AUDITORIA TECNOLOGIA INFORMATICA

Fernando Rada Barona

Estrategia para la Auditoría de Sistemas de Información

Necesidad de definir una estrategia

Las TIC han acompañado la automatización y el crecimiento
La información y los recursos TIC como activos de las
organizaciones
Dependencia de las TIC

Implicación de la Dirección
Incremento vulnerabilidad de los sistemas
Dar respuesta a la dependencia de la información
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados
Estrategia para la Auditoría de Sistemas de Información

Objetivos de las Administraciones Públicas:

 Cumplimiento de la legalidad vigente
 Eficacia
 Eficiencia

Auditoría Sistemas de Información >

Supervisión de los riesgos de los sistemas de información
que pudieran afectar al cumplimiento de la legalidad
vigente, la eficiencia y la eficacia de los procesos
soportados por los sistemas de información, en especial
los de la administración electrónica.
 Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de
información

Protección de datos de carácter personal

Control de accesos
Administración Electrónica
Equipamiento informático
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotación de sistemas de información
Contratación bienes y servicios TIC
Técnica de sistemas
Continuidad del servicio TIC
Acreditación de confianza
 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información
Acciones proactivas
Participación en el ciclo de control
Asegurar existencia de controles internos razonables y adecuados
Divulgar y fomentar las buenas prácticas
Fomentar la documentación de los sistemas y procedimientos
Asesorar en la implementación de pistas de auditoría
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestión recursos
 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información

Auditoría forense
Desafío ante delitos informáticos, garantizando la evidencia
digital que se presentase en un proceso judicial.
Recuperar información
Determinar cusa y origen de una situación
Identificar autor(es) acciones ilícitas
Identificar uso inapropiado de los medios de la Organización
 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información

Apoyo en auditorías externas

Supervisión de auditores externos.

Apoyo a otras áreas de Auditoría

Asistencia para la obtención, estructuración y análisis de la
información.
 Auditor Informático

Áreas de Conocimiento (certificables)

Técnica o metodología de auditoría informática

Gestión, planificación y organización de las TIC
Infraestructura técnica, prácticas operativas y protección de
activos
Recuperación de desastres y continuidad de la actividad
Desarrollo, adquisición, implementación y mantenimiento de
sistemas
Evaluación de procesos y gestión de riesgos
 Planificación de Actuaciones
Qué auditar
 Cumplimiento de requerimientos legales
 Sensibilidad de la organización a riesgos / resultado de análisis
 Resultado de auditorías anteriores
 Condicionantes de la Organización
Cuándo auditar
 Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la dirección
 Elaborar el documento de planificación periódica de la unidad
de auditoría
 Revisión periódica del plan inicial para incorporar actuaciones
no previstas
Cómo auditar
 Proceso para planificar las actuaciones individuales
AUDITORÍA DE SISTEMAS DE INFORMACIÓN INTRODUCCIÓN

AUDITORÍA
Proceso sistemático de obtención y evaluación
objetiva acerca de aseveraciones efectuadas por
terceros referentes a hechos y eventos de naturaleza
económica, para testimoniar el grado de
correspondencia entre tales afirmaciones y un
conjunto de criterios convencionales, comunicando
los resultados obtenidos a los destinatarios y
usuarios interesados
American Accounting Association
AUDITORÍA DE SISTEMAS DE INFORMACIÓN INTRODUCCIÓN

la AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIÓN
y UTILIZA EFICIENTEMENTE los RECURSOS
 QUE
QUE ES
ES LA
LA AUDITORIA
AUDITORIA TECNOLOGIA
TECNOLOGIA
INFORMATICA
INFORMATICA

Conjunto de procedimientos y técnicas para

evaluar total o parcialmente los recursos
tecnológicos del negocio, con el objetivo de
salvaguardar los activos y recursos, garantizar el
desarrollo eficiente de sus actividades acorde con
los objetivos estratégicos, con el fin de obtener
la eficacia exigida en el marco de la organización.
POR
POR QUE
QUE LA
LA AUDITORIA
AUDITORIA T/I
T/I
ASPECTOS RELAVENTES

 Cambio cultural del concepto de D.P. Al

concepto de S.I.
 La tecnología de la informática
 Desarrollo de la informática
 Planeación estratégica de sistemas
 Herramientas de calidad y productividad
del software
 Control preventivo vs control correctivo
 Valores morales y participación ética
 Auditoria - consultoría
 Independencia y confianza
PORQUE
PORQUE LA
LA AUDITORIA
AUDITORIA T/I
T/I

EVOLUCIÓN DE LA INFORMATICA EN LAS EMPRESAS.

 Inversiones cada vez mas cuantiosas en informática.

