Auditoría de

Sistemas de Información

Fernando Rodríguez Rivadulla

Colaborador de Auditoría (CISA)

Serviciode
Servicio de Auditoría
Auditoría Interna
Interna
 Índice

 Estrategia para la Auditoría de Sistemas de la

Información
 Esquema Organizativo
 Auditor Informático
 Estándares y Normas Técnicas
 Planificación de Actuaciones
 Proceso de Auditorías de Sistemas de Información
 Guión para Auditorías de Sistemas de Información
 Informes de Auditorías de Sistemas de Información

Servicio de Auditoría Interna

Estrategia para la Auditoría de Sistemas de Información

Necesidad de definir una estrategia

Las TIC han acompañado la automatización y el crecimiento
La información y los recursos TIC como activos de las
organizaciones
Dependencia de las TIC

Implicación de la Dirección
Incremento vulnerabilidad de los sistemas
Dar respuesta a la dependencia de la información
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados

Servicio de Auditoría Interna

Estrategia para la Auditoría de Sistemas de Información

Objetivos de las Administraciones Públicas:

 Cumplimiento de la legalidad vigente
 Eficacia
 Eficiencia

Auditoría Sistemas de Información >

Supervisión de los riesgos de los sistemas de información
que pudieran afectar al cumplimiento de la legalidad
vigente, la eficiencia y la eficacia de los procesos
soportados por los sistemas de información, en especial
los de la administración electrónica.
Servicio de Auditoría Interna
Estrategia para la Auditoría de Sistemas de Información

Servicio de Auditoría Interna

Esquema Organizativo

Independencia
Autoridad

Servicio de Auditoría Interna

 Esquema Organizativo

Mandato para una Auditoría Interna

Servicio de Auditoría Interna

 Esquema Organizativo

Mandato para una Auditoría Externa

Servicio de Auditoría Interna

 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información (I)

Actuaciones de apreciación independiente para

supervisar el control establecido

A- Actividades básicas
Dirección o Gobierno de las TIC (Gobernanza TIC)
Supervisar el control interno TIC
Supervisar la gestión de riesgos TIC

Servicio de Auditoría Interna

 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información (II)

Protección de datos de carácter personal

Control de accesos
Administración Electrónica
Equipamiento informático
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotación de sistemas de información
Contratación bienes y servicios TIC
Técnica de sistemas
Continuidad del servicio TIC
Acreditación de confianza
Servicio de Auditoría Interna
 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información (III)
B- Acciones proactivas
Participación en el ciclo de control
Asegurar existencia de controles internos razonables y adecuados
Divulgar y fomentar las buenas prácticas
Fomentar la documentación de los sistemas y procedimientos
Asesorar en la implementación de pistas de auditoría
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestión recursos

Servicio de Auditoría Interna

 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información (IV)

C- Auditoría forense
Desafío ante delitos informáticos, garantizando la evidencia
digital que se presentase en un proceso judicial.
Recuperar información
Determinar cusa y origen de una situación
Identificar autor(es) acciones ilícitas
Identificar uso inapropiado de los medios de la Organización

Servicio de Auditoría Interna

 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información (V)

D- Apoyo en auditorías externas

Supervisión de auditores externos.

E- Apoyo a otras áreas de Auditoría

Asistencia para la obtención, estructuración y análisis de la
información.

Servicio de Auditoría Interna

 Auditor Informático

Áreas de Conocimiento (certificables)

Técnica o metodología de auditoría informática

Gestión, planificación y organización de las TIC
Infraestructura técnica, prácticas operativas y protección de
activos
Recuperación de desastres y continuidad de la actividad
Desarrollo, adquisición, implementación y mantenimiento de
sistemas
Evaluación de procesos y gestión de riesgos

Servicio de Auditoría Interna

 Auditor Informático

Otras características (no certificables)

Comprender procesos de gestión y normativa legal

Identificar problemas y plantear soluciones
Llenar vacío de comunicación entre dirección, usuarios y
técnicos
Saber comunicar
Negociar situaciones de conflicto
Saber cuando solicitar asistencia

Servicio de Auditoría Interna

 Estándares y Normas Técnicas
Principios
Salvar brechas entre riesgos del proceso de gestión,
necesidades de control y aspectos técnicos
Determinar el alcance de las actuaciones e identificar los
controles mínimos
Observar e incorporar estándares y regulaciones nacionales
o internacionales

Hechos
Adecuar técnicas auditoría tradicionales a los controles de las TIC
Generar resultados homogéneos
Organizar los trabajos (tipificar tareas)
Emplear distintos referentes según tipo de auditoría
Estándares basados en buenas prácticas
Servicio de Auditoría Interna
 Estándares y Normas Técnicas

