AUDITORÍA DE SISTEMAS DE

INFORMACIÓN (SI) Y EL
CONTROL EXTERNO DEL
SECTOR PÚBLICO
Alejandro Salom Campos
Unidad de Auditoría de Sistemas de Información y Apoyo
Sindicatura de Comptes de la Comunitat Valenciana

Vitoria, 7 de mayo de 2009

asalom@sindicom.gva.es

1
 AUDITORÍA DE SI
¿Qué es la auditoría de SI?
La auditoría de Sistemas de Información (SI) consiste en la emisión
de una opinión (por parte de un auditor de sistemas de
información independiente) en base a un trabajo de auditoría
realizado de acuerdo con unas normas concretas, sobre:

si los sistemas de información de una entidad se gestionan de

forma que existe una alineación entre ellos y los objetivos
generales de la entidad,
si garantizan la integridad, disponibilidad y confidencialidad
de la información contenida en los sistemas de información,
si se gestionan los activos del sistema de manera económica,
eficiente y eficaz.
si se protegen adecuadamente los activos.

También es una auditoría de SI un trabajo de las características

indicadas, limitado a alguno o algunos de los aspectos a que nos
hemos referido, en cuyo caso el alcance del trabajo deberá quedar
perfectamente identificado en el informe resultado del trabajo. 2
 AUDITORÍA DE SI
Funciones de los órganos de control externo a las que
aporta valor la auditoría de SI:

Evaluación de la economía y eficiencia derivada del uso

más o menos intensivo de las Tecnologías de la Información por
los entes fiscalizados
Evaluación de la eficacia mediante la verificación de la
alineación de los SI de los entes con sus objetivos corporativos
Análisis y comprensión de los controles informáticos
implantados por los entes auditados: correcta evaluación del
riesgo de auditoría
Apoyo a los equipos de fiscalización en la explotación de
la información rendida en soporte informático
Emisión de recomendaciones para mejorar los niveles de
seguridad en los SI auditados que permitan incrementar los
niveles de disponibilidad, integridad y confidencialidad de la
información los entes auditados

3
 AUDITORÍA DE SI
Tipos de auditoría de SI en función de su
alcance:

Revisión general de los SI y de las

aplicaciones: Opinión de auditoría sobre SI general
Revisión limitada a los controles implantados
en los SI y a las aplicaciones que gestionan los
procesos de negocio fiscalizados: apoyo a las
auditorías financieras, de legalidad y operativas
Otros tipos: LOPD, intrusión, seguridad,
limitadas a otros aspectos de los SI. …

4
 AUDITORÍA DE SI
PASOS PARA LA IMPLANTACIÓN DE LA
AUDITORÍA DE SI EN LOS ÓRGANOS DE
CONTROL EXTERNO

Inclusión en los objetivos estratégicos de la

función de auditoría de sistemas: toma de
decisiones
Planificación de la implantación de la
auditoría de SI en un órgano de control externo
Asignación de funciones los puestos de
trabajo
Formación y capacitación del personal
Asesoramiento necesario, en su caso.
Inicio de la actividad
Evaluación de resultados
5
 AUDITORÍA DE SI
Aportación de la auditoría de SI a la actividad de los OCEX respecto a la
gestión de la actividad de los entes fiscalizados:

1) Concienciación en materia de seguridad y gestión de los SI en las

entidades fiscalizadas: integridad, disponibilidad y confidencialidad de la
información.
2) Control y protección de los activos de SI
3) Análisis y detección de riesgos en los SI:
- Alineación de la gestión de SI con los objetivos y funciones
corporativos de la entidad pública.
- Ausencia de segregación de funciones en las gestores de los sistemas.
- Control de accesos a los SI
- Políticas de antivirus y detección de intrusos
- Aprobación de políticas de seguridad de la información
- Existencia de planes de continuidad de negocio
- Cumplimiento regulatorio: LOPD, licencias software, …
- Seguimiento (monitorización) sobre los accesos a activos de SI críticos.
- Normas sobre ciclo de vida de desarrollo del software
- Test de intrusión

6
 AUDITORÍA DE SI
4) Análisis y detección de riesgos en los procesos de
negocio gestionados a través de aplicaciones
informáticas
-Ausencia de segregación de funciones en los usuarios
de las aplicaciones.
- Implantación y efectividad de controles de aplicación.
5) Recomendaciones de mejora en la gestión de los SI:
Economía, eficiencia y eficacia en la gestión de los SI y,
en consecuencia, de los niveles generales de EEE de la
entidad.

