SI

Esquema

TEMA 1 – Esquema
Control Interno Personal Interno

Análisis continuo de El objeto del control

Reporte a la Dirección
control. Control alcanza solo al Dpto. de
del Dpto. de Sistemas
dinámico Sistemas

Auditoria Personal Externo

Análisis en un
Reporta a la Cubre todos los SI de la
momento dado.
Dirección General organización
Control estático
Auditoría y justificación administrativas
 Auditoría y justificación administrativas

Ideas clave

1.1. ¿Cómo estudiar este tema?

Para estudiar este tema debes leer las ideas clave expuestas a continuación.
Además como complemento puedes descargar y leer la documentación de ISACA
sobre Normas Generales de Auditoria disponible en:
http://www.isaca.org/Knowledge-Center/ITAF-IS-Assurance-Audit-/IS-Audit-and-
Assurance/Pages/Standards-for-IS-Audit-and-Assurance-Spanish.aspx

Este tema tiene por objeto sentar los fundamentos básicos de la actividad de la
auditoría y control de Sistemas de Información.

1.2. La Auditoría Informática

Desde el comienzo de la humanidad las diferentes culturas han dado una gran
importancia a la contabilidad que creció paralela al desarrollo de la escritura y la
matemática.

A finales del XIX, principios del XX, la auditoría financiera se extiende por el
mundo anglosajón, y asienta las bases de las prácticas que conocemos en la actualidad.
Concretamente la auditoría de cuentas es el primer caso de auditoría
“institucionalizada”:

Actividad consistente en la revisión y verificación de documentos contables, siempre

que aquella tenga por objeto la emisión de un informe que pueda tener efectos frente a
terceros.

A partir de los años 60, la informática adquiere importancia como herramienta en

las labores de auditoría financiera; permite realizar de forma rápida y precisa
operaciones complejas que manualmente llevarían mucho consumo de tiempo y
personas.

TEMA 1 – Ideas clave

 Auditoría y justificación administrativas

Comienza la denominada Auditoría con el Ordenador, no es Auditoría Informática,

sino que utiliza el ordenador como herramienta del auditor financiero.
Pero además, en las empresas de aquel periodo los auditores financieros, se
preguntaban si la información que les daban los Sistemas (Mainframes) eran correctos
o estaban manipulados.

Surge el auditor informático como el especialista que entendía qué sucedía en el

proceso de información dentro de aquellos Mainframes. Y verificaba los resultados de
sus procesos.

Inicialmente son analistas-programadores independientes que extraían información

para el exterior. De ahí nace, el apoyo de estos analistas al auditor financiero.

Nuevas funciones para el auditor informático:

 Analista programador para el auditor financiero.

 Revisión de controles internos informáticos generales: Seguridad lógica, y
seguridad física.
 Revisión de controles por área o departamento.
 Revisión de controles por aplicaciones (controles de entrada de
información a la aplicación, de proceso o de salida. Programación).
 Revisión de controles de aplicaciones concretas (i.e, instalación y
mantenimiento de BD, como lo tienen funcionando, revisión de sistemas
Windows, Unix, ...).
 Revisión de aspectos legales (LOPD, LSSI).

La Auditoría Informática se desarrolla en Estados Unidos, Reino Unido y Australia

a finales de los años 60. La profesión de auditoría y control interno de las TIC´s
nace con la creación, en 1969, de la EDPAA (Electronic Data Processing Auditors
Association).

En 1993 el nombre de la asociación cambió a ISACA (Information Systems Audit and

Control Association) y en 1998 ISACA fundó el ITGI (IT Governance Institute),
encargado de desarrollar y divulgar conocimientos sobre el gobierno de los
sistemas de información.

TEMA 1 – Ideas clave

 Auditoría y justificación administrativas

ISACA
(Information Systems
Audit and Control
Association)

1969 1993 1998

ITGI
(IT Governance Institute)

Fundación de EDPAA
(Electronic Data
Processing Auditors
Association).

1.3. Auditoría Informática y Gestión de Riesgos

Las organizaciones que utilizan sistemas de información llegan a ser inevitablemente,

dependientes de ellos: aumentan su eficiencia pero también su exposición al riesgo.
Todas las empresas están perfectamente preparadas para afrontar con éxito un desastre
en el sistema de información: la segunda vez que lo sufren...

La Auditoría Informática es en definitiva una estrategia de

administración/gestión de riesgos. Y su filosofía entronca con la escuela de
gestión de riesgos proactiva. Existen dos enfoques relativos al control de sistemas
de información:
La auditoria informática identifica el nivel de exposición por la fallo
El análisis de riesgos facilita la evaluación y recomienda acciones en base al coste-
beneficio de las mismas

TEMA 1 – Ideas clave

 Auditoría y justificación administrativas

Fases Generales de Gestión Riesgos

Identificación1

Identificación:

 Reconocer los riesgos que puedan amenazar al proyecto. B. Boehm propuso una
lista de los diez ítems de más alto riesgo en SI.

