ORGANIZACIÓN DEL

DEPARTAMENTO DE
AUDITORÍA INFORMÁTICA
Organización del Departamento de Auditoría 1
Informática
 Antecedentes
Auditoría “alrededor del ordenador”
 Auditor verificaba los documentos de entrada al
ordenador y los informes producidos, sin entender lo que
pasaba dentro del ordenador
 Auditor verificaba la seguridad física (incendios, copias
de seguridad, etc.)
 Auditor financiero
Auditoría “a través del ordenador”
 Auditor financiero utiliza el ordenador como medio para
acceder a los datos (a través de paquetes)
Auditoría “con el ordenador”
 Utilizando sus posibilidades, utilidades, etc.
 Control Interno
Controla que todas las actividades de S.I. sean realizadas
cumpliendo los procedimientos, normas y estándares fijados por
la Dirección
Comprende el plan de organización y coordinación de los métodos
y las medidas adoptadas dentro de una empresa:
 Salvaguardar los activos (Hw, Sw, personas, suministros,
etc.)
 Verificar la exactitud y fiabilidad de sus datos
 Promover la efectividad operativa
 Fomentar el seguimiento de las normas y políticas
establecidas
Es rutinario
Abarca todos los métodos y medidas diseñados para asegurar que
se cumplen
 Elementos del Control Interno
Ambiente de control
 Integridad, Ética y Capacidad del personal de la empresa
 Factores de Evaluación
 Existencia e Implantación de Códigos de Conducta
 Presión para cumplir metas de eficacia poco realistas
 Descripción de los Puestos de Trabajo
 Análisis de conocimientos y Habilidades que se requieren
 Participación de la Alta Dirección
 Responsabilidad de los empleados
Evaluación del Riesgo (progresos tecnológicos,
cambios en el entorno operativo, nuevo personal,
etc.)
 Actividades de Control (preventivos, correctivos, etc.)
Información y Comunicación de la Información
Supervisión de los controles internos para asegurarse
que el proceso funciona según lo previsto
 Auditoría Interna
No puede tomar parte en funciones de tipo operativo
Control de los controles
 Evaluar la adecuación, grado de efectividad y eficiencia del
sistema de control interno de una empresa
Ayudar a la Dirección en el cumplimiento de sus responsabilidades
y contribuir a que se logren en cada área resultados óptimos
 Prestar un servicio de asistencia y de crítica constructiva
Funciones principales con respecto al control interno
 Determinar si los Controles Internos proporcionan la
protección necesaria, así como la máxima eficacia operativa
 Comprobar si los procedimientos operativos y métodos se
utilizan tal y como está establecido en las normas de la
empresa
 Auditoría Interna no es:
Sitio de “retiro” para directivo en desgracia u obsoletos
Centro de inquisidores (auditoría policíaca)
Agrupación de “delatores”
Proveedor de “mano de obra”, para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones, obtenidas a través de la actividad
auditora
Auxiliar de la auditoría externa o un enemigo permanente de ésta
Un “apaga fuegos” para toda situación de emergencia
Un lugar de resentidos y descontentos, que se creen los más
capacitados y todo lo enjuician negativamente
Un departamento sin categoría ni prestigio en la empresa
 Auditoría Externa
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoría interna:
 Sujeto
 Profesional independiente / Empleado de la empresa
 Objeto
 Opinión independiente / Control y sugerencias de mejora
 Informe
 Dictamen / Sólo recomendaciones internas
 Responsabilidad
 Civil e incluso penal / Laboral
 Continuidad
 Periódica / Continua
 Auditor
Informático
Es más fácil que un informático adquiera los
principios del control, de la auditoría y de la
seguridad, que un auditor financiero llegue a
adquirir el nivel técnico informático necesario
En las grandes empresas, cada día existe más
la tendencia de contar con especialistas en
áreas de la auditoría informática
Para los auditores no informáticos puede ser
frustrante auditar un entorno informático,
debido p.e. a que jerga propia de cada
empresa, de cada proyecto
 Auditor Informático
Estándares relativos al mantenimiento de la profesionalidad en la
relación de auditorías
 El auditor participará activamente en la revisión del diseño y
desarrollo de nuevas aplicaciones informáticas
 El auditor revisará los controles generales en los sistemas
informáticos, para determinar que se diseñado de acuerdo
con las normas internas en vigor y los requerimientos
legales aplicables
 El auditor revisar los controles de las aplicaciones
informáticas instaladas para evaluar su fiabilidad
procesando datos a tiempo, de forma exacta y completa
Los auditores informáticos creados a partir de no-informáticos
mediante cursos, necesitarán una actualización de sus
conocimientos a medida que van surgiendo nuevas facetas de
TI
Qué es la Auditoría Informática
A.I. es la revisión de la propia informática y de su entorno.
Actividades que comprende:
 Análisis de riesgos: prevención y detección de fraudes informáticos
y virus entre otras cosas
 Plan de contingencia, ante una situación prevista
 Participación de desarrollo de aplicaciones: auditoría preventiva
 Asesoramiento, para la instalación de paquetes de seguridad
 Revisión de controles y cumplimiento de los mismos, así como de
las normas legales aplicables
 Evaluación de la gestión de recursos informáticos, así como
existencia de políticas y estándares
 Apoyo técnico e informático en auditorías generales
Entorno informático comprende:
 Todas o algunas de sus áreas (equipos, S.O., desarrollo, etc.)
