la auditoría
 Fechas límites establecidas para la implementación/ 1. Lograr un entendimiento de la misión, los
actualización de los sistemas objetivos, el propósito y los procesos del negocio.
 Tecnologías actuales y futuras 2. Identificar contenidos específicos tales como
 Requerimientos de los dueños del proceso de negocio políticas, estándares y directrices requeridos,
 Limitaciones de recursos de SI. procedimientos y estructura de la organización.
3. Realizar un análisis de riesgos para ayudar a
diseñar el plan de auditoría.
 Recorrido de instalaciones clave de la organización.
4. Llevar a cabo una revisión de los controles
 Lectura de antecedentes incluyendo publicaciones de
internos relacionados con TI.
la industria, informes anuales e informes de análisis
5. Establecer el alcance y los objetivos de la
financieros independientes.
auditoría.
 Revisión del negocio y de los planes estratégicos de TI
6. Desarrollar el enfoque o la estrategia de auditoría.
a largo plazo.
7. Asignar recursos humanos a la auditoría.
 Entrevistas a gerentes clave para entender por
8. Dirigir la logística del trabajo de auditoría.
menores del negocio.
 Revisión de informes anteriores o informes
relacionados con TI (provenientes de auditorías
externas o internas o revisiones específicas tales como
revisiones regulatorias).
 Identificar regulaciones específicas aplicables a TI.
 Identificar funciones de TI o las actividades
relacionadas que han sido contratadas externamente.
 Efecto de las Leyes y Regulaciones

Requerimientos legales (leyes, acuerdos regulatorios y

contractuales) aplicables a la auditoría o a la auditoría de SI
Podrían impactar en el alcance y
objetivos de la auditoría
Planeación de la Alcance y los objetivos
Organización
auditoría de la auditoría
Podrían impactar en el alcance y
objetivos de la auditoría
Auditor Requerimientos legales, aplicables al auditado y a sus
sistemas, administración de datos, informes, etc

A) Identificar los requerimientos gubernamentales u otros externos relevantes que se refieran a:

 Datos electrónicos, datos personales, derechos de autor, comercio electrónico, firmas digitales, etc.
 Prácticas y controles de sistemas computarizados
 La manera en que se almacenan las computadoras, los programas y los datos
 La organización o las actividades de los servicios de tecnología de la información las auditorías de SI
B) Documentar las leyes y regulaciones pertinentes
C) Determinar si la gerencia de la organización y la función de SI han tomado en consideración los requerimientos
externos relevantes al realizar planes y al fijar políticas, estándares y procedimientos, así como también funciones de
aplicación del negocio.
D) Revisar los documentos internos del departamento/función/actividad de SI que se ocupan del cumplimiento de las
leyes aplicables a la industria.
E) Determinar el cumplimiento con los procedimientos establecidos que se ocupan de estos requerimientos. Determinar
si hay procedimientos instalados para asegurar que los contratos o acuerdos con proveedores externos de servicios de
TI reflejen cualquier requerimiento legal relacionado con las responsabilidades.