AUDITORA INFORMTICA

Jaime Vigil Rigacci

AUDITORA INFORMTICA - TEMAS A TRATAR

I.- DEONTOLOGA DEL AUDITOR INFORMTICO

II.- MARCO JURDICO
III.- ISACA
IV.- PERFIL DEL AUDITOR
 I - DEONTOLOGA - (DEFINICIN)
Ladeontologa(delgriegoto deon, "lo conveniente", "lo debido", yloga, "conocimiento", "estudio") es
ladisciplinaque estudia los deberes u obligaciones morales de cada profesin.
El objeto de estudio de la deontologa son los fundamentos del deber y las normas morales.
El concepto de deontologa fue acuado porJeremy Bentham1, en su obraDeontologa o ciencia de la moral,
donde ofrece una visin novedosa de esta disciplina. Para Bentham, la deontologa se aplica
fundamentalmente al mbito de la moral, es decir, a aquellas conductas del ser humano que no forman
parte de las normativas del derecho vigente, y que no estn sometidas al control de la legislacin pblica.

1.- Jeremy Bentham(1748-1832) fue unfilsofo,economista,pensadoryescritoringls, padre delUtilitarismo.

I - DEONTOLOGA DEL AUDITOR INFORMTICO

FINALIDAD.- Incidir en el Perfil Profesional del Auditor estimulando que este se ajuste a determinados
principios morales que deben servirle de gua.
La Deontologa del Auditor abarcar tanto su moral y tica profesional en el manejo del activo mas
importante que tienen las empresas, que es la informacin que se maneja. Los principios contenidos en
los Cdigos Deontolgicos exigen, que los propios profesionales ayuden a un comportamiento conforme a
los mismos como medio de sensibilizacin y mejora del prestigio y calidad de su oficio.
Los auditores deben estar constantemente familiarizados con los principios deontolgicos adoptados por
diferentes Colegios y Asociaciones Profesionales, de los cuales podemos mencionar:
 I - DEONTOLOGA DEL AUDITOR INFORMTICO
(PRINCIPIOS FUNDAMENTALES)
1. Beneficio del Auditado 13. Independencia
2. Calidad 14. Informacin Suficiente
3. Capacidad 15.Integridad Moral
4. Cautela 16.Legalidad
5. Comportamiento Profesional 17.Libre Competencia
6. Concentracin en el trabajo 18.NO Discriminacin
7. Confianza 19.NO injerencia
8. Criterio Propio 20.Precisin
9. Discrecin 21.Publicidad adecuada
10.Economa 22.Responsabilidad
11.Formacin Continuada 23.Secreto Profesional
12.Fortalecimiento y Respeto de la Profesin 24.Servicio Pblico
25.Veracidad
 I - DEONTOLOGA DEL AUDITOR INFORMTICO
(PRINCIPIOS FUNDAMENTALES)
1. Principio del Beneficio del Auditado.- Un aspecto importante, en cuanto a la aplicacin de este
principio, es facilitar el derecho de las organizaciones auditadas, a la eleccin del auditor.

2. Principio de Calidad.- El auditor deber cumplir sus servicios con calidad, aun cuando el no se sienta
en la capacidad de hacerlo, deber buscar ayuda o capacitacin profesional.

