Auditoria Informatica

AUDITORIA INFORMATICA
AUDITORIA DE SISTEMAS DE INFORMACION

Joel Huenul Faundez ([email protected]) +56 9 99197376
CONTENIDO
Unidad 1: Conceptos Básicos de Seguridad y Auditoría.
Introducción a la auditoria de los Sistemas de Información.
Aspectos Generales de la Auditoría de los Sistemas de Información.
Seguridad Informática
Introducción a la seguridad informática.
Unidad 2: Control interno y auditoría informática.
Unidad 3: Metodologías de control interno, seguridad y auditoría Informática.
Unidad 4: El informe de auditoría.
Unidad 5: Organización del Departamento de auditoría informática.
Unidad 6: El marco jurídico de la auditoría informática.
Unidad 7: Tecnología del auditor informático y códigos éticos.
Unidad 8: Auditoría física.
Unidad 9: Auditoría de la ofimática.
Unidad 10: Auditoría de la dirección.
Unidad 11: Auditoría de la explotación.
Unidad 12: Auditoría del desarrollo.
Unidad 13: Auditoría del mantenimiento.
Unidad 14: Auditoría de bases de datos.
Unidad 15: Auditoría de técnicas de sistemas.
Unidad 16: Auditoría de la calidad.
Unidad 17: Auditoría de la seguridad.
Unidad 18: Auditoría de Redes.
Unidad 19: Auditoría de aplicaciones.
Unidad 20: Auditoría de EIS/DSS.
Unidad 21: Auditoría en entornos informáticos.
Unidad 22: Auditoría en el sector financiero.
Unidad 23: Auditoría en el sector aéreo.
Unidad 24: Auditoría en la administración.
Unidad 25: Auditoría en las PYMES.
Unidad 26: Peritar Vs Auditar.
Unidad 27: Contrato de Auditoria.
1. AUDITORIA. CONCEPTO
Actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta
adecuadamente la realidad que pretende reflejar y/o
cumple las condiciones que le han sido prescritas
1. Contenido Una opinión

2. Condición Profesional
3. Justificación Sustentada en determinados procedimientos
4. Objeto Una determinada información obtenida en un cierto soporte
5. Finalidad Determinar si presenta adecuadamente la realidad o ésta responde a
las expectativas que le son atribuidas , es decir, su fiabilidad
33
1.3. CLASES DE AUDITORIA
4. Objeto Una determinada información obtenida en un cierto soporte
5. Finalidad Determinar si presenta adecuadamente la realidad o ésta responde a
las expectativas que le son atribuidas , es decir, su fiabilidad
Estos elementos definen que clase o tipo de

auditoria se trata.
Clase Contenido Objeto Finalidad
Financiera Opinión Cuantas Anuales Presentan realidad
Informática Opinión Sistemas de aplicación, recursos Operatividad eficiente y
informáticos, planes de según normas establecidas
contingencia, etc.
Gestión Opinión Dirección Eficacia, eficiencia, economía
Cumplimiento Opinión Normas establecidas Las operaciones de adecuan
a estas normas
33
1.4. PROCEDIMIENTOS
La opinión profesional se fundamenta y justifica por medio
de procedimientos específicos.
Cada clase o tipo de auditoria posee sus propios

procedimientos para alcanzar el fin provisto.
La amplitud o profundidad de los procedimientos que se
apliquen definen el alcance de la auditoria.
Auditoria Característica Procedimiento Limitaciones
Financiera Altamente Aplicación de normas Cualquier limitación que impida la aplicación de
reglamentada técnicas y decidir los una norma técnica se debe considerar en el
procedimientos a informe de auditoria como una reserva al alcance.
aplicar
34
1.4. PROCEDIMIENTOS
En una auditoria se deben considerar todos los aspectos
como áreas, elementos, operaciones, circunstancias, etc.,
que sean significativas.
Para lograr lo anterior se establecen normas o

procedimientos que se resumen en:
- El trabajo se planificará apropiadamente y se

supervisara adecuadamente
- Se estudiara y evaluara el sistema de control interno
- Se obtendrá evidencia suficiente y adecuada.
Estas 3 normas se deducen de los riesgos que ha de
afrontar el auditor.
34
1.4. PROCEDIMIENTOS
Al llegar la revolución cuantitativa, que trajo consigo la
creación de sociedades con importantes medios, que las
operaciones se multiplicaran, el método tradicional de
auditoria resulto laborioso, tedioso, largo, ineficaz y
económicamente inviable.
Ya no era posible verificar la totalidad de las operaciones.

