Auditora de

Sistemas de Informacin

Fernando Rodrguez Rivadulla

Colaborador de Auditora (CISA)

Serviciode
Servicio de Auditora
Auditora Interna
Interna
 ndice

Estrategia para la Auditora de Sistemas de la

Informacin
Esquema Organizativo
Auditor Informtico
Estndares y Normas Tcnicas
Planificacin de Actuaciones
Proceso de Auditoras de Sistemas de Informacin
Guin para Auditoras de Sistemas de Informacin
Informes de Auditoras de Sistemas de Informacin

Servicio de Auditora Interna

Estrategia para la Auditora de Sistemas de Informacin

Necesidad de definir una estrategia

Las TIC han acompaado la automatizacin y el crecimiento
La informacin y los recursos TIC como activos de las
organizaciones
Dependencia de las TIC

Implicacin de la Direccin
Incremento vulnerabilidad de los sistemas
Dar respuesta a la dependencia de la informacin
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados

Servicio de Auditora Interna

Estrategia para la Auditora de Sistemas de Informacin

Objetivos de las Administraciones Pblicas:

Cumplimiento de la legalidad vigente
Eficacia
Eficiencia

Auditora Sistemas de Informacin >

Supervisin de los riesgos de los sistemas de informacin
que pudieran afectar al cumplimiento de la legalidad
vigente, la eficiencia y la eficacia de los procesos
soportados por los sistemas de informacin, en especial
los de la administracin electrnica.
Servicio de Auditora Interna
Estrategia para la Auditora de Sistemas de Informacin

Servicio de Auditora Interna

Esquema Organizativo

Independencia
Autoridad

Servicio de Auditora Interna

 Esquema Organizativo

Mandato para una Auditora Interna

Servicio de Auditora Interna

 Esquema Organizativo

Mandato para una Auditora Externa

Servicio de Auditora Interna

 Esquema Organizativo

Naturaleza del trabajo de auditora de sistemas de

informacin (I)

Actuaciones de apreciacin independiente para

supervisar el control establecido

A- Actividades bsicas
Direccin o Gobierno de las TIC (Gobernanza TIC)
Supervisar el control interno TIC
Supervisar la gestin de riesgos TIC

Servicio de Auditora Interna

 Esquema Organizativo

Naturaleza del trabajo de auditora de sistemas de

informacin (II)

Proteccin de datos de carcter personal

Control de accesos
Administracin Electrnica
Equipamiento informtico
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotacin de sistemas de informacin
Contratacin bienes y servicios TIC
Tcnica de sistemas
Continuidad del servicio TIC
Acreditacin de confianza
Servicio de Auditora Interna
 Esquema Organizativo

Naturaleza del trabajo de auditora de sistemas de

informacin (III)
B- Acciones proactivas
Participacin en el ciclo de control
Asegurar existencia de controles internos razonables y adecuados
Divulgar y fomentar las buenas prcticas
Fomentar la documentacin de los sistemas y procedimientos
Asesorar en la implementacin de pistas de auditora
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestin recursos

Servicio de Auditora Interna

 Esquema Organizativo

Naturaleza del trabajo de auditora de sistemas de

informacin (IV)

C- Auditora forense
Desafo ante delitos informticos, garantizando la evidencia
digital que se presentase en un proceso judicial.
Recuperar informacin
Determinar cusa y origen de una situacin
Identificar autor(es) acciones ilcitas
Identificar uso inapropiado de los medios de la Organizacin

Servicio de Auditora Interna

 Esquema Organizativo

Naturaleza del trabajo de auditora de sistemas de

informacin (V)

D- Apoyo en auditoras externas

Supervisin de auditores externos.

E- Apoyo a otras reas de Auditora

Asistencia para la obtencin, estructuracin y anlisis de la
informacin.

Servicio de Auditora Interna

 Auditor Informtico

reas de Conocimiento (certificables)

Tcnica o metodologa de auditora informtica

Gestin, planificacin y organizacin de las TIC
Infraestructura tcnica, prcticas operativas y proteccin de
activos
Recuperacin de desastres y continuidad de la actividad
Desarrollo, adquisicin, implementacin y mantenimiento de
sistemas
Evaluacin de procesos y gestin de riesgos

Servicio de Auditora Interna

 Auditor Informtico

Otras caractersticas (no certificables)

Comprender procesos de gestin y normativa legal

Identificar problemas y plantear soluciones
Llenar vaco de comunicacin entre direccin, usuarios y
tcnicos
Saber comunicar
Negociar situaciones de conflicto
Saber cuando solicitar asistencia