Análisis

Análisis:

 Discriminar los riesgos que resultan asumibles de los de mayor relevancia.

Evaluar los riesgos asignándoles magnitudes, en cuanto a probabilidad de
ocurrencia y severidad del impacto.

Planificación

Planificación:

 Definir las estrategias de administración:

• establecer el rango de opciones para tratar los riesgos
• evaluar tales opciones
• preparar e implementar planes al efecto

Supervisión

Supervisión:

 Comprobar si las identificaciones y análisis efectuados responden a la situación

actual, o hay cambios.

1 Boemh (1991) Software risk management: Principles and Practices. IEEE Software, 8 (1), 32-41

TEMA 1 – Ideas clave

 Auditoría y justificación administrativas

1.4. Auditoría, Control Interno y Gobierno de SI (TI)

Auditoría y Control Interno

La palabra auditoría proviene del latín auditorius, y de ésta proviene la palabra

auditor, que se refiere a todo aquel que tiene la virtud de oír.

B. Sawyer: (1985). Define Auditoría como:

"Una sistemática evaluación de las diversas operaciones y controles de una
organización, para determinar si se siguen políticas y procedimientos aceptables, si
se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han
alcanzado los objetivos de la organización”.

Posteriormente, Ron Weber: (1988) señala que:

"La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informático salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los
recursos"

Debiendo precisarse que en el análisis no se deben contemplar únicamente los

aspectos técnicos, sino también los aspectos de gestión y planificación.

De forma complementaria a las actividades de auditoría aparece el concepto de

Control Interno como cualquier actividad destinada a:

Gestionar riesgos en el funcionamiento de los SI

Que los SI cumplan (estén alineados) con los objetivos organizacionales.

Su misión es, por lo tanto, garantizar diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la Dirección de la Organización y/o Dirección
de Informática, así como los requerimientos legales, de forma que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

TEMA 1 – Ideas clave

 Auditoría y justificación administrativas

De esta misión pueden clasificarse los tipos de control interno:

Tipos de control interno:

Control Interno Preventivo: Orientado a impedir

o prevenir la materialización de riegos de mal
funcionamiento de los sistemas
Control Interno Detectivo: Para detectar errores
o fallos/incidencias

Control Interno Correctivo: Para corregirlos

El Gobierno de SI

Como paso previo a estudiar el Gobierno de SI debe abordarse el concepto de

Gobierno Corporativo del que forma parte.

El Gobierno Corporativo se define como un comportamiento empresarial ético por

parte de la Dirección y gerencia, para la creación y entrega de los beneficios para todas
las partes interesadas (Stakeholders).

La OCDE (Organización para la Cooperación y el Desarrollo Económico), lo amplía

como: “Las distribución de derechos y responsabilidades entre los diferentes
participantes en la empresa, tales como Accionistas, gerentes, y otras partes interesadas
explicando las reglas y procedimientos para tomar decisiones sobre los asuntos de la
organización.”

Como parte de este gobierno, se deben establecer reglas para determinar e informar
acerca de los riesgos del negocio.

El gobierno de TI, según ITGI (IT Governance Institute), es una parte integral del
gobierno corporativo.

Consiste en liderar y definir las estructuras y procesos organizativos que

aseguran que las Tecnologías de la Información y Comunicaciones (TIC) de la empresa
soportan y difunden la estrategia y los objetivos de la organización, siendo la
responsabilidad del comité de dirección y gerencia.

TEMA 1 – Ideas clave

 Auditoría y justificación administrativas

De ello podemos extraer que:

El gobierno de TI es el alineamiento estratégico de las TI con la organización. Se

consigue el máximo valor de negocio por medio del desarrollo y mantenimiento de
un control y responsabilidad efectivas, gestión de la eficiencia y la eficacia
(desempeño), así como la gestión de riesgos de TI.
El plan de SI se tiene que corresponder con el plan estratégico de la empresa,
siendo el primero un medio que sirve al segundo.

En este sentido debe definirse el rol de la Auditoria en el Gobierno TI. Entendiendo

la ubicación del Gobierno de TI en el Gobierno Corporativo, y asumiendo que no debe
ser ya una función, separada del resto de la empresa, la auditoria debe estar
esencialmente enfocada a:
Recomendar prácticas a la alta dirección, con el fin de mejorar la calidad y
efectividad de las iniciativas del gobierno de TI implantadas.
Asegurar el cumplimiento de las iniciativas de gobierno de TI.