En este escenario, el sector de la banca fue el principal
usuario de las auditorias orientadas a la calidad y
representatividad de los balances. (Dale S. Flesher)
El riesgo evidente de esto, es la no verificación de todas

las operaciones
35
1.4. PROCEDIMIENTOS
Ante esos riesgos el auditor tiene el cometido irrenunciable
de que ocurran pero en limites tolerables.
Matemáticamente es: R(c) * R(d) = S(c)

R(c) = Riesgo en el proceso o riesgo de control
R(d) = Riesgo de detección
S(c) = Constante o parámetro admisible en que se desea
mantener el riesgo de auditoria.
El R(c) y R(d) son inversamente proporcionales.

R(c) es ajeno al auditor, depende de la entidad auditada
R(d) para definirlo hasta donde se esta dispuesto a admitir
se debe evaluar primero el R(c) existente.
35
1.4. VARIACION DEL OBJETO
El uso de la informática como factor consustancial a la
gestión.
El auditor financiero ve alterado el objeto de su actividad

en el sentido que se ha introducido la TI.
La auditoria financiera sigue siendo auditoria y financiera

con la diferencia que en su objeto, el mismo de siempre, es
decir en la información financiera, se ha introducido la TI.
38
1.4. CONSULTORIA. CONCEPTO
Dar asesoramiento o consejo sobre lo que ha de hacer o
como llevar adecuadamente una determinada actividad
para obtener los fines deseados.
Elementos de una consultoría:
1) Contenido Dar asesoramiento o consejo
2) Condición De carácter especializado
3) Justificación En base a un examen o análisis
4) Objeto La actividad o cuestión sometida a consideración
5) Finalidad Establecer la manera de llevarla a cabo adecuadamente.
Consultoría -> Como llevar a cabo

Auditoria -> Verifica si se cumple y si se obtienen los
resultados.
39
1.4. CONSULTORIA. CONCEPTO
Tipos o clases de consultoría:
Clase Contenido Objetivo Finalidad

Financiera Asesoramiento Planes de cuentas, Diseño e
Procedimientos implementación
administrativos
Informática Asesoramiento Aplicaciones, Desarrollo, Diseño
Planes de e implementación
contingencia
39
1.4. CONCLUSIONES
El objeto de la auditoria ha cambiado, incorpora la TI.
Al auditor se le presenta una disyuntiva: o se adapta hacia

las nuevas tecnologías o simplemente es una victima de la
evolución que no quiso o no supo afrontar.
39
2.CONTROL INTERNO Y AUDITORIA INFORMATICA
2.1. Introducción
Las empresas en su misión de evitar situaciones que
pueden provocar perdidas para ellas, han adoptado en el
tiempo varias iniciativas con el fin de mejorar el control
interno.
La reestructuracion de los procesos empresariales ( BPR –
Bussiness Process Re-engineering)
La gestión de la calidad total (TQM – Total Quality
Management)
El redimensionamiento por reducción y/o por aumento del
tamaño hasta el nivel correcto
La contratación externa (outsourcing)
La descentralización.
39
2.1. Introducción
Ante la rapidez de los cambios, las organizaciones re
estructuran sus sistemas de controles internos
39
2.2. Las funciones de control interno y auditoria informática
2.2.1. Control interno informático

Controla diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los
procedimientos, estándares y normas fijados por la
dirección de la organización.
Suele ser un órgano staff de la dirección del la gerencia de

informática.
Objetivos: …..
55
2.2.2. Auditoria Informática

Es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informático salvaguarda los
activos, mantiene la integridad de los datos, lleva acabo
eficazmente los fines de la organización y utiliza
eficientemente los recursos asignados y disponibles.
Objetivos:
Protección de los activos e integridad de datos.
Objetivos de gestión que abarcan, no solamente los de
protección de activos, sino también los de eficacia y
economía.
55
2.2.3. Control Interno y auditoría informática: campos

análogos
Existe una gran similitud
Muchos auditores pasan al campo de control interno

informático debido a la similitud de los objetivos de control
y auditoria.
55
2.3. SISTEMA DE CONTROL INTERNO INFORMATICO
2.3.1. Definición y tipos de controles internos

Control interno es cualquier actividad o acción realizada
manual y/o automática para prevenir, corregir errores o
irregularidades que puedan afectar el funcionamiento de
un sistema para conseguir sus objetivos.
Los controles internos deben ser:

• Completos
• Simples
• Fiables
• Revisables
• Adecuados
• Rentables 58

Los controles internos evolucionan a medida que los
sistemas evolucionan en TI y complejidad.
Podemos categorizar los controles internos en :