1) Instrumentos de normalización de las

Administraciones Públicas en España

 Normas de Auditoría del Sector Público de la IGAE: No son

específicas a la auditoría de sistemas de información
 MAGERIT Versión 2: Es la metodología de análisis y gestión
de riesgos de los sistemas de información.
 Modelo EFQM de Excelencia: Es una orientación de la
Fundación Europea para la Gestión de la Calidad que
contempla algunos criterios que hacen referencia a las TIC
 Serie Seguridad de las Tecnologías de la Información del
Centro Criptográfico Nacional (CCN-STIC)

Servicio de Auditoría Interna

 Estándares y Normas Técnicas

2) Instrumentos de normalización de las

Administraciones Públicas en EE.UU.

 Government Auditing Standars (GAGAS): Son las normas

de aplicación para el General Accountability Office (GAO) de
EE.UU.
 Federal Information System Controls Audit Manual
(FISCAM): Una guía metodológica que aplica las normas del
GAO y del NIST.
 Serie de Publicaciones Especiales SP-800 del Instituto
Nacional de Estándares y Tecnología (NIST)

Servicio de Auditoría Interna

 Estándares y Normas Técnicas

3) Prácticas y recomendaciones de asociaciones

internacionales (I)

 Normas Internacionales para el Ejercicio Profesional de la

Auditoría Interna (The Institute of Internal Auditors)
 Asociación de Auditoría y Control de Sistemas de
Información (ISACA)
 Control Objetives for Information and Related
Technologies (COBIT)
 IS Standars, Guidelines and Procedures for Auditing
and Control Professionals
 Information Technology Infraestructure Library (ITIL)

Servicio de Auditoría Interna

 Estándares y Normas Técnicas

3) Prácticas y recomendaciones de asociaciones

internacionales (II)

 Modelo de Madurez de las Capacidades Integrado para el

Desarrollo (CMMI) del Instituto de Ingeniería del Software (SEI)
 Instituto SANS (SysAdmin, Audit, Network, Security)
 Normalización internacional ISO:
 Gestión de Servicios de las Tecnologías de la
Información (IT Service Management): ISO/IEC
20000:2005
 Seguridad de la Información: Familia ISO/IEC 27000
 Criterios comunes de evaluación de la seguridad de las
tecnologías de la información ISO/IEC 15408:2005 (Common
Criteria for Information Technology Security Evaluation)
Servicio de Auditoría Interna
 Planificación de Actuaciones

Qué auditar
 Cumplimiento de requerimientos legales
 Sensibilidad de la organización a riesgos / resultado de análisis
 Resultado de auditorías anteriores
 Condicionantes de la Organización
Cuándo auditar
 Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la dirección
 Elaborar el documento de planificación periódica de la unidad
de auditoría
 Revisión periódica del plan inicial para incorporar actuaciones
no previstas
Cómo auditar
 Proceso para planificar las actuaciones individuales
Servicio de Auditoría Interna
 Planificación de Actuaciones
Análisis de Sensibilidad de Requerimientos
riesgos la Dirección legales

Prioridades de la Plan de Actuaciones de Situaciones de riesgo

Organización Auditoría inicialmente no previstas

Actuación 1 Actuación 2 .... Actuación n

Tarea 1
Tarea 2
Tarea n

Servicio de Auditoría Interna

Proceso de Auditorías de Sistemas de Información

Servicio de Auditoría Interna

Proceso de Auditorías de Sistemas de Información

Servicio de Auditoría Interna

Proceso de Auditorías de Sistemas de Información

PLANIFICACIÓN DE ACTIVIDADES

Identificar la información a recopilar

Identificar las tareas de campo
Identificar interlocutores
Recursos necesarios/disponibles
Responsabilidades de los miembros del equipo auditoría
Calendario tentativo

Servicio de Auditoría Interna

 Proceso de Auditorías de Sistemas de Información

Identificar el Alcance de la Actuación

 Que se quiere comprobar
 Que se pretende demostrar
 Que se va a informar

Obtención de Información Preliminar

 Actividad llevada a cabo por el área a auditar
 Esquema de control interno (políticas, normas, etc.)
 Estándares de referencia
 Informes anteriores
 Familiarizarse con el entorno tecnológico a auditar

Servicio de Auditoría Interna

 Proceso de Auditorías de Sistemas de Información

Identificar Objetivos Detallados

 Evaluación preliminar para identificar objetivos de control
 Identificar posibles condicionantes
 Grado de extensión acorde al alcance

Auditorías de cumplimiento: Auditorías operativas:

