AUDITORÍA INFORMÁTICA

Jaime Vigil Rigacci

AUDITORÍA INFORMÁTICA - TEMAS A TRATAR

I.- DEONTOLOGÍA DEL AUDITOR INFORMÁTICO
II.- MARCO JURÍDICO
III.- ISACA
IV.- PERFIL DEL AUDITOR

I - DEONTOLOGÍA - (DEFINICIÓN)
• La deontología (del griego to deon, "lo conveniente", "lo debido", y logía, "conocimiento", "estudio") es
la disciplina que estudia los deberes u obligaciones morales de cada profesión.
• El objeto de estudio de la deontología son los fundamentos del deber y las normas morales.
• El concepto de deontología fue acuñado por Jeremy Bentham1, en su obra Deontología o ciencia de la moral,
donde ofrece una visión novedosa de esta disciplina. Para Bentham, la deontología se aplica
fundamentalmente al ámbito de la moral, es decir, a aquellas conductas del ser humano que no forman
parte de las normativas del derecho vigente, y que no están sometidas al control de la legislación pública.

1.- Jeremy Bentham (1748-1832) fue un filósofo, economista, pensador y escritor inglés, padre del Utilitarismo.

I - DEONTOLOGÍA DEL AUDITOR INFORMÁTICO

• FINALIDAD.- Incidir en el Perfil Profesional del Auditor estimulando que este se ajuste a determinados
principios morales que deben servirle de guía.
• La Deontología del Auditor abarcar tanto su moral y ética profesional en el manejo del activo mas
importante que tienen las empresas, que es la información que se maneja. Los principios contenidos en
los Códigos Deontológicos exigen, que los propios profesionales ayuden a un comportamiento conforme a
los mismos como medio de sensibilización y mejora del prestigio y calidad de su oficio.
• Los auditores deben estar constantemente familiarizados con los principios deontológicos adoptados por
diferentes Colegios y Asociaciones Profesionales, de los cuales podemos mencionar:

Discreción 21.Precisión 9. I . Independencia 2. Información Suficiente 3. Cautela 16. Confianza 19.Economía 22.NO injerencia 8.Formación Continuada 23.DEONTOLOGÍA DEL AUDITOR INFORMÁTICO (PRINCIPIOS FUNDAMENTALES) 1. Beneficio del Auditado 13. Concentración en el trabajo 18. Comportamiento Profesional 17.Veracidad . Criterio Propio 20.Integridad Moral 4.Servicio Público 25.Responsabilidad 11.Publicidad adecuada 10.Fortalecimiento y Respeto de la Profesión 24. Calidad 14.Legalidad 5.NO Discriminación 7. Capacidad 15.Libre Competencia 6.Secreto Profesional 12.

. a la elección del auditor. éste debe tener accesibilidad a documentación necesaria. es facilitar el derecho de las organizaciones auditadas. en cuanto a la aplicación de este principio. deberá buscar ayuda o capacitación profesional. I . Principio de Calidad. si en dicho departamento le niegan la documentación. Ejemplo: El auditor debe hacer una auditoria al Departamento de Ventas de la empresa XXX. para cumplir con su tarea.Un aspecto importante. aun cuando el no se sienta en la capacidad de hacerlo. 2.DEONTOLOGÍA DEL AUDITOR INFORMÁTICO (PRINCIPIOS FUNDAMENTALES) 1. Principio del Beneficio del Auditado. el auditor debe negarse a realizar la auditoria ya que no puede acceder a la información que es de vital importancia para su desempeño. ..El auditor deberá cumplir sus servicios con calidad.

lo que hará que el auditor pierda credibilidad como profesional. y no confiarse de sus conocimientos profesionales. realiza un informe con recomendaciones que a la larga le dejarán perjuicios a la empresa. ser humilde al dictar sus criterios...I . .El auditor debe tener cierto grado de cuidado.DEONTOLOGÍA DEL AUDITOR INFORMÁTICO PRINCIPIOS FUNDAMENTALES 3. Principio de Capacidad. Principio de Cautela. y ser consciente de que sus recomendaciones deben estar basadas en la experiencia. 4. Ejemplo: Las recomendaciones sugeridas en el informe de auditoria deben estar avaluadas en base a la realidad de la empresa (económico ). Ejemplo: El auditor hace la auditoria del Departamento de Ventas. debido a que no tiene suficiente conocimiento en su trabajo.El auditor debe estar plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoria.