• Controles preventivos
• Controles detectivos
• Controles correctivos
58

El concepto de control se origina en la profesión de la
auditoria
Es importante conocer la relación entre:

• Métodos de control
• Objetivos de control
• Objetivos de auditoría
58
2.3.2. Implementación de un sistema de control interno

informático
Se debe conocer muy bien la configuración del sistema.
¿Qué debemos conocer?
Entorno de Red
Configuración del computador base
Entorno de aplicaciones
Productos y herramientas
Seguridad del computador base
60

informático
Para implementar control interno informático se debe
definir:
Gestión de sistemas de información
Administración de sistemas
Seguridad
Gestión del cambio
60

informático
Políticas de
La implementación de seguridad
procedimientos, Plan de
políticas y cultura de seguridad
seguridad requiere que Normas y
sea en fases y procedimientos
respaldada por la Medidas tecnológicas
dirección de la implementadas
organización.
Formación, entrenamiento
60

informático
Dirección de negocio o dirección de sistemas de
información:
Definir políticas y directrices para los sistemas de informacion en base
a las exigencias del negocio.
Dirección de informática:
Definir normas de funcionamiento del entorno informático
60

informático
Control interno informático:
Definir los diferentes controles periódicos a realizar en cada una de las
funciones informáticas de acuerdo al nivel de riesgo de cada una de
ellas, y se diseñadas confirme a los objetivos del negocio y dentro del
marco legal aplicable.
Auditor interno/externo informático:

Debe revisar los diferentes controles internos definidos y verificar el
cumplimiento de la normativa interna y externa.
60
Ejemplo de algunos controles internos:

Controles internos organizativos
• Políticas:
Son la base para la planificación, control y evaluación por la dirección de

las actividades del departamento de informática.
• Planificación:
- Plan estratégico de informacion

- Plan informático
- Plan general de seguridad
- Plan de emergencia ante desastres
60

informático
• Estándares
Regular adquisición de recursos diseño, desarrollo , etc.
• Procedimientos
Deben describir claramente la forma y responsabilidad de ejecución y
relación con las otras áreas de la organización.
• Organizar el área de informática

Definir el área de una forma superior, que asegure la independencia de
las áreas de la organización.
63

informático
• Definir roles, funciones y responsabilidades
• Políticas de personal
Capacitación, selección, vacaciones, evaluación, etc.
• Asegurar que la Dirección revisa, ejecuta y resuelve.

Dado informes de control y excepciones
• Designar claramente y de forma oficial la figura de control interno

informático y de auditoria informática.
63

Controles de desarrollo, adquisición y mantención de
sistemas de información.
• Metodología del ciclo de vida del desarrollo de sistemas:
- Las especificaciones del nuevo sistema deben ser definidas por los usuarios y
quedar documentadas antes del inicio del desarrollo.
- Estudios de viabilidad
- Seleccionada una alternativa se debe definir un plan director del proyecto
- Procedimientos para la definición y documentación de especificaciones
- Plan de validación, verificación, pruebas, carga, etc.
- Documentación de aceptación
- Procedimientos de adquisición
- Manuales de operación, etc.
60

informático
• Explotación y mantención
Controles que aseguren que los datos se tratan de forma congruente y
exacta y que los cambios son controlados y regulados
63

Controles explotación de sistemas de información.
• Planificación y gestión de recursos
- Definir presupuesto
- Plan de adquisición de equipos
- Gestión de la capacidad de los equipos
• Controles para asegurar el uso efectivo de los recursos

computadores
- Calendario de carga de trabajo

- Programación de personal
- Mantenimiento preventivo
- Gestión de problemas y cambios
65

• Procedimientos de selección de:
- Software
- Mantención
- Seguridad
• Seguridad física y lógica

- Definir un grupo de seguridad de la informacion
- Controles físicos de acceso a instalaciones
- Procedimientos para control de personal externo
- Establecer zonas de seguridad a nivel de servidores
- Procedimientos de evacuación del edificio y seguridad de las instalaciones
informáticas
- Control y acceso restringido computadores y zonas físicas
65

Controles en aplicaciones:
• Control de entrada de datos
- Definir métodos de entrada
- Validación de datos y consistencia
- Asegurar validez de los datos y consistencia
• Seguridad de los datos

- Verificar como se agregan, modifican y eliminan datos.
• Control de salida de datos

