Unidad 1 y 2

V
Capitulo 1
CONTROL INTERNO Y AUDITORIA DE

SISTEMAS DE INFORMACION
Gloria Sinchez Valriberas
1.1 INTRODUCCION
deberia
La
information
ser
protegido,
que
ya
es
tratada
que
la
en
misma
una
es
organization
la
base
de
es
un
recurso
la
mayoria
de
la
information
critico
que
las
decislones
es
exacta
que son adoptadas a lo largo del tiempo.

Para
completa,
de
controles
exigencias
sislemas
lener
estar
una
seguridad
disponible
intemos
legales
materias
de
razonable
se
infonnaticos
en
automaticos
cuando
sobre
necesita
es
necesario
de
Derecho
procesamiento
de
la
si
ser
confidential,
ademas
ayudan
la
cumplir
Informatico
informacion
fiincionan
implementation
asegurar
de
con
que
acuerdo
las
los
a
lo que se espera de ellos.

Los
esc&ndaios
contables
aumento
en
la
(publicas
privadas)
por
(por
ejemplo,
al
Tespecto
necesidades
organizaciones
durante
los
de
o
sensibilizacion,
el
la
busqueda
afios
principios
de
control
la
transparencia
ultimos
de
tanto
de
control intemo en las organizaciones. '
la
la
de
decada
como
La
existencia
Oxley
Act,
gestion
eficiencia
catalizadores
la
reguladores
intemo.
Saibannes
en
como
los
como
en
para
los
la
de
el
un
provocado
las
una
activo
de
nueva
normativa
COSO...),
mas
intemos
los
un
organizaciones
informe
procesos
mejora
ban
de
ban
de
las
las
actuado
mecanismos
de
4 AL'DtTQRiA D TECNQLOOiAS Y SISTF.MAS DE iNFQRMACiON

RA-MA
CAPiTCLO I. CONTROL INTERNO Y AUD1TORIA DE SiSTEMAS DE MFORMACION 5

c
RA - MA
Entramos asi en una fase de tnadurez tie las organrzacicnes, en las que la
mejora de la eficiencia y el control de sus actividades cotnlenzan a ser una de ias
necesidades basicas.
la
La
creciente
dependencia
de
las
organizaciones
sus
procesos
de
de
lo
anterior,
el
aumento
la
cornplejidad
de
Los
(tanto
los
Ei exito de las estrategias de extemalizacidn de la gestidn de los

sistemas de mformacion, coil los que la dependencia de los sistemas de
informacidn
se
refuerza
con
la
dependencia
de
uno
o
varios
proveedores de servicio.
La globalization.
La gestion de la calidad total (TQM- Total Quality Management).

Prueba
sistemas
de
normativa
la
mayor
informacion
europea
sus
cuatro
de
informacidn
Sistema
de
de
dia
autosizacidn
crjterios
como
Integrado
gana
de
grandes
importancia
de
dia
de
soporte
a
de
todos
la
el
control
es
el
hecho
organismos
autorizacion,
Gestion
que
sus
el
procesos
Seguridad
de
ei
(SGSI),
que
la
que,
gestion
por
dcline,
fomemo
del
del
no
de
Asi
mismo
se
incorpora
iniciaimente
como
apoyo
las
a
ejemplo,
como
uso
de
uno
los
mas
que
la
de
sistemas
establecimiento
es
ha
sido
Ciencia
conocida
la
la
por
la
Sociedad
Tecnologia,
como
LORTAD,
Informacion
eiaborada
para
de
en
de
Secretaria
de
la
de
Estado
Informacion
cumplimiento
de
la
Comercio
lo
del
dispuesto
sistemas
(B2B),
como
mejora
de
de
los
abierto
comercio
orientada
procesos
la
de
puerta
eiectrdnieo,
clientes
finales
comerciahzacion
nuevos
riesgos
tanto
entre
(B2Q,
que
de
productos
derivados
organizaciones
han
impulsado
pero
de
la
la
!a
vez
necesidad
de
aumento
de
la
cornplejidad
de
los
sistemas
de
informacion
la
1.2 LAS FUNCIONES 0E CONTROL INTERNO Y

AUOITORiA INFORMATICOS
de
el
un
EI
la
auditona
financiera
luncion
y
de
auditona
surgen nuevas funciones en cuyos principals impulsores, podemos encontrar:
de
procedimientos,
Interno
sistemas
estandares
Informatico
de
controla
informacidn
normas
fijados
diariamente
sean
por
la
que
realizadas
todas
cumpliendo
Direction
de
la
las
los
Organization
y/o la Direccidn de Informatica, asi como los requerimientos legales.
reflejo
posteriormente,
Control
actividades
La
medidas
Organizaciones
la
de
Datos
dependencia de las organizaciones respecto a los mismos.
los
del aumento del nivel de control sobre los Sistemas de Informacion.
infocmatici
que
de
Sociedad
1.2.1 Control Interno Informatico *
sobre
pagadores
del
(LSS1),
la
"abrir" los sistemas de informacion de las organizaciones a terceros.
mismos,
con entomos heterogeneos y abteuos, a la vez que integrados.
Proteccion
de
Telecomunicaciones
han
de
de
en el articulo 33 de la citada Ley.
Derivado
Ley
Servicios
Ministerio
intemos como externos) respecto a sus sistemas de informacion.
de
Electromco
Dentro de las diferentes actividades que componen la estrategia de control

interno de las organizaciones, ei control sobre la gestion de los sistemas de
informacion dia a dia adquiere una mayor relevancia. Para ello podemos encontrar,
de rnanera inmediata, algunas razones:
anterior
Ley
que
mision
se
del
obtienen
Control
Interno
de
mecartismos
los
Informatico
es
implantados
asegurarse
por
cada
staff
de
personas
de
que
responsable
las
sean
correctas y vdlidas.
Control
Departamento
de
Interno
Informitico
Informatics
suele
esta
ser
dotado
un
drgano
de
las
la
Direccion
rnedios
de!
materiales
proportionados a los cometidos que se le encomienden.

Como principals objetivos podemos indicar los siguientes:
*
Controlar
que
procedimientos
*
Los
reguladores,
apiicable
sobre
procesos
de
de
Proteccion
pendiente
de
los
gestion.
de
que
empezaron
Sistemas
Los
Datos
desarrollo,
de
generar
mformacion
ejemplos
m&s
(LOPD
estando
en
de
las
conocidos
adelante
subsistente
el
normativa
espectfica
organizaciones
son
la
en
este
Reglamento
de Seguridad recogido en el Real Decreto 994/1999, que desarrollaba
Ley
todas
y
normas
las
actividades
fijados,
cumplimiento de ias normas legales.
sus
Organica
documento),
de
Medidas
Asesorar sobre el conocimiento de las normas.
evaluar
se
realizan
su
bondad
cumpliendo
y
asegurarse
los
de!
6 AUDHORIA PE
TECNOLOGIAS Y SISTEMAS DE INFORMACION
Coiaborar y apoyar el trabajo

auditorias extemas al Grupo.
Definir,
el
implantar
logro
debe
de
Auditona
mecanismos
los
grados
adecuados
como
que
la
en
responsable
objetivos
de
la
asi
controles
servicio
como
logro
de
recursos
de
de
Control
es
para
informatico,
implantacion
del
funcion
y
del
la
responsabilidad
exclusivamente
Informatica,
de
Licencias y relaciones contractual con terceros.
las
Asesorar y transmitir cultura sobre el riesgo informatico.
ejecutar
considerarse
medida
de
RA-MA CAPlTULO I. CONTROL INTERNO V AUD'TORIA DE SISTEMAS DE INFORMACION 7
RA-MA
los
esos
cual
no
mecanismos
lo
de
niveles
Interno,
responsable
comprobar
se
sino
de
esos
1.2.2 Auditona Informatica

La
ubique
que
cada
niveles,
asl
evi'dencias
mantiene
la
informatica
locales,
PC,
en
etc.)
los
y
diferentes
entornos
sistemas
informaticos
(cenTrales,
(produccion,
departamentales,
desarrollo
redes
pruebas)
Informatica
determinar
integridad
organizacion
como de la implantacion de los medios de medida adecuados.

Realizar
Auditona
parar
de
utiliza
sustenta
es
si
el
un
los
datos,
confirma
la
los
de
recoger,
informatizado
lleva
eficientemente
proceso
sistema
cabo
eficazmente
recursos.
consecucion
de
agrupar
salvaguarda
De
los
este
los
evaluar
activos,
fines
modo
objetivos
y
los
la
de
la
auditona
tradicionales
de
la
auditona:
el
Objetivos de proteccion de activos e integridad de datos.
control de las diferentes actividades operativas sobre:
F.i
cumplimiento
de
procedimientos,
norm
as
controles
Objetivos de gestion que abarcan, no solaroente los de proteccion de
dictados.
activos, sino tambien los de eficaciay eficiencia.
Merece resaltarse la vigilancia sobre el control de cambios y versiones

El
controles
tecnicas
casos,
auditor
y
evalua
procedimientos
mecanizadas
ya
no
de
es
comprueba
auditona,
posible
que
auditona y otras tecnicas por ordenador.
Controles
sobre
la
calidad
eficiencia
del
desarrollo
mantenimiento
El
del software y del servicio informatico.
Organizacion
Controles en las redes de comunicaciones.
seguridad
control
intemo
informatica
o
bien
es
sobre
el
clasifican
el
uso
del
manualmente
los
procedimientos
datos,
por
de
revisar
responsable
diseno
el
de!
lo
que
se
de
software.
debera
informar
funcionamiento
tiempo
desarrollando
los
En
la
muchos
informatizados
emplear
software
Direccion
controles
los
aplicando
de
de
la
irnpiantados
Se
pueden
establecer
tres
grupos
de
funciones
realizar
por
un
auditor
informatico:
Controles en los sistemas microinformaticos.
La
auditor
momentos
compiejos,
sobre la fiabilidad de la informacion suministrada.
Controles sobre el software de base. .
calculan
determinados
mas
incluyendo
veriftcar
Controles sobre la produccidn diaria.
resumen,
en
informativos
(su
puede
responsabilidad
puede
asignarsele
responsabilidad
la
dual de la misma cuando esta encargada a otro organo):

o Usuarios, responsables y per files de uso de archivos y bases de
datos.
o Normas de seguridad.
o Control de informacion clasificada.
o Control dual de la seguridad informatica.
estar
asignada
de
Participar
en
las
implantacion
revisiones
explotacion
durante
de
despues
aplicaciones
del
diseno,
informativas,
realizacidn,
asi
como
en
las fases andlogas de realizacidn de cambios importantes.
control
Revisar
para
yjuzgar
verificar
Direccion,
los
su
controles
adecuacion
requisitos
legales,
cobertura ante errores y ftaudes.
irnpiantados
a
las
en
ordenes
proteccion
los
e
de
sistemas
informativos
instrucciones
de
confidencialidad
la
y
8 AUBITORjA
DE
TECNOLOGtAS
StSTEMAS
DE
INFORM AUON RA-MA
CAPiTU'LO I. CONTROL INTERNO Y AUDiTORiA DE SISTEMAS DE INFORMAC1QN9
S RA-MA
1.3 SlSTEMA 0E CONTROL INTERNO INFORMATICO
Revisar y juzgar el nivel de efieacia, utilidad, fiabilidad y seguridad de

los equipos e information.
1.3.1 Defmicion y tipos de controles internos

1.2.3 Control interne y auditoria informaticos: carapos
analogos
La
decada.
los
Muchos
actuales
seguridad
auditores
los
evolution
de
controles
responsables
informatica
se
objetivos
pasan
ambas
internos
de
tras
al
profesionales
fueron
Control
su
campo
funciones
de
de
paso
una
sido
vez
Interno
por
Control
control
ha
espectacuiar
auditores.
Informdtico
la
Interno
Se
De
durante
hecho,
recibieron
formacidn
en
In^rmatico
debido
auditoria,
campos
puede
manual
la
muchos
de
formation
en
auditoria.
a
Ja
analogos
ultima
el
control
interno
como
jsara
"cualquier
prevenir,
actividad
action
errores
corregir
afectarTTfuncionarniento de urTsTsterna para conseguir
Numerosos
similitud
que
Los controles cuando se diseften, desarrollen e implanten Kan de sef~aH
de
propician
menos completes, simples, fiables, revisables, adecuados y rentables. Respecto a

esto ultimo habra que nnalizac el coste-riesgo de su implantation.
una transition natural.
Los
Aunque
ambas
figuras
conviene matizar (vease figura 1.1).
tienen
objetivos
eomunes,
existen
diferencias
que
controles
evolucionando
hoy
complejos.
Los
software
han
empleaban
internos
en
dia
progresos
que
en
producen
eri
manera
significative
para
que
controlar
los
el
se
de
tradicionalmente
utilizan
medida
qqe
modificado
se
entorno
sistemas
la
tecnologta
los
informatico
informaticos
de
los
soportes
continuan
se
procedimientos
procesos
de
vuelven
flsicos
que
aplicaciones
de
se
para
gestionar los sistemas de informacidn.
IT'- ri'f
..
SIMILITUDES
defmir
automaticamente
y/o
Personal intemo. .
Conocimientos especializados en Tecnologia de la Information.
Verification del cuinplimiftnto de controles internos, normativa y
procedimientos establecidos por la Direction de Informatica y la
Direction General para los sistemas de information.
Para
asegurar
la
integridad,
requieren*^cOrnpiejos
mecanismo.s
automaticos.
interesante
Resulfa
servidor/cliente
automaticos,
son
control,
observar,
avanzados,
otros
disponibilidad
de
aunque
completamente
la
sin
efieacia
de
mayoria
embargo,
que
algunos
controles
manuales,
los
de
los
hasta
en
son
muchos
sistemas
cuales
los
se
son
sistemas
completamente
dependen
de
una
se
ban
combination de eiementos de software y de procedimientos

Hisldricamente,
los
objetivos
de
los
controles
informaticos
clasificados en las siguiemes categorias:
Controles preventives: para tratar de evitar e! hecho, como un software
DIFERENCIAS
Analisis de los controles en e! dia a

dia.
Infomia a la Direction del
Depanamento de informdtica.
S61o personal interno. .
El alcance de sus funciones es
linicamente sobre el Departamento
de Informatica.
Analisis de un memento
informitico determinado.
fnforma a la Direction
General de la Organization.
Personal interno y/o extemo.
Tiene cobertura sobre todos
1 los componentes de los
sistemas de information de la
Organizacidn.
de seguridad que impida los accesos no autorizados al sistema.
Controles
detectives:
conocer
cuanto
accesos
no
antes
cuando
el
autorizados,
fallan
eyersto.
el
los
Por
registro
preventivos
ejemplo,
de
la
el
actividad
de
diaria
tratar
de
interims
de
para
detectar
errores u omisiones, etc.
Controles
correctivos:
facilitan
la
vuelta
la
normaJidad
producido incidencias. Por ejemplo, la recuperacidn de un fichero

danado apartir de las copias de seguridad.
Figura 1,! Similitudes y diferencias. entre control interno y auditoria informaticos
para
registro
cuando
se
han
10 AUDiTOR'A DE TbCNOLOGIAS Y SISTEMAS DE fNFORMACiON
Como
resulta
el
importante
objetivos
hecho
de
control
de
que,
umvocamente
datos
concepto
conocer
se
con
de
la
ios
controles
relation
objetivos
bistdricamente,
un
objetivo
conseguia
de
se
que
origino
existe
en
entre
auditoria.
cada
metodo
de
(por
ejemplo,
la
la
de
manteniendo
Se
la
profesion
los
de
control
sencillamenie
RA-MA
trata
metodos
de
un
control
sala
de
de
tema
ha
auditoria,
control,
diftcil
de
los
por
estado
seguridad
el
Para
los_detalles
de
cerrada
embargo,
complcjos,
procesos
medida
los
controles
integrados
en
que
los
sistemas
informaticos
los
que
se
han
informaticos
evolucionado
atenuan
las
se
han
hasta
diferencias
vuelto
mas
convertirse
en
entre
Por
del
ejemplo,
entre
software
del
en
los
las
sistema,
de
los
porque
sistemas
intorrriaticos
programas,
el
mismo
puede
de
los
datos
grupo
de
mdtodos
de
configuration
como
los
esquema
de
del
sistema
es
distintoT"niveles~dc
necesario
cbntroP
documentar
elementos
acceso
de
las
los
apiicaciones
la
comunicaciones,
descripcion
del
telecomunicaciones,
ordenadores
criticas
red,
descripcion
de
control
entomos
consideraciones
de
la
software
de
de
relativas
base
la
configuracion
que
se
utiliza
red,
situation
que
soportan
seguridad
de
la
red.
categorias
resultar
dificil
objetivos
de
general
actuates
seguridad
la
as!
red:
hardware
tradicionales de controles informaticos. *
difercncia
conocer
red,
de
Entorno
con
como
Sin
la
relationados: * .....
Have).
la
llegar
de
asociado
ficheros
ordenadores
CAPITULQ 1 CONTROL INTERNO Y AUDITORIA DE SISTEMAS DE INFORMACiON I i
RA-MA
de
control
ver
Configuracion
del
.entornb"
del
base:
ordenador
sistemtf'
'Speiat
configuracion
vo,
software
del
con
soporte
fisico,
particiones,
entornos
(pruebas y real), bibliotecas de programas y conjunto de datos.
control
satisfece
Entorno de aplicacicneh procesos de transacciones, sistemas de
casi totalmente los tres objetivos de control <
gestion debases de datos y entomos de procesos distribuidos.

" -v
La
control
relation
puede
conjunto
de
que
existe
demostrar
metodos
entre
mediante
de
control
los
ei
se
metodos
siguiente
utiliza
paxa
de
control
los
el
que
un
de
control
ejemplo,
en
satisfacer
objetivos
objetivos
de
mismo
Objetivo
de
Control
modificaciones
de
asegurar
mantenimiento:
los
procedimientos
que
Objetivo
de
pueden
Control
efectuar
de
seguridad
cambios
de
no
programados
en
los
que
no
se
procedimientos
de
los
controles
elementos
pueden
de
la
interdependientes.
impiantarse
Tecnologia
de
Por
es
ellc
configuracibn
del
sistema,
con
el
herramientas
que
existen
para
saber
como para identificar posibles riesgos.
objeto
varies
la
niveles
Informaci6n
importante
de
donde
Uegar
identificar
pueden
los
La
analizar
conocer
elementos,
impiantarse
de
programas,
del
acceso,
base:
ordenador
registro
identificar
information,
verificar
integridad
del
usuarios,
sistema,
control
controles
de
la
implantation
de
un
sistema
de
controles
internos
informaticos
habra
que definir;
diferentes.
exige
desarrollo
Gestion
de
tecnicas
que
sistemas
sirvan
de
de
pollticas,
informacion:
base
para
el
diseno
pautas
la
implantation
normas
de
los
sistemas de information y de los controles correspondientes.
1.3.2 Implantacion de un sistema de controles internos

informaticos
controles
para
supervisibn, etc.
estan
programados.
Los
Seguridad
de
Para
garantizar
programas:
autorizados
las
adecuadamente diseftadas, probadas, aprobadas e implantadas.
software
hjizxamiimfas:
software de gestion de bibliotecas y para operaciones automatical
de
Productos
tanto
de mantenimiento como de seguridad de los programas:
los
de
evaluation
productos
controles,
la
y
asi
datos
de
y
sistemas:
otras
controles
funciones
sobre
de
la
apoyo
actividad
al
sistema,
de
los
centres
incluyendo
la
administration de las redes.
diversos
bien
Administracion
Seguridad:
incluye
implantados
en
las
el
tres
software
ciases
del
de
controles
sistema:
integridad
confidencialidad (control de acceso) y disponibilidad.
fundamentales
dei
sistema,
RA-MA
(2 AUDfTQRJA DE TECNOLOC1AS V SISTEMAS DE INFORMACION
Gestion
de
del
separacion
cambio:
software
controies
de
las
de
pruebas
procedimientos
3a
para
production
la
migration
CAPiTtil.O I. CONTROL INTERNO Y AL'DlTORlA DE SISTEMAS DE INFORMACION 13
RA-MA
nivel
metodologia y normas, aplicables a todas las areas de Informatica asi
de
como a los usuarios, que establezcan ei marco de funcionamiento.
prograrnas software aprobados y probados.
Control
interno
periodicos
ha
Informatico:
realizar
en
cada
de
definir
una
de
las
los
diferentes
funciones
condoles
informaticas,
de
acuerdo al nivel de riesgo de cada una de ellas, y disenarlos conforme a

ios
objetiyos
plasmaran
de
en
ser
preventives
los
controies
de
las
negocio
los
dentro
de
crea
detection.
constantemente
de
la
del
marco
procedimientos
estabiecidos
desviaciones
cambios
oportunos
Realizara
Direccion
interno
organization
controies,
de
la
y
asi
Estos
y
de
informando
sugiriendo
como
Informatica
se
podran
revision
Informatico
Informatica
en
!a
aplicable.
Interno
de
los
legal
control
periodicamente
Control
convenientes
toda
de
cuantos
transmitira
la
cuitura
politicas del riesgo informatico. (Vease figure 1.3).
DIRECCION
POLITICAS
exigencias
internas y
DIRECTRICES
i.ROiJricAi
extemas
\OJLTUR/t,
La
sea
implantation
realizada
por
de
fases
una
(vease
poiitica
en la
cultura
figura
sobre
ia
seguridad
1.2) y est respaldada
requiere
por la
que
Direction.
Cada funcidnjuega un papel importance en las distintas etapas:
Direccion
de
han
definir
de
information
Negocio
en
la
base
Direccion
poiitica
a
las
y/o
de
Stitemas
directrices
exigencies
del
de
para
negocio,
Informacion
los
(SI):
sistemas
de
podran
ser
que
intemas o extemas,
Direccion
del
de
entomo
ha
Information:
informatico
de
de
cada
definir
una
las
de
normas
las
de
funciones
mediante la creation y publication de procedimientos, estandares,
funcionaimento
de
Informatica
Figaro 1.3. Funcionamiento del control interno informatico
Auditor
intemo/externo
controies
intemos
y
de
el
cumpiimiento
riesgo,
Negocio
de
conforme
la
informatico:
definidos
en
normativa
a
Direccion
ha
de
una
de
cada
interna
los
objetivos
de
Informatica.
revisar
las
externa,
definidos
Informant
los
funciones
de
por
de los heciios observados y al deteetarse deficiencias o ausencias de
diferentes
informaticas
acuerdo
la
la
al
Direccion
Aha
nivel
de
Direccion
14 AliDITORiA PS TECNOLOQiAS Y SlSTEMAS D fNFQRMAClON
C RA-MA
controles recomendaran acciones que minimicen Jos riesgos que

pueden originarse.
La
creation
de
un
sistema
de
control
informatico
es
continuation
deberian
definirse)
foncionales,
se
indican
para
que
algurios
controles
de
information,
sistemas
serian
los
que
Control
una
responsabilidad
intcmos
(no
todos
Jo
por
secciones
Auditoria
agrupados
Interno
Informatico
Organizar
Plan
Estrategico
Alta
de
de
forma
relaciones
las
entre
responsabilidades
de
Departamento
de
el
Departamento
de
de
estructura
Informatica
en
organizativa
un
nivel
como
suficientemente
para
asegurar
su
Description
de
las
funciones
dentro
del
responsabilidades
Departamento con una tiara separation de las rnismas.
base
para
la
planificaciori,
control
de las actividades del Departamento
y
de
Politicas
de
personal:
selection,
plan
de
formation,
plan
de
vacaciones
y evaluacion y promotion.
se
informacion
realizado
Informacion,
Direcci6n_.de
corporativos
la
Empresa
considers
asi
como
el
las
don.de
uso
de
amenazas
por
se
las
los
drganos
definen
los
Asegurar
diversas
de
que
Asegurar
procesos
para
tecnologias
la
Direccion
revisa
todos
los
informes
de
control
oportunidades
de
que
saber
Plan
realizado
Informatico,
necesidades
determina
de
la
los
por
eaminos
Empresa
el
Departamento
precisos
para
plasmandolas
cubrir
en
politics
la
de
clasificacidn
Organization
que
la
information
de
personas
estdn
autorizadas
Designer
oficialmente
de
la
Informatica
figura
(estas
de
dos
Control
figuras
Intemo
se
Informatico
nombraran
de
intemamente
en
base al tamaflo del Departamento de Informatica).
las
proyectos
informaticos.
Plan General de
confidencialidad,
information.
una
de
su
Auditoria
Informatica,
existe
dentro
a que informacion.
uso o de su ausencia.
la
las
resuelve las excepciones que oeurran.
la
describan
regular
independencia de los departamentos usuarios.
Planificacion:
o
ei
superior
que
3. Controles generates orgaoizativos a

Poiiticas:
deberan
servir
de
evaluation por la Direccion
Informatica.
que
para
Informatica y los departamentos usuarios.
de
Informatica deberian verifrcar para determinar su cumpHmiento y \aiidez:
Procedimientos.
ejecutoria
la Gerericia y un punto destacabie de la politica en e! entorno informatico.