6.Este principio esta ligado con la ética profesional del auditor. Principio de Comportamiento Profesional.. . que encubran comportamientos no profesionales. como evitar actos ilícitos. dejando constancia en el informe de auditoria de que terceros ayudaron en el trabajo de la auditoria al Departamento de Ventas. debe acudir donde otro profesional (un contador) el cual le pueda ayudar en dicha tarea.El auditor debe controlar el exceso de trabajo con la concentración que debe tener. esto permitirá al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos. ficticios. Ejemplo: Si el auditor necesita ayuda para la revisión de documentación. Principio de Concentración en el trabajo.DEONTOLOGÍA DEL AUDITOR INFORMÁTICO PRINCIPIOS FUNDAMENTALES 5..I .

. su actuar debe ser correcto y transparente. . 8. Principio de Criterio Propio.I .Este principio requiere de ambas partes un dialogo que permita aclarar todas las dudas que se den a lo largo de la auditoría.-Este principio demanda de que el auditor actué con criterio propio.DEONTOLOGÍA DEL AUDITOR INFORMÁTICO PRINCIPIOS FUNDAMENTALES 7. Ejemplo: Si un empleado va y comenta al auditor de que tiene sospechas de que el jefe departamental está desviando fondos. esto no quiere decir que el auditor va a dar por cierto dicho comentario. Principio de Confianza. para no permitir estar subordinado al de otros profesionales. Ejemplo: El auditor debe ser sincero con el cliente.

etc. inversiones. Principio de Economía. Principio de Discreción. 10.I ...DEONTOLOGÍA DEL AUDITOR INFORMÁTICO PRINCIPIOS FUNDAMENTALES 9. Ejemplo: El plan de auditoria debe estar bien delimitado a fin de evitar gastos extras. y mantenerlos durante el proceso de auditoria como en la finalización. . ampliaciones de trabajo sobre asuntos no directamente relacionados con la auditoria.Se refiere a proteger los derechos económicos del Auditado con el fin de evitar gastos innecesarios. Ejemplo: El auditor no deberá divulgar datos tales como los estados financieros de la empresa. Esto restaría credibilidad al auditor. estrategias de ventas. así mismo rechazar.Dependerá del cuidado y discreción en la divulgación de datos.

• Estudiar y analizar estas nuevas tecnologías como un objeto más del Derecho.II – NORMA JURÍDICA DE LA AUDITORÍA (INTRODUCCIÓN) • Contemplar nuevas tecnologías como herramientas del Operador Jurídico. • La Informática Jurídica contempla tres categorías: • La Informática Jurídica de Gestión. • La Informática Jurídica Documental • La Informática Jurídica Decisional .

II – NORMA JURÍDICA DE LA AUDITORÍA (POTESTADES DE LAS ENTIDADES JURÍDICAS Y DE LAS EMPRESAS) Las Entidades Jurídicas junto con las Empresas pueden asumir los siguientes roles: • Potestad reguladora • Potestad inspectora • Potestad sancionadora • Potestad inmovilizadora .

• Debe corresponder a un tipo legal. debe lesionar. • El acto ha de ser culpable imputable. . • La ejecución u omisión de un acto debe estar sancionada. se han de conjugar los siguientes principios: • El delito es un acto humano. es una acción (u omisión). • Este acto suele ser antijurídico. o la culpa a dolo.II – NORMA JURÍDICA DE LA AUDITORÍA (DELITO INFORMÁTICO) Para que se presente la figura del “Delito Informático”.