- Asegurar consistencia
- Control de reportes
- Definir fuentes oficiales
65
2.4. CONCLUSIONES
• La evolución tecnológica trae cuatro grandes beneficios a las
organizaciones:
- Racionalización de costos
- Mejora en la toma de decisiones
- Mejora en la calidad de servicios
- Creación de nuevos servicios
• Es responsabilidad de la dirección plantear una estrategia de

inversiones en recursos de TI y planificar o plantear todos los
controles internos de tal forma que garanticen grados de eficiencia y
seguridad suficiente de los activos.
65
3.METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA
INFORMATICA
3.1. INTRODUCCION
• Método
- Modo de decir o hacer con orden una cosa
• Metodología
- Conjunto de métodos que se siguen en una investigación científica o en una
exposición doctrinal
Las metodologías son necesarias para que un equipo de profesionales alcance un

resultado homogéneo.
65
INFORMATICA
3.1. INTRODUCCION
• Seguridad de los sistemas de información

- La doctrina que trata de los riesgos informáticos o creados por la informática,
entonces la auditoria es una de las figuras involucradas en el proceso de
detección y preservación de la información y de sus medios de procesos.
Dado que la informática crea riesgos, debemos trabajar utilizando contramedidas y los
factores que componen una contramedida son:
• La normativa
- Definir de forma clara y precisa todo lo que debe existir y debe ser cumplido.
• La organización
- Personas con funciones especificas y concretas.
65
INFORMATICA
3.1. INTRODUCCION
• Las metodologías
- Necesarias para desarrollar el proceso en orden y de forma clara.
• Los objetivos de control

- Objetivos que se han de cumplir en todo proceso
• Los procedimientos de control

- Los procesos de control de las distintas áreas de la empresa, obtenidos con una
metodología apropiada.
• Tecnología de seguridad
- Elementos y recursos de hardware o software que ayudan a controlar el riesgo
informático
65
INFORMATICA
3.1. INTRODUCCION
• Las herramientas de control

- Elementos de software que definen uno o varios procedimientos de control para
cumplir una normativa y objetivo de control
Todos estos factores indicados están relacionados entre si, cuando se

evalúa el nivel de seguridad se evalúan todos estos factores y se
plantea un plan de seguridad nuevo que perfecciona los factores.
• Plan de seguridad
- Estrategia planificada de acciones y productos que lleven a un sistema de
información y sus centros de procesos desde una situación inicial a una situación
final mejorada.
65
INFORMATICA
3.2. Metodologías de evaluación de sistemas
• Se deben evaluar todas las posibles metodologías

- Se debe buscar la que mas se ajuste a los objetivos.
Existen dos metodologías en la evaluación de sistemas:
 Análisis de riesgos
 Auditoria Informática
Pero antes de analizar debemos evaluar algunos conceptos o

definiciones relevantes.
77
INFORMATICA
3.2. Metodologías de evaluación de sistemas
• Amenaza
- Alguna posible fuente de peligro o catástrofe
• Vulnerabilidad
- Situación creada, por la falta de uno o varios controles.
• Riesgo
- La probabilidad de que una amenaza llegue a afectarnos producto de una
vulnerabilidad.
• Exposición o Impacto
- La evaluación del efecto del riesgo.
77
INFORMATICA
3.3. Metodologías de auditoria informática
• Auditorias de Controles Generales

- Auditorias generadas por auditores profesionales homologadas con estándares
internacionales.
- El objetivo es entregar una opinión sobre la fiabilidad de los datos del computador
para la auditoria financiera.
- El resultado es un informe donde se destacan las vulnerabilidades encontradas.
• Metodológicas
- Las realizadas por auditores interno
Estas metodologías están muy desprestigiadas, no por que sean malas, sino porque
dependen de la experiencia del auditor.
77
INFORMATICA
3.3. Metodologías de auditoria informática
Muchos profesionales sin experiencia utilizan estas metodologías.
Las anomalías de estas metodologías nacen producto de los profesionales sin

experiencia que asumen la función de auditoria y buscan una formula fácil para
comenzar y finalizar su trabajo.
El auditor informático necesita de una larga experiencia tutelada y una gran formación
tanto en auditoria como en informática.
Esta formación debe ser adquirida mediante el estudio y práctica tutelada.
Por lo tanto la metodología del auditor interno debe ser diseñada y desarrollada por el
propio auditor, y esta será la significación de su grado de experiencia y habilidad.
77
INFORMATICA
3.4. El plan auditor informático
Es el esquema metodológico mas importante para el auditor informático.
Es un documento en donde se describen todo lo relacionado a esta función y el trabajo

que se realiza en una organización o entidad y debe estar en sintonía con el plan auditor
del resto de los auditores de la organización o entidad.
Partes de un plan auditor informático.
Funciones
- Ubicación de la figura en el organigrama de la organización

- Debe existir una clara segregación (separación) de las funciones con la Informática y
de control interno informático y esto debe ser auditado.
- Se deben definir y describir las funciones, la organización interna del departamento,
los recursos y todo con el mayor detalle y precisión posible.
77
INFORMATICA
Procedimientos
- Identificar todos los procedimientos de las distintas tareas de la auditoria.