A
CAP1TUL0 I. CONTROL. tNTERNO Y AUDlTORiA PE SISTEMAS DE INFORMACtON 15
RA - MA
2.
Controles
de
desarrollo,
adquisicion
mantenimiento
de
sistemas
de
informacidn
Seguridad (fisica
integridad
y
logica), que
disponibilidad
garantice
de
ia
la
Para
integridad
de
que
permitan
los
datos,
alcanzar
la
protection
eficacia
de
los
de
vida
del
recursos
sistema,
y
economia
cumplimiento
con
efitiencia,
ias
leyes
reguiaciones:
Plan
de
emergencia
ante
desastres,
disponibilidad de los sistemas ante eventos.
que
garantice
ia
Metodologia
podra
del
ciclo
garantizar
definidos
para
a
el
ia
alta
sistema.
del
desarrollo
Direccion
que
Estos
son
algunos
de
se
sistemas:
alcanzaran
controles
que
normativa
sobre
su
los
empleo
objetivos
deben
existir
en la metodologia:
o
La
alta
Direccion
metodologia
de
debe
ciclo
revisar esta periodicamente.

Estandares: que regulen la adquisicibn de recursos, el disefto,
desarrollo y modification y explotacion de sistemas.
publicar
de
vida
una
del
desarrollo
de
uso
de
sistemas
ei
16 AUDITORiA DE TECNOLQCUAS Y SISTEMAS DE INFQRMACION
La
metodologia
responsabiiidades
Informatica
debe
de
de
RA-MA
las
los
estabiecer
distintas
usuarios,
las
areas
asi
del
papeles
Departamento
como
la
RA-MA CAPlTUlO I. CONTROL IN"I HRNO V AUDiTORiA DE SISTEMAS OE INFQRMACION 17
de
composition
contenido
responsabiiidades del equipo del proyectD.

o
director
seleccione
del
una
proyecto.
alternativa
En
dicho
debe
plan
realizarse
debera
Procedimientos
especificaciones
de
proeesos,
para
de:
el
plan
existir
una
de
sistemas
solo
sera
Sistema
de
contabilidad
Procedimientos
para
realizar
Planification
del
Gestion
Departamento,
Plan
de
recursos:
adquisicion
definition
de
entrada,
y
de
documentation
salida,
de
usuarios
los
costes
seguimiento
control
de
los
definir
el
de
equipos
presupuesto
y
operativo
gestion
de
la
Controles para usar, de manera efectiva, los recursos en ordenadores:
o Calendario de carga de trabajo.
o Gestion de problemas y cambios.
Los
procedimientos
de
las
polfticas
adquisicion
de
deberan
ser
adquisicion
probados
de
y
de
la
software
deberan
Organization
revisados
antes
de
seguir
pagar
por
todo
o Sistema de gestion de la biblioteca de soportes.
o La contratacion de programas de servicios de programac\6n a

medida ha de estar justificada mediante una petition escrita de
un director de proyecto.
prepararse
o Procedimientos de facturacion a usuarios.
dichos
ellos y ponerios en uso.
de
autorizacion
pxogTamas, de controles de seguridad, de pistas
de
o Plan de conversion; prueba de aceptacion final.
parte
mediante
de
ficheros,
o Mantenimiento preventivo del material,
Deberan
asignar
un
de
o Estandares de prueba de programas, de prueba de sistemas.
cotno
controles
3. Controles de explotacidn de sistemas de informacidn
o Programacion de personal,
modificado
para
o Plan de validation, verification y pruebas.
productos
de
cambios de un sistema de informacion.
de auditoria, etc.
establecimiento
capacidad de los equipos.
la
diseno,
el
asociados con ia explotacion de un sistema de information.
metodologia de control de costes.

o
mantenimiento:
o Procedimientos de control de explotacibn.
por
que
Debe establecerse un estudio tecnoldgico de viabilidad en e!

cua! se formulen formas alternativas de alcanzar los objetivos
del
proyecto
acompaftadas
dt
un
analisis
cosie-beneficio
-de
cada alternativa-.
se
adecuada. Estos son algunos de los controles que se deben implantar:
Las especificaciones del nuevo sisteraa deben ser definidas

los
usuarios
y
quedar
escritas
y
aprobadas
antes
de
comience el proccso de desarrollo.
Cuando
Explotacion
asegurara que los datos se tratan de forma congruente y exacta y que el
manuaies
proyecto
de
de
operacidn
desarrollo
sistemas de informacidn, as! como manuaies de usuario.
y
o
Procedimientos
de
selection
del
software
del
sistema,
de
instalacion,
de mantenimiento, de seguridad y control de cambios.

Seguridad fis tea y logica:
mantenimiento
modificacidn
de
Definir
sus
un
grupo
la
informacidn,
la
administracidn
gestion
revisar
periddicamente
ios
funtiones
seguridad,
de
seguridad
de
siendo
del
informes
y actividad de Seguridad para identificar y resolver incidentes.
una
software
de
de
de
violaciones
RA-MA
18 AUD5T0RJA DE TECNOLOGiAS Y SISTEMAS DE 1NFORMACIQN
Controles
fisicos
instalacioncs
para
del
asegurar
que
Dcpartamento
de
e!
acceso
RA-MA
las
Informatica
queda
CAPl'TUL.O 1. CONTROL (NTERNO Y AUDlTORiA DE SISTEMAS DE INFORMACION 19
5. Controles especi'ficos de ciertas tecnoiogias

Controles en Sistemas de Gestion de Bases de Datos:
restringido a las personas autorizadas.

o
o
Las
personas
acompanadas
extemas
por
un
miembro
la
Organization
de
la
deberan
plantilla
ser
cuando
tengan
Formation y concienciacion
evacuation de edificio, *
Control
de
acceso
asignacion
de
en
de
gestion
estructuracion
debera
instatarse
del
de
de
bases
el
de
mantenerse
software,
las
datos
control
de
bases
para
prever
el
acceso
sobre
los
datos
modo
tal
que
asegure
las
instrucciones
de
datos
compartidos
la
de control que definen el entomo.
procedimientos
de
seguridad
Que
estan
definidas
las
respon
sabi
dades
sobre
la
planificacion, organization, dotation y control de los activos

de datos, es decir, un administrador de datos.
restringido
un
la
integridad
o Instalacion de medidas de protection contra el fuego.
software
a,
que entrar en las instalaciones.
El
identificador
los
de
ordenadores
usuario
mediante
con
palabra
la
clave
Que
de
personal e intransferiblc.
existen
procedimientos
datos
ast
como
para
para
la
el
description
mantenimiento
del
los
cambios
diccionario
de
datos. ,
o Norm as que regulen el acceso a los recursos informaticos.
o Controles sobre el acceso a datos y de concurrencia.
o
Existencia
recursos
de
un
de
servitios
plan
ordenador
del
de
contingencias
criticos
Departamento
para
para
la
Informatico
el
respaldo
recuperation
despues
de
de
de
los
4. Controles en apticaciones
entrada,
aplicacion
actualization,
debe
validez
[levar
y
controles
mantenimiento
incorporados
completos
para
garantizar
exactos
de
los
Control
de
entrada
de
datos:
Controles
de
la
minimizar
datos.
para
fallos,
asegurar
utilidad
asociados
balances
Las cuestiones mas importantes en el control de los datos son:
para
recuperar
el
entomo
de
las
necesario para la recuperation.
interruption imprevista de los mismos.
Cada
Controles
bases de datos hasta el punto de la caida y minimizar el tiempo
una
para
los
la
integridad
comprobar
datos,
transirorios
los
registros
de
de
transacciones
de
los
enlaces
control
para
datos:
programas
fisicos
-purteros-
para
su
mantener
posterior
los
cuadre
con totales generados por el usuario o por otros sistemas.
procedimientos
de
conversion
de
de
alta,
Controles en informatica distribuida y redes:
entrada, validation y correction de datos.
o
Controles
modiflcan
de
tratamientos
borran
de
datos
datos
no
para
asegurar
autorizados
para
que
no
se
garantizar
dan
la
Planes
adecuados
de
implantation,
conversion
pruebas
de
del
conjunto
de
controles
de
aceptacion para la red.
integridad
o Existencia de un grupo de control de red.
de los mismos mediante procesos no autorizados.
Controles
para
asegurar
la
compatibilidad
datos entre aplicaciones cuando la red es distribuida.
Procedimientos
que
definan
las
medidas
seguridad a ser usados en la red de informatica en cor.exion
Controles
salidas,
salidas
de
datos:
procedimientos
de
de
distribution
en las salidas, etc.
sobre
de
el
cuadre
salidas,
de
reconciliation
gestion
de
de
errores
20 AUOlTORjA RE TECNQLOGiAS Y StST&MAS Dfc 1NFORMACION
'S> RA-MA
con la distribucion del contenido de bases de datos entre los

departamentos que usan la red.
o
RA-MA . CAPiTUI.O i. CONTROL INTERNO Y AUDI l ORiA DE SiSTEMAS DH INFORMACION 2)
Que se identifTcan todos los conjuntos de datos sensibles de la

red y que se han determinado las especificaciones para su
seguridad.
Procedimientos
red,
de
respaldo
del
de
Asegurarse
usarse
que
de
en
la
haya
procedimientos
que
existan
reconstruction
transactions
o Exisiencia de inventario de todos Ios activos de la red.

o
Asegurarse
de
recuperacion
reinicio.
de
ios
pistas
de
auditoria
los
archivos
de
de
diversos
terminales.
que
datos
Debe
puedan
de
existir
las
la
capacidad de rastrear los datos entre la terminal y el usuario.
hardware
del
software
de
la
Considerar
circuitos
alternatives
provenientes
o Extstcncia de mantenimiento preventivo de todos los activos.
de
para
del
conmutacidn
diferentes
mismo
que
paquetes
mensaje;
esto
usen
de
ofrece
rutas
informacion
una
forma
de
adquisicion
de
seguridad en caso de que alguien intercepte los mensajes.

o
Que
existen
satida
se
controles
que
Verifican
validan
de
forma
que
todos
rutinaria
los
para
mensajes
asegurar
de
que
contienen direcciones de destine validas.

o
Controles
de
seguridad
logica:
Controles sohre ordenadores personales y redes'de area local:

o Polfticas de adquisicion y utilization.
control
de
acceso
la
red,
establecimiento de perflles de usuario.

o
Procedimientos
de
cifrado
transmite a traves de la red. .
de
informacion
sensible
que
se
el
trazado
flsico
procedimientos
de
desarrollo
Procedimientos
de
control
del
software
contratado
bajo
licencia.
o
o Monitorizacidn para medir la eficiencia de la red.

Diseftar
software de aplicaciones.
o Procedimientos automaticos para resolver cierres del sistema.
Normativas
ias
Controles
de
acceso
redes,
mediante
palabra
clave,
traves
de ordenadores personales.
medidas
de
seguridad
de
las
o Revisiones periodicas del uso de ios ordenadores personales.
lineas de comunicacion local dentro de la organizacion.

o
o Detectar la conecta o mala recepcidn de mensajes.

o
Jdentificar
los
mensajes
por
una
Politicas
que
contemplen
la
seleccion,
adquisicidn
tecnico
instalacion de redes de area local.
clave
individual
de
usuario,
o Procedimientos de seguridad fisica y Logica.
por terminal y por el numero de secuencia del mensaje.
Revisar
servicio
los
contratos
acordados
de
con
mantenimiento
el
proveedor
con
el
tiempo
objeto
de
medio
del
obtener
una
cifra de control constante.

o
Determinar
frontal
remoto
si
tiene
el
Departamento
Controles
red.
Recoger
arquitectura
equipo
logica
multiplexor/concentrador/procesador
redundante
realimentacion automatics para el caso de que falle.
poder
de
respaldo
con
que
red.
etc.),
realice
para
informacidn
(CPU,
conectividad
operativo,
la
evitar
gestion
modificar
detallada
Discos,
(LAN,
utilidades,
soporte
la
sobre
Memoria,
mini
lenguajes,
to
host,
configuration
los
minis
Streamers,
etc.),
aplicaciones,
soportados.
o Inventario aetuaiizado de todas las aplicaciones de la Entidad.
de
de
la
una
existentes:
Terminales,
software
(sistema
etc.),
servicios
p"
22 AUDITORIA- DE TECNOLOGiAS Y SISTEMAS PE fNFOR,MACi6N
Politica
referente
duros
de
archivos
que
el
del
la
organization
equipos,
asi
contienen,
obligatoriedad
serie
los
de
que
se
almacenaran
creation
de
un
utilization
para
la
verificar
que
disco
duro
el
creation
como
etiquetar
equipo,
RA-MA CAPtTULO 1. CONTROL tNTERNQ Y AUDiTORiA DE SISTEMAS DE INFORMACION 23
RA-MA
de
un
todos
discos
de
fos
Implantar
herramientas
de
gestion
de
Autorizacibn
en
fiiera de horario normal.
el
privados,
asi
contendra
como
todas
las
Control
de
de
control
de
acceso
controles
comunicacion.
equipos
Politicas
de
las
de
red
con
el
fin
lineas
de
datos
que
file-transfer
los
equipos
a
se
con
la
reallzan
Adoptar
para
los
posibilidades
desconexion
comunicacion
cuando
de
de
no
de
la
integridad,
Cuando
los
exista
privacidad,
conexion
controles
control
gestion
confidencialidad
PC-Host,
necesarios
se
Contratos
de
seguridad
para
Cuando
de
en
se
acciones
la
de
evitar
que
la
opera
Mantener
un
mantenimiento
carga/extraccion
Los
preventive
mantenimiento
de
los
establecer
registro
realizadas,
ordenadores
como
corrective
equipos
se
requiera
de
los
procedimientos
la
Protection
estatica.
contra
instalar
en
confidenciales,
aplicaciones:
backup
otra
destruction
de
identification
completo
en
que
se
protectores
la
red
de
local
identificacion
altas,
Controlar
las
Procedimientos
limites
para
de
evitar
documental
incluyendo
deberan
estar
incendios,
establecer
informaticos
action
de
de
disquetes
procesen
aplicaciones
oscilacion
de
linea
datos
electrica
productos
de
seguridad
asi
como
de
usuarios
bajas
en
cuanto
las
modificaciones,
siguientes
cambios
de
conexiones
remotas
in/out
(CAL):
Modems,
Controles
traves
de
las
la
acciones
description
conectados
equipos
de
elactricidad
instalacion
direction
tiros
software
es
modification
consciente
maliciosos,
del
asi
de
software
riesgo
como
de
virus
de
fraude
para
de
evitar
disquete
la
que
introduccidn
pudiera
de
vulnerar
un
el
sistema
operativo
sistema
de
en
Plan
seguridad
6. Controles de Calidad
Existencia
Entidad
Plan
inundaciones
la
la
estabiecido.
de
del
para
que
por modificaciones no autorizadas de software y dafios.
la
la
continuidad (UPS, grupo, etc.).

c
de
fisico
password, explotacion del log del sistema.
de
problema y la solution dada al mismo.

o
procedimientos
es
computadores
Adecuada
bajo
divulgation de information confidential o sensible.

o
de
dispositivos.
Acceso
datos
copias
impicsoras
de
equipos.
los
inventario
operaciones:
comprobar
(tanto
de
salida
deberan
aplicactdn,
inform
de
con
de
robos
Gateways, Mapper.
mantenimiento
las
de
herramientas y utilidades de seguridad.
terceros
oficina,
los
implantar
adecuados
o detectivo).
o
fisico
disquetes
microinformaticos:
Ubicacion
sistemas de alimentation ininterrumpida.
esta
datos de forma no autorizada.

o
sensibles
la information contenida en redes de area local.

o
En
los
procedimientos
Prevention
acceso
de
recursos
haciendo uso de ellas.

o
de
los
desplazamientos
disquetes/cintas,
obliguen
de
red).
para
restringidas.
almacenados, aimacenarniento de documentacidn.
los
para
que
de
aimacenarniento
Procedimientos
information
la
fisico
Areas
usuario
el
valorar su rendimiento, plamficacion y control.

o
acceso
PC.
numero
que
de
de
(propias
aplicaciones de uso comun para los distintos usuarios.

o
de
Llaves
con
por
menos:
Control
a!
archivos
publico
los
contiene
subdirectorio
sus
subdirectorio
de
nomenclatura
de
a
un
Largo
General
de
Plan
General
Plazo
Calidad
e!
debe
de
Plan
Calidad
a
promover
Largo
la
basado
e!
de
Plazo
de
Tecnologia.
fdosofia
de
mejora
y debe dar respuestas a preguritas basicas de "que", "quien" y "como".
la
Este
continua
24 AUDITOR! A DE TECNOi OGIAS V SISTEMAS DE INFORMACION
Esquerna
de
establecer
Caiidad
se
Caiidad:
que
refiera
como
establecer
revisiones,
de
norma
que
proyectos,
deben
Garantia
una
demas
tipos
auditorias,
la
Direccion
establezca
tanto
las
los
RA-MA
un
las
actividades
inspecciones,
Informatica
de
actividades
actividades
de
de
Esquema
etc.)
de
de
para
garantizar
que
deben
de
Caiidad
debe
Garantia
de
desarrollo
de
Informatica.
Las
normas
caiidad
(como
ser
realizadas
con
las
CAPfTULO I. CONTROL INTERNO Y Al'DiTORtA DE StSTEMAS OF. INFORMACION IS
RA-MA
Compatibilidad
de
la
revision
de
de
Entidad
Sistenias
Desarrollo
debe
y
y
de
definir
adoptar
adrainistrar
de
una
gestionar
Sistemts:
la
impiementar
Metodoiogia
dicho
Normas
de
proceso
Direccion
Normas
en
Informatica
para
desarrollos
Desarrollo
base
al
de
tipo
de
Coordination
establecer
de
a
del
la
Sistemas
los
de
de
que
Desanoilo
se
refieran
Programas,
material,
para
probar
de
los
Comprobacion,
cada
una
de
las
Prueba
de
Requisitos
y
de
la
Entidad
de
las
Retencion
del
Sistemas:
debe
Pruebas
material,
la
incorporar
de
para
Metodoiogia
de
Normas
se
Sistemas,
probar
que
Comprobacion,
de
manera
global
el funcionamiento de cada sistema a ser puesto en produccion.

Pruebas
para
sistemas
de
de
Piloto
la
en
Entidad
debe
la
para
asegurar
Usuarios
de-la
hacerse
mediante
metodos
Desarrollo
Informatica
de
de
de
Direccion
los
de
de
Desarrollo
Sistemas
respecto
Paralelo:
debs
Documentacion
Desarrollo
procedimiento
con
Metodoiogia
de
Cornunicacion;
un
cornunicacion
soluciones
Pruebas
Retention
Metodoiogia
Normas
la
definir
Metodoiogia
las
de
Desarrollo
circunstancias
bajo
de
las
Sistemas
cuales
se
efectuaran Pruebas Piloto o en Paralelo de programas o sistemas.
Actualization de la Metodoiogia
Cambios en la Tecnologia.
proceso
la
incorporar
de
Sistemas
de
las
respecto
Desarrollo
refieran
de
Programas:
debe
para
Normas
Garantia
de
Entidad
unidades del software a ser puesto en production.
cada Entidad.
la
Documentacion
Metodologla
la
Pruebas
de
Requisitos
Procedimientos habituales en las distintas funciones de Informatica.
de
Documentacion
lograr ios objetivos del Plan General de Caiidad.
Normas
Sistemas
coordinacion
Informatica.
la
obtencibn
de
con
las
desarrollo,
Pruebas
de
la
de
Sistemas:
Entidad
implementacion
debe
la
establecer,
modificacibn,
que
Metodoiogia
de
como
de
parte
se
documenten
los resultados de las Pruebas de Sistemas.
utilizando
cumplan
las
Sistemas
Este
asegurar
la
cada
debe
estructurados,
para
que
Informdtica
estrecha
Entidad
Sistemas
caiidad
de
de
de
* Evaluation del cumplimiento de Garantia de Caiidad de las Normas de

Desarrollo
necesidades
de la Entidad.
Relaciones
con
un
proceso
que
desatrollan
el
usuario
Proveedores
que
y
administration
asegure
sistemas
el
de
que
para
Proveedor
Desarrollan
buenas
la
del
cambios,
Sistemas:
relaciones
Entidad.
sistema
problemas
laborales
Este
proceso
acuerden
criterios
durante
el
existencia
de
con
proveedores
debe
hacer
de
aceptacion
desarrollo,
1.4 CONCLUSIONES
Vivimos
que
y
funciones
avances
ignorarlo
de
del usuario, herramientas, software, normas y procedimientos.
en
tecnologicos
a
riesgos
pesar
que
un
se
mundo
suceden,
de
los
implica
riesgos
el
completamente
lo
uso
unico
que
de
permanente
conlleva.
la
globalizado
dinamico,
es
bio
Pero
tecnologia,
el
cam
debemos
para
poder,
reconocer
dentro
de
no
la
Los
podemos
existencia
lo
posible,
neutralizarios, minirnizando su impacto sobre la organizacibn.
Normas
de
Documentation
impuestas
al
documentacion
Documentacion
de
personal
creada
respete estas Normas.
de
Programas
Programas:
las
pertinente.
durante
cuales
La
el
existencia
deben
metodoiogia
desarrollo
del
ser
debe
de
Normas
comunicadas
asegurar
sistema
que
de
Actualmente,
e
la
proyecto
dependiente.
valiosos
de
inaccesible,
toda
poco
la
que
organizacibn
lo
organizacibn.
porque
se
pensemos,
Esto
destruye
moderna
la
lamentablemente
es
es,
informacibn
robada
por
es
se
implica
defmicibn,
uno
de
entiende
un
los
informaticoactivos
cuando
serio
se
traspie
mas
vuelve
para
la
custodia
empresa.
El
sistema
de
politicas
procedimientos
organizacionales
salvaguarda de sus activos se ve influido y modificado por el proceso informatico.
para
26 AODiTORIA DE TECNOLOGIAS Y SISTEMAS DE FNFORMACldN
Por
lo
tanto,
es
necesaria
la
existencia
RA-MA
de
un
control
intemo
informatico
como
herramienta de una adecuada gestion de los Sistemas de Informacion.

Muchos
de
ios
problemas
informaticos
se
Por
otra
provoca
originan
dentro
de
la
misma
empresa. Por elio es cada vez mas necesario un complete analysis del trafico de:
CAPiTUl.O 1. CONTROL 1NTERNO Y AUDITORIA DE SISTEMAS DE INFORMATION 11
RA-MA
en
parte,
que
dichas
comienza
especialista
Los correos electronicos corporativos.
la
gran
integracion
parte
de
los
aplicaciones.
partir
confluir
en
con
la
la
de
dichos
controles
que
de
del
definicion
este
auditor
de
procesos
se
instante,
la
financiero,
procesos
en
aplican
de
aplicacioncs
los
mismos
se
labor
del
auditor
informatico
adquiriendo
control
informaticas
sobre
una
intemo
doble
en
los
definan
version
de
procesos
de
negocio y en su aplicacion o analisis sobre ios sistemas de informacidn que los
Las paginas web que se visitan desde los ordenadores de la empresa.
El
sistema
organizacidn
inmersa
supervision.
Esto
de
en
control
intemo
informatico
tecnologia
cuando
se
ayuda
que
la
le
sera
dbte
organization
mas
de
eficiente
herramientas
logre
en
una
modemas
de
niyeles
de
adecuados
En
excelencia en la custodia y aprovechamiento de su information.

