You are on page 1of 30

AUDITORÍA INFORMÁTICA

Unidad 7: Auditoría Informática
Conceptos de auditoría informática. Objetivos de la
auditoria informática. La auditoria informática durante
el desarrollo de la ingeniería del software. El auditor
informático. El Departamento de auditoría informática.
Tipos de auditoría informática. Metodología para la
realización de una auditoria informática. Herramientas,
técnicas y normas para la auditoría Informática.
Bibliografía
Capítulo 9. La auditoría informática. Dirección y
Gestión de los Sistemas de Información en la empresa.
2da Edición. Pablos Heredero y otros.

Auditoría Informática
Definición

La auditoría informática es el proceso de recoger, agrupar y

evaluar evidencias para determinar si un sistema de
información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con
las leyes y regulaciones establecidas.

Auditoría Informática
Definición

La auditoría informática permiten detectar de forma
sistemática el uso de los recursos y los flujos de información
dentro de una organización y determinar qué información es
critica para el cumplimiento de su misión y objetivos,

identificando necesidades, duplicidades, costes, valor y
barreras, que obstaculizan flujos de información eficientes.

Auditoría Informática Causas Las causas que pueden originar la realización de una AI pueden ser: • Desorganización/Descoordinación • Ej: Duplicidad de información • Insatisfacción de usuarios • Ej: Inadecuado soporte informático • Debilidades económico-financieras • Ej: Desviaciones presupuestarias significativas • Inseguridad de los SI • Ej: Falta de protección física y lógica • Cumplimiento de la legalidad • Ej: Protección de datos de carácter personal .

. • La verificación del cumplimiento de la Normativa en este ámbito. la seguridad y la rentabilidad de los Sistemas Informáticos.Auditoría Informática Objetivos Los objetivos de la Auditoría Informática son: • El control de la función informática. • El análisis y mejora de la eficiencia.

que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupación técnica.Auditoría Informática El Auditor Persona profesional. . El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.

entre otros.Formación Son recomendables los siguientes niveles de formación de un auditor: • Académica: Estudios a nivel técnico. . comunicación.Auditoría Informática El Auditor . seminarios. informática. obtenida a lo largo de la vida profesional por medio de diplomados. • Complementaria: Instrucción en la materia. licenciatura o postgrado en administración. •Empírica: Conocimiento resultante de la implementación de auditorías en diferentes instituciones sin contar con un grado académico. foros y cursos.

• Iniciativa. • Estabilidad emocional. • Saber escuchar. • Conciencia de los valores propios y de su entorno. • Sentido institucional.Auditoría Informática El Auditor – Habilidades y destrezas Un auditor debe ser poseedor de las siguientes características: • Actitud positiva. • Objetividad. . • Imaginación. • Facilidad para trabajar en grupo. • Creatividad. • Capacidad de observación. • Discreción. • Claridad de expresión verbal y escrita. • Respeto a las ideas de los demás. • Comportamiento ético. •Capacidad de negociación. • Mente analítica.

evitando formular juicios o caer en omisiones. que alteren de alguna manera los resultados que obtenga. • Responsabilidad.Auditoría Informática El Auditor – Normas Profesionales Un auditor debe afrontar su compromiso con respeto y en apego a normas profesionales tales como: • Objetividad. • Confidencialidad. • Integridad. Mantener una visión independiente de los hechos. Preservar sus valores por encima de las presiones. . cumpliendo con sus encargos oportuna y eficientemente. Tener presente sus obligaciones para consigo mismo y la organización para la que presta sus servicios. Observar una conducta profesional. Conservar en secreto la información y no utilizarla en beneficio propio o de intereses ajenos. • Compromiso.

Auditoría Informática El Auditor – Normas Profesionales Un auditor debe afrontar su compromiso con respeto y en apego a normas profesionales tales como: • Equilibrio. . No olvidar que su ética profesional lo obliga a respetar y obedecer a la organización a la que pertenece. Emplear su capacidad de discernimiento en forma equilibrada. Asumir una actitud y capacidad de respuesta ágil y efectiva. • Iniciativa. • Criterio. • Honestidad. No perder la dimensión de la realidad y el significado de los hechos. Aceptar su condición y tratar de dar su mejor esfuerzo con sus propios recursos. evitando aceptar compromisos o tratos de cualquier tipo. Ser innovador en el desarrollo de su trabajo. • Creatividad. • Institucionalidad.

