Auditora Informtica

La informacin es un activo de la empresa

Joaqun Carrillo Hidalgo

joakocarrillo@gmail.com

Auditora Informtica
u

El notorio incremento en el uso de computadoras para

procesar la informacin a crecido en los ltimos cuarenta
aos, ha determinado que, con el propsito de conseguir los
objetivos que la administracin se propone, deben existir
sistemas de control interno adecuados para asegurar la
integridad de dicha informacin.

Auditora Informtica
Control Interno
La administracin es responsable de establecer, disear y
mantener controles y procedimientos internos adecuados
para alcanzar los objetivos organizacionales.

Auditora Informtica
Control Interno
Controles y procedimientos
u

Las transacciones estn adecuadamente autorizadas

Los activos estn adecuadamente protegidos contra uso no

autorizado o inadecuado

Que las transacciones estn adecuadamente registradas

Auditora Informtica
u

El Auditor de Sistemas debe estar encaminado a un objetivo

especfico que es el de evaluar la eficiencia y eficacia con
que se est operando para que, por medio del sealamiento
de cursos alternativos de accin, se tomen decisiones que
permitan corregir los errores en caso de que existan, o bien
mejorar la forma de actuacin.

Auditora Informtica
u

Revisin, evaluacin y elaboracin de un informe dirigido al

nivel ejecutivo encaminado a un objetivo especfico en el
ambiente computacional y los sistemas.

Auditora Informtica
Algunos conceptos y tareas :
u

Verificacin de controles en el procesamiento de la

informacin y en el desarrollo de los sistemas e
instalacin con el objetivo de evaluar su efectividad y
presentar recomendaciones a la Gerencia.

Examen y evaluacin de los procesos del rea de

Procesamiento de Datos y de la utilizacin de los
recursos que en ellos intervienen, para llegar a establecer
el grado de eficiencia, efectividad y economa de los
sistemas computarizados en una empresa y presentar
conclusiones y recomendaciones encaminadas a corregir
las deficiencias existentes y mejorarlas.

Auditora Informtica

Proceso de recoleccin y evaluacin de evidencia

encaminada a determinar si un sistema automatizado
permite:
u Salvaguarda activos (Daos, Destruccin

Uso no Autorizado, Robo)
u Mantiene Integridad (Informacin Precisa,
Completa, Oportuna y Confiable)
u Alcanza metas organizacionales (Contribucin de
funcin informtica)
u Emplea recursos eficientemente (Consume
recursos adecuadamente en el procesamiento de
la informacin.
u

Auditora Informtica

AUDITORA A SISTEMAS DE INFORMACIN

Emitir una opinin respecto del nivel de riesgo presente en un

Sistema de Informacin Computacional, considerando los
controles internos generales y especficos establecidos en el
mismo para resguardar la calidad de la informacin y asegurar
su correcta captura, procesamiento y entrega

Auditora Informtica
u

Es el examen o revisin de carcter objetivo

(independiente), crtico (evidencia), sistemtico
(normas), selectivo (muestras) de las polticas, normas,
prcticas, funciones, procesos, procedimientos e
informes relacionados con los Sistemas de Informacin
Computarizados, con el fin de emitir una opinin
profesional (imparcial) con respecto a:
u

Eficiencia en el uso de los recursos informticos

Validez de la informacin

Efectividad de los controles establecidos.

Auditora Informtica
AUDITORA A PLATAFORMAS TECNOLGICAS

Emitir una opinin respecto del nivel de riesgo presente en una

Plataforma Tecnolgica (infraestructura y servicios bsicos de TI).

Host (IBM, TANDEM)

Infraestructura de Redes y Comunicaciones

Centrales de Telefona

Servidores

Sistemas Operativos asociados (Microsoft-No Microsoft)

Otras aplicaciones de ms bajo nivel o propietarias (MicrosoftNo Microsoft).

Almacenamiento en la nube

Auditora Informtica
Proceso

Conjunto de recursos y actividades interrelacionados

que transforman elementos de entrada en
elementos de salida, que cumplen un objetivo
completo y agregan valor para el cliente.

IN

Act 1

Act.2

IN

Act.3

Act.4

Act. 5

OUT

Auditora Informtica
Mapa de Procesos
u

Es una representacin de todos los procesos de una organizacin.

Niveles de Proceso
u

Macroprocesos: Proceso de alto nivel, que se visualiza en la cadena de valor

de una organizacin.

Cadenas de Valor del Proceso: Es la representacin de un proceso, con las

principales etapas de mismo, se considera los eventos "detonadores" del
proceso y los resultados.