Código de buenas prácticas para la gestión de la seguridad de la información.II – NORMA JURÍDICA DE LA AUDITORÍA RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM Lima. Edición” en todas las entidades integrantes del Sistema Nacional de Informática . Tecnología de la Información. 22 de agosto de 2007 Aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. 2a.

mediante el Sistema 1 u Adopción. Tecnología de la Información RESEÑA HISTÓRICA La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI). durante los meses de junio a julio del 2006. II – NTP-ISO/IEC 17799:2007 EDI. utilizando como antecedente a la Norma ISO/IEC 17799:2005 Information Technology – Code of practice for information security management. .

Tecnología de la Información – (MONITOREO) OBJETIVO: Detectar las actividades de procesamiento de información no autorizadas. • Una organización debe cumplir con todos los requerimientos legales aplicables para el monitoreo y el registro de actividades. • El monitoreo del sistema debe ser utilizado para verificar la efectividad de los controles adoptados y para verificar la conformidad de un acceso a un modelo de política. . • Los sistemas deben ser monitoreados y los eventos de la seguridad de información deben ser grabadas. II – NTP-ISO/IEC 17799:2007 EDI. El registro de los operadores y el registro de averías debe ser usado para asegurar que los problemas del sistema de información sean identificados.

excepciones y eventos de la seguridad de información deben ser producidos y guardados para un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. .II – NTP-ISO/IEC 17799:2007 EDI. TI (REGISTRO DE AUDITORÍA) CONTROL Los Registros de Auditoria grabando actividades de los usuarios.

II – NTP-ISO/IEC 17799:2007 EDI. Se deberían establecer controles para salvaguardar los sistemas operativos y las herramientas de auditoria durante las auditorias del sistema. . Tecnología de la Información CONSIDERACIONES SOBRE LA AUDITORIA DE SISTEMAS OBJETIVO: Maximizar la efectividad y minimizar las interferencias en el proceso de auditoria del sistema. También se requiere protección para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoria.

d) Registros de éxito y fracaso de los intentos de acceso al sistema. c) Identidad del terminal o locación si es posible. II – NTP-ISO/IEC 17799:2007 EDI. i) Archivos accesados y el tipo de acceso. h) Uso de las instalaciones y aplicaciones del sistema. TI (REGISTRO DE AUDITORÍA) GUÍA DE IMPLEMENTACIÓN Los Registros de Auditoria deben incluir cuando sea relevante: a) Identificaciones de usuarios. b) Fecha y hora de conexión y desconexión. . f) Cambios en la configuración del Sistema. etc. e) Registros de éxito o fracaso de datos y de otros intentos de acceso a recursos. g) Uso de privilegios.

Edición” en todas las entidades integrantes del Sistema Nacional de Informática .II – NORMA JURÍDICA DE LA AUDITORÍA RESOLUCIÓN MINISTERIAL Nº 004-2016-PCM Lima. Técnicas de Seguridad. 08 de enero de 2016 Aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 27001:2014 EDI. 2a. Sistema de Gestión de la Seguridad de la Información. Tecnología de la Información.

mediante el Sistema 1 o de Adopción. utilizando como antecedente a la norma ISO/IEC 27001:2013 Information Technology – Security Techniques – Information Security Management Systems – Requirements y la ISO/IEC 27001:2013/COR 1 2013 Information Technology – Security Techniques – Information Security Management Systems – REQUIREMENTS . durante los meses de abril a junio del 2014. II – NTP-ISO/IEC 27001:2014 EDI. Tecnología de la Información RESEÑA HISTÓRICA La presente Norma Técnica ha sido elaborada por el Comité Técnico de Normalización de Codificación e intercambio Electrónico de Datos.