Características Qué deben hacer los auditores Recomendar Ser independientes.Auditoría Informática El Auditor . objetivos Ser competentes en AI Diagnosticar en función de verificaciones Actualizarse en cuanto a avances Qué no deben hacer Obligar o amenazar Actuar en beneficio propio Asumir trabajos sin preparación adecuada Diagnosticar en función de suposiciones Dejar obsoletos sus conocimientos .

Auditoría Informática – El Auditor Vs. El auditor El auditado .

Auditoría Informática El Departamento de Auditoría DIRECCIÓN GENERAL FINANCIERA AUDITORIA INFORMÁTICA ORGANIZATIVA AREA 1 AREA 2 AREA 3 .

Auditoría Informática El Departamento de Auditoría • La organización tipo de la AI debe contemplar los siguientes principios: – Debe ser parte de la Dirección o estar muy próxima a ella. – Las personas deben ser una mezcla de aquellas con formación en auditoría y organización y aquellas con perfil informático. – La organización operativa debe ser la de un grupo independiente con acceso total a los SI y a la información . sus atribuciones y sus funciones o deberes. – Debe disponer de su propio estatuto donde se indique su dependencia.

Auditoría Informática Tipos • Se pueden distinguir varios tipos de AI según: – – – – Áreas a considerar El realizador El ámbito La especificidad .

Auditoría Informática Tipos .Según áreas a considerar • La AI puede centrarse en 4 áreas centrales: – – – – Dirección de informática Usuarios Interna Seguridad • y cuatro áreas específicas – – – – – Explotación Desarrollo Sistemas Comunicaciones Seguridad .

Según áreas a considerar La combinación de áreas generales con específicas permiten distinguir hasta 19 tipos de auditorías.Auditoría Informática Tipos . Areas Específicas Areas Generales Interna Explotación Desarrollo Sistemas Comunicaciones Seguridad Dirección Usuario Seguridad .

mediante la creación de un equipo mixto de auditores (internos y externos). La empresa contrata un servicio para auditar su sistema de información por personas externas a la misma. tanto en tiempo total como parciales.Según los realizadores Auditoría Interna Es realizada por una entidad funcional perteneciente a la propia estructura organizativa de la empresa y como contraprestación reciben una remuneración económica.Auditoría Informática Tipos . centrándose generalmente cada una en un área determinada. A veces se adjudica la posibilidad de auditar un sistema de información a varias auditoras. Auditoría Mixta Se trata. . de llevar a cabo el trabajo de auditoría. El contrato debe señalar la duración de la auditoría y de cada una de las fases en que el trabajo se encuentra dividido. Auditoría Externa Se realiza por personas ajenas a la empresa.

• La Auditoría Interna está inhabilitada para dar Fe Pública. esta destinado para la empresa. mientras la Auditoría Externa tiene la facultad legal de dar Fe Pública. debido a su vinculación contractual laboral. . en el caso de la Auditoría Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa.Auditoría Informática Auditoría Interna vs. • En la Auditoría Interna el diagnóstico del auditor. mientras que en la Auditoría Externa la relación es de tipo civil. algunas de las cuales se pueden detallar así: • En la Auditoría Interna existe un vínculo laboral entre el auditor y la empresa. Externa Existen diferencias substanciales entre la Auditoría Interna y la Auditoría Externa.

en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa. . por lo tanto. • Contrastar algún Informe interno con el que resulte del externo. Externa Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser: • Necesidad de auditar una materia de gran especialización. • Aunque la auditoría interna sea independiente del Departamento de Sistemas. para la cual los servicios propios no están suficientemente capacitados.Auditoría Informática Auditoría Interna vs. • Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa. sigue siendo la misma empresa.

