Auditora en Tecnologas de la

Informacin

Introduccin a la Auditora
La Auditora de Tecnologa de
Informacin es el proceso de
recolectar y evaluar la evidencia
para determinar si los Sistemas
de Informacin y los recursos
relacionados (base de datos,
redes, aplicaciones, personal,
infraestructura, presupuesto,
etc) protegen adecuadamente
los activos, mantienen los datos y
la integridad del Sistema de
Informacin, proveen informacin
relevante y confiable. Adems de
asegurar que las Tecnologa de
Informacin coadyuven a los
objetivos organizacionales y que
los eventos no deseados sern
detectados oportunamente para
ser evitados.

Definicin de Auditoria
La auditora puede definirse como el examen comprensivo y
constructivo de la estructura organizativa de una empresa de una
institucin o departamento gubernamental; o de cualquier otra
entidad y de sus mtodos de control, medios de operacin y empleo
que d a sus recursos humanos y materiales.
Concepto de auditoria en tecnologas de la informacin.:
Es la revisin tcnica, especializada y exhaustiva que se realiza a
los sistemas computacionales, software e informacin utilizados en
una empresa, sean individuales, compartidos o de redes, as como
a sus instalaciones, telecomunicaciones, mobiliario, equipos
perifricos, y dems componentes. El propsito fundamental es
evaluar el uso adecuado de los sistemas para el correcto ingreso de
los datos, el procesamiento adecuado y la emisin oportuna de sus
resultados
en
la
organizacin.

TIPOS DE AUDITORIA
Existen varias formas de clasificar las auditorias: del Sistema
de Calidad, del Proceso, del Producto, que a su vez pueden
ser Internas o Externas y tambin pueden ser de adecuacin o
de cumplimiento.
Auditora en Informtica
Auditora en Informtica es la revisin y evaluacin de los
controles, sistemas, procedimientos de informtica, de los
equipos de cmputo, su utilizacin, eficiencia y seguridad, de
la organizacin que participan en el procesamiento de la
informacin, a fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura
de la informacin que servir para la adecuada toma de decisiones.
Auditorias del Sistema de Calidad
Las auditorias del Sistema de Calidad de una empresa son
una actividad que se realiza para comprobar, mediante el
examen y la evaluacin de evidencias objetivas, que el
Sistema de Calidad es adecuada y ha sido desarrollada,
documentada y efectivamente implantada de acuerdo con los
requisitos especificados.
Auditoria de Calidad del proceso
La auditoria de Calidad del proceso consiste en el examen
sistemtico e independiente de los elementos de un proceso
para determinar si las actividades y los resultados relativos a la
Calidad satisfacen a las disposiciones previamente
establecidas y si estas disposiciones se llevan a cabo
efectivamente y son aptas para alcanzar los objetivos.

Auditoria de Calidad del Producto

La auditoria de Calidad del producto consiste en la estimacin
cuantitativa del cumplimiento de las caractersticas requeridas en el
producto.
Auditorias Internas
Es importante para la empresa comprobar la efectividad de su
Sistema de Calidad, siendo la propia empresa quien investiga sus
propios sistemas, procedimientos y actividades para cerciorarse que
son adecuados y que se cumplen.
Proporcionan informacin de si sus polticas estn siendo
cumplidas, de si los sistemas son tan eficientes y efectivos como
deberan ser y si se precisa algn cambio. Pueden establecer una
lnea de comunicacin por toda la compaa y convertirla en un
gran elemento motivador.
Auditoria externa
Es la auditoria desarrollada por una empresa sobre sus propios
suministradores o subcontratistas, o que realiza un cliente sobre
ella.

Auditorias por Tercera Parte

Es la auditoria externa efectuada por un organismo independiente
de las partes, que verifica la efectividad del Sistema de Calidad y el
cumplimiento de las normas internacionales de Calidad (ISO).
Tiene varias ventajas, ya que al estar hecha por alguien
independiente
y
con
credibilidad,
es
probable
que
los clientes decidan no efectuar otras auditorias, con el
consiguiente ahorro econmico y de tiempo para ambas partes
(cliente y suministrador).
Auditoria de Adecuacin
Es tambin conocida como auditoria del Sistema o auditoria de
direccin. Es una labor de despacho, que determina si el Sistema
de Calidad documentado mediante el Manual de Calidad, sus
procedimientos asociados, instrucciones de trabajo y registros,
cumplen adecuadamente con los requisitos de una Norma, y si
proporciona evidencias objetivas de que el sistema ha sido
diseado para ello.
Auditoria de Cumplimiento
Es la auditoria por la cual se trata de determinar el nivel de
implantacin del Sistema de Calidad.

El Auditor
Es aquella persona que lleva a cabo una
auditoria,
capacitado
con conocimientos necesarios para evaluar
la eficacia de una empresa.
La
actualizacin
continua
de
sus
conocimientos permitir al auditor adquirir la
madurez de juicio necesaria para el ejercicio
de su funcin en forma prudente y justa
El
auditor
debe
reunir,
para
el
buen
desempeo
de
su
profesin
caractersticas como: slida cultura general,
conocimiento
tcnico,
actualizacin
permanente, capacidad para trabajar en
equipo
multidisciplinario, creatividad, independencia
,
mentalidad
y
visin
integradora,
objetividad, responsabilidad, entre otras.
Adems de esto, este profesional debe tener
una formacin integral y progresiva.