- Procedimientos de apertura
- Procedimientos de entrega y discusión de debilidades
- Procedimientos de entrega de informe preliminar
- Procedimientos de cierre de auditoria
- Redacción del informe final
Tipos de auditoria que realiza
- Definición del tipo de auditoria.

- Descripción de la metodología y cuestionarios a aplicar.
- Definición de tipo de auditoria según su alcance
- Full o completa de un área
- Limitada a un aspecto (Ej: una aplicación, el software de base, etc)
- CAR (corrective Action Review), comprobación de acciones correctivas de
auditorias anteriores.
77
INFORMATICA
Sistema de evaluación
- Definición del sistema de evaluación y los aspectos que evalúa.
Nivel de exposición
- Se debe definir el nivel de exposición de cada tema para definir la frecuencia o

repetición de la misma auditoria.
- El nivel de exposición significa la suma de factores como impacto, peso del área,
situación de control en el área.
- Incluso se puede rebajar el nivel de un área auditada por su buen resultado, por lo
tanto no amerita una revisión tan continua.
Lista de distribución de informes
Seguimiento de las acciones correctas
77
INFORMATICA
Plan quinquenal
- Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y

deben repetirse en cuatro o cinco años de trabajo.
Plan de trabajo anual
- Estimar tiempos de forma racional y componer un calendario que una vez terminado
nos dé un resultado de horas de trabajo previstas y recursos necesarios o requeridos.
77
INFORMATICA
3.5. Control interno informático, sus métodos y procedimientos. Las
herramientas de control
3.5.1. La función de control
En la actualidad sabemos que es común ver la figura de control interno al lado de la del
auditor informático.
La función de control interno informático independiente, debe ser independiente del

departamento controlado, ya que por segregación de funciones la informática no debería
controlarse a si misma.
El área informática
La auditoria
monta los procesos El control interno
informática evalúa
informáticos monta los controles
el grado de control
seguros
77
INFORMATICA
3.5. Control interno informático, sus métodos y procedimientos. Las
herramientas de control
La auditoria informática
- Tiene la función de vigilancia y evaluación mediante dictámenes

- Opera según un plan auditor…….(-)
Control interno informático
- Tiene funciones propias

- Funciones de control dual con otros departamentos
- Función normativa y del cumplimiento del marco jurídico.
Funciones de control interno mas comunes
- Definición de propietarios y perfiles (según clasificación de la información)

- Administración delegada en control dual (dos personas participan)
- Responsable del desarrollo y actualización del plan de contingencias, manuales de
procedimientos y plan de seguridad.
- Promover el plan de seguridad informática
- Dictar normas de seguridad informática
- Definir procedimientos de control…(-)
96
INFORMATICA
3.5.2. Metodologías de clasificación de información y de obtención de
los procedimientos de control
Clasificación de la información
Si se identifican distintos niveles de contramedidas para distintas entidades de

información con distinto nivel de criticidad, se estará optimizando la eficiencia de las
contramedidas y reduciendo los costos de las mismas.
Inicialmente se hablaba de clasificación de la información a los típicos documentos en

papel.
Con la tecnología en concepto cambio e incluso se ha pedido el control en entornos

sensibles.
Por lo tanto, hoy hablamos de “Entidad de Información” como objetivo a proteger en el

entorno informático en donde la clasificación de la información ayudara a proteger
especializando las contramedidas según el nivel de confidencialidad o importancia que
tengan.
96
INFORMATICA
Algunos ejemplos de “Entidad de Información” son : pantalla, listado, archivo, sueldos,

etc.
Factores Jerarquías
Requerimiento legislativo Vital Altamente confidencial
Sensibilidad a la divulgación Confidencial

Crítica
Sensibilidad a la modificación Restringida

Valuada
Sensibilidad a la destrucción No sensible

No sensible
96
INFORMATICA
PRIMA
Estratégica
Restringida
De uso interno
De uso común
96
INFORMATICA
Los pasos de la metodología son los siguientes:
I. Identificación de la información
II. Inventario de entidades de información residentes y operativas
III. Identificación de propietarios
IV. Definición de jerarquías de información
V. Definición de la matriz de clasificación
VI. Confección de la matriz de clasificación
VII. Realización del plan de acciones
VIII. Implementación y mantenimiento
96
INFORMATICA
Obtención de los procedimientos de control
Es frecuente encontrar manuales de procedimientos en todas las áreas de la

organización, estos son necesarios para que los auditores realicen sus revisiones
operativas, evaluando si los procedimientos son correctos, están aprobados y lo mas
importante, se cumplen.
Metodología :
Fase I : Definición de objetivos de control