 Los estándares y procedimientos en vigor
 El grado de satisfacción de los usuarios y directivos
 Los controles existentes
 Qué no es la Auditoría Informática
Confusión con auditoría de cuentas con ayuda
del ordenador
 Objeto a examinar: balances, estados de
cuentas, etc.
 Herramienta: el ordenador
Asociación de la auditoría informática con PCs,
confundiendo la herramienta con el objetivo
principal de la auditoría informática
 Auditoría informática la que realiza un auditor
financiero que se ayuda de un ordenador para
escribir su informe
 Perfiles Profesionales de la Función
de A. Informática
Responsabilidades
 Auditar aplicaciones financieras y seguridad física
 Ofrecer soporte con limitaciones a los auditores financieros y externos
Persona con alto grado de calificación técnica y al mismo tiempo estar
integrados en las corrientes organizativas empresariales
Perfil
 Formación básica con una mezcla de conocimientos de auditoría
financiera y de informática en general (p.e. Desarrollo de aplicaciones,
gestión de proyectos, BD, S.O., redes, etc.)
 Especialización en función del entorno empresarial
 Gestión del Cambio
 Calidad Total, que hará que su trabajo sea reconocido como un
elemento valioso dentro de la empresa y que los resultados sean
aceptados en su totalidad
 Dimensiones del Trabajo del
Auditor Informático - 1
Revisión de Controles de las Aplicaciones (19%)
 Determinar que los sistemas producen la información a
tiempo, exacta y completa
Revisión de Integridad de Datos (13%)
 Compleción, consistencia y exactitud
Revisión de C.V. de Desarrollo (5%)
 Determinar la adherencia a los estándares de CV de
desarrollo aceptados
Revisión de Controles Generales de los Procedimientos
Operacionales (12%)
 Determinar que las aplicaciones se procesan en un entorno
controlado
Revisión de Seguridad (14%)
 Asegurar la protección adecuada de los programas, de los
datos y de la instalación de procesamiento de datos
 Dimensiones del Trabajo del
Auditor Informático - 2
Revisión Software de los Sistemas (5%)
 Determinar el cumplimiento con las políticas de la organización
Revisión de Mantenimiento (6%)
 Determinar que los sistemas se han modificado de acuerdo con las
políticas de la organización
Revisión de Adquisición (3%)
 Determinar que los recursos de la organización se están utilizando
de forma económica
Revisión de la Gestión de Recursos del Procesamiento de Datos
(5%)
 Determinar su adecuación en el cumplimiento de los objetivos
organizativos
Gestión de Auditoría Informática (9%)
 Utilizar de forma efectiva los recursos disponibles de la función de
la auditoría informática y para cumplir el requisito de auditoría
informática de la organización
 Organización de la Función de
Auditoría Informática
Auditor informático es auditor y consultor de la
empresa en materia de
 Seguridad, Control interno operativo,
Eficiencia y eficacia, Tecnología informática,
Gestión de riesgos, etc.
La concepción típica de la función de Auditoría
Informática es dentro de la función de
Auditoría Interna
 Nacimiento histórico de la auditoría
informática
 Dificultad de separar el elemento informático
de la auditoría operativa y financiera
Principios de la Función de
Auditoría Informática
Localización ligada a la de auditoría interna, con
independencia de objetivos, de planes de formación
y de presupuestos
Grupo independiente del de auditoría interna, con total
accesibilidad a los sistemas informáticos
Dependencia del máximo responsable operativo de la
organización
Recursos humanos mezcla equilibrada entre personas
con formación en auditoría y organización, y
personas con perfil informático
Personal con titulación CISA
El tamaño sólo se puede precisar en función de los
objetivos de la función.
Organización Interna
 Jefe Del departamento:
 Desarrolla el plan operativo del departamento,
las descripciones de puestos de trabajo, las
planificaciones de actuación a un año, los
métodos de gestión del cambio en su función
y los programas de formación
individualizados, gestiona los programas de
trabajo, los cambios en los métodos de
trabajo, evalúa la capacidad de las personas a
su cargo.
Organización Interna (II)
 Gerente o supervisor de auditoría informática:
 Trabaja estrechamente con el Jefe de departamento
en las tareas operativas diarias.
 Ayuda en la evaluación del riesgo de cada uno de los
trabajos, realiza programas de trabajo, dirige y
supervisa directamente a las personas en cada de los
trabajos de los que es responsable.
 Realiza formación sobre el trabajo
 Apoya la jefatura de la obtención del mejor resultado ,
entroncando los conceptos de valor añadido y gestión
del cambio.
 Es el que más vende la función con el auditado.
Organización Interna (III)
 Auditor Informático:
 Son responsables de la ejecución directa del
trabajo.
 Deben tener una especialización genérica,
pero también una específica.
 Debe obtener la información , realzar las
pruebas, documentación del trabajo,
evaluación y diagnóstico de resultados
Para la proxima clase (1pagina)
Definir:
 COBIT, ISO, ISACA, COSO
Pregunta:
- Cuales son los beneficios del estos web
sites? Porque debo conocerlos?
 http://www.isaca.org
 www.auditoriadesistemas.com

SIS-303 - IG