• Control de entrada de datos. • Control de salidas de datos. Auditoría de cifras: Consiste en Conocer y evaluar la fiabilidad de la información que maneja el sistema. . 2. • Adecuación de la normativa aplicada. Auditoría de la gestión: Trata de analizar si el modelo de la estructura organizativa informática de una empresa es el adecuado así como la problemática que el mismo plantea revisando el grado de integración de la información en la empresa. • Control del tratamiento de los datos. • Adecuación de los métodos utilizados. la documentación utilizada y la normativa aplicada. 3. • Adecuación de la documentación.Auditoría Informática Tipos – Según el ámbito de aplicación 1. Auditoría de los procedimientos: Tiene como objetivo el análisis y evaluación de la adecuación de los métodos utilizados.

• Auditoría de los procedimientos del Centro de Información.Auditoría Informática Tipos – Según la especificidad En ciertas ocasiones los objetivos de la AI son muy específicos. • Auditoría sobre la remuneración de los recursos humanos del Departamento de SI. de tal forma que pueden existir por ejemplo: • Auditoría del cumplimiento de controles de transferencia de aplicaciones del entorno de desarrollo al entorno de explotación. . • Auditoría del cumplimiento de la legislación vigente.

Definición de Ámbito y Objetivos. 4. Realización. 3. Elaboración del Plan. . 6.Auditoría Informática Metodología para la realización de una AI 1. Determinación de recursos. Estudio Previo. 2. Elaboración del Informe Final. 5.

usuarios. las materias y las organizaciones a auditar.Auditoría Informática Metodología para la realización de una AI 1. Deben fijarse desde el principio objetivos de la AI que deben ser medibles como por ejemplo: evaluación del funcionamiento de las áreas de informática. . y será necesario un pleno acuerdo entre auditores y “clientes” sobre las funciones. Se debe establecer desde el comienzo quienes serán los interlocutores: informáticos. El ámbito de la auditoría marcará los límites de la misma. destinatarios de informes. Definición de Ámbito y Objetivos. incremento de la calidad. validadores/decisores. aumento de la seguridad y fiabilidad.

la documentación y las fuentes de datos. • El entorno operativo: Se revisarán los principales procesos informáticos realizados considerando las aplicaciones en explotación.Auditoría Informática Metodología para la realización de una AI 2. las comunicaciones. Se examinarán las funciones y actividades generales de la informática como son: • El entorno organizativo: Se analiza el organigrama del Dpto de Informática. • El entorno técnico: Se revisará todo lo relacionado con el soporte de los SI considerando la arquitectura y soporte físico y lógico. . Estudio Previo. el inventario de HW y SW. las metodologías de diseño.

. • Materiales. estableciendo los perfiles y los efectivos necesarios. Determinación de recursos. tanto de participación continuada como puntual.Auditoría Informática Metodología para la realización de una AI 3. distinguiendo entre equipo de SW como HW. Los recursos serán: • Humanos.

El plan debe ser aprobado por la Dirección de la empresa auditada y debe comunicarse a los implicados. su interdependencia y su estimación en plazo. carga de trabajo y perfiles de los participantes necesarios. El responsable de la AI establece el plan de trabajo a seguir. Una vez definido lo anterior se define el calendario y se construyen los programas de trabajo. .Auditoría Informática Metodología para la realización de una AI 4. Elaboración del Plan. con las tareas a realizar.

muestreos.Auditoría Informática Metodología para la realización de una AI 5. simulaciones. Realización. revisiones. En esta fase se llevan a la práctica los planes y programas realizados. Las técnicas a utilizar pueden ser: entrevistas. utilizando las técnicas y herramientas previstas. . pruebas.

Recomendaciones El informe final suele acompañarse con un informe resumen para la Dirección.Auditoría Informática Metodología para la realización de una AI 6. Enumeración de temas considerados. Análisis de la situación actual. La estructura del informe final de AI recogerá los siguientes puntos: • • • • • Presentación. donde. Elaboración del Informe Final. en no más de 4 folios se sintetice el resultado de la auditoría en lo concerniente a las debilidades sin incluir las recomendaciones. Definición del ámbito y objetivos. .

Software de interrogación. 3. Buenas prácticas de control relacionadas: COBIT (Control Objectives for Information and Related Technology) . 4. Los estándares. Las entrevistas. 5. 2. Rastreos o huellas.Auditoría Informática Herramientas. 6. Los cuestionarios o checklist (de rango o binarios). técnicas y normas para la AI 1.