Servicio de Auditora Interna

 Estndares y Normas Tcnicas
Principios
Salvar brechas entre riesgos del proceso de gestin,
necesidades de control y aspectos tcnicos
Determinar el alcance de las actuaciones e identificar los
controles mnimos
Observar e incorporar estndares y regulaciones nacionales
o internacionales

Hechos
Adecuar tcnicas auditora tradicionales a los controles de las TIC
Generar resultados homogneos
Organizar los trabajos (tipificar tareas)
Emplear distintos referentes segn tipo de auditora
Estndares basados en buenas prcticas
Servicio de Auditora Interna
 Estndares y Normas Tcnicas

1) Instrumentos de normalizacin de las

Administraciones Pblicas en Espaa

Normas de Auditora del Sector Pblico de la IGAE: No son

especficas a la auditora de sistemas de informacin
MAGERIT Versin 2: Es la metodologa de anlisis y gestin
de riesgos de los sistemas de informacin.
Modelo EFQM de Excelencia: Es una orientacin de la
Fundacin Europea para la Gestin de la Calidad que
contempla algunos criterios que hacen referencia a las TIC
Serie Seguridad de las Tecnologas de la Informacin del
Centro Criptogrfico Nacional (CCN-STIC)

Servicio de Auditora Interna

 Estndares y Normas Tcnicas

2) Instrumentos de normalizacin de las

Administraciones Pblicas en EE.UU.

Government Auditing Standars (GAGAS): Son las normas

de aplicacin para el General Accountability Office (GAO) de
EE.UU.
Federal Information System Controls Audit Manual
(FISCAM): Una gua metodolgica que aplica las normas del
GAO y del NIST.
Serie de Publicaciones Especiales SP-800 del Instituto
Nacional de Estndares y Tecnologa (NIST)

Servicio de Auditora Interna

 Estndares y Normas Tcnicas

3) Prcticas y recomendaciones de asociaciones

internacionales (I)

Normas Internacionales para el Ejercicio Profesional de la

Auditora Interna (The Institute of Internal Auditors)
Asociacin de Auditora y Control de Sistemas de
Informacin (ISACA)
Control Objetives for Information and Related
Technologies (COBIT)
IS Standars, Guidelines and Procedures for Auditing
and Control Professionals
Information Technology Infraestructure Library (ITIL)

Servicio de Auditora Interna

 Estndares y Normas Tcnicas

3) Prcticas y recomendaciones de asociaciones

internacionales (II)

Modelo de Madurez de las Capacidades Integrado para el

Desarrollo (CMMI) del Instituto de Ingeniera del Software (SEI)
Instituto SANS (SysAdmin, Audit, Network, Security)
Normalizacin internacional ISO:
Gestin de Servicios de las Tecnologas de la
Informacin (IT Service Management): ISO/IEC
20000:2005
Seguridad de la Informacin: Familia ISO/IEC 27000
Criterios comunes de evaluacin de la seguridad de las
tecnologas de la informacin ISO/IEC 15408:2005 (Common
Criteria for Information Technology Security Evaluation)
Servicio de Auditora Interna
 Planificacin de Actuaciones

Qu auditar
Cumplimiento de requerimientos legales
Sensibilidad de la organizacin a riesgos / resultado de anlisis
Resultado de auditoras anteriores
Condicionantes de la Organizacin
Cundo auditar
Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la direccin
Elaborar el documento de planificacin peridica de la unidad
de auditora
Revisin peridica del plan inicial para incorporar actuaciones
no previstas
Cmo auditar
Proceso para planificar las actuaciones individuales
Servicio de Auditora Interna
 Planificacin de Actuaciones
Anlisis de Sensibilidad de Requerimientos
riesgos la Direccin legales

Prioridades de la Plan de Actuaciones de Situaciones de riesgo

Organizacin Auditora inicialmente no previstas

Actuacin 1 Actuacin 2 .... Actuacin n

Tarea 1
Tarea 2
Tarea n

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

PLANIFICACIN DE ACTIVIDADES

Identificar la informacin a recopilar

Identificar las tareas de campo
Identificar interlocutores
Recursos necesarios/disponibles
Responsabilidades de los miembros del equipo auditora
Calendario tentativo

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Identificar el Alcance de la Actuacin

Que se quiere comprobar
Que se pretende demostrar
Que se va a informar

Obtencin de Informacin Preliminar

Actividad llevada a cabo por el rea a auditar
Esquema de control interno (polticas, normas, etc.)
Estndares de referencia
Informes anteriores
Familiarizarse con el entorno tecnolgico a auditar

Servicio de Auditora Interna

 Proceso de Auditoras de Sistemas de Informacin

Identificar Objetivos Detallados

Evaluacin preliminar para identificar objetivos de control
Identificar posibles condicionantes
Grado de extensin acorde al alcance