Otras organizaciones internacionales. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Los órganos nacionales que son miembros de ISO o de IEC participan en el desarrollo de las Normas Internacionales a través de comités técnicos establecidos por la respectiva organización para ocuparse de campos particulares de actividad técnica. en enlace con ISO y con IEC. . En el campo de la tecnología de la información. Tecnología de la Información INTRODUCCIÓN ISO (la Organización Internacional para la Normalización) e IEC (la Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización mundial.omité técnico conjunto. II – NTP-ISO/IEC 27001:2014 EDI. también participan en el trabajo. ISO/IEC JTC 1. gubernamentales y no gubernamentales. ISO e IEC han establecido.

sin importar su tipo. tamaño o naturaleza. Excluir cualquiera de los requisitos especificados en las Cláusulas 4 a 10 no es aceptable cuando una organización declara conformidad con esta Norma Técnica Peruana. TI (OBJETIVOS) Esta Norma Técnica Peruana especifica los requisitos para establecer. implementar. Los requisitos establecidos en esta Norma Técnica Peruana son genéricos y están hechos para aplicarse a todas las organizaciones. mantener y mejorar continuamente un sistema de gestión de seguridad de la información dentro del contexto de la organización. II – NTP-ISO/IEC 27001:2014 EDI. . Esta Norma Técnica Peruana también incluye requisitos para la evaluación y tratamiento de los riesgos de seguridad de la información orientados a las necesidades de la organización.

II – NTP-ISO/IEC 27001:2014 EDI. TI (EVALUACIÓN DEL DESEMPEÑO) La Organización debe conducir Auditorías Internas en intervalos planificados para proporcionar información sobre si el Sistema de Gestión de Seguridad de la Información: a) Está en conformidad con 1) Los requisitos de la propia organización para su sistema de gestión de seguridad de la información. . métodos. Los programas de auditoría deben tomar en consideración la importancia de los procesos concernientes y los resultados de auditorías previas. implementar y mantener uno o varios programas de auditoría. La organización debe: c) Planificar. 2) Los requisitos de esta Norma Técnica Peruana. b) Está efectivamente implementado y mantenido. establecer. requisitos e informes de planificación. incluyendo la frecuencia. responsabilidades.

#$# &'()"*$5%>%7$8.5.$(1 . II – NORMA JURÍDICA DE LA AUDITORÍA Norma Constitucional 8.

a fin de que le sea suministrada la información existente sobre su persona. . en registros informáticos o no. que estuviera incluida en un registro o banco de datos de todo tipo. El Hábeas data es una acción jurisdiccional. que puede ejercer cualquier persona física o jurídica. normalmente constitucionales. ya sea en instituciones públicas o privadas. y de solicitar la eliminación o corrección si fuera falsa o estuviera desactualizada. II – NORMA JURÍDICA DE LA AUDITORÍA Norma Constitucional 8.

. II – NORMA JURÍDICA DE LA AUDITORÍA 8.

. II – NORMA JURÍDICA DE LA AUDITORÍA 8.

. II – NORMA JURÍDICA DE LA AUDITORÍA 8.

II – NORMA JURÍDICA DE LA AUDITORÍA 8. .

III .ISACA .

.II – ISACA .DEFINICIÓN •ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información). •Es una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.

CEOs.000 profesionales en 187 países. ISACA tiene más de 215 Divisiones o Capítulos en más de 92 países. ISACA es una asociación sin fines de lucro conformada por 140. gerentes de negocios.II – ISACA – MIEMBROS y DIVISIONES •Establecida en 1969. educadores. Sus miembros incluyen auditores internos y externos. CFOs. . profesionales de seguridad y control de información. estudiantes y consultores de TI. CIOs.

Una designación mundialmente respetada Para profesionales experimentados en auditoría. Se han ganado la designación CISA desde su creación en 1978.000 miembros. control y seguridad.II – ISACA – ACTIVIDADES Desarrolla y administra cuatro certificaciones líderes de la industria: •Auditor de Sistemas de Información Certificado® (CISA®). . Con más de 125.

.000 miembros. Una designación innovadora Para los líderes que gestionan la seguridad de la información de una organización. Se han ganado la designación CISM desde su creación en 2002. Con más de 32.II – ISACA – ACTIVIDADES Desarrolla y administra cuatro certificaciones líderes de la industria: •Gerente Certificado de Seguridad de la Información ® (CISM®).

