Auditoría y Seguridad

de Sistemas de Información
Auditoria de Sistemas un Desafío
Principales Actividades de la
Auditoría de Sistemas

Cr. Luis Elissondo

 Nuevo Concepto de Auditoría
Interna
Auditoría interna es una actividad
independiente,objetiva y de consultoría
diseñada para agregar valor y mejorar las
operaciones de una organización. Ayuda a
una organización a cumplir sus objetivos
aportando un enfoque sistemático,
disciplinado para evaluar y mejorar la
efectividad de la administración del riesgo, el
control y los procesos de conducción.
Nvo. Concepto de Auditoría Interna
1. Es más importante el aporte que hace a la
organización que su propia eficiencia.
2. Tiene que ser percibida como un valor
agregado a la organización.
3. Los auditores internos deben adoptar la
perspectiva de la cadena entera de valor.
4. Ver más allá de sus propios procesos
para reflejarse como conductores de
servicios organizacionales.
5. Los estándares y otras guías
profesionales no sólo deben orientar la
profesión, sino también, lograr simbolizar
una calidad distintiva en el mercado.
 Nuevos retos a superar
• Mayor productividad

• Reducción de costos

• Mayor calidad y confiabilidad

• Menor plazo de entrega de los trabajos

• Servicios de valor agregado

 Tarea de Reflexion

Enumere 10 actividades
laborales o sociales en los
que la informatica este
presente y otras 10 en las
que no.
 ¿Pero que comprende la
Informatica?
Tecnología Informática (Oferta)
– Hardware y Software
– Tecnología de Comunicaciones y Base de datos
– Metodología para la construcción de aplicaciones.

APLICACIONES
Sistemas de Información (Demanda)
–Necesidades de Información
–Requermientos del Negocio
Impacto de los Sistemas de Inf.
•La creciente dependencia en información y en los
sistemas que proporcionan dicha información .
•La creciente vulnerabilidad y un amplio espectro de
amenazas, tales como las "ciber amenazas" y la
guerra de información
•La escala y el costo de las inversiones actuales y
futuras en información y en tecnología de
información;
•El potencial que tienen las tecnologías para cambiar
radicalmente las organizaciones y las prácticas de
negocio, crear nuevas oportunidades y reducir costos.
Problemas que surgen de los
diagnósticos organizacionales
• En el plan de negocios no se suele tener
presente al área de informática.
• Problemas de procesos (duplicidad de
tareas, falta de conexión entre procesos, etc.)
• Problemas de actualización tecnológica soft,
hard y recursos humanos.
• Falta del integración del usuario al proceso
de desarrollo e implementación.
• Mal uso de recursos del negocio falta de
priorización de los proyectos.
• Falta de Formalización de los procesos
 Impacto en la tarea de auditoría

• Cambio de las pistas de auditoría

• Adecuación de las normas de auditoría
a entorno computadorizado.
• Pericia técnica del auditor
• Delito informático
• Privacidad
 Una definición de Auditoría de
Sistemas
Es un proceso formal que es llevado
adelante por especialistas en auditoría y
en informática a efectos de verificar y
asegurar que los recursos y procesos
involucrados en la construcción y
explotación de los sistemas de
información cumplen con los
procedimientos establecidos y se ajustan
a criterios de integridad, eficiencia,
seguridad, efectividad y legalidad.
Principales Áreas de Actividad de la
Audit.Sist.
• Auditoría de la dirección (Plan Estratégico de
Sistemas)
• Auditoría del desarrollo (gestión de proyecto)
• Auditoría de la Adquisición
• Auditoría Seguridad (Seguridad Física – Plan
de Contingencias, evaluación de riesgos,
seguridad lógica)
• Auditoría de la explotación y Mantenimiento
(Utilización de sistemas, puesta en marcha,
cambios de programas)
Organización del Area de Auditoría
Informática – Ubicación
• Departamento de Auditoría Interna.
• Independencia Funcional
• Coordinación con Auditoría Tradicional
• Dirección de Informática
• Dependencia Funcional
• Problemas de administración por parte del Gerente de
Informática
• Brinda mayor apoyo al área de informática
• Staff de la Gerencia General
• Mayor apoyo a la alta dirección
• Mayor compromiso con los objetivos del negocio
• Problemas para el seguimiento de las actividades del área por
parte de la Gerencia General
• Externa
• Imposibilidad de contar con un área propia
• Mayor experiencia y amplitud de visión
• Mayor nivel tecnológico y de conocimientos
• Problemas con el conocimiento del negocio
 Organización del Area de Auditoría
Informática – Principales Funciones
• Evaluación y verificación de controles y procedimientos
relacionados con la función de informática
• Verificación del uso eficiente de los SI.
• Desarrollo de las actividades del área de auditoría inf. de
acuerdo a estándares normativos.
• Evaluación de las áreas de riesgo y en consecuencia
planificación de las tareas del área.
• Relaizar el monitoreo permanente de las actividades del
área.
• Realizar el monitoreo de la seguridad.
• Monitoreo de la aplicación de procedimientos.
• Realizar una adecuada información y seguimiento de las
observaciones realizadas.
 Herramientas
• Herramientas de escritorio. Base de datos,
Planillas de Cálculo, Procesador de Texto,
Proyect, etc.
• Herramientas que requieren conocimiento
técnico específico: SQL, programación.
• Herramientas de análisis de datos: IDEA
,ACL
• Herramientas que ayudan en todo el
proceso CAAT´s (Computer Assisted Audit
Techniques)
ACL
 Se solicitan Auditores para el
próximo milenio....

“La Auditoría ha cambiado de un enfoque de

viejas nociones reactivas hacia una actitud
proactiva, con una fuerte inclinación hacia
detección de fraudes, monitoreo continuo y
capacidad para mejorar procesos del negocio”

Fuente: “Future Report: Audit and Data Analysis Technology”

Conclusiones y Preguntas