Auditoras de cumplimiento: Auditoras operativas:

Modelo de control de referencia Modelo de control de referencia
Existencia de controles Planificacin y gestin de controles
Adecuacin y eficacia de los controles Aseguramiento de los controles
Proporcionalidad Oportunidad de introducir cambios

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

FORMALIZACIN DEL INICIO DE LA ACTUACIN

Notificacin del responsable de la unidad de auditora al

responsable del rea a auditar
Reunin del equipo auditor con el responsable de la
unidad a auditar para comunicar:
Alcance de los trabajos
Necesidad/obligacin de colaboracin
Interlocutor del equipo auditor
Se debe tener presente no interferir con el trabajo
realizado por el rea auditada

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

TRABAJOS DE CAMPO

Tcnicas Recoleccin de Evidencias

Revisin de documentos
Entrevistas
Observacin del trabajo realizado
Pruebas y verificaciones
Uso de herramientas

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Uso de Herramientas Informticas o Tcnicas de

Auditora Asistidas por Ordenador - CAAT (I)

Obtencin de informacin de los SI

Recoleccin de evidencias de los SI
Creacin de muestras para realizar pruebas
Ventajas
Aseguran independencia en la recoleccin de datos
Disminuyen el riesgo propio del proceso de auditora
Mayor cobertura y consistencia de la pruebas

Servicio de Auditora Interna

 Proceso de Auditoras de Sistemas de Informacin

Uso de Herramientas Informticas o Tcnicas de

Auditora Asistidas por Ordenador - CAAT (II)
Caractersticas
Productos informticos ad-hoc o herramientas de los sistemas
Acceso a distintas estructuras o formatos de datos
Aplicacin de criterios de seleccin
Reorganizacin de la informacin obtenida
Funciones estadsticas y aritmticas

Precauciones
El acceso a los datos reales por los auditores debe ser siempre slo
en modo lectura
Los datos extrados deben aislarse del entorno de produccin para
evitar que las manipulaciones alteren los originales
El empleo de herramientas que puedan causar perturbaciones debe
ser limitado Servicio de Auditora Interna
 Proceso de Auditoras de Sistemas de Informacin

Uso de Herramientas Informticas o Tcnicas de

Auditora Asistidas por Ordenador - CAAT (III)

Ejemplos
Logs: contienen el registro de actividad
Utilidades de sistema: contienen los parmetros que
implementan las polticas de control
Software generalizado de auditora: acceso a archivos,
seleccin de datos, reorganizacin, etc.
Software especfico: herramientas empleadas con un
propsito concreto

Servicio de Auditora Interna

Guin para Auditoras de Sistemas de Informacin

El GUIN es la herramienta fundamental de

apoyo para el auditor que documenta el
proyecto de la auditora
Identifica que tareas se deben efectuar
durante la actuacin
Cuantifica los medios necesarios
Define la secuencia de los trabajos
Para que el equipo comprenda lo que debe
realizar y obtenga una visin del conjunto
Servicio de Auditora Interna
 Guin para Auditoras de Sistemas de Informacin

ESTRUCTURA DEL GUIN

1. Punto(s) de control
En funcin del objetivo y alcance de la actuacin se habrn
establecido objetivos de control detallados => apartados
del guin. Identifica lo que se va a supervisar del sistema de
control.
2. Directriz de auditora
Desarrollan los Puntos de control sealando las tareas a
efectuar,
efectuar antes o durante la actuacin.
Determinan los medios y tcnicas necesarios para cada punto
de control
Limitadas por el desarrollo de la funcin de auditora en la
Organizacin
Servicio de Auditora Interna
Guin para Auditoras de Sistemas de Informacin

Esquema COBIT para el guin

Secuencia de las actividades

Servicio de Auditora Interna

Informes de Auditoras de Sistemas de Informacin

Contenidos
del Informe
de Auditora

Servicio de Auditora Interna

 Informes de Auditoras de Sistemas de Informacin

Ejemplos de Informes de Auditoras Sistemas de

Informacin
Elaboracin propia
Basado en actuaciones reales
Cumplimiento de polticas e instrucciones
Georgia Department of Audits and Accounts
Informe sistema informacin para la gestin del IVA
Informe de seguimiento
National Audit Office
Informe de calidad de la informacin Impuesto Renta
Progreso en informacin y servicios on-line
Goverment Accountabillity Office
Uso de datos adquiridos
Desafo en el uso del correo electrnico
Servicio de Auditora Interna
Fernando Rodrguez Rivadulla
frrivadulla@correo.aeat.es

www.agenciatributaria.es
Servicio de Auditora Interna