Ejemplo: El auditor debe hacer una auditoria al Departamento de Ventas de la empresa XXX, para cumplir
con su tarea, ste debe tener accesibilidad a documentacin necesaria, si en dicho departamento le
niegan la documentacin, el auditor debe negarse a realizar la auditoria ya que no puede acceder a la
informacin que es de vital importancia para su desempeo.
I - DEONTOLOGA DEL AUDITOR INFORMTICO
PRINCIPIOS FUNDAMENTALES
3. Principio de Capacidad.- El auditor debe estar plenamente consciente del alcance de sus
conocimientos y de su capacidad y aptitud para desarrollar la auditoria.
Ejemplo: El auditor hace la auditoria del Departamento de Ventas, debido a que no tiene suficiente
conocimiento en su trabajo, realiza un informe con recomendaciones que a la larga le dejarn perjuicios
a la empresa, lo que har que el auditor pierda credibilidad como profesional.
4. Principio de Cautela.- El auditor debe tener cierto grado de cuidado, y no confiarse de sus
conocimientos profesionales, ser humilde al dictar sus criterios, y ser consciente de que sus
recomendaciones deben estar basadas en la experiencia.
Ejemplo: Las recomendaciones sugeridas en el informe de auditoria deben estar avaluadas en base a
la realidad de la empresa (econmico ).
I - DEONTOLOGA DEL AUDITOR INFORMTICO
PRINCIPIOS FUNDAMENTALES
5. Principio de Comportamiento Profesional.- Este principio esta ligado con la tica profesional del
auditor, como evitar actos ilcitos, ficticios, que encubran comportamientos no profesionales.
Ejemplo: Si el auditor necesita ayuda para la revisin de documentacin, debe acudir donde otro
profesional (un contador) el cual le pueda ayudar en dicha tarea, dejando constancia en el informe de
auditoria de que terceros ayudaron en el trabajo de la auditoria al Departamento de Ventas.

6. Principio de Concentracin en el trabajo.- El auditor debe controlar el exceso de trabajo con la

concentracin que debe tener, esto permitir al auditor dedicar a su cliente la mayor parte de los
recursos posibles obtenidos de sus conocimientos.
I - DEONTOLOGA DEL AUDITOR INFORMTICO
PRINCIPIOS FUNDAMENTALES
7. Principio de Confianza.- Este principio requiere de ambas partes un dialogo que permita aclarar todas
las dudas que se den a lo largo de la auditora.
Ejemplo: El auditor debe ser sincero con el cliente, su actuar debe ser correcto y transparente.

8. Principio de Criterio Propio.-Este principio demanda de que el auditor actu con criterio propio, para
no permitir estar subordinado al de otros profesionales.
Ejemplo: Si un empleado va y comenta al auditor de que tiene sospechas de que el jefe
departamental est desviando fondos, esto no quiere decir que el auditor va a dar por cierto dicho
comentario.
I - DEONTOLOGA DEL AUDITOR INFORMTICO
PRINCIPIOS FUNDAMENTALES
9. Principio de Discrecin.- Depender del cuidado y discrecin en la divulgacin de datos, y
mantenerlos durante el proceso de auditoria como en la finalizacin.
Ejemplo: El auditor no deber divulgar datos tales como los estados financieros de la empresa,
inversiones, estrategias de ventas, etc. Esto restara credibilidad al auditor.

10. Principio de Economa.- Se refiere a proteger los derechos econmicos del Auditado con el fin de
evitar gastos innecesarios, as mismo rechazar, ampliaciones de trabajo sobre asuntos no directamente
relacionados con la auditoria.
Ejemplo: El plan de auditoria debe estar bien delimitado a fin de evitar gastos extras.
II NORMA JURDICA DE LA AUDITORA
(INTRODUCCIN)

Contemplar nuevas tecnologas como herramientas del Operador Jurdico.

Estudiar y analizar estas nuevas tecnologas como un objeto ms del Derecho.
La Informtica Jurdica contempla tres categoras:
La Informtica Jurdica de Gestin.
La Informtica Jurdica Documental
La Informtica Jurdica Decisional
II NORMA JURDICA DE LA AUDITORA
(POTESTADES DE LAS ENTIDADES JURDICAS Y
DE LAS EMPRESAS)

Las Entidades Jurdicas junto con las Empresas pueden asumir los siguientes roles:
Potestad reguladora
Potestad inspectora
Potestad sancionadora
Potestad inmovilizadora
II NORMA JURDICA DE LA AUDITORA
(DELITO INFORMTICO)

Para que se presente la figura del Delito Informtico, se han de conjugar los siguientes principios:

El delito es un acto humano, es una accin (u omisin).