Flujo de Actividades: Es la representacin real de un proceso conceptual.

Considera tambin los roles y aplicaciones del proceso.

Flujo de Tareas: Es la representacin del detalle de una actividad en las tareas

o pasos requeridos para su ejecucin por un rol.

Descripcin de Actividades o Tareas: Es la descripcin detallada de cmo se

realiza una actividad o una tarea.

Cadena de Valor del Proceso

Cadena de Valor de TI

Auditora Informtica
Objetivos Generales de la Auditora de Sistemas
u

Buscar una mejor relacin costo-beneficio de los sistemas

automticos o computarizados diseados e implantados.

Incrementar la satisfaccin de los usuarios de los sistemas

computarizados

Asegurar una mayor integridad, confidencialidad y confiabilidad

(Seguridad) de la informacin mediante recomendaciones y
controles.

Conocer la situacin actual del rea informtica y las actividades y

esfuerzos necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones.

Auditora Informtica
continuacin
u

Apoyo de la funcin informtica a las

metas y objetivos de la organizacin

Minimizar existencias de riesgos en el

uso de Tecnologa de informacin

Decisiones de inversin y gastos

innecesarios

Capacitacin y educacin sobre

controles en los Sistemas de
Informacin.

Auditora Informtica
ISACA.- (Information Systems Audit and Control Association)
u

Con ms de 95,000 miembros en 160 pases, ISACA (www.isaca.org) es un lder mundialmente

reconocido, proveedor de conocimiento, certificaciones, comunidad, apoyo y educacin en seguridad y
aseguramiento de sistemas de informacin, gobierno empresarial, administracin de TI as como
riesgos y cumplimiento relacionados con TI. Fundada en 1969 la no lucrativa e independiente ISACA
organiza conferencias internacionales, publica el ISACA Journal, y desarrolla estndares internacionales
de auditora y control de sistemas de informacin que ayudan a sus miembros a garantizar la confianza y
el valor de los sistemas de informacin. Asimismo, certifica los avances y habilidades de los
conocimientos de TI a travs de la mundialmente respetada Certified Information Systems Auditor
(Auditor Certificado en Sistemas de Informacin) (CISA), el Certified Information Security Manager
(Gerente Certificado de Seguridad de la Informacin) (CISM), Certified in the Governance of Enterprise
IT (Certificado en Gobierno de Tecnologas de la Informacin Empresarial) (CGEIT) y el Certified Risk and
Information Systems Control (Certificado en Riesgo y Control de Sistemas de Informacin) (CRISC).
ISACA actualiza continuamente COBIT, que ayuda a los profesionales y lderes empresariales de TI a
cumplir con sus responsabilidades de administracin y gestin, particularmente en las reas de
aseguramiento, seguridad, riesgo y control, para agregar valor al negocio.

El IT Governance Institute (ITGI ) (www.itgi.org) es una entidad sin fines de lucro, de investigacin
independiente que proporciona orientacin a la comunidad mundial de negocios sobre temas
relacionados con el gobierno empresarial de los activos de TI. El ITGI fue establecido en 1998 por ISACA,
asociacin de miembros sin fines de lucro.

Auditora Informtica
Cdigo de Conducta de la ISACA (Information
Systems Audit and Control Association)
u

Los auditores debern:

u Actuar en inters de sus accionistas,
empleadores, clientes y pblico en general en
forma diligente, leal y honesta, y no contribuir a
sabiendas en actividades ilcitas o incorrectas.
u Mantener la confidencialidad de la informacin
obtenida durante sus deberes. La informacin
no deber ser utilizada en beneficio propio o
divulgada a terceros no legitimados.

Auditora Informtica

Cdigo de Conducta de la ISACA (Continuacin)

Los auditores debern:

u Ejercer sumo cuidado al obtener y documentar

material suficiente sobre el cual basar sus

conclusiones y observaciones.
u Apoyar la entrega de conocimientos a la

direccin, clientes y publico en general para

mejorar su comprensin de la auditora y TI.

Auditora Informtica

u Cdigo de Conducta de la ISACA

(Continuacin)
u Los auditores debern:
u Cumplir con sus deberes en forma
independiente y objetiva, y evitar toda
actividad que comprometa o parezca
comprometer su independencia.
u Mantener su capacidad en auditora de TI
mediante la capacitacin continua y
profesional.

Auditora Informtica

u Cdigo de Conducta de la ISACA

(Continuacin)

u Los auditores debern:

u Mantener altos estndares de conducta y

carcter tanto en sus actividades

profesionales como en las privadas.