- Tarea 1:Analisis de la empresa
- Tarea 2: Recopilación de estándares
- Tarea 3: Definición de los objetivos de control
Fase II : Definición de controles

- Tarea 1: Definición de controles
- Tarea 2: Definición de necesidades tecnológicas
- Tarea 3: Definición de los procedimientos de control
- Tarea 4: Definición de necesidades de RRHH
96
INFORMATICA
Fase III : Implantación de controles

Es importante que una vez realizada le implementación de controles se debe
documentar los procedimientos nuevos y revisar todos aquellos que fueron modificados .
96
INFORMATICA
3.5.3. Las herramientas de control
Son elementos de software que por sus características funcionales permiten ejecutar y
estructurar un control de una forma mas actual y automatizada.
No olvidar que la herramienta de software en si misma no es nada.
Herramientas de control (software) mas comunes:
- Seguridad lógica del sistema

- Seguridad lógica complementaria al sistema (desarrollo a medida)
- Seguridad lógica para entornos distribuidos
- Control de acceso físico
- Control de copias
- Gestión de soportes magnéticos
- Gestión y control de impresión
- Control de proyectos
- Control de versiones
- Control y gestión de incidencias
- Control de cambios
103
INFORMATICA
3.5.3. Las herramientas de control
Objetivos de control de acceso lógico
- Segregación de funciones entre los usuarios del sistema
- Integridad de los “log” del cada sistema
- Gestión centralizada de la seguridad
- Contraseñas o password
- Separación de entornos
- Mecanismos de auto-logout
Muchos de estos objetivos se pueden obtener desde estándares como ISO (International
Organization for Standardization) , ITSEC (Information Technology Security Evaluation Criteria)
Metodología
Análisis de plataformas
Catalogo de requerimientos previos de implantación
Análisis de aplicaciones
Inventario de funcionalidades y propietarios
Administración de la seguridad
Facilidad de uso y reportes
Seguridades
Adquisición, Instalación e implementación
Formación
103
Manuales de procedimientos y controlhttp://youtu.be/eyjtk9RQX1w.
INFORMATICA
3.5.7. Ejemplo de metodología de auditoria de una aplicación
103
4. EL INFORME DE AUDITORIA
4.1. Introducción
El informe de auditoria es al mismo tiempo el objetivo de la auditoria informática.
4.2. Normas
4.3. Evidencia
La certeza absoluta no siempre existe, según el punto de vista de los auditores; los usuarios piensan
lo contrario.
La Evidencia es la base razonable de la opinión del auditor informático, esto es, el informe de
auditoria informática.
Evidencia relevante
Evidencia fiable
Evidencia suficiente
Evidencia adecuada
124
La opinión deberá estar basada en evidencias justificativas, es decir, desprovistas de prejuicios y si es
preciso con evidencia adicional.
4.4. Las irregularidades

Las irregularidades, es decir, los fraudes y errores son los elementos mas preocupantes..
La empresas u organismos son tienen la responsabilidad primaria en la detección de errores,

irregularidades y fraudes; la responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar
su trabajo para obtener una expectativa razonable de su detección.
Se debe aclarar al máximo si el informe de auditoria es propiamente de auditoria y no de consultoría

o asesoría informática, o de otra materia afín próxima.
124
4.5. La documentación
Los papeles de trabajo del auditor se conocen como : “la totalidad de los documentos preparados o
recibidos por el auditor de forma que el total de ellos constituyen la información utilizada y pruebas
utilizadas en la ejecución de su trabajo, de tal forma que justifican su opinión.
El informe de auditoria debe estar basado en la documentación o papeles de trabajo
Se debe incluir:
- El contrato cliente / auditor

- Las declaraciones de la dirección
- Los contratos o equivalentes que afectan al sistema de información.
- Conocimiento de la actividad del cliente.
124
4.6. El Informe
Al redactar el informe de auditoria informática, este debe ser formal, e incluso solemne el algunas
oportunidades, detallando objetivos, periodo de cobertura, naturaleza, extensión del trabajo realizado,
resultados y conclusiones.
No existe un formato especifico, pero si esquemas aceptados con requisitos mínimos aconsejados
respecto de redacción, estructura y contenido.
En relación a la redacción el informa debe ser:
- Claro
- Adecuado
- Suficiente
- Comprensible
- Utilizar correctamente el lenguaje informático es imprescindible.
124
4.6. El Informe
Temas fundamentales del informe:
1. Identificación del informe