Este acto suele ser antijurdico, debe lesionar.
Debe corresponder a un tipo legal.
El acto ha de ser culpable imputable, o la culpa a dolo.
La ejecucin u omisin de un acto debe estar sancionada.
II NORMA JURDICA DE LA AUDITORA

RESOLUCIN MINISTERIAL
N 246-2007-PCM
Lima, 22 de agosto de 2007

Aprueban uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de
la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. 2a. Edicin
en todas las entidades integrantes del Sistema Nacional de Informtica
 II NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la
Informacin

RESEA HISTRICA
La presente Norma Tcnica Peruana ha sido elaborada por el Comit Tcnico de Normalizacin de
Codificacin e Intercambio Electrnico de Datos (EDI), mediante el Sistema 1 u Adopcin, durante los
meses de junio a julio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005
Information Technology Code of practice for information security management.
 II NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la
Informacin (MONITOREO)

OBJETIVO: Detectar las actividades de procesamiento de informacin no autorizadas.

Los sistemas deben ser monitoreados y los eventos de la seguridad de informacin deben ser
grabadas. El registro de los operadores y el registro de averas debe ser usado para asegurar que los
problemas del sistema de informacin sean identificados.
Una organizacin debe cumplir con todos los requerimientos legales aplicables para el monitoreo y
el registro de actividades.
El monitoreo del sistema debe ser utilizado para verificar la efectividad de los controles adoptados
y para verificar la conformidad de un acceso a un modelo de poltica.
II NTP-ISO/IEC 17799:2007 EDI. TI (REGISTRO DE
AUDITORA)

CONTROL
Los Registros de Auditoria grabando actividades de los usuarios, excepciones y eventos de la
seguridad de informacin deben ser producidos y guardados para un periodo acordado con el fin de
que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.
 II NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la
Informacin

CONSIDERACIONES SOBRE LA AUDITORIA DE SISTEMAS

OBJETIVO: Maximizar la efectividad y minimizar las interferencias en el proceso de auditoria del
sistema.
Se deberan establecer controles para salvaguardar los sistemas operativos y las herramientas de
auditoria durante las auditorias del sistema. Tambin se requiere proteccin para salvaguardar la
integridad y evitar el mal uso de las herramientas de auditoria.
 II NTP-ISO/IEC 17799:2007 EDI. TI
(REGISTRO DE AUDITORA)
GUA DE IMPLEMENTACIN
Los Registros de Auditoria deben incluir cuando sea relevante:
a) Identificaciones de usuarios;
b) Fecha y hora de conexin y desconexin;
c) Identidad del terminal o locacin si es posible;
d) Registros de xito y fracaso de los intentos de acceso al sistema;
e) Registros de xito o fracaso de datos y de otros intentos de acceso a recursos;
f) Cambios en la configuracin del Sistema;
g) Uso de privilegios;
h) Uso de las instalaciones y aplicaciones del sistema;
i) Archivos accesados y el tipo de acceso; etc.
II NORMA JURDICA DE LA AUDITORA

RESOLUCIN MINISTERIAL
N 004-2016-PCM
Lima, 08 de enero de 2016

Aprueban uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 27001:2014 EDI. Tecnologa de
la Informacin. Tcnicas de Seguridad. Sistema de Gestin de la Seguridad de la Informacin. 2a. Edicin
en todas las entidades integrantes del Sistema Nacional de Informtica
 II NTP-ISO/IEC 27001:2014 EDI. Tecnologa de la
Informacin

RESEA HISTRICA
La presente Norma Tcnica ha sido elaborada por el Comit Tcnico de Normalizacin de Codificacin e
intercambio Electrnico de Datos, mediante el Sistema 1 o de Adopcin, durante los meses de abril a
junio del 2014, utilizando como antecedente a la norma ISO/IEC 27001:2013 Information Technology
Security Techniques Information Security Management Systems Requirements y la ISO/IEC
27001:2013/COR 1 2013 Information Technology Security Techniques Information Security
Management Systems REQUIREMENTS
 II NTP-ISO/IEC 27001:2014 EDI. Tecnologa de la
Informacin

INTRODUCCIN
ISO (la Organizacin Internacional para la Normalizacin) e IEC (la Comisin Electrotcnica
Internacional) forman el sistema especializado para la normalizacin mundial. Los rganos nacionales
que son miembros de ISO o de IEC participan en el desarrollo de las Normas Internacionales a travs de
comits tcnicos establecidos por la respectiva organizacin para ocuparse de campos particulares de
actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en campos de inters mutuo. Otras
organizaciones internacionales, gubernamentales y no gubernamentales, en enlace con ISO y con IEC,
tambin participan en el trabajo. En el campo de la tecnologa de la informacin, ISO e IEC han
establecido.omit tcnico conjunto, ISO/IEC JTC 1.
 II NTP-ISO/IEC 27001:2014 EDI. TI (OBJETIVOS)