La
organizacion
moderna
aprovecha
*
las
potencialidades
del
definitiva,
el
pape!
actual
del
auditor
informatico
dentro
de
las
organizaciones lo podemos resumir en dos grandes tareas principales:

Apoyo
al
internos
proceso
auditor
sobre
Organizacion,
informatico, pero ello implica una nueva realidad, es decir, nuevos riesgos:
los
en
intemo,
en
procesos
de
tanto
la
definicion
Negocio,
que
gran
parte
de
los
sistemas
aplicacion
Estrategicos
de
los
de
mismos
de
controles
Soporte
se
de
aplican
la
desde
sus sistemas de informacion.
Todos los procesos criticos de negociose encuentran automatizados.
Auditoria
La tecnologia cliente servidor, el uso de Bases de Datos, el uso de
de
la
gestion
de
informacion,
que
se
plantea
bdsicamente dos objetivos:
Internet y de las intranets corporativas Mevan a que la informacion
o
Posibilidades para modificar informacion mediante accesos no
controlados en los sistemas.
e!
de
informacion,
informatica
momento
en
aumeritar
surge
el
la
c6mo
que,
tradicionalmente,
estin
compuestos
el
nivel
siguiente
puede
de
las
Es
departamentos
perfiles
organizaciones
control
preguivta:
ayudarme?
los
por
que
muy
sobre
i,pero
natural
de
adquieren
la
gestion
que
esta
es
duda
control
cercanos
al
conciencia
de
sus
realmente
desde
tnterno
negocio,
la
sobre
sistemas
el
momento
el
que
el
auditor
informatico
informacion
soportan
adecuada
Que
la
informacion
de
un
nivel
tratada
de
por
seguridad
los
sistemas
adecuado
de
su
informacidn
valor
los
la
auditoria
perspectiva
auditoria
principalmente
la
de
interna
1.5
EDP Auditing. Auerbach Publications.
fmanciero
Fitzgerald,
en
de
de
y, en algunos casos, operative.

En
sistemas
riesgos asociados a su uso.
sistemas controles informaticos.

En
los
dispone
A consecuencia de io anterior, necesidad de implementar en los
necesidad
Que
eficientemente los procesos de negocio de las organizaciones.
comienza
plantearse
Jerry.
Controles
internos
para
sistemas
de
computacion.
Ed.
Limusa Wii
objetivos de control sobre quien debe acceder a que informacion, que puede hacer
con
ella,
cuestionarse
la
integridad
de
la
misma,
comienza
obtener un coriocimiento profundo sobre ios procesos de negocio de la compaiua.
necesitar
Martin,
James.
Security,
Accuracy
and
Privacy
in
Prentice Hall.
Instituto Auditores Internos de Espana. Control interno, auditoria y
' informatica.
Computer
System.
Ed.
28AUPITOR1 A OH TECNOLOGfAS Y SISTEMA5 DE fNFORMACION
RA-MA CAPSTULO 1. CONTROL 1NTERHO Y AUDiTORtA DE SiSTHMAS DE INFORMACION 29
RA - MA
1.6 BIBLtOGRAFIA
8. i,Que controles se deberian establecer en-las apiicaciones?
Miguel Angel Davara

Fernandez
Lopez,
Emilio
del
34- Enero 2Q0Q.
Rodriguez, Rosa Maria Garcia Ontoso,

Peso
Navarro.
Actualidad
Informdtica
Juan Manuel
Aranzadi.
N
9. i,C6mo justificaria ante un directive de empresa la inversion necesaria

en control y auditoria informatica?
10. Describa la informatica como modo de estructuracion de las empresas.
Ramos
Proteccian
de
Suarez
Fernando-
Ficheros
Nuevo
Automatizados
reglamento
con
de
datos
Seguridad
de
Cardcier
para
la
Personal:
lObstdculo o ayuda at desarrollo de la empresa? Derecho .org.

Sanchez
Blanco,
Edit. Comares. 2000.
SEDISI,
Quia
Angel.
de
la
Internes,
Sociedad,
Seguridad
empresa
Informdtica.
(Asociacion
Poderes
Publicos.
Espaffola
de
Empresas de Tecnoiogias de la Informacion). Abril 1997.

Management's
Report
on
Internal
Control
Over
Financial
Certification of Disclosure in Exchange Act Periodic Reports. SEC. Agosto 2003.
PCAOB
Release,
An
Audit
of
Performed
in
Conjunction
with
an.Audit
marzo 2004.
Reporting
Internal
Control
Over
Financial
of
Financial
Statements.
N.
1.7 CUESTIONES DE REPASO

1. <,Que cambios en las empresas provocan tension en el control intemo
existente?
2. ^Cuales son las fiinciones del control intemo informatico?
3. (.Cuales son los objetivos de la Auditoria Informatica?

4. i,Cu4tes son las semejanzas y diferencias entre Control intemo y
Auditoria Informatica?
5. Ponga ejemplos de controles correctivos cn diversas areas
informaticas.
6. ^Cuales son los principales controles en el area de desarrollo?
7. ^Que procesos definiria para controlar la informatica distribuida y las
redes?
and
Reporting
2004-001.
rf
Capituia 2
AUDITORIA DE SI vs. NORMAS DE BUENAS
PRACTICAS
Maria Tourino Troitino
Carlos Manuel Fernandez Sanchez
2.1 INTRODUCTION
Desde
publicaciones
las
hace
Tecnologias
totaimente
varios
normas1
de
de
la
nuevas,
anos
la
"buenas
Information
otras
con
sociedad
practicas"
las
esta
sobre
asistiendo
gestion
la
Comunicaciones
actualizaciones
(TI,
periodicas
en
y
un
la
raudal
de
seguridad
de
adelante),
otras
algunas
simplemente
"remozadas".
En
muchos
relacionadas
de
concretamente
estos
con
casos,
el
estas
gobierno
de
normas
TI,
y
o
buenas
bien
con
practicas
ciertos
estan
aspectos,
procesos o actividades, concretos dentro del conjunto global, conglomerado y
'
!o
En
Espafla
tanto
en
se
este
ha
adoptado
articulo
se
de
forma
usarS
esse
generalizada
vocable
la
c.uando
traduecion
de
la
sc
de
"standards"
hable
por cualquier institucsdn de similar cometido o que publtque "standards" para TI.
palabra
inglesa
ya
scan
"standard"
publicados
por
por
"noma".
ISO/IEC
Por
o
32 AUDlTORiA DE TECNOLOQjAS Y SISTLMASDETNFORMACION
complejo
que
supone
la
totaiidad
de
los
C RA-MA
elementos
"tecnoiogicos"
que
soportan
la
actividad de una entidad2.

La
para
los
cometido
indepeadientes,
depositar
de
una
auditores
principal:
la
en su TI,
norma,
de
emitir
para
modo
Management
implantation
que
CAPh UL0 2. AUDI JORiA DE SI vs. NORMAS DE BUENAS PRACTICAS 33
-g RA-MA
un
soporte
un
de
informe
Direction
como
en
Sistemas
o
de
dictamen
una
de
entorno
de
TI,
no
(SI)3
Information
independiente,
Entidad,
su "negocio"
sobre
e
es
un
puedan
la
basado
en
confianza
identificando
los
obstaculo
realizar
que
TI
continuation
desde
la
se
perspective
analizan
de
la
aigunas
auditoria
de
estas
SI,
ya
de
otros,
Business
la
publication
en
198!
por
IBM,
(GE20-0662-1
de
a
su
4),
A
que
Mision de los servicios de los sistemas de informacion (The
TI
Information Systems Service Mission, en ingles).
normas
qiil
muchos
Information
ingles).
puede implicar para acometer los objetivos de la actividad de su entidad.

A
entre
the
Vision general de ia Direction / Gerencia (Management Overview, en
puede
riesgos
ejempio,
for
abarcaba en sus cuatro volumenes los siguientes temas, tan de actualidad hoy:
su
pruebas
que
de
System
se
buenas
pueden
practicas
establecer
Mision del Desarrollo de sistemas de informacion (The Information
para
Systems Development Mision, en ingles).
sinergias
desde la rnetodologia de auditoria de SI y las normas, aunando cometidos comunes.
Direction y Gestion de los recursos de sistemas de informacion

(Managing Information Systems Resouces, en ingles).
En
que
2.2 AUDITORIA DE SI VERSUS COBIT
hoy
siendo
la
aun
gestiona
decada
se
llama
hoy
una
ia
del
1970
(concretamente
Information
unica
Systems
entidad,
certification
en
esta
se
Audit
nivel
ftinda
and
mundial,
materia:
en
1967)
Control
de
Certified
los
se
consolida
Association
auditores
Information
de
la
(ISACA),
SI,
Systems
que
Auditor
(CISA). Esta asociacion, que esta presents en mis de 140 paises, a traves de mas de
2.2.1 La auditoria de SI
La
famosa
tecnologia
publicas
siempre
o
170
limitada
ha
consideration
suscitado
privadas,
con
inquietudes
respecto
de
"caja
en
la
los
negra"
en
responsables
"veracidad"
de
relation
de
la
las
la
entidades,
information
que
almacenaba y procesaba "el ordenador". '

Es
publicaciones
finales
con
llamamos
Sistemas
entidades
de
las
de
la
primeras
de
d^cada
normas
asociaciones
de
o
I960
guias
Estas
cuando
para
la
auditoria
publicaciones
profesionales,
comienzan
de
ftieron
especiaimente
a
lo
aparecer
que
realizadas
de
hoy
por:
auditores,
de
(Chapters,
para
la
en
foncion
ingles)
en
de
auditoria
la
todo
el
de
mundo,
SI
establece
los
Las
tecnologica.
preocupaciones
fundamentals
siguen
las
Estas
siendo
inquietudes
con
mismas
tanto
de
o
la
se
respecto
han
Direction
la
incrementado
de
una
tecnologia
con
entidad,
accionistas o de la sociedad en general, se pueden concretar en:

La veracidad de la informacion. en cuanto a su totaiidad y exactitud,
procesada por los sistemas de tecnologia.
proveedores de equipos y software.

La utilization rational v aiustada a las necesidades reales de los
recursos tecnoiogicos.
El "mantenimiento" o "sostenibilidad" de la estructura tecnologica y su
crecimiento no debe ser traumatico en el soporte de nuevas actividades.
E3
"element:)"
organismo
Jeenologico
publico,
en
se
sus
uiiliza
para
procesos
mucho
de
mis
"negocio"
que
u
para
dursoporte
operativos:
una
investigacibn
actividad
smpresarial
famacoldgica
de
un
diagnbsticos
mddicos, entre oiros. En este capirulo, er. to referente a la auditoria de SI y dc las normas sobre TI, la referenda es
la pnmera acepcidn de esta nota.
3 Sc manliene esta acepci&t que ss ia ulilizada hasta la actuafidad por la Information Systems Audit and
Control
Association pSACA), aunque eriste una tendencia, que gana adeptos, en utilizai como sinonimo "auditoria de
TI
o TIC",
normas
profesionales
que
y
las
realizan.
anteriormente
Informacion.
auditores,
capitulos
procedimientos
* La confidencialidad de la informacion.
la
como
aludidas
evolution
de
sus
34 AUPtTORlA DE TECNOLQGiAS Y
La
protection
information.
For
estos
lo
temas,
aumenta
lanto,
la
informacion
de
la
RA-MA
activos,
especialrnenle
el
software
CAPiTULO 2. AUDITORIA DE SI vs. NQRMAS DE BUENAS PRACTICAS 35
RA-MA
la
La
de
necesidades
forma
que
de
generica,
no
aumentan
sustentacion
de
tener
solo
las
los
una
se
ha
amenazas
procesos
independiente
opinion
y
de
consolidado,
sino
vulnerabilidades
negocio,
con
los
"caja
negra
es
Comunicaciones
la
La
avarices
Esta
impactando
del
cada
via
necesidad
no
a
solo
vez
mas
satelite,
una
de
al
verse
Reglamento
realizar
compleja,
PALMS,
dispersa,
todo
tipo
de
si
se
quiere
soportes
una
ambito
reflejada
de
de
de
"voluntario"
del
en
Seguridad
auditoria
auditoria
la
ficheros
medidas
independiente
gobierno
legislation,
para
las
SI,
como
de
de
por
datos
organizativas
existe
informaticos,
TI,
sino
ejemplo:
personales
tecnicas
objetiva,
que
el
esta
dos
Para
de
definition
centrar
la
de
el
que
es
con
de
la
de
tambien
SI
respecto
versus
auditoria
Auditoria
evidencias
activos,
la
auditor,
la
ya
Informacion,
fiabilidad
de
la
sea
indica
informacion
tal
sigue
la
cual
la
auditoria
control,
disehado
adecuadamente
(eficacia
versus
coste),
si
los
sino
para
de
si
los
identificar
no
se
que
va
mas
all&:
se
Tt,
con
de
el
para
el
determinar
que
control
pretende,
eficacia
reiacionados
nivel
riesgos
si
se
revisiones
su
limita
que
cumple
de
sus
los
SI
objetivo
en
controles,
de
el
riesgos
metodologico
Proceso
fundamentalmente,
decir,
un
adecuacion
en
con
ha
es
el
este
sido
eficiente
tiempo
control,
y,
estan
mitigados.
anos;
de
La
la
entomo deTI:
de
al
objetivo
COBlT",
SI.
es
Existen
de
este
necesario
muchas
capftulo
situarse
de
primero
definiciones,
pero
esta
en
auditoria
con
de
SI
distingue
entre
dos
grandes
grupos
los
controles
en
un
Tt
mantiene
es
un
proceso
determinar
si
un
la
de
recoger,
sistema
agrupar
informatizado
imbuidos
en
las
propias
aplicaciones
software
para
la
dos,
evaluar
salvaguarda
controles
gestion de la actividad del negocip.

Estas
de
para
Los
la
en
La
SI
y,
Es
sumariamenle,
de las mas difundidas, es suficiente4 :
principal;
del
de
Los controles sobre las infraestnicturas de tecnfij.qgias.
tema
"Auditoria
"apellidos"
Tecnologias
requerimicnto
automatizados,
cada
los
fundamento
identificar
negocio.
opaca:
famosa ley Sarbanes Oxley, etc.
seccidn,
auditoria
debe
aplicaciones complejas que modifican los procesos operatives, como los ER.P, etc.
comienza
el
cumplimiertto
La
en
Informacion
procesada. disponible v suministrada a traves de procesos tecnologicas.
que
para
"informacion"
de
claramente
sobre
tecnologicos.
Internet,
paiabra
Sistemas
medida
sus
aqueilas
aludidos
en
DE INFORMACION
SISTEMAS
los
integridad de los datos, lleva a cabo los fines de la
Su
controles
base
dos
venientes,
conceptual
aunque
ban
evolucionado
hace
mas
de
desde
de
la
infraestructura
tendra
indirectamente
en
los
de
controles
una
las
30
anos:
gran,
en
el
tiempo,
cuaiquier
posibilidad
aplicaciones
de
sistemas
estdn
deficiencia
afectar
del
vigentes
en
los
directa
negocio,
o
por
ende en la fiabilidad de la informacion procesada.
organization y utiliza eficientemente los recursos.

Tanto la revision, como parte de las tareas de la auditoria de Tl tanto de los
La
Auditoria
de
Tl
es
el
mecanismp/procgso
metpdologico
para
valorar
y evaluar la confianza que se puede depositar en TL
e!
Son
varios
los
elernentos
contenido
critico
que
ticncn
de
con
estas
definiciones
respecto
la
que
funcidn
merecen
un
analisis
"mision"
de
la
por
controles
de
infraestructura
como
requieren
una
vision
este
implantado
son
esie
respecto
sinonrmo;
cxactamerue
Exposure
es
interesante
aseguramierito
Draft,
cpRSonancja con los
ide ntie.as.
do nde
En
se
tie auditor ia.
anaiizar,
de
que
no
es
el
TI
(IT
Assurance),
agosto
de
2 007
pro po ne
una
se rie
la
dc
objeto
de
aunque
ISACA
nor ma*
este
primos
capitulo,
una
hermanos
los
pubJicado
ha
y
ei
proce ditnie nlos
iendencia
dnctime nto
par a
ascendente
conceptos,
el
!T
las
Assurance
a gu ;amie nio
utilizar
funcionts
no
Framework
de
TI,
en
la
y
por
referencias
independiente.
COBIT,
por
modelo
bastantes
los
de
apiicacion,
del
auditor
que
deSfr
son
sobre
la
convergentes,
organizacion
Por esa razdn, cuando el auditor de SI se encuentra en una entidad donde se

ha
solamente
como
de
metodologica
y gestldn de TL como un todo.
auditoria
de SI:
global
encontrara
conciencia
ende
a
la
con
que
su
labor
compromiso
el
auditoria
control
de
de
revision
la
Direction
de
de
SI
TI,
como
sino
que
factor
se
ve
en
el
la
allanada,
modelo
esencial
no
implantation
de
COBlT
una
ya
de
tiene
opinion
36 AUDtTORIA DE TEvCNOLOGi AS Y SISTEMAS DE INFORMACION
-> RA-MA
COBiT
.
las
COBlT
(Control
modelo/conjunto
Objectives
estructurado
for
de
Information
buenas
and
Related
practicas
Technology)
metodologi'as
es
para
C'APITULO 2. AI J 'DITORIA DE SI vs. NORMAS DF BUENAS PRACTICAS 37
RA-MA
buenas
un
su
su
esquema,
los
aplicaclon, cuyo objetivo es facilitar ei gobiemo de TL "
edicion
Information
4.0
de
legislacidn,
Esta
en
los
COBIT.
sin
edicion
Technology
Esta
invalidar
4.0,
temas
del
fundamentalmente
nueva
los
reaiizada
gobiemo
mejoras
edicibn
conceptos
como
Institute5
Governance
una
de
el
esta
de
para
tecnologia
en
de
recientemente
cumplimiento
fundamentals
actuaiizacion
la
avances
enfatiza
publicb
las
la
el
mismo
as
gobiemo
de
Tl,
del
(TI),
tiempo
incluye
que
tiene
un
marco
de
que
riesgos
primero
y
sus
se
tiene
recursos
en
cuenta
la
partir
de
otro
entre
en
si,
presentacidn.
Esta
caracteristica
estructurado
con
de
COBlT
criterios
proceso,
esquema,
tener
permite
una
de
objetivos
segtin
una
control
su
agrupacion
de
graduacion
cambiar
mayor
organizacion.
de
la
que
A
alto
cl
adaptabilidad
su
nivel
por
en
todo
vez
y
permite
de
actividades,
detalle,
y
segun
cuanto
adecuada,
de
a
evit^do
los
sus
ya
que
procesos
objetivos,
de
los
eficiencia
la
utilidad
intemos
entidad,
y
siTconsideraa'diTarslada.
distorsiona
controles
una
en
TI,
en
la
consideration
de
un
como
relacionarse
complementariedad
Lualqufer
resultados
debet)
proceso
mitigation
aislada
de
en
siempre
analisis
de
y
COBlT
4.0
estructura
en
34
objetivos
de
control
de
alto
nivel
para
ser
realista
los
procesos de TI, que estan agrupados en 4 dominios de actividades tipicas del

gobiemo
TI
(o
que
cualquier
gobiemo
de
Tl
deberia
incluir
para
Los 4 dominios de actividades. son los siguientes6:
actividad
este
de
eficiente).
de
una
entidad,
conocimiento
se
sus
PLANIFICAR y ORGANIZAR (PO)7
pueden
ADQUIRIR e IMPLEMENT AR (Al)1
La gran ventaja es que COBlT entiende a la tecnologia de la

como un TODO de servicio (entendiendo el servicio como un activo),
forma parcia!.
acertada
los
es
aspecto
controles
establecer los objetivos de control que se quieren alcanzar.
Otra
procesos
operatives
entre
dominio
perspectiva
cualquier
Los riesgos de TI son gestionados y dirigidos adecuadamente.

decir,
de
del
sin
periodica
evaluation de riesgos.
Los recuxsos de TI (bumanos y tdcnicos) son utilizados de forma

responsible.
los
interrelation
Esta
arte
contribuyendo, al mismo tiempo, a la maximizacion de los beneficios.
Es
los requerimtentos para estos controles.
La tecnologia de la informacion esta alineada con el negocio,
objetivos,
negocio
cada
de,riesgos,
proporcionando
enfoque
el
los
el
que
comprension
actuaiizacion
dentro
de
mayor
!a
en cuenta un criterio de practicidad y facilidad para su implementacion.

COBiT apoya y sustenta
referenda que asegure que: ...... "
una
revision
anteriores.
estado
informacion
al
norm
versiones
reflejar
actitidad,
de
vez
de
la
permite
su
la
procesos
visuaiizar
Ei
practicas
implantacion,
es
su
practices
estructuracion
en
un
orden
informacion
y no de
esquema
logico
ENTREGAR y DAR SOPORTE (D$)9
MONITORIZAR y EVALUAR (ME)10
de
racional
de mayor nivei a menor nivel en la gestion y direccion de TI. Esta organizacion de
Tod
ingles,
as
pero
las
al
traducciones
ban
mismo
tiempo
esparto], para su mayor comprension.
' PO: Plan and Organise, en ingles.

'
tai
El
ITGl
forma
ssta
que
estrecbamenie
tos
miembros
fmblieaciones
del
mismo.
principal
la
investigacidn
es
Este
relaeionado
de
esta
institute
acerca
con
asociaeidn
se
dei
creo
ia
Information
intemacional
en
gobiemo
1998,
de
las
Systems
tambidfi
es
una
tecnologfas
Audit
lo
son
and
dei
organizacidn
de
ia
Control
ITGl
sin
timer!
fines
informacidn,
i n vest i ga tion r el a ci onados con l a s t ecn ol ogfa s de l a i n funna ci on . ww*. i fgi . or g; www. i sa ca . O fg .
Association
de
entre
Jibre
lucro,
otros
(1SACA),
de
acceso
las
cuyo
* Al: Acquire and Implement, en ingles.
objetivo
objetivos
de
? DS: Deliver and Support, en ingles.

10
ME: Monitor anC Evaluate, en ingles. .
sido
realizadas
tratando
de
con
lograr
un
criterio
una
de
mantener
equivalentia
la
los
mayor
tirminos
fidetidad
postbk
utilizados
al
texto
gcneralmente
en
en
38 AUDITORIA DE TECNOLOGIAS Y S1STEMAS DE INFORMACION
Es
TI,
no
decir,
un
se
area
en
empieza
planificando
especial
(Desarrollo,
organizando
explotacibn,
TODAS
etc.)
las
un
actividades
aspccto
en
CAPITULO 2. AUDITORtA DE SI vs. NORMAS DE BUENAS PRACTICAS 39
RA-MA
RA-MA
de
Responsabilidades
por
los
Gerencia: incluyen tanto la
concrete
(la continuidad de los servicios, por ejemplo).
nivel,
COBiT
4.0
proporciona
los
objetivos
de
control
de
detalle
del
Cuadro
de
objetivos
aplicables
para
el objetivo
nivel
siguiente. En total son 215 objetivos de control de detalle.