Titulo destacado
2. Identificación del cliente
3. Identificación de la entidad auditada
4. Objeto de la auditoria informática
5. Normativa aplicada y excepciones
6. Alcance de la auditoria
7. Conclusiones (resumen concreto de opinión)

Tipos de opiniones:
 Favorable o sin salvedades
 Con salvedades
 Desfavorable o adversa
 Denegada
124
4.6. El Informe
Favorable o sin salvedades
Se debe manifestar de forma clara y precisa, y es el resultado de un trabajo completo sin

restricciones.
Opinión con salvedades
Se plantean las opiniones favorables indicando las salvedades cuando estas son
significativas. Se deben describir claramente la naturaleza y las razones.
Estas opiniones se entregan dependiendo del contexto:
 Limitación al alcance del trabajo realizado (restricciones por parte del auditado)
 Incertidumbres cuyo resultado no permite una previsión razonable
 Irregularidades significativas
 Incumplimientos de normas legales o profesionales..
124
4.6. El Informe
Opinión desfavorable
 Identificación de irregularidades
 Incumplimientos de normas legales o profesionales, que afecten los objetivos de la auditoria
Opinión denegada
 Limitación al alcance de la auditoria

 Incertidumbre que impidan al auditor armar una opinión.
 Irregularidades
 Incumplimientos de normas legales o profesionales..
124
4.6. El Informe
8. Resultados
Se debe tener encuentra los siguientes aspectos:
 El secreto de la empresa
 El secreto profesional
 Aspectos relevantes de la auditoria
9. Informes previos
El informe de auditoria es GLOBAL por lo tanto es usual generar informes de avances los
cuales son mas específicos dado algún requerimiento de información.
10. Fecha del informe

Es importante estipular fechas de inicio y termino del trabajo e incluso algunas otras fechas
o hitos relevantes.
11. Identificación y firma del auditor

Es un aspecto formal y esencial.
12. Distribución del informe

Debe ser consistente con el contrato de auditoria, el acceso al informe de auditoria es de
carácter privado y de acceso a personal autorizado definido previamente.
124
5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORIA DE
INFORMATICA O SISTEMAS DE NFORMACION
La incorporación del concepto de departamento de auditoria de informática, nace en 1950
aproximadamente junto con el nacimiento de los primeros sistemas de información.
Consideraciones Importantes:
Todos los auditores deben tener conocimientos informáticos.

Cada vez se necesitan conocimientos mas específicos.
El auditor de informática no debe ser parte del área de informática
Hoy, la auditoria informática debe cubrir todas las aéreas de la informática.
124
5.3. Función de auditoria informática

Sabemos, que la auditoria, revisión diagnostico y control de los sistemas de información y de los
sistemas informáticos que soportan estos, deben ser realizados por profesionales formados en
Auditoria e Informática.
Todo departamento debe tener un líder y a este le llamaremos Contralor General o Auditor Informático
General
No existe una profesión especifica para esto, por ello es que Auditores financieros o profesionales de
la informática pueden tomar estas responsabilidades.
124
5.3.2. Perfil profesional necesario

Alto grado de calificación técnica en auditoria financiera e informática general
Desarrollo informático: Gestión de proyectos

Gestión del departamento de sistemas
Análisis de riesgos en entornos informáticos
Sistemas operativos
Telecomunicaciones
Bases de datos
Redes
Seguridad física
Operaciones y explotación
E-bussines e-commerce
Etc.
Especialización en el aspecto financiero de la organización.
Conocimiento y practicas en calidad total.

5.3.3. Funciones que debe desarrollar el departamento

No es un tema simple,. Pero básicamente debemos responder lo siguiente:
¿Cuál es el objetivo de la auditoria informática?

¿Qué se debe analizar, revisar o diagnosticar?
Se debe velar por cumplir los objetivos de revisión que demande la organización
Verificación del control interno
Análisis de los sistemas desde un punto de vista de seguridad y efectividad de la gestión
]Análisis de la integridad, fiabilidad y certeza de la información



El auditor tiene la obligación de convertirse también en consultor y en ayuda para el auditado,

entregando ideas de cómo establecer procedimientos de seguridad, control interno, efectividad,
eficacia, eficiencia y medición del riesgo empresarial.