Esta Norma Tcnica Peruana especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestin de seguridad de la informacin dentro del contexto de la
organizacin.
Esta Norma Tcnica Peruana tambin incluye requisitos para la evaluacin y tratamiento de los riesgos
de seguridad de la informacin orientados a las necesidades de la organizacin. Los requisitos
establecidos en esta Norma Tcnica Peruana son genricos y estn hechos para aplicarse a todas las
organizaciones, sin importar su tipo, tamao o naturaleza. Excluir cualquiera de los requisitos
especificados en las Clusulas 4 a 10 no es aceptable cuando una organizacin declara conformidad con
esta Norma Tcnica Peruana.
 II NTP-ISO/IEC 27001:2014 EDI. TI
(EVALUACIN DEL DESEMPEO)
La Organizacin debe conducir Auditoras Internas en intervalos planificados para proporcionar
informacin sobre si el Sistema de Gestin de Seguridad de la Informacin:
a) Est en conformidad con
1) Los requisitos de la propia organizacin para su sistema de gestin de seguridad de la informacin;
2) Los requisitos de esta Norma Tcnica Peruana;
b) Est efectivamente implementado y mantenido. La organizacin debe:
c) Planificar, establecer, implementar y mantener uno o varios programas de auditora, incluyendo la
frecuencia, mtodos, responsabilidades, requisitos e informes de planificacin. Los programas de
auditora deben tomar en consideracin la importancia de los procesos concernientes y los resultados
de auditoras previas;
 II NORMA JURDICA DE LA AUDITORA

Norma Constitucional

8,

#$# &'()"*$5%>%7$8,5,$(1
 II NORMA JURDICA DE LA AUDITORA

Norma Constitucional

8,

ElHbeas dataes unaaccin jurisdiccional, normalmenteconstitucionales, que puede ejercer

cualquierpersonafsica o jurdica, que estuviera incluida en un registro obanco de datosde todo tipo, ya
sea en instituciones pblicas o privadas, en registros informticos o no, a fin de que le sea suministrada
la informacin existente sobre supersona, y de solicitar la eliminacin o correccin si fuera falsa o
estuviera desactualizada.
 II NORMA JURDICA DE LA AUDITORA

8,
 II NORMA JURDICA DE LA AUDITORA

8,
 II NORMA JURDICA DE LA AUDITORA

8,
 II NORMA JURDICA DE LA AUDITORA

8,
III - ISACA
II ISACA - DEFINICIN

ISACA es el acrnimo deInformation Systems Audit and Control

Association(Asociacin de Auditora y Control de Sistemas de Informacin),
Es una asociacin internacional que apoya y patrocina el desarrollo
demetodologasycertificacionespara la realizacin de actividadesauditoray
control ensistemas de informacin.
II ISACA MIEMBROS y DIVISIONES

Establecida en 1969, ISACA es una asociacin sin fines de lucro conformada por 140.000
profesionales en 187 pases. Sus miembros incluyen auditores internos y externos, CEOs, CFOs,
CIOs, educadores, profesionales de seguridad y control de informacin, gerentes de negocios,
estudiantes y consultores de TI. ISACA tiene ms de 215 Divisiones o Captulos en ms de 92
pases.
II ISACA ACTIVIDADES
Desarrolla y administra cuatro certificaciones lderes de la industria:

Auditor de Sistemas de Informacin Certificado (CISA), Una designacin mundialmente

respetada Para profesionales experimentados en auditora, control y seguridad. Con ms de

125.000 miembros. Se han ganado la designacin CISA desde su creacin en 1978.
II ISACA ACTIVIDADES
Desarrolla y administra cuatro certificaciones lderes de la industria:

Gerente Certificado de Seguridad de la Informacin (CISM), Una designacin innovadora