Todos
estan
los
objetivos
debidamente
de
control,
fundamentados
tanto
los
contienen
en
de
alto
nivel
como
explicaciones
de
los
sus
de
la
no
estructuracion
es
suficicnte
mera
para
descripcion
implaritar
de
los
objetivos
adecuadamenle
un
de
control
gobierno
de
por
TI
For
esta
relacionados
razon,
con
COBIT
los
inciuye
ademas
requerimientos
del
otros
negocio
elementos
con
tespecto
considerar
a
los
En
Eficacia;
del
Negocio
Eficiencia;
planteamiento
entre
Cambios,
Seguridad,
de
los
Negocio
aplicables:
metricas
de
COBIT
controles
control
tiene
generales
de
entre
otros)
Produccion,
(Totalidad,
En
con
respecto
Confidencialidad;
TI:
Efectividad
Integridad;
Disponibiiidad;
cuanto
herramienta
Risk
Requerimientos
su
diferencia
que
servicios
y recursos de TI:
unidades
de
de
que
objetivos
se
trate,
asi
metricas
mismo
los
Exactitud;
presente
TI
el
tradicional
(Desarrollo
y
Sos
Validez;
de
esquema
Sistemas,
controles
Autorizacion
que
Gestion
de
las
Segregation
de
Aplicaciones
de
Funciones, entre otros).
asegurar que estas buenas practicas logren el objetivo previsto.
estan
Direcci6n
Modelo de Madurez: criterios para considerar en cada nivel.
detalle,
propositos
Pero
de
como
indicadores para la respectiva medicion
alcanees.
dominios
niveles
Gerencia,
negocio, hasta la Auditoria de TI.
Por cada uno de los procesos, y por cada uno de los objetivos de control de
alto
distintos
Alta
especifica
la
al
evaluation
respecto,
ManagementIntegrated
Organisations
of
riesgo
debe
de
TI
the
en
riesgo,
referencia
Framework,
Treadway
estar
de!
2004,
Commission
consonancia,
COBIT
de
si
no
forma
del
(COSO).
Committee
Pero
existe,
con
que
proporciona
primordial
el
si
al
of
ninguna
Enterprise
Sponsoring
considera
Modelo
de
que
el
Evaluacion
del
Riesgo de Negocio.
Cumplimiento y Confiabilidad. Existen
otras
normas
Recursos de TI afectados: Aplicaciones; Information; Infraestructura

y Personal.
relacionado,
que
son
publicado
continuan
implantation
Areas
Centrales
Entrega
para
Servicio
el
que
Gobierno
anada
de
valor;
TI:
Gestion
Alineacion
de
los
Estrat6gica;
Recursos;
Gestion
Objetivos
Detalle
de
con
Control
sus
de
con
las
este
modelo.
de
publicando
esta
distintos
complementariedad.
el
modelo
COBlT
La
ISACA
documentos
Por
el
para
ejemplo:
con
enumeration
explicaciones
sobre
de
su
los
Objetivos
proposito
de
alcance,
4.0
esta
ITGI
han
facilitar
ITIL,
COBlT 4.0 es una herramienta critica que abarca la gestion integral
Detalle:
oportunas
TI
ISO/I
la
EC
27000, etc.
del Riesgo y Medicion del Rendimiento.
practica
para
complementarios
que
puede
verse
complementada
con
esas
otras
normas
para
de TI, y
profiindizar
en
COBIT,
ya
no
el objetivo
de
aquellos controles de este modelo, es decir, pasar del "debe hacerse", al "como se
por objetivo de alto nivel.
Directrices
Dominios
relation
de
y
de
Gestion:
Objetivos
recepcibn
guia
de
Control
(input)
de
sobre
las
de
Alto
otros
interrelaciones
Nivel,
objetivos
de
extemos al esquema COBIT, como la entrega (output) hacia otros.
con
seftalando
control
otros
tanto
e
la
inclusive
En
se
le
estos
confunde
momentos,
con una
despues
de
varios
metodoiogia
de
auditoria
aflos
de
andadura
de
SI.
Por
lo
esta seccion es definir el marco de actuacibn de los auditores de SI en relacidn a
este modelo.
del
tanto,
CAHTULO 2. AUOtTORtA OE St vs. NORMAS PR BUt-.NAS PRACTICAL 41

40 AUPlTORtA DE TF.CNOLOGI AS Y S I 'STEMAS DE fNPOR.MAC!QN
RA-MA
RA - MA
estan
Esta
ISACA.
que
confusion
Por
io
comparten
se
tanto,
el
debfa,
tanto
mismo
quizds,
COBJT
lengtiaje,
la
como
esta
estrecha
las
es,
relacion
normas,
en
de
COBIT
directrices
ocasiones,
una
con
la
procedimientos
facilidad
para
funcionando
continuada,
Jos
"
Fundamentar
para
esta
guia
auditoria.
la
no
En
version
constituia
principio,
se
editd
una
una
guia
metodologia
establecia
un
de
de
marco
auditoria
auditona,
de
para
ni
actuacibn
COBlT.
Sin
normas
de
auditores
ios
embargo
directrices
de
auditores
como
genera!
deben
proporcionar
de
altemativas.
Direction
Proporcionar
una
garantia
razonable
de
que
se
riesgo;
las
establecio,
una
consistentemente
conclusion
El
ya
objetivo
sobre
auditoria
de
un
soportar
una
una
de
de
riesgo
analiticas
No
contiene
auditoria
el
tdcnicas
es
acciones.
que
ia
tareas
"sustanciar"
utilizando
tome
realizar
una
el
cumple,
SI,
la
de
forma
adecuacion
del
obstante,
y/o
de
sigue
alto
de
realizarse
control
que
siendo
detallada
nivel
que
fuentes
provocar
guia
amplia
controies
deben
consuitando
opin/bn
esta
descripcibn
ios
que
objetivo
de
de
la
muy
como
detalle,
jndicando tipo de pruebas, posibles riesgos en caso de deficiencias,
garantia (assurance) y recomendaciones en relacfbn a Ios control es en una entidad:
se
valida
requerimiento
se
emitir
fiindamentar
no
basados en la metodologia de auditoria de 2a ISACA.

"...los
como
poder
entomo de control.
auditores de TI.
Con
tai
para
etc. 11
alcanzaran
con
los
objetivos de control.
En
COBtT,
Identificar si existen debilidades significative en estos controies.
definitive
como
en
el
auditor
cualquier
de
otra
Sj_
debe
auditoria.
No
actuar
se
jronjeâjin^m^ntacjbn
lirmtara
contestar
de
un
cuestTonanbdesTejustToW)^detemdnadoicontrol]
Sustanciar el riesgo que puede estar asociado a estas debilidades.
AnaUzara
los
riesgos
dentro
del
alcance
objetivo
de
la
auditoria
en
mitigan
los
cuestion. ' '
Recomendar o asesoras a la Gerencia sobre las acciones correcttvas

que deberian ser tomadas".
cl
Identificara
Esta referenda en COBlT 3 a la auditoria de SI indicaba concretamente los
modeig_y_ios
consoles
que
supuestamente
riesgos identificados.
Realizara
sus
pruebas
sobre
los
controles_y
el
impactp
de
las
deficiencias de control. "

siguientes
fiindamentosdeTa
fiincion
de
kauditona
de
TI,
en
consonancia
con
los
Qbtendra
de la ISXCA:
conclusiones
emitira
su
informe^
ITGI cstfc
realizadas para conocer y "documentar objetivos de negocio, riesgos
eficiencia
' respectivos y medidas de control relevantes, asi como las actividades

que
para
dan
fundarnento
identificar
las
los
medidas
objetivos
y
de
control
procedimientos
asi
de
como
control
las
necesarias
establecidos,
dictamen
de
los
pteparando
auditores
de
una
SI
nueva
que
guia
de
auditoria
deban revisar
para
distintos
COBIT
auditores
de
4
TI
indica
deben
en
apficar
su
documento
su
de
metodologia
entorno
y
sus
realizadas
de
en
la
la
adecuac*6n:
apreciaci6rfHe"la
las
tareas
eficacia
de
de
auditoria
los
que
mecanisraos
deben
de
ser
control
-que se llevan a cabo o del grado hasta el cual el objetivo de control es

alcanzado, Es decir, basicamente, decidir qud, en qud oportunidad y
.d'cdmarealizarlaspruebas.
tlvaluaciQn del cumplimiento: las tareas de auditoria que deben ser

. . realizadas para asegurar que los mecanisroos de control establecidos
de
mejorar
TI,
("framework")
gufas
orientation de COBIT es fbndamentalmente el "negocio", es decir, la actividad de

jvaluaci6n
facilitar
aspectos
la
en una
organization que ha implantado COBfT.
que se llevan a cabo.
rffigoda."' " " " " " "
Obtencion de un conocimiento: las tareas de auditoria que deben ser
sus
independiente, indicando _ flmdarnentalrnente tos riesgos para el
11
En CoaiT 4:0 hay un anexo cun las teferencfas errtrt los control de esta version y los de COWT 3.
de
que
los
auditoria.
La
42 AUDITOKiA DE TECNOLOGiAS Y SISTEMAS PE INFOR.MAC10N
una
entidad,
pero
no
se
puede
negar
su
gran
utilidad
tambien
para
los
RA-MA
RA- MA
auditores,
donde
como sustentacion del modelo de control de TI a evaluar. El auditor de T1 tiene que

opinar
sobre
los
riesgos
de
TI,
no
limitarse
indicar
que
determinado
control
CAPITUI.Q 2.. AUDITOR!A DE S! vs. NORMAS DE BUENAS PRACTICAS 43
se
Otro
en los
A lo largo de todo ei documento COBlT, la auditorfa de TI esta presente y

aludida
en
distintas
circunstancias,
no
como
mera
comprobacion
del
como
modelo,
ejemplo
objetivos
evaluacion
control
del
de
se
control de
control
interne,
detalle
ME2.5
obtenerse
mejora.
auditoria interna o externa.
Por
de
alto
ejemplo
niyel
sobre
en
la
el
Dominio
de
Planificacion
de
Planificacion
un
plan
dominio, COBlT,
una
referencia
en
a
las
la
Organization,
de
en
Tf,
se
e!
control
indica
En
los
errores
deficiencias
indicados
en
La
y
Identification de dependencias criticas y rendimiento 12 actual: el

auditor debe ser consultado.
este
mismo
evaluacion
implantarse
la
donde
aseguramiento
en
detalle
el
Dominio
para
existe
otra
Aseguramiento
independiente
dominio,
del
evaluacion
del
Monitorizacion
del
el
Control
el
de
la
de
Evaluation,
de
indica
intemo,
entre
las
monitorizacion
auditoria
control
menciona
rendimiento
nivel:
Intemo
control
objetivo
intemo,
alto
referencia
sobre
en
control
de
el control de
que
a
alto
actividades
revisiones
y
El
deberla
traves
de
las
TI.
de
nivel
que
auditorias
independientes. .
la
Auditoria con la responsabilidad de:
un
monitorizacion
deben
estrategico
indicador,
encuentra
de
sino como un elemento activo en la ayuda a la implantation de este modelo y en su
Por cada control de alto nivel, dentro de cada

referencias
a
las
responsabilidades
relacionades,
incluye
auditoria.
un
del
modelo fue implantado o no.
es
considera,
informes de auditoria interna o externa.
auditoria
procedimientos
situacion
es
de
TI
porque
una
ayuda,
no
carnbia
este
ya
en
la
aplicacion
de.sus
normas,
el
modelo
COBlT,
mas
bien,
con
mejores
evidencias,
dispondra
implantado
que
contara
metodologia
esta
de
registros mas fiables sobre la realizacion de los controles.
u.
Por
Construction de un plan estrategico para TI: el auditor debe ser

consultado. .
Construccion de planes tacticos para TI: el auditor debe ser informado.
En
incluida
(como
estas
tablas
el
mismo
en
conceptos
casos,
nunca
serlo
debe
de
sean
el
referencia
apartado
globales).
determinados
En
debe
que
estas
para
en
ultimas
de
mantener
una
su
cuenta
funciones,
action
que
Legal"13,
"Cumplimiento
dos
"responsables"
auditor,
tenerse
auditoria
Riesgos
si
es
posible
determinada,
independencia.
Por
sin
lo
ha
Tambien
este
tipo,
de
se
la
las
normas
de
auditoria
de
Seguridad
que,
funcion
de
COBlT,
como
por
puede
ilustrar
con
auditoria
ejemplo
la
del
en
esta
las
Dominio
reflejada
metricas.
de
Estatuto
de
Auditoria
S2 - Independencia
en
embargo
tanto,
SI-
sido
S3 - Etica Profesional y normas aplicables
estas
tablas, tal y como indica COBlT, son guias, no "obligaciones" mandatorias.
relevantes
ejemplo,
aplicables dentro de un contexto COBlT:
S4 - Competencia Profesional
en
Entre
Adquisicion
en e! control de alto nivel de Instalacion y Acreditacidn de soluciones y cambios,
otros
las
e
mecanismos
referencias
de
Implementacidn,
S5 - Planificacion
86 - Realizacion del Trabajo de Auditoria
o Supervision, Evidencia, y Documentacidn
S7 - Informes
S8 - Actividades de Seguimiento
* S9 - Irregularidades y actos ilegales
TI
stguientes
son
totalmente
44 AUDITORJA DE TECNOLGGlAS Y SISTEMAS DF. INFORMACION
RA-MA
de
S! 0 - Gobierno de TI
CAPi'iULO-. AODITORIA DE SI
o RA-MA
Information,
pasando
por
la
ingenieria
VS .
NORMAS DE BUENAS PRACTICAS 45
del
Software,
guia
de
hasta
la
calidad
en
los
que,
desde
servicios TIC, etc.
S11 - Uso de Evaiuacion dei Riesgo cn ia planificacion de auditoria
E!
conocimiento
perspectiva
S12 - Materialidad
de
los
vendria
Sistemas
de
ser
la
Informacion,
lo
buenas
practicas
definimos
como
repositorio
la
base
siendo
mas
de datos de controles. (Vease figura 2.1).
S13 - Uso de! trabajo de expertos

S14 - Evidencia de Auditoria
De
auditon'a
la
misma
de
SI:
organizaciones;
G6:
Muestreo
estadi'stico;
G4:
forma
que
Conceptos
G16:
son
Extemalizacion
de
Impacto
aplicables
muchas
de
actividades
Materialidad
de
terceras
las
para
partes
la
en
de
las
de
auditoria
los
controles
directrices
TI
de
de
a
SI;
TI
de
otras
GIO:
de
la
organization; G31: Privacidad; G36: controles biometricos; entre otras.
2.3 AUDITORIA DE LOS SISTEMAS DE GESTION EN

LAS TECNOLOGIAS DE LA INFORMACION Y
COMUNIC ACIONES -TICS2.3.1 Introduction "
Figures 2.1. Sistemas de gestion de TIC
Nuestro
centrarse en el
Conocimiento.
planteamiento
acerca
de
los
Sistemas
de
Gestion
pretende
anaiisis de los mismos desde la perspectiva de !a Gestion del
Los
dos
implantados
sistemas
por
las
de
Gestion
cmpresas
ya
de!
sector
sean
de
grandes
las
TIC
que
corporaciones
estan
PYMES
son
los
denominados SGSI y SGSTI, que pasamos a definir:

Podemos
afirmar
que
el
ciclo
de
Demittg
-con
el
acronimo
PDCA-
es
un
*
cicio de mejora continua, donde cabe distinguir las siguientes feses:
SGSI
en
-S
istema
la
Norma
Norma
UNE
de
Gestion
UNE
ISO
ISO
de
la
IIEC
/IEC
Seguridad
27001:
27002
2007
de
la
Informacion:
(Motor
-PDCA-)
(Conocimiento-Gura
-basado
en
de
ia
buenas
practicas-Repositorio de Controles para la seguridad en TIC).
Plan: planificacibn de objetivos y procesos necesarios para alcanzar
SGSTI
los resultados de acuerdo a las politicas de la empresa.
(Motor
La
Check: revision y monitorizacion de los procesos.
donde
el
PDCA
-PDCA-)
Gestion
en
la
en
del
Servicio
Norma
la
UNE
Norma
de
ISO/
Tecnologias
TEC
UNE
puede
considerarse
como
el conocimiento de las TIC es muy variado: va desde !a Seguridad de los Sistemas
principal
constituye
su
empresas,
como
ventaja
capacidad
son
de
el
que
presentan
integration
Sistema
de
con
20000-
ISO/1EC
estos
sistemas
de
otros
sistemas
ya
Gestion
de
Calidad
sistema Medioambiental (UNE ISO 14000), etc. Por este motivo, con su
Act: ejecutar acetones para mejorar continuamente los procesos.

ambitos
de
basado
de
1:
20000
la
2005
(Conocimiento-Cddigo de buenas practicas-Repositorio de controles).
DO: implantation de ios procesos.
Los
-Sistemas
Informacion-:
el
autentico
motor
Gestion
muy
(UNE
en
las
difundidos
ISO
9001)
TIC
la
en
las
el
46 AUDITORiA DE TECN'GLOGiAS Y SISTEMAS DE INFORMACION
implementation
se
logra
que
las
TIC
RA-MA
queden
integradas
CAPlTULOa. AUDITORIA DE SI vs.NORMAS D fiUENAS PRACTIC'AS 47
RA-MA
Si
otros
procesos del negocio.
podria
utilizamos
definir
el
como
concepto
ia
de
revision
Motor
del
Conocimiento,
la
controies
motor
de
los
auditoria
interna
se
implementados
(conocimiento).
2.3.2 La implantation de un Sistema de Gestion en las TIC
Para
esta
metodologia
Informacion,
libro
Definir politico de sejundod
independiente
recomienda
RON
uno
VVELER,
Conceptual
de
Auditoria
los
gurus
denominada
Foundations
and
de
de
SGSI
la
Risk-based
approach,
version
Practice;
se
podra
Auditoria
la
Sistemas
que
espahola
utilizar
de
cita
adaptada;
de
en
su
por
los
autores EDR-Evaluacion de Riesgos.
Implanter ftode gestion de riesgos
Estabiecer alcance a! SGSI
revision
que
Implanto* ei SGSI
RealiiaronaiiSisde riesgos
Dicha
Implsntar tos controies
Seleeoonar los eontroies
comprobar
metodologia
que
cumplen
los
procesos
del
consiste
los
controies
objetivos
para
PDCA
en
los
-Motor-
realizar
estan
cuales
como
Pruebas
de
implementados,
jfueron
para
los
Cumplimiento;
funcionan
implementados,
controies
es
decir,
adecuadamente
tanto
implantados
del
para
los
repositorio
Conocimiento-.
No
realicen,
SustantivasAdaptor
lot
aecioMt
obstante
existe
con
la
el
como
complemento
posibilidad
objetivo
de
adicional
constatar
las
de
con
Pruebas
de
ampliation
una
mayor
cumplimiento
de
certeza
que
pruebas
el
Se
-Pruebas
cumplimiento
de
los controies.
eorrectivas
Adopter las acciones preventives
Reviser
internamente
ei
2.3.4 El proceso de Certification de los Sistemas de Gestion

de las TIC
SGSI
Reotizar auditorial internes del
sssr
formal
Su
implantation
(vâse
figura
Jleva
2.2),
aparejada
siguiendo
la
los
implementation
puntos
de
la
puede
parte
considerar
de
un
el
proceso
tercero
de
certification
independiente
de
como
un
el
reconocimiento
determinado
sistema
de
Gestion. (Vease en la figura 2.3),
Figura 2.2. Implantation SGSI (ISO 27001)
PDCA
Sc
por
de
Norma
las
fases
UNE
de
ISO/IEC
La
un
27001:
lo
cierto
gestion
2007 desde el apartado 4 al 8 de la Norma antes indicada.
certification de
es
con
que
una
las
un sistema
empresas
mayor
dedication
que
en
de
optan
Gestion de
por
e! ciclo
las
certificarse
de
mejora
TIC
no es obligatoria,
mantienen
continua
pero
sus
sistemas
en
su
de
busqueda
por alcanzar la excelencia.

Se
asignacidn
hace
de
metodologias
un
especial
entasis
que
minimicen
controies
de
analisis
de
riesgos
en
el
analisis
estos
que
riesgos,
existen
gestion
utilizando
en
el
de
los
una
mercado,
riesgos
de
y
las
la
muchas
aplicando
los
controies que se estimen adecuados de la UNE ISO 27002 (Conocimiento).
El
esquema
de
certification
sigue
la
secuencia
especificada
en
la
figura
2.3
que detallamos brevemente:
Presentation
de
solicitud
adjuntando
la
informacion
formal
ante
solicitada
e!
organismo
por
e!
Gestion
de
organismo
certification,
en
dicha
solicitud.
2.3.3 Auditoria Interna

En
Auditoria
el
apartado
Interna
del
SGSI;
Dicha
independencia
cabo
ia
Auditoria
supone
*
de
la
se
Norma
define
obviamente
Interna
implantation ni a la gestion del SGSI.
no
UNE
como
la
puede
ISO
27001
una
revision
exigencia
estar
de
vinculada
se
que
define
la
en
el
independiente
persona
forma
concepto
del
de
SGSI.
que
lleve
alguna
la
Revision
del
Manual
del
sistema
de
el Auditor extemo del organismo certificador.
los
procedimientos
por
48 AUPITOftiA DE TECNOLOGiAS Y SISTEMAS DE tNFORMACION
Visita
Previa
Auditon'a
del
Auditor
extemo
en
las
instalaciones
Pre-Auditor(a,
el
auditor
de
la
extemo
del
organismo
empresa
revisara
RA - MA
Certificador
(Pre-
cliente).
Para
realizar
Motor
del
Sistema
el
CAPiTULQ2. AUDI'IORIA DE Si vs. NORMAS DE BUENAS PRACTICAS49
RA-MA
esta
de
E3
Gestion y emitird un Informe con observaciones al respecto.
Pasado
un
tiempo
Auditon'a
del
prudenciai
Sistema
el
de
auditor
de
Gestion,
la
certificadora
revisando
el
reaiizara
Motor
la
ei
Conocimiento con la metodologia EDR anteriormente aludida.
tiempo
de
la
Certificacion
es
de
ties
anos,
realizandose
al
tercer
ano
la
Auditoria de Renovacidn que es similar a la Auditon'a Iniciai.
de
Como
se
puede
se
sigue
el
TIC,
hecha
de
la
apreciar
proceso
inclusion
del
en
de
estas
la
nuevas
Auditoria
novedoso
auditorias
de
Sistemas
Sistemas
de
Informacidn,
de
concept
de
de
Motor-Conocimiento,
Gestion
salvedad
que
hemos
intentado resumir al maximo en este capitulo.
2.4 CONCLUSIONES
AHALtStS 68 Ul..
La
ayudar
FROCSDIMtENTOS)
CUMTIONARIO 1
MCLtMINAR y SOLICITUO
impiantacion
las
entidades
de
a
normas
lograr
modelos
sus
de
objetivos
gestion
de
de
negocio,
TI
puede
coiaborar
aumentando
la
confianza
que pueden depositar en sus sistemas y tecnologias de la informacion.

INFORMS
La
en
AuoiTcxjii
MNqvAeroM
auditoria
tendra
de
mejores
SI
se
vera
evidencias
beneficiada
con
la
sustentacion
de
los
impiantacion
controies
de
estas
implantados
normas
en
un
si
es
entomo de TI.
RESXSTRO
SISTEMA OE
SESTldN
SERVIdOS
as
que
INFORME
dentro
FUN Rl ACCIONU
COBRSCTORAS
No
obstante,
es
del
marco
de
comprobacibn
1 RCS .
de
ia
respectiva),
detertninado,
para
extemos,
existen
si
como
necesario
la
tener
aplicacion
un
informar
en
certificacion
de
dictamen
a
deficienctas
ia
en
cuenta
de
los
el
una
requisites
independiente
Direccion
la
objetivo
norma
de
gestion
la
con
TI,
un
entidad,
en
su
auditoria.
muchos
establecidos
una
de
de
(en
en
alcance
o
casos
por
acepcion
la
y
la
norma
objetivo
rcquerimientos
mas
global,
para el negocio, en el presents o en un futuro cercano.

