Qu es la Auditoria en Sistemas de Informacin?

Es el examen objetivo, crtico, sistemtico, posterior y selectivo que se hace a

la administracin informtica de una organizacin, con el fin de emitir una
opinin acerca de:
La eficiencia en la adquisicin y utilizacin de los recursos informticos.
La confiabilidad, la integridad, la seguridad y oportunidad de informacin.
La efectividad de los controles en los sistemas de informacin.
El objetivo es evaluar la capacidad de la organizacin para proteger sus activos
de informacin y debidamente prescindir de la informacin a personas
autorizadas.

La auditora de SI determina los riesgos que son relevantes para los

activos de informacin, y en la evaluacin de los controles a fin de
reducir o mitigar estos riesgos, no puede eliminar por completo todos los
riesgos.

La auditora de SI, auditora informtica o auditora de sistemas es un tipo de

auditora consistente en el examen de los sistemas de informacin y de los
centros de proceso de datos, instalaciones y unidades informticas de las
organizaciones.
La auditora de sistemas de informacin persigue propiciar con sus
actuaciones:
El establecimiento y mantenimiento de sistemas de gestin de la seguridad.
La reduccin de los riesgos inherentes a la utilizacin de los SI.
El incremento de la confianza de los usuarios internos y externos en los
sistemas de informacin.
Comprobar el cumplimiento de los requerimientos de negocio de la
informacin.
Analizar la gestin de los riesgos asociados a los sistemas de
informacin, proponiendo la adopcin de medidas que mejoren el
sistema de anlisis y gestin de los riesgos informticos.
Comprobar e impulsar la seguridad de los sistemas de informacin.
Principales razones para auditar y controlar los SI

Toma de decisiones incorrectas

Reducir el costo de los errores
Control del uso de las TIC
Consecuencias de las prdidas de datos
Valor del hardware, del software y del personal
Privacidad de los datos personales
Fraude informtico
Qu es la metodologa de Auditoria de SI?
Un camino estructurado de forma lgica para asegurar el xito de proyectos
de auditora de informtica.

Un grupo de etapas que pueden adaptarse a empresas pequeas, medianas y

grandes de cualquier giro para planear y desarrollar proyectos de auditora en
informtica.

Metodologa y Estndares

Utilizacin de metodologas, instrumentos y procedimientos operativos

propios.
En la planificacin de las auditoras informticas Empleo de marcos
referenciales para la declaracin de los objetivos del control.
En el desarrollo de las auditoras informticas empleo de herramientas
de auditora especficas.
Metodologa y Estndares

Existen tres tipos de metodologas de auditoria informtica:

R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen.
CHECKLIST o cuestionarios.
AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de
Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).
Las metodologas de auditora de SI son de tipo cualitativo/subjetivo.
Solo existen dos tipos de metodologas para la auditoria de SI:

Controles Generales:

El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del
computador para la auditora financiera.

Metodologas de los auditores internos: Estn formuladas por

recomendaciones de plan de trabajo y de todo el proceso que se debe
seguir.
Describe en forma de cuestionarios genricos, con una orientacin de los
controles a revisar. El auditor interno debe crear sus metodologas necesarias
para auditar los distintos aspectos o reas en el plan auditor.