Para profesionales que Gestionar. . prestar servicios de asesoramiento y / o aseguramiento. y / o Apoyar la gobernanza de la TI de una empresa.II – ISACA – ACTIVIDADES Desarrolla y administra cuatro certificaciones líderes de la industria: •Certificado en el Gobierno de la Empresa IT ® (CGEIT® ).000 profesionales Obtuvo la designación CGEIT desde su creación en 2007. Con cerca de 7.

Y monitoreo y mantenimiento del control SI. evaluación y evaluación. Con más de 20.000 profesionales Han sido certificadas desde su creación en 2010. respuesta a los riesgos.II – ISACA – ACTIVIDADES Desarrolla y administra cuatro certificaciones líderes de la industria: •Certificado en Control de Riesgos y Sistemas de Información ™ (CRISC ™). . Diseño e implementación de control de SI. para IT Profesionales con experiencia en la identificación. Monitoreo del riesgo.

orientación. •Conferencias CSX-expandir globalmente. que incluye: •Certificado de Fundamentos de Seguridad Cibernética y certificación CSX basada en habilidades y entrenamiento. capacitación. •Investigación. educación y colaboración en materia de ciberseguridad . •El boletín mensual de Nexus.II – ISACA – ACTIVIDADES Desarrolla y administra cuatro certificaciones líderes de la industria: •Cybersecurity Nexus™ (CSX).

org/itaf •Proporciona estándares profesionales.isaca. herramientas y técnicas para la auditoría de SI y Profesiones de control. directrices. II – ISACA – ACTIVIDADES Desarrolla y administra cuatro certificaciones líderes de la industria: ® Cobit 5 Es un marco de negocio para gobernar la tecnología de la empresa. formación y aprendizaje en línea en todo el mundo: www. .org/education •Desarrollo y actualización continua en el Marco de Garantía de TI (ITAF): : www.isaca. Que incluye: •Conferencias de acogida.

•Comercio electrónico. Automatización de oficinas (ofimática). Redes locales. •Análisis de riesgo en un entorno informático. •Administración. •Sistemas operativos. adquisición. •Administración de datos. etc. planificación y organización de las Tecnologías de Información.IV – PERFIL DEL AUDITOR – (CONOCIMIENTOS) El Auditor Informático ha de poseer todo tipo de conocimientos Tecnológicos. . Administración de Bases de Datos. de forma actualizada y especializada respecto a las plataformas existentes en la organización como son: •Desarrollo. •Normas estándares para la auditoría interna. implantación y mantenimiento de Sistemas de Información. Telecomunicaciones.

• Análisis e interpretación de la evidencia. IV – PERFIL DEL AUDITOR  Herramientas • Herramientas de control y verificación de la seguridad. etc. etc.  Técnicas • Técnicas de Evaluación de riesgos • Muestreo • Cálculo pos operación • Monitoreo de actividades • Recopilación de grandes cantidades de información • Verificación de desviaciones en el comportamiento de la data. . • Herramientas de monitoreo de actividades.

como también lo indican Piattini y Del Peso (2001). • Análisis de la administración de los Sistemas de Información desde un enfoque de riesgo de seguridad. fiabilidad y certeza de la información. a través del análisis de aplicaciones. entre otros. administración y efectividad de la administración. tanto de las aplicaciones como de los Sistemas de Información. • Auditoria del riesgo operativo de los circuitos de información. Principalmente. IV – PERFIL DEL AUDITOR – (FUNCIONES) Hablando de las realidad actual. éstas son las actividades a desarrollar por la Función de la Auditoría Informática: • Análisis de la administración de los riesgos de Información y de la seguridad implícita. • Análisis de la integridad. . • Revisión del control interno. dispositivos periféricos. podría afirmarse que las funciones del Auditor Informático deben mantener los objetivos de revisión que le demande la organización. • Diagnostico del grado de cobertura que dan las aplicaciones a las necesidades de la empresa.

MUCHAS GRACIAS .