De otra parte La auditoría necesitará evaluar los siguientes aspectos

relacionados con el gobierno de TI.

 El alineamiento de la función de TI con la misión, la visión, los valores, los

objetivos y las estrategias de la organización.
 El logro por parte de la función de TI de los objetivos de eficiencia y eficacia
establecidos por el negocio.
 Los requisitos legales, de seguridad y los propios de la empresa.
 El entorno de control de la organización.
 Los riesgos intrínsecos dentro de TI

TEMA 1 – Ideas clave

 Auditoría y justificación administrativas

Test

1. La actividad de auditoría nace en el ámbito contable y ahí pude definirse

genéricamente, como:
A. Actividad consistente en la revisión y verificación de documentos contables,
siempre que aquella tenga por objeto la emisión de un informe que pueda
tener efectos frente a terceros.
B. Actividad de gestión del riesgo financiero y contable.
C. Actividad de verificación de la contabilidad al plan general contable.
D. Actividad de verificación de contabilidad, facturación y control financiero.

2. Inicialmente el auditor informático es un analista-programador independiente y

entre sus funciones están:
A. Analista programador para el auditor financiero.
B. Revisión de controles internos informáticos generales: Seguridad lógica, y
seguridad física.
C. Revisión de controles por área o departamento.
D. Todas son ciertas.

3. La profesión de auditoría y control interno de las TIC´s nace:

A. Con la creación, en 1969, de la EDPAA (Electronic Data Processing Auditors
Association).
B. Con la aparición de ISACA.
C. Con las nuevas normas de auditoría surgidas en los años 80.
D. Ninguna de las anteriores es cierta.

4. La actividad de auditoría es Definida por R Webber como:

A. El proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informático salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo los fines de la organización y utiliza eficientemente los
recursos.
B. Una estrategia de administración/gestión de riesgos en la ejecución y
funcionamiento de Sistemas de Información.
C. Una sistemática evaluación de las diversas operaciones y controles de una
organización en el campo de los Sistemas de Información, para determinar si
se siguen políticas y procedimientos aceptables.

TEMA 1 – Test
 Auditoría y justificación administrativas

5. ¿Cuál de las siguientes afirmaciones no es cierta?

A. Una función del auditor informático puede ser realizar revisiones del control
interno de una empresa.
B. Una función del auditor informático puede ser revisar aspectos legales
directamente relacionados con la tecnología.
C. Una función del auditor informático puede ser revisar el balance contable de
una empresa.
D. Una función del auditor informático puede ser revisar la instalación de un
producto Software de acuerdo a unas especificaciones.

6. El concepto de Control Interno supone:

A. Cualquier actividad destinada a gestionar riesgos en el funcionamiento de los
SI.
B. Cualquier actividad destinada a gestionar riesgos en el funcionamiento de los
SI y que los SI cumplan (estén alineados) con los objetivos organizacionales.
C. Cualquier actividad destinada a que los SI cumplan (estén alineados) con los
objetivos organizacionales.
D. Ninguna de las anteriores es cierta.

7. El control interno se ubica funcionalmente dentro:

A. Del departamento de Sistemas.
B. Forma parte de la Dirección General de la empresa (CEO).
C. Del departamento Calidad.
D. Es externo a la empresa.

8. Los tipos de control interno son:

A. Correctivo, preventivo y adaptativo.
B. Preventivo, detectivo y correctivo.
C. Detectivo, adaptativo y evolutivo.
D. Todas son ciertas.

TEMA 1 – Test
 Auditoría y justificación administrativas

9. El gobierno de TI, consiste:

A. En un comportamiento empresarial ético por parte de la Dirección y gerencia,
para la creación y entrega de los beneficios para todas las partes interesadas.
B. En cualquier actividad destinada a gestionar riesgos en el funcionamiento de
los SI y que los SI cumplan (estén alineados) con los objetivos
organizacionales.
C. En una estrategia de administración/gestión de riesgos en la ejecución y
funcionamiento de Sistemas de Información.
D. En liderar y definir las estructuras y procesos organizativos que aseguran que
las Tecnologías de la Información y Comunicaciones (TIC) de la empresa
soportan y difunden la estrategia y los objetivos de la organización.

10. La auditoría necesitará evaluar los siguientes aspectos relacionados con el gobierno
de TI:
A. El alineamiento de la función de TI con la misión, la visión, los valores, los
objetivos y las estrategias de la organización.
B. El logro por parte de la función de TI de los objetivos de eficiencia y eficacia
establecidos por el negocio.
C. Los requisitos legales, de seguridad y los propios de la empresa, el entorno de
control de la organización y Los riesgos intrínsecos dentro de TI.
D. Todas son ciertas.

TEMA 1 – Test