Requisitos para ser un auditor en

sistemas de informacin
Completar con xito el examen CISA
Adquirir la experiencia en la Auditora de los
sistemas de informacin, control y/o
seguridad Cumplir con la adhesin al Cdigo
de tica Profesional
Cumplir con la adhesin al programa de
formacin profesional continua
Cumplimiento de las Normas de Auditora de
Sistemas de Informacin

Objetivos de la Auditora en
sistemas de informacin
El control de la funcin informtica
El anlisis de la eficiencia de los Sistemas
Informticos
La verificacin del cumplimiento de la
Normativa en este mbito
La revisin de la eficaz gestin de los
recursos informticos

Herramientas para efectuar una

auditora de sistemas
Observacin
Realizacin de
cuestionarios
Entrevistas a auditados
y no auditados
Muestreo estadstico
Flujo gramas
Listas de chequeo

FORMACION DE UN AUDITOR
CONOCIMIENTOS
Es conveniente que posea una preparacin acorde
con los requerimientos que la auditora exige, eso
le permitir interactuar de manera natural durante
el desarrollo de la misma.

FORMACIN ACADMICA
Estudios a nivel tcnico, Licenciatura o posgrado,
siempre y cuando el auditor haya recibido una
capacitacin que le permita intervenir en las
actividades propias de una auditora.
FORMACIN COMPLEMENTARIA
Instruccin en la materia obtenida a lo largo de su
vida profesional, a travs de conferencias, talleres,
seminarios, estudios de idiomas, foros o cursos,
etc.
FORMACIN EMPRICA
Conocimiento resultante de la implementacin de
auditorias en diferentes instituciones, con o sin
contar con un grado acadmico.

EXPERIENCIA
Una de las caractersticas fundamentales que se deben considerar en
el auditor, es su experiencia personal, ya que de ello depende en gran
medida el cuidado y actividad profesional que emplear y la
profundizacin que emitir sus observaciones.

HABILIDADES Y DESTREZAS
En forma complementaria a su formacin profesional, terica, prctica, o
ambas, se requiere otro tipo de cualidades determinantes en su trabajo.
Pueden variar de acuerdo con el modo de ser y el deber ser de cada caso;
sin embargo, es conveniente que quien se d a la tarea de cumplir con el
papel de auditor, sea poseedor de las siguientes caractersticas:

 Actitud positiva
Estabilidad emocional
Objetividad
Sentido institucional
Saber escuchar
Creatividad
Respeto a las ideas de los dems
Mente analtica
Conciencia de los valores propios y de su entorno
Capacidad de negociacin
Imaginacin
Claridad de expresin verbal y escrita
Capacidad de observacin
Iniciativa
Discrecin
Paciente y amable bajo cualquier circunstancia
Siendo puntual
Siendo consciente de las relaciones interprofesionales y de los
problemas potenciales que puede ocasionar
Dando buenos juicios, un sentido de la proporcin y estando preparado
para hacer algunas concesiones.
Facilidad para trabajar en equipo
Comportamiento tico

ETAPAS DE LA AUDITORIA

PREPARACIN DE LA AUDITORIA
Propsito y alcance de la auditoria
Revisin y evaluacin de la
documentacin(Revisar los registros de
auditorias anteriores cuando sea aplicable).
Preparar el Plan de Auditora.
Asignar tareas al equipo auditor.
Establecer la lista de chequeo con base en
los procedimientos que van a ser auditados.

Plan de Auditoria Debera incluir lo

siguiente:
a) Los objetivos de la auditora
b) Los criterios de auditora y los documentos de referencia;
c) El alcance de la auditora, incluyendo la identificacin de las
unidades de la organizacin y unidades funcionales y los
procesos que van a auditarse;
d) Las fechas y lugares donde se van a realizar las actividades
de la auditora in situ.
e) La hora y la duracin estimadas de las actividades de la
auditora in situ, incluyendo las reuniones con la direccin del
auditado y las reuniones del equipo auditor;
f) Las funciones y responsabilidades de los miembros del equipo
auditor y de los acompaantes;
g) La asignacin de los recursos necesarios a las reas crticas
de la auditora.

LISTA DE VERIFICACINES
Es una ayuda valiosa para auditar, sirve
como gua, y es la principal herramienta del
auditor para realizar con xito la auditoria. Se
utiliza como:
un documento de trabajo, y
un registro.
El propsito de las listas es el de tener una
herramienta que facilite el asegurar que se
cumplan los objetivos y el alcance de la
auditoria y que se concluya cada parte de la
misma.