7
 AUDITORÍA DE SI
Creación de la función de auditoría de sistemas en la
Sindicatura de Comptes de la Comunitat Valenciana:
- Formación del personal (cursos auditor SI CISA de
ISACA): actualmente 6 personas con la formación, 2 de
ellas en posesión de la certificación CISA.
- Creación del Gabinete Técnico y del puesto de trabajo
de la Unidad de Auditoría de SI y apoyo
- Contratación de asesoramiento especializado
- Inicio de las auditorías de SI con el trabajo coordinado
de los equipos tradicionales que cuentan con formación
en auditoría de sistemas y la unidad de auditoría de
sistemas
- Firma de un convenio marco de colaboración entre
Sindicatura de Comptes e ISACA-CV

8
 AUDITORÍA DE SI
Costes de la implantación de la auditoría de
sistemas en la actividad de los OCEX:

1) Costes de personal: Puestos de trabajo

asignados a esta tarea
2) Costes de formación: técnicas muy
especializadas
3) Costes de asesoramiento inicial (mayores) y
costes de asesoramiento puntual una vez se
cuenta con un equipo formado.

9
 AUDITORÍA DE SI

Se impone un análisis coste-beneficio en los que hay

que considerar:

Dependencia de los entes fiscalizados de los SI

Aportación de los SI a la economía y eficiencia de su
actividad
Riesgos derivados del uso intensivo de SI por parte de
los entes fiscalizados
Previsiones sobre la evolución en el uso de
Tecnologías de la Información por los entes fiscalizados
Posible incidencia de las auditorías de SI sobre la
gestión de los aspectos anteriores por los entes auditados
Verificación de la calidad de la evidencia informática

10
 AUDITORÍA DE SI

Informes de la Sindicatura de
Comptes de la Comunitat Valenciana
que contienen una revisión de los SI
de la entidad fiscalizada (disponibles en
www.sindicom.gva.es):

-Ciegsa y Vaersa 2006

-Ciegsa y Vaersa 2007
-IMPIVA 2007 y Fundación Palau de
les Arts Reina Sofia 2007

11
 AUDITORÍA DE SI

Resumen de incidencias detectadas en uno

de los casos:
a) Respecto a controles generales
-La entidad no cuenta con un plan de recuperación de
negocio
- No dispone de plan de concienciación de seguridad de la
información
-Usuarios genéricos, procedimientos de gestión de usuarios
inadecuados o políticas de autenticación débiles
-Debilidades en las medidas de protección física del CPD
- Aplicaciones web con acceso desde Internet no seguras
- Inexistencia de metodología formal de desarrollo de
aplicaciones (formalización requisitos previos,
documentación, pruebas)

12
 AUDITORÍA DE SI

b) Respecto a controles de aplicación

- Ausencia de controles en la aplicación para la contratación:
se puede facturar por importe superior al presupuesto, se
pueden introducir facturas anteriores al contrato, es posible
registrar dos veces la misma factura.
- No están implementados en la aplicación determinados
procedimientos.
- Ausencia de validaciones de datos de entrada.
- Los perfiles de capacidades de algunos usuarios no se
adecuan a las funciones de sus puestos.
- Ausencia segregación de funciones usuarios departamento
financiero.

13
 AUDITORÍA DE SI

Recomendaciones efectuadas sobre controles

generales:
-Definir un plan de continuidad de negocio
- Definir una estrategia de concienciación de la
seguridad
- Adecuar las normas de gestión de usuarios y
autenticación
- Actualizar el firewall con protección antiintrusos e
implementar protocolos de acceso seguro por
Internet (https).
- Definir las normas de desarrollo de aplicaciones
de acuerdo con los estándares generalmente
aceptados.

14
 AUDITORÍA DE SI

Recomendaciones efectuadas sobre los controles

de aplicación:
-Definir procedimiento para la aprobación de
encomiendas anticipadas y desarrollar un
procedimiento para su gestión
- Adecuar e implementar los controles de
aplicación: controles validación de datos, y sobre
determinadas fases del proceso de gasto
- Incrementar los controles del módulo de
facturación
- Implementar una política de formación sobre el
uso de la aplicación

15
 AUDITORÍA DE SI

En las siguientes fichas se muestra el

grado de implantación de las
recomendaciones realizadas en la
revisión de seguimiento realizada en
el ejercicio siguiente.

16
 AUDITORÍA DE SI

Seguimiento recomendaciones
efectuadas sobre controles generales:

17
 AUDITORÍA DE SI
Seguimiento recomendaciones efectuadas
sobre controles de aplicación:

18
 AUDITORÍA DE SI
Valor de los informes para los entes
auditados:
- Aportación de una opinión externa sobre
sus sistemas de información
- Subsanación de vulnerabilidades
detectadas
- Mejora integridad, disponibilidad y
confidencialidad de la información
- Valoración y reconocimiento de la función
del área de sistemas de información de las
entidades: positiva para que se aprueben
los presupuestos de estos departamentos
- Seguimiento de recomendaciones
19
 AUDITORÍA DE SI
Contribuir a prevenir:

20
 AUDITORÍA DE SI
Contribuir a prevenir:

21
 AUDITORÍA DE SI
Contribuir a prevenir:

22
 AUDITORÍA DE SI
Contribuir a favorecer:

23
 AUDITORÍA DE SI
Contribuir a favorecer:

24