Para los lderes que gestionan la seguridad de la informacin de una organizacin. Con ms de
32.000 miembros. Se han ganado la designacin CISM desde su creacin en 2002.
II ISACA ACTIVIDADES
Desarrolla y administra cuatro certificaciones lderes de la industria:

Certificado en el Gobierno de la Empresa IT (CGEIT ), Para profesionales que Gestionar,

prestar servicios de asesoramiento y / o aseguramiento, y / o Apoyar la gobernanza de la TI de

una empresa. Con cerca de 7.000 profesionales Obtuvo la designacin CGEIT desde su creacin
en 2007.
II ISACA ACTIVIDADES
Desarrolla y administra cuatro certificaciones lderes de la industria:

Certificado en Control de Riesgos y Sistemas de Informacin (CRISC ), para IT

Profesionales con experiencia en la identificacin, evaluacin y evaluacin; respuesta a los
riesgos; Monitoreo del riesgo; Diseo e implementacin de control de SI; Y monitoreo y
mantenimiento del control SI. Con ms de 20.000 profesionales Han sido certificadas desde su
creacin en 2010.
II ISACA ACTIVIDADES
Desarrolla y administra cuatro certificaciones lderes de la industria:

Cybersecurity Nexus (CSX), que incluye:

Certificado de Fundamentos de Seguridad Ciberntica y certificacin CSX basada en habilidades y
entrenamiento.
El boletn mensual de Nexus.
Conferencias CSX-expandir globalmente.
Investigacin, orientacin, capacitacin, educacin y colaboracin en materia de ciberseguridad
 II ISACA ACTIVIDADES
Desarrolla y administra cuatro certificaciones lderes de la industria:

Cobit 5 Es un marco de negocio para gobernar la tecnologa de la empresa. Que incluye:

Conferencias de acogida, formacin y aprendizaje en lnea en todo el mundo: www.isaca.org/education

Desarrollo y actualizacin continua en el Marco de Garanta de TI (ITAF): : www.isaca.org/itaf
Proporciona estndares profesionales, directrices, herramientas y tcnicas para la auditora de SI y Profesiones
de control.
IV PERFIL DEL AUDITOR (CONOCIMIENTOS)
El Auditor Informtico ha de poseer todo tipo de conocimientos Tecnolgicos, de forma actualizada y
especializada respecto a las plataformas existentes en la organizacin como son:

Desarrollo, adquisicin, implantacin y mantenimiento de Sistemas de Informacin,

Administracin, planificacin y organizacin de las Tecnologas de Informacin,
Anlisis de riesgo en un entorno informtico,
Sistemas operativos, Telecomunicaciones, Administracin de Bases de Datos, Redes locales,
Administracin de datos, Automatizacin de oficinas (ofimtica),
Comercio electrnico,
Normas estndares para la auditora interna; etc.
 IV PERFIL DEL AUDITOR
Herramientas
Herramientas de control y verificacin de la seguridad;
Herramientas de monitoreo de actividades, etc.

Tcnicas
Tcnicas de Evaluacin de riesgos
Muestreo
Clculo pos operacin
Monitoreo de actividades
Recopilacin de grandes cantidades de informacin
Verificacin de desviaciones en el comportamiento de la data;
Anlisis e interpretacin de la evidencia, etc.
 IV PERFIL DEL AUDITOR (FUNCIONES)
Hablando de las realidad actual, podra afirmarse que las funciones del Auditor Informtico deben mantener los
objetivos de revisin que le demande la organizacin. Principalmente, como tambin lo indican Piattini y Del
Peso (2001), stas son las actividades a desarrollar por la Funcin de la Auditora Informtica:
Anlisis de la administracin de los riesgos de Informacin y de la seguridad implcita.
Anlisis de la administracin de los Sistemas de Informacin desde un enfoque de riesgo de seguridad,
administracin y efectividad de la administracin.
Anlisis de la integridad, fiabilidad y certeza de la informacin, a travs del anlisis de aplicaciones.
Auditoria del riesgo operativo de los circuitos de informacin.
Diagnostico del grado de cobertura que dan las aplicaciones a las necesidades de la empresa.
Revisin del control interno, tanto de las aplicaciones como de los Sistemas de Informacin, dispositivos
perifricos, entre otros.
MUCHAS GRACIAS