AUDITORA INFORMTICA

Unidad 7: Auditora Informtica

Conceptos de auditora informtica. Objetivos de la
auditoria informtica. La auditoria informtica durante
el desarrollo de la ingeniera del software. El auditor
informtico. El Departamento de auditora informtica.
Tipos de auditora informtica. Metodologa para la
realizacin de una auditoria informtica. Herramientas,
tcnicas y normas para la auditora Informtica.
Bibliografa
Captulo 9. La auditora informtica. Direccin y
Gestin de los Sistemas de Informacin en la empresa.
2da Edicin. Pablos Heredero y otros.

Auditora Informtica
Definicin

La auditora informtica es el proceso de recoger, agrupar y

evaluar evidencias para determinar si un sistema de

informacin salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la
organizacin, utiliza eficientemente los recursos, y cumple con
las leyes y regulaciones establecidas.

Auditora Informtica
Definicin

La auditora informtica permiten detectar de forma

sistemtica el uso de los recursos y los flujos de informacin
dentro de una organizacin y determinar qu informacin es
critica para el cumplimiento de su misin y objetivos,

identificando necesidades, duplicidades, costes, valor y

barreras, que obstaculizan flujos de informacin eficientes.

Auditora Informtica
Causas
Las causas que pueden originar la realizacin de una AI pueden ser:
Desorganizacin/Descoordinacin
Ej: Duplicidad de informacin

Insatisfaccin de usuarios
Ej: Inadecuado soporte informtico
Debilidades econmico-financieras
Ej: Desviaciones presupuestarias significativas
Inseguridad de los SI
Ej: Falta de proteccin fsica y lgica
Cumplimiento de la legalidad
Ej: Proteccin de datos de carcter personal

Auditora Informtica
Objetivos
Los objetivos de la Auditora Informtica son:

El control de la funcin informtica.

El anlisis y mejora de la eficiencia, la seguridad y la
rentabilidad de los Sistemas Informticos.

La verificacin del cumplimiento de la Normativa en este

mbito.

Auditora Informtica
El Auditor

Persona profesional, que se dedica a trabajos de auditoria

habitualmente con libre ejercicio de una ocupacin tcnica.

El auditor informtico ha de velar por la correcta utilizacin de

los amplios recursos que la empresa pone en juego para
disponer de un eficiente y eficaz Sistema de Informacin.

Auditora Informtica
El Auditor - Formacin
Son recomendables los siguientes niveles de formacin de un

auditor:
Acadmica: Estudios a nivel tcnico, licenciatura o
postgrado en administracin, informtica, comunicacin.
Complementaria: Instruccin en la materia, obtenida a lo
largo de la vida profesional por medio de diplomados,
seminarios, foros y cursos, entre otros.
Emprica: Conocimiento resultante de la implementacin de
auditoras en diferentes instituciones sin contar con un grado
acadmico.

Auditora Informtica
El Auditor Habilidades y destrezas
Un auditor debe ser poseedor de las siguientes caractersticas:
Actitud positiva.

Claridad de expresin verbal y escrita.

Estabilidad emocional.

Capacidad de observacin.

Objetividad.

Sentido institucional.
Saber escuchar.

Iniciativa.
Discrecin.

Creatividad.

Facilidad para trabajar en grupo.

Capacidad de negociacin.

Comportamiento tico.

Imaginacin.
Mente analtica.

Respeto a las ideas de los dems.

Conciencia de los valores propios y de su entorno.

Auditora Informtica
El Auditor Normas Profesionales
Un auditor debe afrontar su compromiso con respeto y en apego a normas
profesionales tales como:
Objetividad. Mantener una visin independiente de los hechos,
evitando formular juicios o caer en omisiones, que alteren de alguna

manera los resultados que obtenga.

Responsabilidad. Observar una conducta profesional, cumpliendo
con sus encargos oportuna y eficientemente.

Integridad. Preservar sus valores por encima de las presiones.

Confidencialidad. Conservar en secreto la informacin y no utilizarla
en beneficio propio o de intereses ajenos.

Compromiso. Tener presente sus obligaciones para consigo mismo y

la organizacin para la que presta sus servicios.

Auditora Informtica
El Auditor Normas Profesionales
Un auditor debe afrontar su compromiso con respeto y en apego a normas
profesionales tales como:
Equilibrio. No perder la dimensin de la realidad y el significado de los
hechos.