^ Au&rfdftu
IXTftAQRSI
2.5 REFERENCES Y BIBLIOGRAFIA
WABI.4
www.itgi.org
Figura 2.3. Modelo de certification de sistemas de gestion de TIC
El
Auditoria
resultado
Inicial
con
de
dicha
no
conformidades.
Auditon'a
En
quedara
case
plasmado
de
existir
en
un
informe
de
no
conformidades
de
www.isaca.org
importancia, la certificacion podna quedar suspendida pendiente de rectificacion.
COBIT 4
Para el caso de detectarse no conformidades "menores", se emitira una

certificacion
con
reservas,
quedando
pervdientes
las
oportunas
rectificaciones
cuya
subsanacion debera ser constatada por el Auditor en la auditoria de seguimiento.
IT Assurance Framework Draft - Agosto 2007
Una vez otorgada la certificacidn, el organismo certificador

anualmente Auditorias de seguimiento para detertninar si su sistema
las TIC sigue cumpliendo con las Normas (Motor).
llevara a cabo
de Gestion de
http://europa.eu.int/eur_ex/lex/JOHtml.do?uri=OJ:L:2005:077:SOM:EN:H
TML
Information
www.isaca.org
Security
HarmonisationClassification
of
Global
Guidance
50 AUDITORIA DE TECNOLOGIAS Y
Sarbanes-Oxley
Committee
Act
Complaints
DE INFORMACION
SISTEMAS
Compliance
Procedure
By
ORA - MA
Strategies
Mathias
for
Strasser
Implementing
Edgar
an
WeippI
Audit
Journal
COBIT
Management
MAPPING:
Institutet
MAPPING
Guide
to
OF
the
PMBOK
Project
WITH
COBIT
Management
Body
4.0
of
Project
Knowledge
(PMBOK Guide) Third Edition - 2006
- Volume 5 - 2006 - www.isaca.org

Security
CAPi rULQ 2. AUDITORIA DE S! vs. NORMAS DE BUENAS PRACT1CAS 51
RA-MA
standards
and
frameworks
Bob
Violino
Information Risks: - Whose Business - Are They? - ITGI - 2006
bviolino@optonline.nei. - COMPUTERWORJLD
Challenges
of
compliance
The
Cobif
bridge
Kenneth
Liew
COMPUTER-WORLD - Vol.12 - Junio 2006

1. Defina brevemente qud es el Ciclo de Doming. ^De que fases consta?
Alphabet Soup: Cobit, IT1L and ISO - www.csoonline.com - Febrero 2006
-<
COBIT
MAPPING:
MAPPING
OF
ISO/lEC
17799:2000
WITH
COBIT,
2. <,Cual es la relacion entre el motor y el PDCA en los Sistemas de ,
ed. - www.isaca.org - www.itgi.org

COBIT
Gestion de las TIC?
MAPPING:
OVERVIEW
OF
INTERNATIONAL
'(
IT
3. ^Que es el conocimiento en el modelo Motor - Conocimiento de los ,
GUIDANCE, 2a ed.- www.isaca.org - www.itgi.org
Sistemas de Gestibn de las TIC?

COBIT
MAPPING:
MAPPING
OF
SENS
CMM
FOR
SOFTWARE
WITH
Convergent
Infrastructures
International
Security
(Informs
(ASIS),
Risks
donde
Information
in
4. En un SGSI-Sistema de Gestion de la Seguridad de la Informacion,
COBIT4.0- ITGI 2006 - www.isaca.org - wwwitgi.org

Physical
participan
Systems
las
Security
Systems
-siguientes
Security
and
organizaciones:
Association
(ISSA)
i,cuai seria la base o fundamento del sistema?
IT
ASIS
la
5. En la metodologia Evaluacion de Riesgos, explique brevemente las

pruebas de cumplimiento y sustantivas. 1
ISACA. - 2005
IT
Control
Objectives
for
Sarbanes-Oxley,
2J
ed.
Septiembre
2006
www.isaca.org - wwwitgi.org
Guidance
on
Aligning
COBIT,
ITIL
and
ISO
17799
By
Gary
Hardy
www.isaca.org
Journal on line - 2006 - www.isaca.org

ITGI
Issues
Val
ITNew
IT
Value
Framework
www.itgi.org
Control Practices14 - www.isaca.org - www.itgi.org
Governance of Outsourcing - ITGI. 2005 - www.itgi.org
" E.ste docurotnto cxpandc la presentation de los centrales, con una vision mas ptactica y ton mayor information.
6.
En un modelo de Certificacion de Sistemas de Gestion de TIC,

explique brevemente que es la Visita previa y la Auditoria Inicial.
Capitulo 3
h
v;
METODOLOGIAS DE CONTROL LNTERNO,

SEGURIDAD Y LA AUDITORIA DE SISTEMAS
DEINFORMACION
Jose Maria Gonzalez Zubieta
3.1 INTRODUCClON A LAS METODOLOGIAS

Segun
con
el
orden
"METODOLOGIA
cientifico
diccionario
una
en
cosa".
como
una
el
de
la
lengua
Asf
conjunto
exposition
"METQDO
misrno,
es
define
de
metodos
doctrinal,
que
el
el
que
de
decir
diccionario
modo
la
se
permiten
siguen
en
abordar
hacer
palabra
un
dste
trabajo
de
forma
organizada y consecuente".
Esto
significa
que
cualquier
proceso
cientifico
debe
estar
sujeto
una
disciplina de proceso definida con anterioridad que llamaremos METODOLOGIA.

La
Informatica
ha
sido
aspectos.
ha
sido
necesario
doctrina
que
la
componen,
desde
tradicionalmente
por
su
ello
la
disefio
una
materia
utilizacion
de
eompleja
de
ingenieria
en
metodologfas
todos
sus
en
cada
hasta
el
desarrollo
mucho
de
su
del
software, y como no, la auditoria de los sistemas de information.

Las
metodologias
usadas
por
un
profesional
dicen
entender su trabajo, y estan directamente relacionadas con su experiencia

profesional acumulada como parte del comportamiento humano de "acierto /error".
forma
de
54 AUDITORIA DE TECNOLOGIAS V S1STEMAS DE INFORMACiQN
Asi
rnismo
profesionales
por
ello
una
alcance
lo
un
habitual
profesionales,
metodologi'a
resultado
del
desarrolladas
uso
de
por
es
necesaria
homogeneo
tal
metodologias
los
mas
para
como
en
si
las
expertos,
que
uno
un
solo
empresas
de
lo
C'APITUI.O 3. METODOLOGIAS DE CONTROL [NTERNO. SEGURIDAD... 55
RA-MA
CRA-MA
equipo
de
hiciera.
Es
Por
auditoras/consultoras
esta
manera
se
pueden
conseguir resultados homogeneos en equipos de trabajo heterogeneos.
tanto,
debemos
profundizar
mas
en
ese
entramado
de
contramedidas,
gara yer que papel tienenjas metodologias y los auditores en el mismo.

Para
explicar
este
aspeeto
diremos
que
cualquier
contramedida
naee.de
la
composition de varies factores expresados en el "grafico valor" de la figura 3.1.
La proliferation de metodologias en el mundo de la auditoria y el control

informaticos se pueden observar en los primeros anas de la decada de los 80
paralelamente al nacimiento y comercializacton de determinadas herramientas

metodologicas (como el software de andlisis de riesgos). Pero ei uso de metodos de
Estndares
auditoria es casi paralelo al nacimiento de la informatica.
Polftieas
Funciones
Procedimientos
Dentro
el
uso
de
del
mundo
metodologias
es
de
la
una
practica
informatica
existen
muchas
habitual.
Una
es
trata
identificar
dtsciplinas
la
seguridad
en
de
las
que
sistemas
Planes
de
information.
Atrnque
la
seguridad
de
logica
extendiendose
sus
forma
de
simplista
se
sistemas,
nada
los
raices
todos
de
esti
los
mas
iejos
aspectos
que
la
de
seguridad
la
informatica
realidad
suponen
hoy
riesgos
en
dia,
para
la
Informatica
Usuarioa
Hardware
informatica.
Este y no otro debe ser el campo de actuation de un auditor informatico del
siglo
XXI,
en
uno
de
Jos
grandes
simbolos
del
desarrollo
tecnologico
de
la
6poca
de la humanidad que nos ha tocado vivir.

SI
defrnimos
INFORMACION"
por
la
como
informatica,
proceso
de
la
la
doctrina
entonces
protection
"SEGURIDAD
la
que
trata
auditoria
de
es
preservation
de
DE
una
la
los
de
LOS
riesgos
sus
SISTEMAS
informaticos
figuras
information
involucradas
de
sus
creados
en
este
rnedios
de
Por
acciones
tanto,
esta
y
y
el nive! de
direetamente
medidas
seguridad
relacionado
destinadas
informatica
con
proteger
la
en una
calidad
preservar
y
la
entidad
eficacia
es un objetivo
de
information
un
de
conjunto
Resumiendo,
los
Todos
la
entidad
que
contramedidas,
hay
y
la
informatica
que
lacaiidady
proteger
la
en
y
eficacia
una
entidad
preservar""a
de
las
la
mismas
erea
unos
entidad
es
el
asi poder identificar sus puntps debiles y poder mejorarlos. Esta es una de las
fimciones de los auditores informaticos.
con
riesgos
un
objetivo
informaticos,
entramado
evaluar
LA
a
de
sus medios de proceso.
de
Figura 3.1. Factores que intervienen en la composicion de una contramedida

los
faGtores
de
la
piramide
jntervienen
en
la
composition
de
una
que
debe
contramedida.
proceso.
evaluar
SISCAI.lH .Pin
DE
de
existir
lo
NORMATIVA
curnplirse,
general
tanto
io
nomias
normativa,
debe
alcanzarse
una
normativa
desde
el
particular/t)ebe
politicas
que
definir
debe
de
su
el
de
panto
forma
de
inspirafse'eh
empresa,
resto
del
caracter
clara
vista
precisa
conceptual
estandares,
todo
lo
como
politicas,
praetico~~riesde
marco
juridico,
experienctaTââ'prbjesfonairDesltrrolltiiSo
valor".
"grifico
disciplinario
sean
el
Se
puede
unico
dar
control
de
el
la
caso
un
en
riesgo,
pero no es frecuente.
para
-^LA
O R G A N I Z A C l 6 N **s<^n
actuacimj^xoncretas^rocedimrentos
por.la
direction
de
la
empresa.
personas
definidos
Este
es
el
con
funciones
metodologicamente
aspeeto
mas
importance,
naoaes posible. Se pueden establecer controles sin alguno de los demas aspectos,
especi'ficas,
y
dado
con
aprobados
que
sin
el,
5b AUDITORIA DE TECNOLOGiAS Y S1STEMAS DE INFGRMACI6N
C RA-MA
CAP!! Ui.O 3. MHTODOLOOiAS DE CONTROL INTERNO, SEGURIDAD... 57
RA-MA
de una situacion inicial deterrninada (y a mejorar) a una situacion rncjorada
, pero nunca sin personas. Son estas las que realizan los procedimientos y
. desarrollan los Planes (Pian de Seguridad, Plan de Contingencies, auditorias, etc.).
(vease en la figura 3.2).
LAS METODOLOGIAS son necesarias para realizar cualquier proyecto

que nos propongamos de mariera ordcnaday eficaz. " '
Cornite de Seguridad tie

Information
LOS OBJETIVOS DE CONTROL son los objetivos a_cumpiir en el
Seguridad Corporatr</a
goftfroj ,de .[os^rocesus. Este concepto es el mas jmportante despues de "LA
Control interne
> ORGANIZACION", v solamente de un pfanteamiento correcto de los mismos,
+ Dptode Informatica
y T e a K s t a s . ^ ^
* Opt os de Usuario s
) : .. LOS PROCEDIMIENTOS DE CONTROL- son los procedimientos

: operatives de las distintas areas de la Empresa, obtenidos con una "metodoTogia
Direction del Plan de Seguridad
* apropiadaTpara la corisecucionde" u~no ITvanos" oBjetivos de control y por tanto
Control Intoniwtico
^ debet! estar documentados y aprobados porfOîreccIonT " " ~
Responsable de Fichero
* Controles Generafes
informaticos
* La tendencia habitual de los informaticos es a dar mas peso a la

\j
herramienta que al "control o contramedida" pero no debemos olvidar que "una
mejor '. Sin la existencia de estos procedimientos, las herramientas de control son
Auditoria
Informatica
* Plan Auditor
Dlctarnenes
herramienta nunca es una solution sino una ayuda para conseguir un control
-y solamente una anecdota.
Figura 3.2. Organizacion de la seguridad de sisiemas en las organizaciones

) Dentro de TECNOLOGIA DE SEGURIDAD,. estan todos los.elemcntos,
En
^ ya_sean hardware" 6 software, que ayudan a controlar un riesgo informattco.

la
Dentro oe este concepto estin los cifradores, autentificadores, equipos "tolerantes
politicas.
) al failo", las herramientas d^confi^êtcT^*' * " '

J
nonnativa y un objetivo de control. " *"
Sisiemas en una institution, se estan evaluando todos estos factores (piramide) y
tanto
esta relacionada con la de los demas. Cuando se evalua el nivel de Seguridad de
conforms
se
plar.tea
un
vayamos
Plan
de
realizando
Seguridad
los
nuevo,
distintos
que
proyectos
; > todos por igual. Al finalizar e! plan se habra conseguido una situacion nueva en la
j
que el nivel de control sea superior al anterior.
1 Llamaremos PLAN PE SEGURIDAD a una estrategia planificada de

( acciones*\ proyectos que lleven ~a~un sistema de infonnacir6ny a sus centros de
que
control
involucrada
seria
intemo
en
la
el director
auditoria
realization
de
la
estrategia
informaticos.
de
los
La
y de
las
funcidn
de
procedimientos
de
control
los
mejore
del
distintos
trabajo
aspectos
que
trasTmmriar
caracteristicas
que
son
designs
las
visitas
su
su
trafeaior?a^resentaci6n
de
su
funcion
PLAN
concretas
dej
son
AG1)IT5R,
al
centro,
infonnede
totafmente
con
con
unas
objetfvbs
resultados.
distintas.
Por
Logicamente
tambien sus metodos de trabajo.
todos
los
factores,
plan,
no
iran
aunque
mejorando
Queda
informatica,
quedaria
muy
grandes,
o
las
la
la
con
complejas.
figuras
dos
de
fiinciones
laborai,
Esto
informatica.
Asi
clasicas,
organizaciones
deben
la
lo
ser
labor
que
quedaria
por
tenemos
auditoria
la
se
diferenciadas en sus credencialex y certificaciones.
las
llama
que
se
decir
control
de
estructuras
son
seguridad.
las
de
organizaciones
descentralizar
no
la
fimciones
"segregation
en
que
existen
dos
tiende
tendencia
que
profesionales
independientes
de
decir
multinacionales,
mismo
Pero
es
Nos
dependencias
paralelas.
fiinciones
(as
ambas
disciplina
comprometida.
y
incluso
crear
de
que
por
estas
mas
dentro
decir
que
entre
organizativas
hasta
pues
dado
mediatizada
fiinciones"
variantes
/
un cornitd
parte
ve
de
las
funcidn
;;
I
de
concretos
Todos estos factores estan relacionados entre si y la calidad de cada uno
otra
se
caracteristicas
) --1-------_
intemo
evaluation
'
por
parte
y es una labor de dia a dia. La funcion de auditoria informatica esta centrada en. la
) permiteV defmir uno o yarios--procedimientos de control, para cumplir una

J1
3.2 se muestra la organizacion de la seguridad de sistemas en
figura
Por una
control
LAS HERRAMIENTAS DE CONTROL son eiementos software que
la
empresa.
dos
Asi
la
mas
que
es
que
fiinciones
pero
nunca
sin
personas.
Son
estas
[as
que
realizan
los
dcsarrolian los Planes (Plan de Seguridad, Plan de Contingencias, auditorial etc.)(A
LAS METODOLOGjAS gon necesarias
quen^s'prdpd'ngambs de manera ordenaday eficaz. ' ........ ......
LOS
control,de
DE
OBJETIVOS
los
procesos.
y
ORGANIZATION-
CONTROL
Este
concepto
soiamente
de
para
los
son
es
un
E RA -MA__CAPiTULQ.3.
RA- MA.
56 AUDITORIA DE TECNOLOGIAS Y SISTEMAS DE rNFORMACIQN
el
procedimientos
cualquier
objetivos
en
despues
CCOTROU
son
de
una
PROCEDIMIENTOS
operatiyoS"
de
apropTada',
para
las
distintas
ia
DE
dreas
de
consecucion
!a
de
el
de
los
tendeneia
herramienta
que
henramienta
nunca
mejor".-Sin
la
habitual
ai
"control
es
una
existencia
de
los
Ertipresa,
los
obtcnidos
informaticos
contramedida"
solucion
estos
sino
(y
mejorar)
una
situacion
mejorada
. Control Intemo
mismos,
Dptode Informatica
Dptos de Usuarios
de"uno~o'"vandro6Ietivos
de
determinada
Seguridad Cprporsft'wa
"LA
con
~de
es
una
metodbTogia
control
pero
una
no
las
mas
debemos
ayuda
procedimientos,
dar
para
poTtanto
peso
olvidar
que
conseguir
herramientas
Direction del Plan de Seguridad
procedimientos
debêstar documentadosyaprobados porta*Direcci6nr *" ' "

La
inicial
gj Co mite tie Segurid.nl de

Information
saldran unos procedimientos eficaces y realistas.........

LOS
situacion
proyecto
a_cump!ir
tnasjmpqrtante
correcto
nmceso
(vease en la figura 3,2).
realizar
planteamiento
METODOLOGjAS DECONTROL 1NTERNQ. SEGURIDAD... 57
un
de
la
"una
C o nt r o l I r t fo r nr it ic o
Responsable de Fichero
Controles Generates
Informaticos
Auditoria
Informatica
Plan Auditor
* Dictamenes
control
control
son
soiamente una aner.dota. ,

Dentro
sean
ya
Pootrq
TECNOLOGl
de
hardware
de
este
software,
concepto
DE
SEGURIDAD^
que
ayudan
los
cifradores,
estan
eatan
controlar
todos
un
riesgo,
autentificadores,
"tolerantes
Todos
en
Sistemas
se
estos
plantea
conforme
todos
una
un
igual.
la
de
de
se
relacionados
demas.
finalizar
los
el
Cuando
estan
distintos
plan
se
se
que
si
evalua
la
y
el
calidad
nivel
que
una
de
de
(piramide)
estos
factores
todos
Los
del
plan,
una
no
uno
Seguridad
todos
conseguido
cada
de
tnejore
proyectos
habra
software
cumplir
control
factores,
iran
situacion
PLAN
DE
SEGURIDAD
una
estratcgia
otra
se
muestra
parte
ve
la
organization
de
la
seguridad
un comity que serla el director de la

control
involucrada
los
tanto
distintos
de
trabajo
intemo
en
la
las
aspectqs[
que
yUaslefnmwTu
concretos
auditoria
realization
de
informaticos.
de
los
sistemas
en
y de
las
funcion
de
estrategia
La
procedimientos
de
control
que
son
las
designe
visitas
frâj6,'fa"prêntaci6n
caracteristicas
de
su
su
del
foncion
PLAN
concretas
A^JDtT^R,
al
centro,
informe
son
de
totalmente
con
con
unas
objetfvos
resultaHos.
distintas.
Por
Lbgicamente
tambien sus metodos de trabajo.
en
la
Queda
informatica,
quedaria
por
de
pianificada
de
muy
grandes,
funcion
variantes
decir
que
entre
organizativas
hasta
pues
dado
mediatizada
funciones"
Llamaremos
se
aunque
que el nivel de control sea superior al anterior.
acciones y proyectos "que lleveh a~un sisTema de informacTon v a sus centres de
3.2
y es una labor de dia a dia. La funcion de auditoria informatica esta centrada en la

evaluation
mejorando
nueva
figura
intemo
caracteristicas
entre
evaluando
nuevo,
Seguridad
realizando
Al
estan
los
institution,
Plan
vayamos
por
factores
con
.son
elementos
de
control,
para
la
la empresa. Por una parte

politicas.
V
LAS
HERRAMIENTAS
DE
CONTROL
definir
uno
o
varios
-procedimientos
permiteri^
normativa y un objettvo de control. " -
reiacionada
Eh
informatico.
equipos
al fallo", las herramientas de conffdl, eUn~ *"~ * ~ .......
esta
Figura 3,2. Organization de la seguridad de sistemas en las organizaciones
los.elementos,
las
que
ambas
la
disciplina
comprometida.
y
incluso
figuras
dos
de
con
dependence
As!
paralelas.
clasicas,
organizaciones
diferenciadas en sus credenciaies y certificaciones.
es
Nos
la
lo
ser
que
quedaria
por
tenemos
auditoria
la
y
de
se
que
se
decir
control
las
llama
decir
.existen
estructuras
son
seguridad.
las
de
organizaciones
descentralizar
no
la
funciones
"segregation
en
que
de
dos
tiende
tendeneia
que
profesionales
independientes
labor
multinacionales,
mismo
Pero
deben
laboral,
Esto
informatica.
funciones
las
funciones
la
complejas.
crear
de
estas
mas
dentro
por
Asi
dos
la
mas
que
es
que
funciones
58 AUDlTORtA DETRCNOLOOUS Y SISTEMAS DE INFORMATION
Tambien
eoncepto
conviene
seguridad
diferenciados
aclarar
integral
seguridad
electronica),
nada
desde
muchos
sistema
que
de
sean
hace
videovigilancia
dos
sectores
que,
aunque
tratando
como son el de
escuchado
t RA-MA
la
seguridad
mas
lejos
anos,
en
IP
se
de
la
de
la
que
no
EJ
algunos
urtir
los
sector
datos
de
y la
que
nada
utiliza
el
seguridad
fisica
topico
que
se
ha
Porque
que
en
un
una
R1ESQQ: la probabilidad de que una amenaza llegue a acaecer por la
VPN'
no
fisica
existencia
(o
este
seguridad
absolutamente
objetivo.
con
la
se
sectores
information
es
foros
dos
realidad
protejan
convergentes.
en
de
CAPITULO 3. METODOLOGIAS DE CONTROL 1NTERNO, SEGURIDAD... 59
RA-MA
"
una
EXPOSICION
significa
tiene
"de
Ejemplo:
vul'nerabilidad.
los
datos
estadlsticos
de
cada evento de una base de datos de incidentes.
coches
IMPACTO:
Eieml?Io:~"es'"ffecuente
evaluar
aunque
es,
no
giempre
lo
evaluacion
la
el
como
irnpacto
vidas
del
en
efecto
del
terminos
humanas.
imagen
riesgo.
economicos,
de
la
empresa,
honor, defensa national, etc.
blindados y no significa que confluyan este sector y el del automovil.
Las amenazas reales se presentan de forma compleja y son dificiles de

i
predecir. Ejemplo; por varias causas se rompen las dos entradas de agua e inundan
' i
W > it
Li
fas lineas telefdnicas (pues existe un poro en el cable) y hay un cortocircuito, y se
quema el transfonnador de la central local. En estos casos la probabilidad
resultante es muy dificii <ie calcular.

i
LaS metodoiogias de analisis de.riesgos.se utilizan desde los anos 70 en la
>4
*
Las metodologias que se usan en el

todas las necesarias para realizar un plan
informatica. ~"
mundo de la seguridad de sistemas son

de seguridad y ademas tardiTauditoria
;;
industria del segurd basandose en grandes volumenes de datos estadisticos
agrupados en tablas actuarias

Se
w
>i
Las
de
ANALISIS
enfoques
por
dos
la
metodologfas
DE
distintos.
falta
de
de
RIESGOS
La
yjas
auditoria
controles,
evaluation
de
que
sistemas
por
AUfflTORIA
informatica
mientras
de
solo"
el
de
son
INFORMATICA,
identifies*
analisis
antonomasia
riesgos
con
los
refitstros
'dos
los
calculos
riivei
de
"exposition"
palses,
facilita
la
"evaluacion"
ocultacidn
el
emplearon
las
la
de los riesgos, y recomienda acciones en base'al costo-beneficio de las misinas.
en
estadtsficos
la
probabilisticos
estos
datos
de
informatica
los
no
infomiatica
de'incvdehtes
es
pobre.
son
muy
afectados,
cambiante,
que
en
son
los
80,
escasos
Aunque
fiables
y
y
existen
por
adolecen
del
portanto
bases
el
de
varios
motives:
la
localization
geografica,
las
los
riesgos
presentan
se
en
problema
ngor
incidentes
la
que
en
de
varios
tendencia
distintas
un
de
cientifico
a
la
mentalidades,
periodo
de
tiempo
solaraente (ventana de criticidad), etc.