Modelo de control de referencia Modelo de control de referencia
Existencia de controles Planificación y gestión de controles
Adecuación y eficacia de los controles Aseguramiento de los controles
Proporcionalidad Oportunidad de introducir cambios

Servicio de Auditoría Interna

Proceso de Auditorías de Sistemas de Información

FORMALIZACIÓN DEL INICIO DE LA ACTUACIÓN

 Notificación del responsable de la unidad de auditoría al

responsable del área a auditar
 Reunión del equipo auditor con el responsable de la
unidad a auditar para comunicar:
Alcance de los trabajos
Necesidad/obligación de colaboración
Interlocutor del equipo auditor
Se debe tener presente no interferir con el trabajo
realizado por el área auditada

Servicio de Auditoría Interna

Proceso de Auditorías de Sistemas de Información

TRABAJOS DE CAMPO

Técnicas Recolección de Evidencias

Revisión de documentos
Entrevistas
Observación del trabajo realizado
Pruebas y verificaciones
Uso de herramientas

Servicio de Auditoría Interna

Proceso de Auditorías de Sistemas de Información

Uso de Herramientas Informáticas o Técnicas de

Auditoría Asistidas por Ordenador - CAAT (I)

 Obtención de información de los SI

 Recolección de evidencias de los SI
 Creación de muestras para realizar pruebas
Ventajas
 Aseguran independencia en la recolección de datos
 Disminuyen el riesgo propio del proceso de auditoría
 Mayor cobertura y consistencia de la pruebas

Servicio de Auditoría Interna

 Proceso de Auditorías de Sistemas de Información

Uso de Herramientas Informáticas o Técnicas de

Auditoría Asistidas por Ordenador - CAAT (II)
Características
 Productos informáticos ad-hoc o herramientas de los sistemas
 Acceso a distintas estructuras o formatos de datos
 Aplicación de criterios de selección
 Reorganización de la información obtenida
 Funciones estadísticas y aritméticas

Precauciones
 El acceso a los datos reales por los auditores debe ser siempre sólo
en modo lectura
 Los datos extraídos deben aislarse del entorno de producción para
evitar que las manipulaciones alteren los originales
 El empleo de herramientas que puedan causar perturbaciones debe
ser limitado Servicio de Auditoría Interna
 Proceso de Auditorías de Sistemas de Información

Uso de Herramientas Informáticas o Técnicas de

Auditoría Asistidas por Ordenador - CAAT (III)

Ejemplos
 Logs: contienen el registro de actividad
 Utilidades de sistema: contienen los parámetros que
implementan las políticas de control
 Software generalizado de auditoría: acceso a archivos,
selección de datos, reorganización, etc.
 Software específico: herramientas empleadas con un
propósito concreto

Servicio de Auditoría Interna

Guión para Auditorías de Sistemas de Información

El GUIÓN es la herramienta fundamental de

apoyo para el auditor que documenta el
proyecto de la auditoría
 Identifica que tareas se deben efectuar
durante la actuación
 Cuantifica los medios necesarios
 Define la secuencia de los trabajos
 Para que el equipo comprenda lo que debe
realizar y obtenga una visión del conjunto
Servicio de Auditoría Interna
 Guión para Auditorías de Sistemas de Información

ESTRUCTURA DEL GUIÓN

1. Punto(s) de control
En función del objetivo y alcance de la actuación se habrán
establecido objetivos de control detallados => apartados
del guión. Identifica lo que se va a supervisar del sistema de
control.
2. Directriz de auditoría
 Desarrollan los Puntos de control señalando las tareas a
efectuar,
efectuar antes o durante la actuación.
 Determinan los medios y técnicas necesarios para cada punto
de control
 Limitadas por el desarrollo de la función de auditoría en la
Organización
Servicio de Auditoría Interna
Guión para Auditorías de Sistemas de Información

Esquema COBIT para el guión

Secuencia de las actividades

Servicio de Auditoría Interna

Informes de Auditorías de Sistemas de Información

Contenidos
del Informe
de Auditoría

Servicio de Auditoría Interna

 Informes de Auditorías de Sistemas de Información

Ejemplos de Informes de Auditorías Sistemas de

Información
Elaboración propia
 Basado en actuaciones reales
 Cumplimiento de políticas e instrucciones
Georgia Department of Audits and Accounts
 Informe sistema información para la gestión del IVA
 Informe de seguimiento
National Audit Office
 Informe de calidad de la información Impuesto Renta
 Progreso en información y servicios on-line
Goverment Accountabillity Office
 Uso de datos adquiridos
 Desafío en el uso del correo electrónico
Servicio de Auditoría Interna
Fernando Rodríguez Rivadulla
frrivadulla@correo.aeat.es

www.agenciatributaria.es
Servicio de Auditoría Interna