Honestidad. Aceptar su condicin y tratar de dar su mejor esfuerzo con

sus propios recursos, evitando aceptar compromisos o tratos de cualquier
tipo.

Institucionalidad. No olvidar que su tica profesional lo obliga a respetar

y obedecer a la organizacin a la que pertenece.
Criterio. Emplear su capacidad de discernimiento en forma equilibrada.

Iniciativa. Asumir una actitud y capacidad de respuesta gil y efectiva.

Creatividad. Ser innovador en el desarrollo de su trabajo.

Auditora Informtica
El Auditor - Caractersticas
Qu deben hacer los auditores

Recomendar
Ser independientes, objetivos
Ser competentes en AI
Diagnosticar en funcin de
verificaciones
Actualizarse en cuanto a avances

Qu no deben hacer

Obligar o amenazar
Actuar en beneficio propio
Asumir trabajos sin preparacin
adecuada
Diagnosticar en funcin de
suposiciones
Dejar obsoletos sus
conocimientos

Auditora Informtica El Auditor

Vs.

El auditor

El auditado

Auditora Informtica
El Departamento de Auditora
DIRECCIN
GENERAL

FINANCIERA

AUDITORIA

INFORMTICA

ORGANIZATIVA

AREA 1

AREA 2

AREA 3

Auditora Informtica
El Departamento de Auditora
La organizacin tipo de la AI debe contemplar los
siguientes principios:
Debe ser parte de la Direccin o estar muy prxima a
ella.
Debe disponer de su propio estatuto donde se indique su
dependencia, sus atribuciones y sus funciones o deberes.
Las personas deben ser una mezcla de aquellas con
formacin en auditora y organizacin y aquellas con
perfil informtico.
La organizacin operativa debe ser la de un grupo
independiente con acceso total a los SI y a la informacin

Auditora Informtica
Tipos
Se pueden distinguir varios tipos de AI segn:

reas a considerar
El realizador
El mbito
La especificidad

Auditora Informtica
Tipos - Segn reas a considerar
La AI puede centrarse en 4 reas centrales:

Direccin de informtica
Usuarios
Interna
Seguridad

y cuatro reas especficas

Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad

Auditora Informtica
Tipos - Segn reas a considerar
La combinacin de reas generales con especficas permiten distinguir
hasta 19 tipos de auditoras.
Areas Especficas

Areas Generales
Interna

Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad

Direccin

Usuario

Seguridad

Auditora Informtica
Tipos - Segn los realizadores
Auditora Interna
Es realizada por una entidad funcional perteneciente a la propia estructura
organizativa de la empresa y como contraprestacin reciben una remuneracin
econmica.

Auditora Externa
Se realiza por personas ajenas a la empresa. La empresa contrata un servicio
para auditar su sistema de informacin por personas externas a la misma.
A veces se adjudica la posibilidad de auditar un sistema de informacin a varias
auditoras, centrndose generalmente cada una en un rea determinada.
El contrato debe sealar la duracin de la auditora y de cada una de las fases
en que el trabajo se encuentra dividido, tanto en tiempo total como parciales.

Auditora Mixta
Se trata, mediante la creacin de un equipo mixto de auditores (internos y
externos), de llevar a cabo el trabajo de auditora.

Auditora Informtica
Auditora Interna vs. Externa
Existen diferencias substanciales entre la Auditora Interna y la Auditora
Externa, algunas de las cuales se pueden detallar as:
En la Auditora Interna existe un vnculo laboral entre el auditor y la
empresa, mientras que en la Auditora Externa la relacin es de tipo civil.
En la Auditora Interna el diagnstico del auditor, esta destinado para la
empresa; en el caso de la Auditora Externa este dictamen se destina
generalmente para terceras personas o sea ajena a la empresa.
La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su
vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad
legal de dar Fe Pblica.

Auditora Informtica
Auditora Interna vs. Externa
Una Empresa o Institucin que posee auditora interna puede y debe en
ocasiones contratar servicios de auditora externa. Las razones para hacerlo
suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual
los servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en
aquellos supuestos de emisin interna de graves recomendaciones que
chocan con la opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas
externas decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario
que se le realicen auditoras externas como para tener una visin desde
afuera de la empresa.