Introduzcamos una serie de definiciones para profundizar en estas
.AMENAZA:
pelifiriTb
)k
una(s)
persona(s)
catastrofe.
sabotaje,
agujeros
divulgation
de
cosa(s)
vista
como
^^^lqswnundacion^ncendio,
publicados,
datos,
falta
impiicacipnes
de
posible
robo
fueate
de
la
ley,
Todos los riesgos que se presentan podemos:
datos,
SXpor
emergencia,
procedi"mientqs"de
con
de
ejemplo:
no
construir
un
centro
donde
hay
peiigro
' "viciones)
aplicaciones"mal
fya cgw'wO
disenadas, gastos incontroiados, etc.

tNSFERJRLQy (por ejemplo: uso de un centro de-oaloulo
situation
^^.NERABILIDADTja
controles,
entomo
control
con,
la
inforiitico.
de
que
la
Ejemplos:
versiones,
creada,
por
amenaza
pudiera
falta
de
inexistencia
la
control
de
falta
de
acaecer
de
un
acceso
control
magneticos, falta de separation de entomos en el sistema, falta de
uno
asi
logico,
de
varios
afectar
a!
falta
de
soportes
JLEDUClRLt>>
(por
ejemplo;
sistema
de
detection
ASUMIRLQStiQue
es
lo
que
se
hace
si
no
se
controla
"at
Para los tres primeros, se actua si se estableeen controles o contramedidas.
y_extincion
de
'mcendiosj.
el
riesgo
en
60
AUDITQR -IA PH .
TECNOi-OGIAS
Todas
encaminadas
que
fa
control)
las_
mejodoiogias
establecer
probabilidad
de
sea
baja
lo
DEINPORMAC1QN
Y SISTEMAS
mas
existentes
mcjorar
que
las
un
al
en
seguridad
entramadu
amenazas
posibie
se
de
quede
sistemas
conlramedidas
materialmen
menos
de_
en
reduclda
que
Hechos
de
RA - MA
van
Retomo
garanticen
(por
una
15 RA-MA___CAP1TLH.Q 3. Ml.TODOLOGIAS DE CONTROL INTERNO, SEGURIDAD... 6!
falta
forma
de
Todos
varias
3.2.2 Tipos de metodoiogias
del
metodologfas
existentes
desarrolladas
utilizadas
en
la
auditoria
y el control informaticos se pueden agrupar en dos grandes familias. Estas son:
Cuantitativas:
basadas
en
un
modefo
contramedidas
de
entre
varias
babra
num^rico
quejiyudaa
deflnir
un
en
proceso
el
de
criterio
trabajo
raciocinio
seleccionar
humano
en
base
capaz
la
(ROI):
medida),
ALE
original
dividido
por
menos
el
coste
ALE
reducido
anualizado
de
la
de
experiencia
el
y
el
tras
opciones
otros
juego
analisis
riesgos,
de
disenados
de
riesgos.
identificar
de
plan
de
por
simulation
Esto
es,
activos,
los
que
en
el
de
El
entre
metodologico
debilidades,
elegir.
las
elegir
proceso
amenazas,
contramedidas
autores
permite
siempre
modeloo
juego
me permite elegir el mas apropiado en cada caso se llama "que pasa
tanto
metodoiogias,
ocurrencia,
inismos
acumulada. " ' " " ............ '
en
para
si", y cada metodologia uSa uno distinto que la caracteriza.

Por
basadas
Cualitativas:
la
coeficientes
usados
analisis
la realizacion del trabajo.
estos
son
de ensayo que
matematico
inversion
de
razonable
metodoiogias
las
la
resultado
medida.
en costo-beneficio.
Todas
de
(como
que
por
vemos
son por
los
nivel
con
una
pocos
claridad
parte
!a
registros
mundial.
dos
debilidad
de
grandes
de
incidentes
ademas
la
los
y
inconvenientes
datos,
la
de la
poca
imposibilidad
de
estas
probabilidad
significacibn
dificultad
de
de
de
los
evaluar
economicamente todos los impactos que pueden acaecer.
3.2.2,1 METODOLOGIA CUANTITATIVAS
si
para
facilidad
por
con
caso
de
Disenadas
deTnetodolagios
probabilidad
registro
de
de
tener
de
forma
subjetiva
hace
para
grande.
en
de
el
de
unos
de
un
numero
pasa
ast
rigor
el
metodo
en
a
que_pueden
numericos.
de
planes
evento,
de
la
cientitico
riesgos
valores
riesgos
(riesgo)
no
Frente a la ventaja de poder usar un modelo matematico para el analisis.
lista
asignadqs
donde
Esto
restando
ayudar
una
analisis
ocurrencia
incrdencias
suficientemente
producir
de
que
incidencias
practica
al
elegir
compararse
Estosvalores
contingencias
se
deben
tienda
al
se
calculo.
Pero
entre
varias
en
son
extraer
infinite
aproxima
dado
entre
que
eL
de
un
sea
ese
valor
de
el
calculo
se
contramedidas
3.2.2.2 METODOLOGIA CUALITATIVA / SUBJETIVAS
datos
podriamos
Basadas
profesional
en
metodos
experimentado.
Pero
estadisticos
requieren
logica
menos
borrosa.
recursos
Precisan
de
un
humanos/tiempo
que
las
metodoiogias cuantitativas.
La tendencia de uso de ia realidad es la mezcla de ambas. En la figura 3.3
se observa un cuadro comparativo entre ambas.
aceptarlo.
3.2.3 Metodoiogias mas comunes
Hay varios coeficientes que conviene definir:
Las
ALE .^(Annualized Loss Expen tacy): rnultipliear ia perdida maxima

posibie de cada bien/recurso por la amenaza con probabilidad ms alta.
sistemas
son
metodoiogias
de
analisis
mas
de
comunes
riesgos
que
de
podemos
diagnosticos
encontrar
de
evaluation
de
seguridad,
las
de
la
fafta
controles
de
plan
de
el
contingencias y las de auditoria de controles generales.
3.2.3.1 METODOLOGLAS ANALISIS DE RIESGOS

Estan
desarrolladas
para
la
identification
de
de
establecimiento de un plan de contramedidas.
Reduction
entre
medida
el
del
coste
contra
ALE
(Annualized
anualizado
de
el
total
valor
protegiendo, en tanto por ciento.
la
Loss
Expectancy):
instalacion
del
bien/recurso
el
es
el
cociente
mantenimiento
(activo)
que
de
se
la
esta
Existen
dos
tipos:
las
cuantitativas
de ambas clases y cifaremos.algunas de ellas.
las
cualitativas.
Existen
gran
cantidad
62 AUDITORJA DE TECNQLQCHAS Y S1STEMAS PE [NFORMACitiN
**
"
'T
i!L
El esquema
basico
de
una
metodologia
de
analisis
de
riesgos
es
RA - MA
CApiTULO 3. METODOLOGIAS DE CONTROL iNTERNO, SEGURJDAD... 63
RA-MA
Funcionamiento
paquete:
en esencia
el representado en ia figura 3.4.
esquematico
basico
de
cualquier
Cuestionario
3.2,3.2 COMPARACION
PROS
CUANTITATfVA
CUALITATIVA
Enfoca pensamientos
mediante el uso de numeros.
Enfoque lo ampiio que se

desee.
Etapa 1
T
Etapa 2
Idsntiflcaf los riesgos
Etapa 3
Caicuiar el impacto
-v Etapa 4
Faeilita ia comparacion de
vulnerabilidades muv
distintas.
Proporciona una
jusiificantc para
contramedida.
CONTRAS
cifra
cada
Plan de trabajo flexible y

reactivo.
Estimacion de las perdidas

potenciales solo si son
valores cuantificable's.
Pueden excluir riesgos

significantes desconocidos
(depende de la capacidad
del profesional para usar el
check-list/guia).
Dependencia de un
profesional.
Simulaciones
I" Etapa 5
Incluye factores intangibles.

Depende fuertemente de la
habilidad y calidad del
persona! involucrado.
Diftcrles de manterter o
modificar.
Etapa 5
Se concentra en la
identifieacion. de eventos.
Estimacion de probabilidad
de estadfsticas fiabies
inexistentes.
Metodologia estandares.
Identificar (as contramedidas y el cost
Creadon de fos informes
Figura 3.4. Funcionamiento del software del analisis de riesgo

En
evalua
base
el
siguiente
etapa
llamaremos
en
la
Dependencia de un
profesional.
i
Figura 3:3. Tipos de metodologias para el ond/isis de riesgo
unos
impacto,
para
es
"r,que
la
de
(plan
cuestionarios
mas
mas
pasa
disminucion
contramedidas
Identificacion de eventos
reales mas elaros 4 no tener
que aplicarles
probabilidades complejas de
caicuiar.
tarde
importante
si?...")
los
de
se
pues
analizamos
riesgos
identifican
identificar
que
vulnerabilidades
contramedidas
un
juego
efecto
de
las
distinta
eligiendo
de
esta
manera
compondra
el
de
riesgos,
se
coste.
La
el
mediante
e!
analizados,
seguridad),
las
simulacidn
inforrne
(que
contramedidas
un
plan
de
de
la
final
evaluacidn.
De forma generics las metodologias existentes se diferencian en:
Si
son
utilizan
cuantitativas
un
subjetiva.
modeio
Aunque
cualitativas,
matematico
bien
esperanzas
matematicas
cuantitativas,
aunque
pensado
sea
algun
a!
si
para
sistema
aproximar
las
subjetivamcnte,
utilicen
aparatos
el
"Que
cercano
matematicos
Y ademas se diferencian en el propto sistema de simulacidn.
En e! INFOSEC'92 proyecto S2G14 se identificaron 66 metodologias dc las

cuales por limitaciones de tiempo se analizaron solo 12 con sus respectivos
pasa
la
si...."
eleccion
probabilidades
las
simulaciones, tienen una gran componente subjetiva.
por
metodologias
en
sus
64 AUDlTORiA DE TECNOLOGlAS Y S1STEMAS DE INFORMACSON
asl
el
prestacioncs
paquetes
de
dichos
paquetes
segun
consultores
del
equipo.
Estos
metodos
RISK
ASSESOR,
informe
BUDDY
de
este
SYSTEM,
trabajo
los
RA-MA
acabo
siendo
fabricantes
analizados
COBRA,
un
contraste
de
las
la
opinion
de
los
eran:
CRAMM,
NALIZY,
DDIS
BDSS,
BIS
MARION
de
estas
metodologias
ban
nacido
muchas
otras,
como
Posee
listas
de
ayuda
para
los
usuarios
debilidadcs, riesgos y contramedidas (sistema de ayuda).
Las
"Listas
posible
por
IA, etc.
la
figura
3.5
se
muestran
las
metodologias
mas
destacabies
en
de
ayuda"
introducir
Tiene
un
aprendizaje
En
experimentados
registro
la
los
informacion
cuestionarios
nueva
son
abiertos
cambiar
la
por
existente.
tanto
es
ahi
la
De
de
'Yque
con
su
pasa
si...?"
uso
posee
incidentes
que
cualitativo
en
van
su
pero
base
variando
de
las
al
tener
capacidad
conocimiento
esperanzas
una
base
rnatematicas
partida y adaptandose a los entomos de trabajo.
3.6 y 3.7 se expone la m
En las
de analisis de riesgos
PRIMA.
PONOERACI
VALORACB
ON
N
ECONOMICA
4
TOMA
PLAN
RfESGO
9E
ACCIONES
DE8IUDADES
OE
DATOS
ACCIONES
CORRECTQRAS
Figura 3.5. Principales tmiodos de ana lis is y gesiion de riesgos
PLAN BE
PROYECTO
S
riesgos informaticos con

Es
un
compendio
de
metodologias
espanolas
desarrolladas
entre
los
anos
PRIORIDAO
Sus caracteristicas esenciales son:

Cubrir las necesidades de ios profesionales que desarrollan cada uno de
los proyectos necesarios de un plan de seguridad.
Posee cuestionarios de preguntas para la identificacion de deSlIidades o
OURACldN
COSTO
1990 y la actualidad con un enfoaue subjetivo.
Facilmente adaptable a cualquier tipo de herramienta.
de
expresidn Abierta de su nombre.
ejemplo la MAGERIT (desarrollada por la administracidn
actualidad.
menos
Permite facilmente la generacion de informes finales.
AP+,
MELISA, RISAN, RISKPAC, RISKWATCH.

Despues
CAPiTULO 3. METOPOLOGiAS DE CONTROL 1NTER.NO. SEGURIDAD... 65
RA- MA
Figura 3- 6. Conceptos basicos de la metodologia PRIMA
de
o
de
66. AUDITOR / A
lECNOLOGIAS
DK
SiSTEMASDE
INFORMACION
RA -MA
CAPITUI.O 3. MF. IODQLOGiAS DE CONTROL (NTERNO,
RA - MA
procedimientos
progresiva
#Amenazas
lVu!nerabilidades
de
agil
actuation.
de
fos
encaminada
servicios
de
negocio
SECUMPAD ...
conseguir
afectados
por
67
una
una
restauracion
paralizacion
total
parcial de la capacidad operativa de la empresa,

Esa
estrategia
proceso de anaiisis
metodologias
que
materializada
y definiciones
existen
versan
importante
tener
en
un
manual
que es de
sobre
lo
el
es
el
resultado
que existen
proceso
de
metodologias.
necesario
para
todo
un
0 sea
las
obtener
dicho
plan.
Es
muy
continuidad
producir
en
el
pcrdidas.
negocio";
Todo
lo
en
cuenta
estudiar
que
que
todo
lo
el
coneepto
que
no considere este
puede
criterio
considerar
paralizar
no sera
la
nunca
es
"la
actividad
un plan de
contingencias.
FASES DE UN PLAN. Las fases de un plan son las siguientes:
FASE
necesidades
las
I:
de
mismas.
ANALISIS
recursos,
Esta
es
DISENO.
altemativas
la
fase
mas
de
Se
respaldo
importante
estudia
se
pudiendo
la
analiza
llegarse
problematics,
ei
al
las
coste/beneficio
final
de
la
de
misma
incluso a la conclusion de que no es viable o es muy costoso el seguir. En la forma
de desarrollar esta fase, se diferencian las dos familias metodologicas:

Figura 3.7. Fases de la metodologia PRIMA
Las
3.2.3.3 PLAN DE CONTINGENCIES

El
auditor
defae
de
Risck
desde
conocer
perfectamente
Ios
conceptos
de
un
plan
Los
de
el
Anaiisis
punto
registros
de
de anaiisis de
contingencias para poder auditarlo.
de
se
has
vista
de
incidentes
riesgos
al
an
en
el
estudio
probabilidad
igual
son escasos
que
y poco
de
de
que
hablamos
los
los
en
posibles
mismos
las
riesgos
sucedan.
metodologias
fiables, aun asi es
mas
facfi
encontrar este tipo de metodologias que las segundas.

Hay
varias
formas
de
liamarlo
pero
conviene
no
confundir
Ios
conceptos
que se manejan alrededor de Ios nombres.
no
asi
El
plan
de
contingencias
ei
plan
de
restauracion
C.P.D.,
pero
sobre
eventos
roturas
leves,
etc.)>
que
de
recuperation
intemo.
que
su
Este
suceden
duracion
va
dentro
no
afecta
de
negocio
enfocado
del
es
hacia
entorno
gravemente
lo
la
(caidas
a
la
mismo,
restauracion
del
pero
de
esta
fase
en
las
metodologias
de
Risck
1. Identification de amenazas.
2. Anaiisis de la probabilidad de materialization de la amenaza.
del
3. Selection de amenazas.
negocio,
Tambien
infonndtico
alcance.
El
de
entidad,
una
tareas
del
sistema,
contvnuidad
Las
siguientes;
se
plan
manejan
de
corporativo
y
veces
contingencias
cubre
puede
no
incluir
los
conceptos
corporativo,
solo
la
tambien
informatica
el
de
cuyos
sino
informdtico
plan
de
conceptos
todos
como
un
contingencias
son
los
solo
departamentos
departamento
4. Identificacion de entomos atnenazados.
de
5. Identificacion de servicios afectados.
mas.
Frecuentemente se realiza el informatico.

El
Plan
de
Contingencias
es
una
estrategia
planificada
constituida
por
un
conjunto de recursos dc respaldo, una organization de ernergencia y unos

6. Estimation de! impacto economico por paralizacion de cada servicio.
AnAlisis
son
las
68 AUDITOFUA DE TECNOLOGIAS Y SISTEMAS DE INFORMATION
RA-MA
basan
7. Seleccion de los servicios a cubrir.
CAPiTUt.0 3. METOOOLOGiAS DE CONTROL INTERNO, SEGURJDAD... 69
RA - MA
por
en
hechos
tanto
ciertos,
hacer
estudios
que
se
analizan
costo/beneficio
que
se
justifican
justifican
las
economicamente.
inversiunes
con
Permiten
mas
rigor
que los estudios de probabilidad que se obtienen con los analisis de riesgos.
8. Seleccion final del ambito del Plan.
Hay un factor importante a determinar en esta fase que es el "Time Frame",

o
9. Identification de alternativas para los entornos.
tiempo
antes
que
de
la
incurrir
empresa
en
puede
perdidas
asumir
con
significativas.
paralizacion
Este
de
la
factor
marcara
Esta
fase
actividad
las
operative
estrategias
de
terccra
son
recuperacion y se extraera del analisis del impacto.
10. Seleccidn de altemativas.
FASE
11. Diseno de estrategias de respaldo.
similares
en
II:
DESARROLLO
todas
las
DEL
metodologias.
PLAN.
En
ella
se
desarrolla
la
la
estrategia
seleccionada,
implantandose hasta el final todas las acciones previstas. Se definen las distintas
12. Seleccion de la estrategia de respaldo.
organizaciones
*
Las
de
Bussines
economica
que
soporta
escasas
del
pero
proceso,
de
la
Impact
imagen)
basan
que
actividad
tienen
o
se
el
del
grandes
menor
en
ocasiona
el
la
ventajas
de
estudio
falta
negocio.
empleo
de
emergencia
se
desarrollan
los
procedimientos
de
actuacion
generando asi la docuinentacion de! plan.
Estas
como
impacto
algiin
el
de
(perdida
recurso
metodologias
es
tiempo
del
de
mejor
trabajo
de
son
Es en esta fase cuando se analiza la vuelta a la normalidad dado que pasar
los
mas
de
la
situacion
normal
la
"altemativa"
entcndimiento
situacion inicial antes de la contingencia,
por
incluyen.
ir
mas
directas al problems.
FASE
las
Las tareas para las de Bussines Impact son las siguientes:
pruebas,
III:
sus
PRUEBAS
caracteristicas,
debe
concluirse
MANTENJMiENTO.
sus
con
la
recontraccion
y esto es lo que no todas las
ciclos
se
En
realiza
esta
la
fase
primera
de
la
metodologias
se
definen
prueba
como
comprobacion de todo el trabajo realizado y mentalizar al personal implicado.

As!
1. ldentificacion de servicios finales.
mismo
se
define
la
estrategia
de
mantenimiento,
la
organizacion
destinada a ello y la normatrva y procedimientos necesarios.para llevarlo a cabo.

2. Analisis del impacto. En estas metodologias se evaluan los dafios
HERitAMIENTAS.
En
este
caso
como
en
economicos y de imagen y otros aspectos no economicos, lo que les da
herramienta
una ventaja en los casos en los que intervienen otros vaiores que no sean
apropiada y mds tarde desarrollar la herramienta que se necesite.
es
una
anecdota
lo
importante
es
todas
tener
las
y
metodologias
usar
la
la
metodoiogia
los economicos.
3.3 LAS METODOLOGIAS DE AUDITORIA

INFORMATICA
3. Seleccion de servicios criticos,
Las
4. Determinacion de recursos de soporte.
informatica
producto
5. ldentificacion de alternativas para entornos.
8. Seleccion de la estrategia global de respaldo.

verse e! enfoque
de esta segunda
dc
audiiores intemos.
6. Diseno
Seleccidn
altemativas.
7.
de de
estrategias
globales de respaldo.
es
mas
practice
y directo
se va mas directo a las nccesidades reales de la entidad sin tener que justificar con
datos de probabilidades que aportan poco por la pobreza de los datos. Estas se
dos
estandar
homologacion
Como puede
unicas
son
metodologias
familias
de
las
las
mismas
que
distintas:
companias
a
nive!
podemos
las
auditorias
auditoras
internacional,
encontrar
de
en
controles
profesionales,
y
las
la
auditorla
generales
que
metodologias
como
son
de
una
los
71) AULMIORI A DE TECNOLOGlAS
El
sobre
objeiivo
ia
fiabilidad
resuUado
extemo
es
SISTEMAS Of. INEORMACION
tie
las
de
los
auditorias
un
cscucto
datos
de
del
0 RA-MA
generales
cQntroles
ordenador
informe
como
para
parte
es
!a
del
"dar
auditoria
informe
una
opinion
finaneiera".
de
auditoria,
E!
donde
se destacan lasvuinerabiiidades encontradas.

Estan
resultado
anotar
basadas
informes
sus
resuitados.
metodologias
no
las
de
trabajo
colaboracion
pruebas
es
aunque
la
consultoria
reaiizacion
sus
de
exiremo
el
y
de
es
contrario
la
de
por
ello
siempre
que
hay
auditorias
diferencia
anaiisis
a
la
riesgos
la
dan
de
debe
se
Estas
si
que
metodoiogi'as
mismas,
las
sino
usan
experiencia.
llegandose
la
estan
muy
dependen
existe
una
de
desprestigiadas
mucho
practica
esta
aberracion
cuestionarios
dado
que
de
demostrar
el apartado
solo
en
la
con
de
las
pruebas
de
de
metodoiogi'as
de
que
se
pero
la
no
experiencia
porque
sean
de
profesionaies
ios
necesita
como
de
una
informatica.
estime
vias
intemo
utiiizarlas
profesionaies
sin
usa
ayudas
contramedidas,
utilizari
de
metodoiogi'as
de
de
anaiisis
ninguna
de
el
riesgos
de
su
anomalias
trabajo
larga
Y
al
nacen
de
rapidamente.
experiencia
esta
la
dificultad
Esto
tutelada
formation
punto
en
es
una
debe
el
debe ser disenada
cuestionarios
riesgos
tanto
entre
auditoria)
trabajo
obtenidos
son
dirigidas
las
dos
existen
del
que
una
ser
es
que
tiene
Utopia.
gran
adquirida
necesario
y desarrollada
plan
objetivo
al
ejemplo
real
aplicacion.
de
de
una
todo
de
misma,
que
Asi
mismo
auditado.
metodologia
se
trabajo
la
de
Como
ve
en
el
habra
el
de
que
auditor
ejemplo
proceso
esta
que
describirlo
describe
en
del
bien
deben
auditor
real
de
detallados
Asi
a
si
mismo
revisar,
de
las
para
asi
si
su
es
sus
servira
auditoria.
El
auditor
estima
oportuno
definir
empieza
una
seguirlas
de
en
auditoria,
cambiando
anaiisis
profesionaies
tiempos,
le
la
cuando
metodologias
informatico
de
|o
deber
consultores
planificar
intemo
trabajo
debe
en
forma
de
que
riesgos
para,
principio
el
no
de
el
de
el
audilores
detecta
trabajo.
"tiempos
nunca
Por
medidos"
intemos.
ser
los
pruebas
auditor
de
para
hacer
cuantas
plan
de
debe
guia
debera
El
los
auditor
distintos
intemo
aspectos
debe
areas
hacerse
que
sus
defvna
en
metodologias
el
plan
necesarias
auditor
que
Estas,
su
factor
para
veremos
auditar
en
el
siguientc punto.
El
esquema
metodoiogico
del
auditor
esta
definido
por
el
un
profesional
plan
auditor
que
sin
E!
auditor
formacidn
mediante
tanto
el
3.3.1 Ejemplo metodologia auditoria de una aplicacion
informatico
METODOLOGIA DE TRABAJO
auditora
estudio
REVISION DE CONTROLES SOBRE APLICACIONES
ia
decir
que
la
por el propio auditor
metodologia
de
y esta sera Ia
trabajo
consultores
distintos.
dirigidas
por
de
la
la
de
evaluacion
grandes
campo
Los
tras
de
la
de
los
de
diferencias.
el
plan
figura
identification de
planificacion
exactas
completas
determinar
al
moment
que
oportuno.
los
Este
sistemas
area
de
producen
trabajo
es
importante en el trabajo de auditorias informaticas.
3.3.1.1 PROGRAMA DE LA REVISION
metodologias
similitudes
totalmente
y son preguntas
concretas.
mas
concepto
mas
aunque
riesgos
signification de su grado de experiencia y habilidad.