 Crecimiento permanente y frecuentemente desordenado.
 Paso de soporte operativo a soporte cada vez mas Gerencial.
 Creciente dependencia.
 Mayores conflictos entre usuarios y la Gerencia de
informática.
 Dispersión de la informática por múltiples centro autónomos
de procesamiento.
 La intervención activa de organización y métodos.
PROBLEMAS
PROBLEMAS DE
DE LA
LA AUDITORIA
AUDITORIA EN
EN T/I
T/I

 Falta de documentación.
 Escasez de personal idóneo.
 Planeación inadecuada. Falta de apoyo y
compromiso de la alta Gerencia.
 Técnicas y herramientas inadecuadas.
 Capacitación vs tecnología.
 Problemas, relaciones y comportamientos.
 El control es visto como un obstáculo.
 El control se ejerce como vigilancia, poder
desconfianza.
 METAS
METAS DE
DE LA
LA AUDITORIA
AUDITORIA T/I
T/I

 Determinar la adherencia de los servicios informáticos con las

políticas, objetivos, metas y normas de la organización.
 Evaluar la gestión de informática y tecnología por el
desempeño y calidad de los servicios prestados.
 Evaluar la planeación, dirección y organización del área de
informática.
 Evaluar la efectiva utilización de los recursos informáticos.
 Evaluar que exista una efectiva función de desarrollo.
 Evaluar que exista eficiencia en el mantenimiento de los
aplicativos.
 Evaluar que exista una función de control de calidad.
 Evaluar que exista una función de control técnico.
 Evaluar que exista una adecuada documentación y estándares.
 AUDITORIA
AUDITORIA T/I
T/I UN
UN CAMBIO
CAMBIO GENERACIONAL
GENERACIONAL

 Auditoria aplicaciones producción

 Auditoria centro de procesamiento de datos.
 Auditoria al desarrollo de sistemas de información.
 Auditoria plan de contingencias.
 Auditoria adquisición de software.
 Auditoria a las comunicaciones -telematica.
 Auditoria bases de datos.
 Auditoria seguridad física y seguridad lógica.
 Auditoria aplicativos en mantenimiento.
AUDITORIA
AUDITORIA DE
DE CAMBIO
CAMBIO GENERACIONAL
GENERACIONAL SISTEMAS
SISTEMAS
PASO TECNOLOGICO
Software.
Bases de datos.
Lenguajes de cuarta generación.
Telecomunicaciones.
Redes.
Satélites.
Criptografía
Correo electrónico.

PASO GESTION
Procesos.
Reingeniería.
Planeación estratégica
Mejoramiento continuo.
OBJETIVOS
OBJETIVOS DE
DE LA
LA FUNCIÓN
FUNCIÓN DE
DE AUDITORIA
AUDITORIA
TECNOLOGIA
TECNOLOGIA INFORMATICA
INFORMATICA
OBJETIVOS GENERALES
Se establece como objetivo fundamental de la
auditoria de tecnología informática el
proporcionar a la alta gerencia una seguridad
razonable de que las aplicaciones en
producción, el desarrollo de sistema de
información, los equipos de computo y datos,
están siendo utilizados adecuadamente, que se
operan de acuerdo con los estándares de
seguridad y confiabilidad establecidos y que
están debidamente controlados para evitar
perdidas o su usos indebidos
OBJETIVOS
OBJETIVOS DE
DE LA
LA FUNCIÓN
FUNCIÓN DE
DE AUDITORIA
AUDITORIA
TECNOLOGIA
TECNOLOGIA INFORMATICA
INFORMATICA

 Lograr que en el ambiente informático existan los controles eficientes

y efectivos a fin de proveer seguridad razonable sobre:

1. El cumplimiento de las metas y objetivos establecidos por

la Alta Gerencia en el área de informática.

2. La utilización eficiente y eficaz de los recursos de

informáticos (Humanos, Equipos y de Aplicación).

3. El cumplimiento de las normas, políticas y procedimientos que permitan

garantizar que las aplicaciones en producción, los desarrollos de
sistemas, y los equipos de sistemas, se operan de acuerdo con los
estándares de seguridad y confiabilidad establecidos en la organización
 OBJETIVOS
OBJETIVOS DE
DE LA
LA FUNCION
FUNCION DE
DE AUDITORIA
AUDITORIA T/I
T/I
OBJETIVOS ESPECÍFICOS
 Revisar y evaluar las normas, políticas y procedimientos establecidos
por área de informática para el desarrollo de aplicaciones y en la operación
de los sistemas.
 Evaluar permanentemente la seguridad existentes en los centros de
computo, en los procesamientos de la información y sobre los programas y
archivos de datos de las Empresas.
 Prever situaciones de riesgos y sugerir a la Gerencia los controles
suficientes y necesarios que eviten situaciones anormales en las Empresas.
 Comprobar la seguridad y confiabilidad de la información, administrativa,
operativa, financiera, legal etc., desarrollada dentro de la Empresa.
 Evaluar la calidad del desempeño en la conducción de las
responsabilidades asignadas para el área de la informática.
 Participar en el desarrollo de los sistemas de información o en su compra,
a fin de verificar la incorporación o diseño de los controles necesarios para
garantizar su operatividad en forma confiable ,eficiente y segura.
HABILIDADES
HABILIDADES DE
DE UN
UN AUDITOR
AUDITOR T/I
T/I

 Asesor-consultor.
 Comunicador.
 Retroalimentador.
 Manejador de conflictos.
 Gestor de iniciativas.
 Gestor de cambio.