Auditora Informtica
Tipos Segn el mbito de aplicacin
1. Auditora de cifras: Consiste en Conocer y evaluar la fiabilidad de la
informacin que maneja el sistema.
Control de entrada de datos.
Control del tratamiento de los datos.
Control de salidas de datos.
2. Auditora de los procedimientos: Tiene como objetivo el anlisis y
evaluacin de la adecuacin de los mtodos utilizados, la documentacin
utilizada y la normativa aplicada.
Adecuacin de los mtodos utilizados.
Adecuacin de la documentacin.
Adecuacin de la normativa aplicada.
3. Auditora de la gestin: Trata de analizar si el modelo de la estructura
organizativa informtica de una empresa es el adecuado as como la
problemtica que el mismo plantea revisando el grado de integracin de la
informacin en la empresa.

Auditora Informtica
Tipos Segn la especificidad
En ciertas ocasiones los objetivos de la AI son muy especficos, de tal
forma que pueden existir por ejemplo:
Auditora del cumplimiento de controles de transferencia de
aplicaciones del entorno de desarrollo al entorno de explotacin.
Auditora del cumplimiento de la legislacin vigente.

Auditora sobre la remuneracin de los recursos humanos del

Departamento de SI.
Auditora de los procedimientos del Centro de Informacin.

Auditora Informtica
Metodologa para la realizacin de una AI
1.
2.
3.
4.
5.
6.

Definicin de mbito y Objetivos.

Estudio Previo.
Determinacin de recursos.
Elaboracin del Plan.
Realizacin.
Elaboracin del Informe Final.

Auditora Informtica
Metodologa para la realizacin de una AI
1. Definicin de mbito y Objetivos.
El mbito de la auditora marcar los lmites de la misma, y ser
necesario un pleno acuerdo entre auditores y clientes sobre las
funciones, las materias y las organizaciones a auditar.
Deben fijarse desde el principio objetivos de la AI que deben ser
medibles como por ejemplo: evaluacin del funcionamiento de las
reas de informtica, incremento de la calidad, aumento de la
seguridad y fiabilidad.

Se debe establecer desde el comienzo quienes sern los interlocutores:

informticos, usuarios, validadores/decisores, destinatarios de
informes.

Auditora Informtica
Metodologa para la realizacin de una AI
2. Estudio Previo.
Se examinarn las funciones y actividades generales de la informtica
como son:
El entorno organizativo: Se analiza el organigrama del Dpto de
Informtica.
El entorno operativo: Se revisarn los principales procesos
informticos realizados considerando las aplicaciones en
explotacin, las metodologas de diseo, la documentacin y las
fuentes de datos.
El entorno tcnico: Se revisar todo lo relacionado con el soporte
de los SI considerando la arquitectura y soporte fsico y lgico, el
inventario de HW y SW, las comunicaciones.

Auditora Informtica
Metodologa para la realizacin de una AI
3. Determinacin de recursos.

Los recursos sern:

Humanos, estableciendo los perfiles y los efectivos necesarios,
tanto de participacin continuada como puntual.
Materiales, distinguiendo entre equipo de SW como HW.

Auditora Informtica
Metodologa para la realizacin de una AI
4. Elaboracin del Plan.

El responsable de la AI establece el plan de trabajo a seguir, con las

tareas a realizar, su interdependencia y su estimacin en plazo,
carga de trabajo y perfiles de los participantes necesarios.
Una vez definido lo anterior se define el calendario y se construyen
los programas de trabajo.
El plan debe ser aprobado por la Direccin de la empresa auditada y
debe comunicarse a los implicados.

Auditora Informtica
Metodologa para la realizacin de una AI
5. Realizacin.
En esta fase se llevan a la prctica los planes y programas realizados,
utilizando las tcnicas y herramientas previstas.
Las tcnicas a utilizar pueden ser: entrevistas, revisiones, pruebas,
simulaciones, muestreos.

Auditora Informtica
Metodologa para la realizacin de una AI
6. Elaboracin del Informe Final.
La estructura del informe final de AI recoger los siguientes puntos:

Presentacin.
Definicin del mbito y objetivos.
Enumeracin de temas considerados.
Anlisis de la situacin actual.
Recomendaciones

El informe final suele acompaarse con un informe resumen para la

Direccin, donde, en no ms de 4 folios se sintetice el resultado de
la auditora en lo concerniente a las debilidades sin incluir las
recomendaciones.

Auditora Informtica
Herramientas, tcnicas y normas para la AI
1.
2.
3.
4.
5.
6.

Las entrevistas.
Los cuestionarios o checklist (de rango o binarios).
Los estndares.
Rastreos o huellas.
Software de interrogacin.
Buenas prcticas de control relacionadas: COBIT
(Control Objectives for Information and Related
Technology)