Por
caso
oportunas.
tanto
es
este
OBJETIVO:
Llegamos
el
de
apertura
el programa
alteruarivas
practica tutelada.
auditor
define
de
un
cualquier
vemos a continuation.
estas
empezar
expone
malas
experiencia que asume la foncidn auditora y busca una formula facil y rapida que le
permita
se
revisar
cuestionarios genericos, con una orientation de los controles a revisar.

En
para hacer auditorias. .

Todas
Tambien
confeccionar
siempre
para
recomendaciones
memorandum
las
auditoria,
punto
principal, dado que su funcion es vigilancia y esta se cumple si e! auditado se siente
porque
Ninguna
por
que
como la "auditoria de integridad".
en
formada
con
de
basan
el
necesaria
riesgos
falta
debe
contener
que
espera
auditoria
como
"pruebas"
vulnerabilidades
consustancial
de
que
definir
de
las
identificar
analisiS
el
para
clara
como
de
pruebas
por
afirmaciones,
al
caracterfstica
tratan
estandares,
apartados
consultoria
como
anaiizado,
llegando
la
tambien
sea
del
cuestionarios
Tienen
una
de
de
todas
pruebas,
pequefios
Esta
En
intemo
seguin
generalitas.
evaluacion
tienen,
controles.
el
en
muy
CAPi rUt .O 3. METOOOLOOiAS DE CONTROL INTERNO, SEGURJDAD... 71
RA- MA
la
tiempos,
de
3.6
falta
y
sistemas
Ambas
(anaiisis
tienen
entrevistas,
de
papeles
pero
los
anaiisis
de
de controles. Se
ven
son
por
de
ser
preguntas
mas
1. identificar el irea a revisar (por ejemplo a partir del calendario de

revisiones), notificar al responsable del area y prepararse utiiizando papeles
de trabajo de auditorias anteriores.
2. Identificar las informaciones necesarias para la auditoria y para las
pruebas.
informaciones
lai
vez
el
mas
3.
Obtener
etapa,
los
se
infonnaciones
defmcn
usuarios
entrevistas);
los
generales
objetivos
sobre
ei
especi'ficos
que
estarian
auditor
aprende
en
el
el
aicance
sistema
de
la
afectados
que
operacional.
auditoria,
por
consiste
la
el
En
Evaluation
identifican
(plan
de
practicas
revisar,
auditoria
a
8.
esta
identifican
se
entomo
CAPiTULO.3. METODOLOGlAS DECONTROL INTERNO, SEGURJDAD... 73
RA- MA
RA- MA
72 AUDITQ1UA Dfi TECNOLOGiAS V S1STKMAS DE rNFORMACION
de
se
de
la
revision
evaluan
control
los
y/o
resuitados
de
fuertes
debiles
puntos
intemo
en
relacion
con
4.
suficiente, reievante, fiable, disponible, comprobable y util.
una
compression
entrevistas
revisar;
se
operation,
los
examina
se
tratamiento,
fuerrtes,
con
(a
los
de
de
el
aspectos
datos),
caracteristicas
la
la
apJicacion/sistema.
persona!
documentation
identifican
salida
detaiiada
usuarios
de
mas
implicado
usuarios,
estructuras
de
de
del
de
se
sistema
desarrollo,
sistema
procesos,
ficheros
Aquf,
el
de
importantes
periodicidad
en
pistas
de
elaboran
las
Utilizando
de
y
criticos
e!
grave,
los
de
de
es
decir,
menudo,
son
contro!
de
flujos
entrevistas
la
peligros
control
de
as
en
apoyo
identificar
puntos
puntos
organigram
control
con
los
criticos
de
con
los
criticos
donde
ia
sobre
Revisar
identificar
el
procedimientos.
puntos
operacional,
El
auditor
en
eada
aquellos
puntos
donde
el
riesgo
es
mas
import
ante.
de
interface
de
un
en
sistema.
control
los
es
puntos
tiene
que
panto.
Los
mas
de
la
determination
la
auditoria
pruebas
de
las
no
procedimientos
se
formales,
de
flujos.
Asi
organization,
hace
se
politicas,
los
verifican
criticos
de
Una
verificar
de
los
los
procedimientos,
c)
puntos
necesidades
para
sobre
la
evidencia;
lo
que
debera
ser
escritos
datos
que
de
para
iniciar,
entrada,
los
en
usuarios
la
autorizar,
forma
entienden
recogcr,
de
un
manual
siguen
de
estos
los
documentos
numerados.
transacciones
codificados
fiiente
Tambidn
otros
campos
previamente
ctros
revisar
para
de
uso
documentos
para
determinar
codigos
de
identification
frecuentes,
para
determinar
mimmizar
errores
en
los
si
de
si
son
procesos
de
preparacion, entrada y conversion de datos.
informdtica.
procedimientos
planes,
en
los
Verificar
Revisar
son
entre
6. Diseno y elaboration de los procedimientos de la auditoria.

Ejecucion
y
y
Que se de la formation del "uso del Terminal" necesaria a los usuarios.
procedimientos manuales y autom&ticos
7.
aprobar
los
personal
basadas
procedimientos
y
usuario.
surgir
controles
el
conclusiones
operacional.
podriao
necesidad
necesarios
usuarios
sistema
que
riesgos
son
el
informaciones,
los
documentacion
en
eficientia
3 J. 1.2
preparar
Identificar
adecuaciori,
se
9. Preparacion del informe. Recomendaciones.
auditoria.
5.
etapa
de
programas
esta
procedimientos
(entrada,
los
datos;
En
los
efectividad. Cuando se identifique una debilidad, se determinant su causa.

Se
Obtener
de
su
expliea por que se bace la auditoria.
pasan
pruebas.
control.
herramientas
revision
el
controles
estandares,
seguimiento
internos
legates,
la
por
del
de
de
ayuda
de
estandares
ios
organigramas
de
del
de
trabajo
principios
los
generales
Cuando
sea
necesario^verificar
que
todos
los
datos
de
entrada
en
un
datos
de
sistema pasan por validation y registro antes de su tratamiento.
incluir
cumplimiento
etica
d)
podria
cumplimiento
descritos
b)
Se
informaticas
del
buen
procesos
requerimientos
de
Determinar
entrada
si
por
los
usuarios
terminales.
preparan
Comprobar
totales
la
de
contro!
existencia
de
de
una
los
reconciliation
de los totales de entrada con totales de salida.
a)
ia
de
Comprobar la existencia y seguimiento de calendarios de entrada de
contabiiidad y e) practicas generales de informatica.
datos y de distribution de informes (listados).

Se
hacen
revisiones
cumplimiento
cumplimentacion
revisiones
de
sustantivas
procedimientos.
eran
sustantivas.
pruebas,
Si
generalmente
Dentro
de
este
las
como
resultado
conclusiones
positivas,
punto
se
del
de
de
la
la
podrian
programa
de
revision
del
revision
de
Determinar si el arcbivo y retention de documentos fuente y otros
limitar
las
formularios de entrada es logica y accesible, y que cumple las normas
la
revisidn
podriamos analizar si existen los siguientes controles.
Revisar !os procedimientos de correction de errores.
RA-MA
74 AUDLTOPJA DE TECNOLOGIAS Y SISTEMAS DEIWFORMACIQN
CAPITULO 3. METODOLOGiAS DE CONTROL tNTERNO, SEGURJDAP... 75

RA-MA_
Revisar los procedimientos de correction de errores.
, Comprobar la existencia de periodos para document* Rentes y

. soportes magn^ticos-
Identificar
con
deberian
CONTROLES DE ENTRADA DE DATOS
los
aparecer
usuarios
en
cualquier
momentos
codigo
especificos,
de
errores
pero
que
criticos
nunca
que
surgen.
^Se han desactivado los codigos o mensajes de error?
EstaMecer
los
expiican
limits,
procedimientos
las
revisiones
criterios
de
de
entrada
necesarias
validacion
de
de
control
entradas
datos
tie
de
dates,
salidas,
entrada;
codigos,
que
con
fecha
mensajes
deteccion de errores; la correction de errores y la reentrada de datos.
Para
sistemas
evitar
la
interactivos,
entrada
verificar
incorrecta
de.
el
uso
date*
de
funciones
metodos
de
preventives
ayuda
!a
para
Para
sistemas
con
fecha
interactivos,
y
hora
determinar
actual,
la
asi
con
de
datos
una
Revisar
los
logs
de
de
entrada
identification
del
Revisar
de
los
programas
validacion
de
acceso
por
lineas
de
telecomunicaciones
para
para
datos
determinar
(por
si
ejcmplo
Comparar, validar, apuntar y recalcular

criticos, por metodos manuales o automaticos.
Para
sistemas
establecidos
rutinas
de
controles
validacion,
conticneri
chequeos
procesos
de
internos
digitos,
test
interactivos,
determinar
campos
elementos
de
datos
que
los
Comprobar que los usuarios revisan

del sistema para validar sus contenidos.
regulannente
Revisar
funciones
matematicas
tienen implicaciones negativas.
redondean
Identificacion
de
transacciones
por
Revision
del
log
de
que
Restriccidn
de
la
posibilidad
de
datos
se
verifican
las
tablas
para
dejar
que
existen
Identificar
la
pistas
3a
posibilidad
programas y sistemas errores.
la
de
proceso,
actualizacion
de
los
de
transaction
otros
para
identificar
problemas
calculos
as
ver
si
para
por
Verificar
que
Comprobar
y
los
usuarios
existen
que
finales
totales
existen
automaticos,
de
auditoria
de
seguir
entre
la
por
encima
de
procesos
de
adecuadas
los
pista
en
el
diccionario
programas
los
de
datos
dentro
datos
de
de
todas
las
transacciones
de
control
para
confirmar
la
buena
en
validaciones
puntos
del
entre
interface
totales
entre
de
control,
procesos
manuales
manuales
automatizados.
Verificar
que
responsables
interrelation
pasar
interface entre tareas o programas,
a!
intern
Aceptacion
los
logs
operacionales
de
actividad
para
Ver los controles sobre la entrada de datos.
datos.
codigos
transacciones
no autorizados.
de
automatizados
de
Revisar los totales de control de entrada de datos.
Determinar
internos
momento
calculos de la aplicactdn.
momento de su entrada en el sistema.
al
validacion.
razonables, numero de cuentas, etc.). Evaluar su exactitud.
hay
encontrados por el operador y las medidas seguidas.
detemiinar posibles accesos y entradas no autorizados.
como
indicadores.
usuario/terminal y ubicacion.
si
tales
ficheros de transaction, referencia y maestro.
grabacion
corno
Ver
pantalla,
formatos fijos, el uso de menus y mensajes para e! operador.
CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE

DATOS
de
investigar
sistemas
accesos
se
revisan
y
por
los
manipulaciones
76 AUDrTORlA DE TECNQLOfilAS Y SISTEMAS DE (NFORMACidN
SA-MA
CONTROLES DE SALIDA DE DATOS
Determinar
si
los
Destruction de toda la documentacion de antiguos sistemas.
usuarios
comparer*
totaies
de
control
de
Ios
datos
de
entrada con totaies control de datps de saiida.
Que
no
se
aceptan
nuevas
aplicaciones
por
los
usuarios
sin
una
documentacion completa.
Determinar
para
si
control
de
detectar
crrores
evidentes
datos
revisa
tales
los
informes
como;
campos
de
de
saiida
datos
(iistados)
que
faltan,
Verificar
por
que
ejemplo
se
hace
nombre
una
identification
niimero
de
adecuada
informe,
fecha
sobre
de
ios
saiida,
informes,
nombre
Comparer la lista de
reciben en reaiidad.
deberian recibirlo?
Verificar
que
los
distribucidn de
^Hay personas
de
area/departamento, pagina y totaies} control si son necesarios.
documentacion
al
mismo
tietnpo
que
los
cambios
La
existencia
de
documentacion
de
sistemas,
de
programas,
de
documentados
materiales
CONTROLES DE BACKUP Y REARRANQUE
informes cor
que reciben
los
el
usuarios
informe
que
que
los
no
Existencia
de
procedimientos
de
backup
rearranque
comprobados para cada aplicacidn en uso actualmente.
informes
que
pasan
de
aplicabilidad
se
destruyen,
(centro
de
periodos
de
escritos
de
backup
para
entre
altemativo).
la
el
transferencia
C.P.D.
principal
Mantenimiento
de
de
y
el
sitio
un
inventario
datos
criticos
de
backup
de
estos
materiales.
* para cada uno y que se utilizan realmente y que esta autorizada la

peticion. .
existencia
Procedimientos
documentos
Revisar la justification dc informes, que exists una petition escrita
Verificar
la
suflciencia.
la
operacidn y de usuario para cada aplicacidn ya implantada.
que no pasan simplemente a la basura, sin seguridad de destruccidn.
de
modificaciones en los sistemas.
valores no razonables o formatos incorrectos.
Actualizacidn
Existencia de un plan de contingencia.
retention
de
informes
su
Identification
de
aplicaciones
ficheros
de
para
el
plan
de contingencia.
Revisar los procedimientos de correction de los datos de saiida.
Revisar
los
contratos
del
plan
de
contingencia
backup
para
determinar su adecuacion y actualizacion.
CONTROLES DE DOCUMENTACI6N
Verificar
de
que
dentro
aplicaciones
se
de
las
actividades
producen
de
desarrollo
documentation
de
mantenimiento
sistemas,
programas,
operaciones y funciones y procedimientos de usuario.
Existencia
que
de
mantiene
un
un
persona
archivo
especlfica
de
encargada
documentos
ya
de
!a
documentacion
distribuidos
Pruebas de aplicaciones criticas en el entomo de backup, con los
que
documentacion, personal, etc.).
personas.
Determination
de
cada
aplicacidn
que
se
revisa
si
es
un
sistema
critieo
y deberia incluirse en el plan de contingencia.
Grabacion
dia;
para
de
todas
facilitar
las
la
transacciones
reconstruction
ejecutadas
de
ficheros
por
teleproceso,
actualizados
cada
durante
el
caso
del
dia en caso de falio del sistema.

Comprobar que Ios jefes de area se informen de faltas de
documentacion adecuada para sus empieados.
Existencia
de
proccsos
failo de contingencia.
manuales
para
sistemas
criticos
en
ei
RA- MA
78 AUDJTORiA DE TECNOLOGIAS Y StSTEMAS DE INfORMACiON
Actualizacion
del
plan
de
contingencia
cuando
es
necesarlo;
CAPiTULO 3. MF.TODOi.OGiAS DE CONTROL INTERNO, SbGURiDAD - 79
RA-MA
Comprension por los usuarios de
pruebas
anuales.
C0NTROLES SOBRE PROGRAMAS DE AUDITORIA
Satisfaction
Distribution
de
politicas
de
areas
procedimientos
la
adquisicion,
sobre
escritos
desarrollo
a
y
auditores
uso
de
Revision
Participacion
del
auditor
en
la
Participacion
adquisicion,
de
modification/adaptation,
con
ia
informacion
que
produce
la
ios
controles
de
recepcion,
archivo,
proteccion
acceso
de
por
el
auditor
en
ia
pianificacion,
diseno,
desarrollo
Formation
apropiada
para
IDS
auditor
en
auditores
que
manejan
software
Controles
por
software
el
de
auditoria,
que
todas
sea
las
de
modificaciones
fuera
propio.
de
los
usuarios
de
en
la
diseno
elaboracidn
de
de
programas
requerimientos
revision
de
por
ei
usuario
en
!a
transferencia
de
informaciones
por
Resolution
feci!
de
problemas,
errores,
irregularidades
por
omisiones
buenos contactos entre usuarios y el personal del C.P.D.
adaptaciones
Actualization
de
especificaciones
intercambio de documentos.
auditona.
Participacion
activa
usuarios,
resuitados de pruebas.
implantation de software de auditoria desarrollado internamente.
del
de
Participacion
instalacion de paquetes de software de auditoria.
usuarios
datos guardados sobre todo tipo de soporte.
Uso de software de auditona unicamente por personas autorizadas.
ios
software
de auditoria.
de
aplicacion.
responsabJe
informes e informaciones de
salida de las aplicaciones.
Revisiones
rcgulares
de
procesos
automatization de aspectos p articular
manuales.
de
que
es o
podrtan
mejorarse
por
reforzamientos de procesos
la documentation de software.
3.3.U INFORMES
Verification
de
que
los
programas
de
utilidad
se
utilizan
correctamente
Las
(cuando no se puede utilizar el software de auditoria auditoria).
recomendaciones
son
razonables,
verificablcs,
iriteresantes
economicamente y tienen en cuenta el tamano de la organization.

Rcvisibn
de
tablas
de
contraseftas
para
asegurar
que
no
se
guardan
Para
identificaciones y contrasefias de personas que han causado baja.
ser
efectivo,
el
irtfotme
da
credito
a!
personal
del
area
tevisado
cuando se corrigen por ellos debilidades encontradas.
CONTROLES DE LA SATISFACTION DE LOS USUARIOS
Disponibilidad
de
politicas
procedimientos
sobre
el
acceso
uso
de
la informacidn.
Resultados
fiables,
completos,
punruales
exactos
de
las
aplicaciones
(integridad de datos).
Ei informe tiene un tono constructivo. Si es apropiado se anotan los puntos

fuertes.
El
tardardn
mas
lenguaje
que
utilizado
cuatro
deberia
semanas
contener
como
un
maximo,
minimo
de
despuds
de
terminos
las
tecnicos.
visitas
al
No
area
revisada. Para su distribucidn, se preparara un resumen del informe.

Despues
Utilidad
de
la
informacion
decision por los usuarios.
de
salida
de
la
aplicacidn
en
la
toma
de
de
la
revision
del
informe
revisada se distribuira a las otras personas autorizadas.
final
con
los
responsables
del
&rea
80 AUDITORJA DE TECNQLOOiAS Y SlSTEMAS DE fNFORMAClON
El
Todos
los
area
tiene
puntos
la
posibilidad
rechazados
se
de
aceptar
explicaran
por
rechazar
escrito.
cada
El
area
RA - MA
punto
de
control.
acepta
ios
riesgos
implicitos de la debilidad encontrada por el auditor.

Se
hace
un
seguimiento
de
la
implantacidn
de
las
recomendaciones,
CAPlTUt.O 3. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD... 81
Q RA-MA
para
resumen
para
hacerse
en
tres
niveles
vision
de
grado
definir
la
.1
esquema
metodologico
mas
auditoria.
son
gravedad.
de
repetition
Esta
"Bien,
Esta
de
evaluacion
Regular,
evaluacidn
ia
misma
en
nuestro
Mai",
final
nos
auditoria
en
pais
suele
significando
la
servira
para
future
segun
el
cuestidn. (Vease figura 3.8).
3.4 EL PLAN AUDITOR INFORMATICO

el
de
fecha
la
que
el nivel de exposition que se le haya dado a este tipo de auditoria en
asegurarse que el trabajo-.de revision produce resultados concretes.
Es
toda
importante
del
auditor
informatico.
En
este docurnento se debe describir todo sobre esfe funcion y el trabajo que realiza en
la entidad. Debe estar en sintom'a con el plan auditor de! resto de los auditores de la
entidad.
Nivel de exposition. Como ejemplo podemos ver la figura 318. El nivel
< de exposicion es en este caso un numero del uno al diez definido

i subjetivamente y que me permite en base a la evaluacidn final de la
ultima
auditoria
realizada
sobre
ese
tema
definir
la
fecha
de
la
repeticion de la misma auditoria. Este numero no conviene confundirlo

. con ninguno de los parametros Utilizados en el analisis de riesgos que
? esta enfocado a probabilidad de ocurrencia. En este caso el valor del
Las partes de un plan auditor informatico deben ser al menos las siguientes:
Funciones.
Debe
Ubicacion
existir
control
una
interno
dcscribirse
las
de
la
clara
figura
en
segregation
informatico
funciones
dc
el
de
este
debe
forma
organigrama
funciones
ser
precisa,
con
auditado
de
la
la
empresa.
Informatica
asf
Procedimientos
estan
el
para
las
mismo.
significa
la
suma
de
factores
como
impacto,
peso
(a
organization
las
auditorias.
de
entrega
de
revisarla tan a menudo. Lista de distribucion de informes.
interna
del
Seguimiento de las acciones correctoras.
tareas
apertura,
de
el
inibrme
de
entrega
prelirninar,
Entre
de
Tipos
de
mismas.
la
auditorias
Ejemplo:
LOPD,
de
auditoria,
las
Exister
una
ties
area
(ejemplo:
la
tipos
de
(ejemplo:
una
Corrective
realiza.
revision
de
de
auditorias
control
Action
la
Metodologias
la
seguridad
aplicacion,
aplicacion
fisica,
segun
interno,
de
revision
su alcance,
informatica),
seguridad
Review
(CAR)
iogica,
el
que
cuestionarios
de
facturacion,
revisidn
de
interno,
control
la
Full
limitada
un
de
base,
la
Sistema
de
evaluation
final,
como
debe
nivel
de
hacerse
de
Esta
auditorias
de
las
dreas
y
planificacion
no
auditar
deben
ademas
programadas
deben
repartirse
de
que
en
las
se
corresponderse
cuatro
cinco
repeticiones
anadido
estimen
oportunas
con
afios
de
deberan
distintos
aspectos
plan
acciones
esfuerzo
de
definir
economics,
de
varios
gestion
de
cumplimiento de normas, etc. y realizar una evaluacidn global de
que
en
etc.),
de
aspectos
recursos
evalua.
el
a
evaluar
un
horas
anual.
Deben
calendario
de
trabajo
que
estimarse
una
vez
previstas
tiempos
de
terminado
por
tanto
manera
racional
me
dara
un
los
recursos
resultado
que
se
Debemos
hacer
programada
con
cuestionarios
de
de
los
completa.
Esto
notar
que
es
metodologia
las
distintas
que
auditorias
trabajo
una
programas
de
se
hacer
puede
interesante
abieita
sin
tener
una
permita
facilmente
vez
dificultad
cubrir
defmida
con
herramienta
confeccionar
la
cuaiquier
los
hitos
los
y
metodologia
herramienta
potente que existe en la actualidad.
informe
humanos,
trabajo
necesitaran.
de
fases
un
gesticm
los
de
componer
de
aspecto
comprobacion
exista
que
el
trabajo.
Plan
etc.
o completa
software
es
las
acciones correctivas de auditorias anteriores.
Independientemente
Todas
metodologicos
componer anualmente el plan de trabajo.anual.
que
revision
quinquenal.
cuestionarios
de
discusidn
cierre
Plan
ellos
redaction de informe final, etc.
exposicion
Deben
distintas
procedimiento
debilidades,
de
el nivel de un area auditada porque esta muy bien y no merece la pena
de
departamento, con todos sus recursos.
nivel
del area, situation de control en si area. G sea se puede incluso rebajar
Las
metodologias
cualitativo/subjetivo.
Podemos
de
decir
auditoria
que
son
informatica
las
subjetivas
tanto estan basadas en profesioriales de gran nivel de experiencia y formacion,
son
por
del
excelencia.
tipo
Por
82 AUDITORfA DE TECNQI.OGIAS Y S1STEMAS D INFORMACIQN
capaces
gran
de
dictar
recomendaciones
profesionalidad
tecnicas,
formacion
RA-MA
operativas
continuada.
Solo
asi
juridicas,
esta
que
funeion
exigen
se
una
consolidara
en Jas entidades, esio cs, por el "respeto profesional" a los que ejercen la funeion.
Pero
que
que
y
Ciclo
Nivel de
Exposicidn
EvaluacwJn
Frecuencia/Visitas
18 meses
9 meses
10-9
ayudan
lean
el
en
a
este
control...
realidad
todas
conseguir
libro
"la
elias
mejores
trabajar
actitud
con
la
son
herTamientas
resultados.
las
Solo
unicas
aptitutP,
con
de
resta
trabajo,
animar
mejores
a
herramientas
verdaderas
una
vigilante
actitud
los
de
y
peores,
profesionalcs
la
una
auditoria
formacidn
continuada.
3.6 LECTURAS RECOMENDADAS

INFOSEC 1992/ PROJET S2014 / RiSCK. ANALYSIS. Final and Strategy
Report.
*M
6 meses
18 meses
9 meses
6 meses
24 meses
18 meses
12 meses
36 meses
24 meses
METODOLOGIAS PRIMA. Jose Maria Gonzalez Zubieta.

