Una auditoria de tecnologa de la informacin, o auditoria de sistemas de informacin, es

un examen de los controles dentro de una tecnologa de la informacin (TI). Una auditoria
de TI es el proceso de recopilacin y evaluacin de los testimonios de los sistemas de
informacin de una organizacin, las prcticas y operaciones. La evaluacin de los
resultados obtenidos se determina si los sistemas de informacin son salvaguardar los
activos, el mantenimiento de la integridad de datos, y funcionan con eficacia para lograr
los objetivos de la organizacin o los objetivos. Estos exmenes se pueden realizar en
relacin con una auditoria de estados financieros, la auditoria interna, u otra forma de
participacin de certificacin.
Auditorias de TI tambin se conocen como el procesamiento automatizado de datos (ADP)
y el auditorio equipo. Ellos fueron llamados antes de procesamiento electrnico de datos
(EDP) auditorios.
OBJETIVOS
Una auditoria de TI es diferente de una auditoria de estados financieros. Mientras que una
auditora financiera propsito es evaluar si una organizacin est cumpliendo con las
prcticas contables habituales, los efectos de una auditoria de TI deben evaluar el diseo
del sistema de control interno y la eficacia. Esto incluye pero no se limita a la eficiencia y
protocolos de seguridad, los procesos de desarrollo y gobierno de TI o de supervisin. El
objetivo es evaluar la capacidad de la organizacin para proteger sus activos de
informacin y debidamente prescindir de la informacin a personas autorizadas. La agenda
de la auditoria de TI puede resumirse en las siguientes preguntas:
Los sistemas informticos de la organizacin estarn disponibles para el negocio en todo
momento cuando es necesario? (Disponibilidad)
La informacin en los sistemas slo se comunicarn a los usuarios autorizados?
(Confidencialidad)
La informacin proporcionada por el sistema siempre precisa, confiable y oportuna?
(Integridad)
La auditora de TI se centra en determinar los riesgos que son relevantes para los activos
de informacin, y en la evaluacin de los controles a fin de reducir o mitigar estos riesgos.
Mediante la implementacin de controles, el efecto de los riesgos se puede minimizar, pero
no puede eliminar por completo todos los riesgos.


Bsicamente todos los cambios que se realizan en una organizacin someten a una gran
tensin a los controles internos existentes.
Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene
a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la
eficiencia total. Este trabajo no se hace de la noche a la maana; para ello se empieza ya
bien sea por reas o departamentos o mejor dicho se empieza a trabajar internamente.
La mayora de las organizaciones han acometido varias iniciativas en tal sentido tales
como:
La reestructuracin de los procesos empresariales.
La gestin de la calidad total.
El redimencionamiento por reduccin y/o por aumento de tamao hasta el nivel
correcto.
La contratacin externa.
La descentralizacin.


CONTROL INTERNO INFORMATICO
El control interno informtico controla diariamente que todas las actividades de sistemas
de informacin sean realizadas cumpliendo los procedimientos, estndares y normas
fijados por la direccin de la organizacin y/o la direccin informtica, as como los
requerimientos legales.
La funcin del control interno informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.
Control interno informtico suele ser un rgano staff de la direccin del departamento de
informtica y est dotado de las personas y medios materiales proporcionados a los
cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realicen cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria informtica, as como de las
auditoras externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de
los graso adecuados del servicio informtico, lo cual no debe considerarse como
que la implantacin de los mecanismos de medida y responsabilidad del logro de
esos niveles se ubique exclusivamente en la funcin de control interno, si no que
cada responsable de objetivos y recursos es responsable de esos niveles, as
como de la implantacin de los medios de medida adecuados.
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo los eficazmente los fines de la organizacin y utiliza eficiente mente
los recursos.


CONTROL INTERNO
INFORMATICO
AUDITOR INFORMATICO
SIMILITUDES PERSONAL INTERNO
Conocimientos especializados en tecnologas de informacin
verificacin del cumplimiento de controles internos, normativa y
procedimientos establecidos por la direccin informtica y la
direccin general para los sistemas de informacin.
DIFERENCIAS Anlisis de los controles
en el da a da
Informa a la direccin del
departamento de
informtica slo personal
interno el enlace de sus
funciones es nicamente
sobre el departamento de
informtica
Anlisis de un momento informtico
determinado
Informa a la direccin general de la
organizacin
Personal interno y/o externo tiene
cobertura sobre todos los componentes
de los sistemas de informacin de la
organizacin


DEFINICION Y TIPO DE CONTROLES INTERNOS
Se puede definir el control interno como "cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer
cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u
omisiones.etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperacin de un fichero daado a
partir de las copias de seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS

Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de
la red, as como los distintos niveles de control y elementos relacionados:
Entorno de red: esquema de la red, descripcin de la configuracin hardware de
comunicaciones, descripcin del software que se utiliza como acceso a las
telecomunicaciones, control de red, situacin general de los ordenadores de
entornos de base que soportan aplicaciones crticas y consideraciones relativas a
la seguridad de la red.
Configuracin del ordenador base: Configuracin del soporte fsico, en torno
del sistema operativo, software con particiones, entornos (pruebas y real),
bibliotecas de programas y conjunto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de
base de datos y entornos de procesos distribuidos.
Productos y herramientas: Software para desarrollo de programas, software de
gestin de bibliotecas y para operaciones automticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de
acceso, registro e informacin, integridad del sistema, controles de supervisin,
etc.
Para la implantacin de un sistema de controles internos informticos habr que definir:
Gestin de sistema de informacin: polticas, pautas y normas tcnicas que
sirvan de base para el diseo y la implantacin de los sistemas de informacin y
de los controles correspondientes.
Administracin de sistemas: Controles sobre la actividad de los centros de
datos y otras funciones de apoyo al sistema, incluyendo la administracin de las
redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el
software del sistema, integridad del sistema, confidencialidad (control de acceso)
y disponibilidad.
Gestin del cambio: separacin de las pruebas y la produccin a nivel del
software y controles de procedimientos para la migracin de programas software
aprobados y probados.