LISTA DE VERIFICACION
Al elaborar la lista, se debe considerar:
Los requisitos de la norma.
Los procedimientos pertinentes.
Los procesos que se llevan a cabo.
Los documentos y registros que se utilizan.
El Ciclo PHVA.
Los Principios del SGC.
Tener en cuenta los aspectos relevantes, debilidades de
carcter general del SGC y las observaciones por procesos.
REVISIN
Una revisin y conclusin de las listas de verificacin
Un estudio de las notas y/o comparacin de las mismas con
los miembros del equipo.
El listado de no cumplimientos.

PREGUNTAS Y REVISIN DE LA LISTA

DE VERIFICACION
Revisin y conclusin de las listas de
verificacin
Un estudio de las notas y/o comparacin
de las mismas con los miembros del
equipo.
El listado de no cumplimientos.

Planeacin de una Auditoria

La Norma ISO 9001 establece que la auditoria
interna debe ser realizada de acuerdo con un
procedimiento documentado.
De este modo, es mejor disear el sistema de
auditorias internas con base en aquellas
prcticas que se han demostrado son eficaces
para realizar auditorias externas.

PLANEACION
Al planificar una auditoria de cualquier tipo, se deben
determinar los siguientes aspectos:
Frecuencia/tiempo
Responsabilidad
Criterios
Alcance
Duracin
PLANEACIN DE LAS AUDITORIAS INTERNAS
Para determinar los aspectos antes mencionados se deben
tener en cuenta:
Ejecuciones anteriores
Estado crtico o complejidad
Cambios al SGC
Auditores competentes
Otros recursos disponibles

PROGRAMA DE AUDITORA
Un programa de auditora puede incluir una o ms
auditoras, dependiendo del tamao, la naturaleza y la
complejidad de la organizacin que va a ser auditada.
Estas auditoras pueden tener diversos objetivos y
pueden incluir auditoras combinadas o conjuntas.
Un programa de auditora tambin incluye todas las
actividades necesarias para planificar y organizar el
tipo y nmero de auditoras, y para proporcionar los
recursos para llevarlas a cabo de forma eficaz y
eficiente dentro de los plazos establecidos.
Una organizacin puede establecer ms de un
programa de auditora.

PROCESO PARA LA GESTIN DE UN

PROGRAMA DE AUDITORA
AUTORIDAD PARA EL PROGRAMA
ESTABLECIMIENTO DEL PROGRAMA
Objetivos, Alcance, Criterios, Duracin, etc.
IMPLEMENTACIN:
Actividades de Auditora
Competencia y evaluacin de los auditores
SEGUIMIENTO Y MEDICIN
MEJORA DEL PROGRAMA DE AUDITORA

 En la mayora de las organizaciones, es mejor realizar

auditorias internas sobre procesos en los
departamentos, a intervalos fijados a lo largo del ao.
El programa de auditorias debe planificarse y darse a
conocer con anticipacin, no se recomiendan
auditorias sorpresivas.
La frecuencia para realizar las auditorias debe ser
decidida basndose en el estado de desarrollo e
implementacin del sistema de calidad. Si las
auditorias descubren muchas deficiencias, entonces la
frecuencia de las auditorias se deber incrementar.
Una vez el sistema de calidad se muestra efectivo, las
auditorias internas pueden ser espaciadas a intervalos
anuales.

Auditora in Situ
Auditoria in situ Basada en la verificacin in situ
es decir, en el lugar donde se desarrolla la
actividad docente. En el momento en que se est
desarrollando, o a posteriori . Realizada por
auditores debidamente formados y cualificados.
Presencial : requiere la presencia de auditores en
el lugar de realizacin de la actividad.
Selectiva: incluye solo una parte de las
actividades acreditadas

Auditora in Situ
La auditora in situ comienza con una reunin de apertura en la que
est presente la direccin de la organizacin y es presidida por el
auditor jefe. En esta reunin se proceder al cierre de las No
Conformidades de la revisin de la documentacin, si existiesen,
despus de estudiar los cambios realizados a la documentacin
indicada en las acciones correctoras propuestas. Se confirmar el
programa de auditora y el equipo auditor admitir, siempre que sea
posible, las modificaciones propuestas por el cliente relativas a la
indisponibilidad de personal o de las instalaciones.
Durante la auditora, los auditores observarn y consultarn al
personal de la organizacin para confirmar el nivel de comprensin
y cumplimiento de los procedimientos. Se examinarn las
evidencias objetivas de los documentos y registros para comprobar
el cumplimiento, tanto de las polticas y procedimientos como de la
norma aplicable del Sistema de Gestin tica y Socialmente
Responsable.

 La conformidad o no conformidad con los

procedimientos del cliente y con la norma
aplicable ser registrada por los auditores as
como las observaciones que se pudieran detectar
(errores insignificantes, aislados o potenciales).

Las
no
conformidades
encontradas
se
comunicarn al representante de la organizacin
en el momento, para evitar posteriores imprevistos
en caso de abrirse Solicitudes de Acciones
Correctoras. La organizacin dispondr, una vez
finalizada la auditora, de un plazo de tiempo
determinado para solucionar las no conformidades
detectadas.

DEFINICIONES GENERALES PLAN DE

AUDITORIA INFORME FINAL