LIDER
 DEFINICION
DEFINICION DE
DE AUDITORIA
AUDITORIA T/I
T/I

Ya analizados unos conceptos básicos,

definamos lo que es la auditoria tecnología
informática: Parte de la auditoria General,
enfocada a evaluar los recursos informaticos
de las empresa para garantizar la integridad,
confidencialidad, exactitud y seguridad de la
información para la toma de decisiones.
 OTRA
OTRA DEFINICION
DEFINICION DE
DE AUDITORIA
AUDITORIA T/I
T/I

La Auditoria tecnología informática la podemos

definir también como un proceso de
investigación, que tiene por objeto evaluar el
sistema de control interno informático y la
información computarizada, para emitir una
opinión independiente sobre la validez técnica del
sistema de control vigente y la confiabilidad de la
información producida por el sistema. La
auditoria en ningún momento implica el diseño,
implantación y ejecución de controles. Su función
es eminente evaluativa y asesora.
 Dos enfoques de la auditoria.
El enfoque tradicional de la auditoría.
Limitado a los controles contables internos.
No se enfocaba a las actividades claves.
Sólo interesaba al personal financiero.
En la actualidad.
Los SI intervienen en todas las actividades.
El auditor moderno evalúa riesgos y
comprueba controles.
Demuestra conocimientos informáticos.
 Tipos de auditorias

Financiera Gestión

La auditoría informática es el proceso de

Cumplimiento
Informática
recoger, agrupar y evaluar evidencias para
determinar si
un sistema informatizado salvaguarda los
activos, mantiene la integridad de los datos,
lleva a cabo
eficazmente los fines de la organización y
utiliza eficientemente los recursos
 BENEFICIOS
BENEFICIOS DE
DE LA
LA AUDITORIA
AUDITORIA T/I
T/I

 Asesoría al personal de desarrollo de sistemas, en materia de

control informático, para diseñar los controles necesarios para
garantizar la confiabilidad de los procesos
 Examinar y evaluar el sistema de control de las aplicaciones
en producción, garantizando confiabilidad y credibilidad de la
información suministrada para la toma de decisiones.

 Auxilia a los Auditores Financieros y Revisores Fiscales para

que puedan cumplir con la función de dar fe publica sobre la
razonabilidad de las cifras mostradas en los Estados Financieros
del negocio.
 Asesora a la Alta Gerencia en la toma de decisiones
correspondiente al área de tecnología informática.

FERNANDO RADA BARONA

UNIVERISIDAD SANTIAGO DE CALI
BENEFICIOS DE LA AUDITORIA DE SISTEMAS

 Promueve el mejoramiento de la cultura de control en la

organización

 Previene la ocurrencia de situaciones perjudiciales para la

organización

 Genera actitud positiva hacia los controles en los responsables de

las operaciones de la empresa

 Promueve la eficiencia operacional en el p.e.d.

 Complementa el control que ejerce la gerencia de sistemas

 Complementa los controles ejercidos por los usuarios internos y externos del s.i.c.

FERNANDO RADA BARONA

UNIVERISIDAD SANTIAGO DE CALI
AUDITORIA DE T/I

Auditoria que comprende la evaluación de todos los

aspectos de los sistemas automatizados de
procesamiento de información, incluyendo los procesos
no automatizados relacionados y las interfaces entre
ellos

FERNANDO RADA BARONA

UNIVERISIDAD SANTIAGO DE CALI
 EFECTOS DE LA INFORMATICA EN LA
AUDITORIA

 Aumento de los riesgos por la dependencia de las empresa

de sus sistemas

 Incremento drásticos en p.e.d

 Migración de controles al ambiente p.e.d.

 Menos visibilidad de las pistas de auditoria

 Segregación de funciones hombre - maquina

 Nuevas funciones y recursos a auditar

FERNANDO RADA BARONA

UNIVERISIDAD SANTIAGO DE CALI
 SERVICIOS DE AUDITORIA DE TECNOLOGIA INFORMATICA

Asesoria en:
Diseño de controles
Medidas de seguridad Evaluacion de:
Normas y estandares Eficiencia y seguridad de operaciones
Planes de continuidad
Control Interno en aplicaciones
Integridad de Informacion

Cooperacion en:
Normas y estandares
Diseño de S.I
Ejecucion de Pruebas
Implementacion de Software de seguridad
Y Politicas de seguridad