El auditor tiene la obligación de convertirse también en consultor y en ayuda para el auditado,

entregando ideas de cómo establecer procedimientos de seguridad, control interno, efectividad,
eficacia, eficiencia y medición del riesgo empresarial.
Eficacia se refiere a que se cumple determinado objetivo planeado con anterioridad
Eficiencia. Junto con cumplir el objetivo deseado, ello se logra utilizando de manera "óptima" los
recursos de que disponemos.
Efectividad.
Se entiende por efectividad el logro de los resultados propuestos en forma oportuna. Es el
óptimo empleo y uso racional de los recursos disponibles (materiales, dinero, personas), en la
consecución de los resultados esperados. Es la conjunción de eficacia y eficiencia.
Se le define como la óptima relación existente entre los productos, servicios o resultados alcanzados y
el uso que se hace de los recursos. . Es la conjunción de eficacia y eficiencia.
Eficacia + Eficiencia = Efectividad

De acuerdo con lo anterior, una de las necesidades primordiales, es buscar que las entidades sean
más eficientes, eficaces y efectivas en todos los servicios que entregan a sus clientes, mediante el
cumplimiento de las metas y objetivos, apoyándose en el autocontrol y compromiso de todos y cada
uno de los funcionarios en la búsqueda de la misión institucional.
eficacia eficiencia
extensión en la que se relación entre el resultado
realizan las actividades alcanzado y los recursos
planificadas y se alcanzan utilizados.
los resultados planificados.
ISO 9000:2000
ISO 9000:2000
5.4. Organización del departamento
El rol pasa a ser el de auditor, consultor y asesor en:
Seguridad
Control Interno Operativo
Eficiencia , Eficacia y efectividad
Tecnología Informática
Continuidad Operacional
Gestión de riesgos
El equipo debe estar conformado por una mezcla perfecta de auditoria, organización e informática
Jefe del departamento
Desarrolla el plan de operación, descripción de cargos, programas de formación, etc.
Gerente o supervisor de auditoria informática:

Trabaja directamente con el jefe del departamento en las tareas operativas diarias.
Auditores informáticos:
Son los responsables de la ejecución del trabajo

Auditoria Informatica

Cargado por

Copyright:

Formatos disponibles

Auditoria Informatica

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Informatica

Cargado por

Copyright:

Formatos disponibles

AUDITORIA INFORMATICA

AUDITORIA DE SISTEMAS DE INFORMACION

1. Contenido Una opinión

Estos elementos definen que clase o tipo de

Cada clase o tipo de auditoria posee sus propios

Para lograr lo anterior se establecen normas o

- El trabajo se planificará apropiadamente y se

Ya no era posible verificar la totalidad de las operaciones.

El riesgo evidente de esto, es la no verificación de todas

Matemáticamente es: R(c) * R(d) = S(c)

El R(c) y R(d) son inversamente proporcionales.

El auditor financiero ve alterado el objeto de su actividad

La auditoria financiera sigue siendo auditoria y financiera

Consultoría -> Como llevar a cabo

Clase Contenido Objetivo Finalidad

Al auditor se le presenta una disyuntiva: o se adapta hacia

2.2.1. Control interno informático

Suele ser un órgano staff de la dirección del la gerencia de

2.2.2. Auditoria Informática

2.2.3. Control Interno y auditoría informática: campos

Muchos auditores pasan al campo de control interno

2.3.1. Definición y tipos de controles internos

Los controles internos deben ser:

2.3.1. Definición y tipos de controles internos

Podemos categorizar los controles internos en :

2.3.1. Definición y tipos de controles internos

Es importante conocer la relación entre:

2.3.2. Implementación de un sistema de control interno

Seguridad del computador base

2.3.2. Implementación de un sistema de control interno

2.3.2. Implementación de un sistema de control interno

2.3.2. Implementación de un sistema de control interno

2.3.2. Implementación de un sistema de control interno

Auditor interno/externo informático:

Ejemplo de algunos controles internos:

Son la base para la planificación, control y evaluación por la dirección de

- Plan estratégico de informacion

2.3.2. Implementación de un sistema de control interno

• Organizar el área de informática

2.3.2. Implementación de un sistema de control interno

• Asegurar que la Dirección revisa, ejecuta y resuelve.

• Designar claramente y de forma oficial la figura de control interno

Ejemplo de algunos controles internos:

2.3.2. Implementación de un sistema de control interno

Ejemplo de algunos controles internos:

• Controles para asegurar el uso efectivo de los recursos

- Calendario de carga de trabajo

Ejemplo de algunos controles internos:

• Seguridad física y lógica

Ejemplo de algunos controles internos:

• Seguridad de los datos

• Control de salida de datos

• Es responsabilidad de la dirección plantear una estrategia de

Las metodologías son necesarias para que un equipo de profesionales alcance un

• Seguridad de los sistemas de información

• Los objetivos de control

• Los procedimientos de control

• Las herramientas de control