Auditora Informtica

u CISA.- Certified Information Systems Auditor

es una certificacin para auditores respaldada

por la Asociacin ISACA (para ms informacin
ver archivo en dropbox)

Auditora Informtica
Cdigo de Conducta British Computer Society
u Conducta Profesional; dignidad, reputacin
u Inters Pblico y de terceras personas
u Fidelidad; cumplir obligaciones con empleadores y

clientes
u Competencia tcnica
u Imparcialidad; informes por escrito a sus clientes
de actividades que puedan perjudicar un dictamen.

Auditora Informtica
u

Perfil del Auditor de Sistemas

u Tecnologas de Informacin
u Administracin
u Negocio (Bancario, financiero)
u Metodologas de Aseguramiento de

SW
u Modelos
u Tecnologas de Punta

Auditora Informtica
Debe ser parte de la formacin profesional:
u

Hardware, Software, Compiladores ,Imgenes,

Sistemas Operativos, Bases de Datos, Anlisis de

Sistemas etc.).

Gestin de Tecnologas de Informacin

u

Seguridad, Calidad, Ingeniera de Software

Administracin de Proyectos

Auditora Informtica
Impacto de las TI en las Organizaciones
Internet: Conocida como la red de redes, pues se trata de
una de las redes ms grandes con un estimado de mil
quinientos millones de usuarios (2008).
Para funcionar utiliza el conjunto de protocolos TCP/IP.
Fue creada a finales de la dcada del 60 y se llam al
principio ARPANET; pensada para el rea militar y usada
por cientficos.
Intranet: Red entre computadoras montada para el uso
exclusivo dentro de una empresa u hogar. Se trata de una
red privada que puede o no tener acceso a Internet.
Sirve para compartir recursos entre computadoras

Auditora Informtica
Impacto de las TI en las Organizaciones
TCP/IP: (Transfer Control Protocol / Internet Protocol). Es el protocolo que
utiliza internet para la comunicarse.
B2B: Forma de comercio electrnico en donde las operaciones comerciales
son entre empresas y no con usuarios finales
CRM: Modelo de gestin orientado hacia los clientes, es el concepto ms
cercano al Marketing Relacional. Sistemas informticos de apoyo a la gestin
de las relaciones con los clientes, a la venta y al marketing. Con este
significado CRM se refiere al Data warehouse o almacenamiento de datos con
orientacin a la informacin de la gestin de ventas, y de los clientes de la
empresa. Involucra: aumento de venta por cruce de productos, venta
proactiva, mejorar los niveles de retencin y fidelizacin de clientes.

Auditora Informtica
Riesgos
La incertidumbre que ocurra un evento que podra tener un
impacto en el logro de los objetivos.

Auditora Informtica
Riesgos
Los riesgos cuando se materializan, se denominan errores,
irregularidades u omisiones, los cuales pueden generar una
prdida monetaria, en la imagen de la empresa o
incumplimiento de normativa externa.

Auditora Informtica
Riesgos
Riesgo = Impacto * Probabilidad
Impacto: es el efecto o consecuencia cuando el
riesgo se materializa
Probabilidad: representa la posibilidad que un
evento dado ocurra.

Auditora Informtica
Riesgos
Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la
materia y/o componentes de sta. Se entiende que una materia por su
naturaleza tiene riesgos que surgen por diversas fuentes, como los
errores, irregularidades o fallas que pudieran ser importantes en forma
individual o en conjunto con otros riesgos. Los riesgos inherentes a la
materia pueden tener o no controles elaborados por la direccin para
mitigar su probabilidad o su impacto.
Los riesgos inherentes a la materia bajo anlisis pueden ser relativos al
entorno, ambiente interno, procesos, informacin, etc

Auditora Informtica
Riesgos Inherentes
Riesgo

de Crdito

Riesgo

Financiero

Riesgo

Operacional

Riesgo

de Tecnologa de la Informacin

Riesgo

Calidad de Servicio y transparencia de la Informacin

Auditora Informtica
Riesgos Inherentes
u Riesgo de Crdito: Exposicin a una prdida real o el costo de oportunidad como

consecuencia del incumplimiento de pago de una persona natural o jurdica.

u Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios en la

economa local o internacional que podra afectar los descalces de caja o

posiciones asumidas por inversiones y su liquidez, como asimismo los descalces
globales de activos.

u Riesgo Operacional: Se define como el riesgo de prdida debido a la inadecuacin

o fallas en los procesos, el personal y los sistemas internos o bien a causa de

acontecimientos externos (fraudes, daos activos materiales, fallas en procesos,
etc). Incluye riesgos legales y normativos.