RISKPAC. Profile Analysis Corporation.
2
8-7
Metodologia CRAMM-
6-5
4-1
COBIT.
ISO 27001 y ISO 17799/2005
3.7 BIBLIOGRAFIA
J.M. Lamere, Y. Leroux,
techniques). Dunod informatique.
James
A.
Schweitzer,
J.
Orly,
La
Securite
Butterworths.
des
Managing
Reseaux
(Methodcs
Information
et
Security
(Administrative, Electronic, and Legal Measures to projetct Business Information).

M
18 meses
J.M. Lamere, La Seguridad Information (Metodologia), ediciones Arcadia.
Figura 3.8. Ciclo de auditoria
J.M.Lamere,
Dunod informatique.
3.5 CONCLUSIONES
Son
la
auditoria
Pero
como
profesional
nivel
similar.
muchas
de
pues
informdtica
resumen
de
cada
control
de
las
se
uno
metodologias
control
podria
y
cada
su
intemo.
decir
vision
entidad,
que
de
aunque
que
se
Muchas
la
como
el
pueden
las
encontrar
hemos
metodologia
conseguir
nivel
de
visto
es
un
el
mejor
control
en el
en
mundo
este
fruto
del
resultado
resultante
de
capitulo.
nivel
en
debe
el
ser
La
securite
des
petits
el
moyens
systemes
informotiques.
RA-MA
84 AUOITORiADETECNOLOGSAS Y SiSTEMAS DEINFORMACION
3.8 CUESTIONES DE REPAS0

1.
/.Que
diferencias
similitudes
existen
entre
las
metodologias
cualitativas
las cuantitativas? /.Que ventajas y que inconvenientes tienen?

2.
/.Cu&les
la
son
las
seguridad)?
componentes
/.Que
papel
de
una
tienen
contramedida
las
control
(piramide
de
de
control?
/.Cuales
son
Contingencias
existen?
herramientas
Capitulo 4
las herramientas de control inas frecuentes?
3.
/.Que
tipos
de
metodologias
de
Plan
de
/-En
que
se
difcrencian? /.Qud es un Plan de Contingencias?

*
4.
/.Que
metodologias
de
auditoria
informatica
existen?
/.Para
que
se
usa
cada
una?
EL CONTRATO DE AUDITORIA
5. /.Que es el nivel de exposicion y para que sirve?

6.
/.Que
diferencias
existen
entre
las
figuras
de
auditoria
informatica
control
control
interno
interno informatico? /.Cuales son las funciones mas import antes de este?
Isabel Dayara Fern&ndez de Marcos
7.
/.Cuales
son
las
dos
metodologias
mas
import
antes
para
el
informatico? /.Para que sirve cada una?

8. /.Que papel tienen las herramientas de control en los controles?
4.1 INTRODUCCION
9. /.Cuales son los objetivos de control en el acceso logico?

10.
/.Que
es
!a
certificacion
de
seguridad?
/.Que
metodologias se utilizan en el desarrollo de un SGSI?
A
aporta
la
ISO
17799?
/Que
pesar
de
de
comenzar
con
el
concepto
de
definiciones
que
Auditoria
comparativa
seguira
lo
diferencias,
largo
del
notas
Informatica.
la
legal
en el cqntrato
intentar
Para
por
ser
disponible,
las
centra
funciones
la
mas
terminaremos
de
con
este
esta
sus
de
una
que
se
importantes
apartado
auditoria
varias
plantear
comparativo
aim
antes
introduccion
presentando
a
esquema
proxima,
auditoria,
esta
empezaremos
Cuentas,
fases
de
en
pasaremos
de
y
delimitar
ello,
reconocidas,
Auditoria
trabajo
sobre
se
conveniente
altamente
con
referencia
algunas
analisis
creemos
doctrinales
includible
con
nuestro
ello
introductorio
los
sistemas
de
informacion. '
Una
vez
Informatica,
contrato
nos
concretado
analizado,
constituye el
marco
este
Para
figura
trabajo.
juridica
delimitar
(art.
legalmente.
las
partes
en
en
1261
lo
una
fmalmente
legal en que
lograr
este
que
consiste
todo
caso
Codigo
En
en
permitiremos
tres
Civil),
cuanto
intervinientes
al
posible
breve
pasaremos
ambito
de
estudiar
actuation
la
la
se desarrolla esta actividad
objetivo
todo
principal,
contrato
eiementos
nuestro
prestadoras
dado
como
la
figura
la
voluntades
consentimiento,
esta
su
que
y que es el objeto de
en
dicho
del
contractual
de
seguira
Auditoria
juridica
acuerdo
cerstraremos
de
de
naturaleza
que
esenciales:
estudio
consentimiento,
como
el
aproximacion
definition
objeto
estructura
estudio
en
consentimiento,
especial referencia al perfil del auditor informatico, a su responsabilidad y a su
de
hay
y
la
que
causa
determinada
el
anaiisis
haciendo
de
una
C-RA-MA
84> AUDI'I OKJ'A Dh I'LCNOLOGiAS Y SISTEMAS PS INKORMAC'iQN
pertenencia
no
diferenciaremos
juieio
de
las
la
la
organization
distimas
auditoria.
areas
auditada.
Con
susceplibles
Finalmente,
relacion
de
ser
exarninaremos
las
al
objeto
sometidas
causas
de
del
la
la
RA-MA
rango
contrato
revision
contratacion
y
de
una auditoria y su posibie obligatoriedad.

La
Auditoria
independiente
competentes
sus
del
areas,
de
aplicables,
por
entorno
ios
cumplimiento
informdtica
objetiva,
de
de
una
informatico
estdndares
estos,
el
"comprende
parte
de
grado
y
ios
de
la
fijados,
satisfaction
de
la
independientes
ensidad,
procedimientos
objetivos
revision
personas
abarcando
todas
en
vigor,
su
los
contratos
usuarios
evaluation
teoricamente
algunas
idoneidad
las
normas
directives,
los
La
Information
Auditoria
la
revision
de
y
sistemas
Systems
evaluacion
controles
deben
se
de
de
ser
todos
no
Control
los
Association
coino
aspectos
(o
automdticos,
a
la
fundamentar
algima
de
una
ios
publicadas
el
auditoria
cine
riesgos
de
entre
razonable
resultantes
los
que
donde
Por
manera
su
objetiva
parte,
con
J
persona
ios
Ya
que
una
la
norma
y
el
no
vez
ISO
9000:2000
documentado
fin
de
para
determinar
define
la
obtener
el
auditoria
evidencias
alcance
al
como
y
utilization
contables
tenemos
mas, a
Espafia,
de
Decreto
la
la
1636/1990,
Auditoria
que
se
cumplen
IDS
una
la
de
definition
la
iegai
Auditoria
de
la
de Cuentas
Auditoria
e
Informatica,
intentaremos
hacer
un
normativa
en
materia
de
Auditoria
de
Cuentas
se
de
de
20
Cuentas
de
que
diciembre,
desarrolla
por
la
e!
que
LAC,
se
las
aprueba
el
Normas
Reglamento
Tdcnicas
de
Auditoria (NTA), y demas referencias dispersas en otras disposiciones de diferente
Ramos
Gonzalez.
M.A.,
Octava
Directiva
entenderd
de
por
La
auditoria
informatica,
en
Aetualidad
Informdtica
Aranzadt,
14,
enero
de
el
Ley
de
Mercantil
Auditoria
de
marco
(regula
auditoria
de
legal
Sociedades
y
Cuentas.
europeo
el ejercicio
las
examinados,
cuentas
independiente,
tecnicas
que
la
las
de
conspltas
En
el
en
ambito
materia
profesional),
actividad,
consistente
revision
de
economico-financiera
fiabilidad
la
de
Cuarta
y
de
como
objeto
por
analizar,
verification
deducida
tiene
realizada
en
idoneas,
los
la
una
mediante
la
documenios
emislbn
de
un
de
la
citada
information,
fin
de
que
se
pueda
conocer
vatorar dicha information por terceros.

. 2 La actividad de auditoria de cuentas tendra necesariamente que ser
realizada
por
establecidos
un
auditor
informe
en
la
y
Ley
de
con
cuentas,
sujecion
19/1988,
de
mediante
los
12
de
la
requisitos
julio,
emisidn
y
en
del
formalidades
el
presenie
Reglamento y en las normas (e'cmcos de auditoria. "
de
circumscribe a: la Ley 19/J 988, de 12 de julio, de Auditoria de Cuentas (LAC), el

Real
aetualidad
la
Registro
: informe dirigido a porter de manifesto su opinion responsable sobre la
"elproceso
evaluarlas
paralelismo entre sus elementos.

En
"Se
cualificada
information
existan
procedimientos o requisitos contra los que se compara la evidencia "16.
recurriremos,
la
Comercio,
del
Contabilidad
la
correspondiente
independiente
de
en
de
Asi, el Reglamento de la Auditoria de Cuentas dispone en su articulo 1:
debilidades significativas.
systematica,
Codigo
Reglamento
Directiva y a las Normas Tecnicas de Auditoria nacionales.
ellos".
de
se
el
ei
Institute
europeo,
incluyendo
interrelaciones
seguridad
a'oarca
section/area)
por
comunitario
legates
define
que
informacion,
las
Direccion
auditoria
ser
el
controles
(ISACA)
"cualquier
pueden
Lmiitada,
la
procesamiento
brindar
cumpfen
and
Informacion
de
relacionados
objetivos
Audit
Sistemas
auiomatizados
procedimientos
Sus
los
como
Responsabilidad
de
existentesy analisis de los riesgos relacionaSos con la informdtica "f5
la
CAPiTULO 4. HI CONTRATO DE AUDITORIA 87
En
defmitiva,
(Vease figura 4.1).
pasatido
estructurar
comparativamente
las
definiciones.
En donde existen las principals divergencias entre las dos definiciones es,
de un lado, en la inexistencia de una titulacion oficial de laprofesidn de Auditoria
Informatica y, de otro iado, en la inexistencia de regiamentacion especifica de esta
actividad.
En cuanto al primer aspect relative a la titulacidti, las venrajas de una
titulacidn oficial son evidentes: se obtiene un consenso en la actuacion, se establcce
una
metodologia
comun,
se
dispone
de
normas
tecnicas
actualizadas
por
los
propios
profesionales,
se
establece
una
serie
de
criterios
de
responsabilidad
coherentes, se dota a la profesion de prestigio y se impone la exigencia de
actualization17.
1995,
p&ginaa 1 yss.
14
Vid.,
Aplicocionet
utUisadas
para
el
Administraciones Pubiicas, 24 de iimio de 2004, pagina 65.
ejrscictn
de
patesiades.
Criterios
de
seguridad,
MirUSterio
de
"
fourino,
liter,io
Marina,
Confcrencia
(AUDISf'JOOO),
(le
apenufa
er>
ei
Seminafio
Auditor!#
de
!os
Stxiemuy
crjjanizado po; Iniormatieos Europcos Expertos, Madrid, febtero2000.
de
lnformticion
Control
88 AUDiTORiA DE TECNQlOGiAS Y
RA- MA
DE INFORMACION
SISTEMAS
AUDITORIA DE CUENTAS
AUDITORIA INFORMAT1CA
CAPiTULO 4. EL CONTRATO DE AUDITORIA 89
RA - MA
aspectos
informaticos
de
los
sistemas
de
informacion,
los
objetivos
de
la
misma
pueden clasificarse en tres grandes grupos:

Cualificada = Auditor de cuentas
Auditor
a. Colaboracion con la Auditoria de Cuentas.
No exists tituiacion oficial ni Registro
b. Auditoria de los propios sistemas informaticos.

Independiente
FunSn!îS
|k
Independiente
Analizar;
Analizar:
informacion economico-
informacibn
^--^^^^^tinandsra
deducida
de
documentos
c. Colaboracion del jurista en ia Auditoria juridica de los entornos

informaticos. 18
entornos
informaticos
La
deducida revisicn y control de ios
dentro
mismos
en
de
la
utilization
la
especificacion
herramientas
contables
Emitir informe:
de
auditoria
ia
de
auditoria
cuentas,
de
ios
tecnologicas
informatica
se
debe,
riesgos
medios
en
la
primera
principalmente,
del
negocio,
electronicos
esto
en
es,
el
de
la
sus
vertientes,
neccsidad
tan
solo
desarrollo
de
ajuste
se
de
utilizan
ia
actividad.
Sin embargo, la auditoria informatica es rnucho mas que eso y se ocupa de distintos
y
Emitir informe:
manifestando su opinion
ampiios
adecuacion
como
negocio
sobre ia fjabilidad de ia
Es
decir,
la
analisis
y
estrakgico
fiituro),
auditoria
informacidn
responsabie
para que se conozca y valcre
sobre ia fiabilidad de la informacion
(informacion
por tarceros
para que se conozca y valore por
anallza
terceros
basan en el analisis de
compJetamente
la
tanto,
Sujeto a:
Sujeto a:
el
(actual
el
de
tiernpo
Jos
de
sistemas
respuesta,
la
implantados,
su
capacidad
la
de
organization de responder a cambios e implantar soluciones a medida, etc.
manifestando su opinion
responsabie
temas
al
independientes
economico-financiers)
informacion
auditoria
auditoria
de
puesto
de
de
de
los
se
la
primera
de
una
entornos
la
auditoria
evaitia
empresa,
informaticos,
auditoria
valga
del
uso
informatica
de
medios
informatica
ei
mientras
si
bien
riesgos y en la elaboration de
cuentas
cuentas
cuentas
que
que
ambas,
un informe
no
son
segunda
supuesto,
se
de auditoria. Por
lo
informaticos
la
por
son
contable
estado
mismo
para
su
aunque
la
desarrollo,
al
igual que ocurre en el caso de la auditoria informatica que hace uso de tales medios
requisitos
formaildades
requisitos
para analizar los riesgos a los que se encuentra expuesta una entidad.
formaildades
Entre
normas de la profesion
de conducts de la profesion
NT A
destacan
riesgos
la
En
existen
cuanto
tres
(Asociacion
la
de
ellos
representa
se
al
la
regulation
de
Auditores
Inforrrtacidn
todos
capltulos
y
las
rigen
normas
1SACA:
Auditoria
Comimicaciones);
por
Capi'tulo.
las
normas
trav^s
de
existentes,
uno
Control
otro
de
en
en
ISACA
estos
en
Madrid
de
los
Valencia
y
las
Capltulos
la
Sistemas
y
un
propias
se
actualidad
representado
y
tercero
de
puede
la
obtener
en
Espana,
por
ASIA
Tecnologias
en
de
caracter
en
concrete,
que
de
referentes
ei
cambio
explican
ia
al
en
uso
la
la
evolution
informatica
de
por
las
concienciacion
personal
de
forma
dentro
del
denominado
automatizada,
riesgo
de
la
auditoria
parte
de
cualquier
tecnologias
de
la
del
empresario,
la
seguridad
de
control
en
se
el
todas
ha
informatica
entidad,
informacion
uso
sus
de
los
los
las
datos
facetas..."
introducido
un
Y,
nuevo
elemento de vita! importancia y al que bien pudiera darsele categoria de elemento
de
Barcelona,
Asociacion
ei
razones
novedosos
comunicaciones,
Figura 4.). Comparaclones entre auditoria de cuentasy auditoria information
las
dependencia
que
certifkado
CISA (Certified Information Systems Auditor) de la ISACA.

"
Del
Peso.
E.,
ia
auditoria
juridica
de
la
cosa
informatica,
Conferencia
pronunciada
Iberoamericano de Derecho e informatica, paginas 545 y ss.
De
acuerdo
con
la
reconocida
doctrina
que
opta
por
amplio de la Auditoria Iuformatica para evitar que se rcduzca a un control de los
seguir
uri
concepto
IS
'
Lane,
David A., La auduo'ta informatica y .su evolucion, en Parti dr. Dohic, n 95, diciembre 1998, pagir.as 76 y
en
el
VI
Congreso
90 AUDITORIA
DE
C RA - MA
TECNOLOCIA5 Y SISTEMAS DE INFORfMCION
CAPiTL'UO 4. EL CONTRATO DE AUDITORiA 9!
C RA -M A
individual: la tecnologia de la mformacion, y que ha dado Sugar a la utilizacion de

la inform&ica en los sistenvas contabks, que a traves de la lecnoiogia de la
informacion, cada vez mas sofisticada, ha proptciado sistenvas de informacion que
incorporan nuevos riesgos, peculiares y especificos, que dan origen a la consultoria
y auditoria informatica20.
De
esta
manera
informaticos.
Se
trata
informatica,
puesto
que
legales
ios
normativa
entre
otros
de
!a
se
nuevo
expone
!a
concepto
de
una
de
mucho
de
e! outsourcing
para
datos
la
otras
minimizar
las
de
ia
ios
eniomos
de
auditoria
analiza
de
tos
del
de
lo
la
deben,
ser
posible
la
regula,
de
dichos
auditor
y su
entorno
obtiene
conocimientos
sobre
una
preliminar
hace
valoracion
las
operaciones
del
riesgo
2. Evaluation preliminar de los controles intemos.

3. Planificacion tdctica de la auditoria.
. 4. Election de un plan para la auditoria.
5. Prueba de cwnplimlento de los controles.
las
objeio
cliente
de la importancia relativa.
contratacibn
software
de
que
el
Orientation:
del
riesgos
apiicacion
personal,
pueden,
medida
del
que
juridica
que
de
Comunicaciones,
caracter
proteccion
en
ya
consecuencia
y
materias
juridica
mdependieme
amplio
como
Informacidn
informatica,
auditoria
mas
entidad
la
de
concepto
tirs
es
proteccion
contratacion
periodica*
al
su objetivo
Tecnologtas
datos,
auditorias
de
aspectos,
ejectronica,
bases
que
sobre
llegamos
1.
6.
de
de
Evaluation
los
controles
infernos
basada
en
los
resultados
de
las
pruebas de cumplimiento.
riesgos
llevandolos a niveles que sean aceptables para ia entidad.

La
distinto
auditoria
la
utilizacion
de
sistemas
consiste
en
introducir
que
tradicional.
auditoria
No
obstante,
informatica
informaticas,
comporta
conserva
conocimiento
el
capacidad
analisis
los
del
personal,
asesora
aumenta
ios
auditoria
de
para
en
la
servicios
de
auditoria
los
herramienta
que
no
se
en
de
las
todo
de
del
la
de
con
de
objeto
de
8. Election de un plan revisado para la auditoria.
herramtenlas
aumenta
y
9. Realization de pruebas sustantivas.
la
comprensidn
mas
del
para
10. Evaluation y agregacion de los resultados.
realizar
productividad
auditor/a,
personal
7. Revision del plan de auditoria preliminar.
tema
imprescindibles:
datos
una
la
un
funcidn
el
empresa,
de
permite
empresas
tanto,
punto
la
perfections
formacion
lo
en
reducir
ordenador
volumenes
decisiones,
por
puede
de
dentro
grandes
expertos,
de
con
dia
auditores
los
ofrecidos
por
la
toma
es,
de
realizada
hoy
manejar
de
pedagogica
en
uso
pesar
ventajas
conocimiento
herramienta
e!
experto
expertos
complejos,
profunda
como
de
la
ciertas
expertos
U.
funciona
transmitir
Evaluation
de
la
Podria
evidencia.
dar
tugar
unas
pruebas
mas
exhaustivas o formar la base de la eleccion de la opini6n por el auditor.

12.
el
Election
de.
una
que
opinion
clasifique
los
estados
financieros
del
cliente.
conocimiento de los auditores expertos a los nuevos.
13. Informs de auditoria.
En cuanto a las fases en que se puede descomponer un proceso de decision

en auditoria, una propuesta de esquema podria ser la siguiente21 :
Para
debatida
la
terminar
opcidn
independencia,
necesario
con
entre
este
auditoria
el
mejor
constante
apartado
interna
conocimiento
mantenimiento
debemos
hacer
una
externa,
con
de
organization
la
supervision
breve
referenda
la
la
problematica
de
en
su
conjunto
del
peculiar
relacidn
en
razon
e!
objeto
de
la auditoria informatica.
La
un
requisito
tanto,
HernandezOarer'a,
A.,
la
cwmtificacion
delriesgo
en
auditoria,en
Partida
Doble,
rf
88
abrii
1998
paginas?3
y ss.
independencia
nuclear
partiendo
exigencia
obligada,
sin
de
esta
no
es
cuya
una
premisa,
siendo
caracteristica
presencia
este
el
el
se
vicia
esenciai
todo
aseguramiento
lugar,
en
en
el
de
nuestra
la
auditoria.
recorrido
la
independencia
opinion,
disquisiciones mas o mcnos improductivas acerea de la mayor independencia a

''
Sanchez
y ss.
Tomas,
Anionic,
Sistemas
expertos
en
auditoria,
en
Tecnica
Contable,
volumen
45,
1993,
paginas
529
Constituye
posterior.
para
Por
es
profundizar
lo
una
en
92 AUDITORIA DE TECNQLOGIAS Y SISTEMAS DEINFORMACION
priori
de
la
auditoria
externa
frente
la
RA-MA
interna
viceversa.
La
independencia
Ademas
tiene
figura
que exislir y ser manifiesta y constatable en el caso concrete.
con
De
auditoria
todas
de
sistemas
en
la
imprescindible
flujo
de
la
as,
los
principalmente
sea
form
no
de
un
informacion
en
apoyan
esta
interne
de
los
organization
en
de
del
conocimiento
que
en
la
sistemas
que
donde
se
objeto
de
la
intenso
de
los
entidad
en
materia
de
cuestion.
ambas
olvidar
informacion,
especificidad
razones
compatibilidad
conviene
la
Todo
opciones
es
un
lo
que
hace
informacion
una
de
las
departarnento
de
del
control
en
la
recomendable
en
la
exterior
todo
un
trabajo
considerable,
caso,
se
de
se
esta
deben
por
la
altemativa
naturaleza
tener
se
censadas
ha
las
que
se
debido
opte,
antes
realizar
discrepancias,
un
asi
de
Sin
doctrina
del
auditor,
frente
La
calificacion
primer
lugar
Auditoria
Ley
caracter
de
de
capitulo
contractual
las
de
lo
Cuentas
que
de
organos
insertar
parte
integrante
al
sociales.
la
dentro
persona
total
aceptacion
vinculo
que
se
que
abogan
se
apoya
expresamente
refiere
Anonimas
auditor
de
se
casi
discrepancias
contractual
estabiecido
Sociedades
seria
del
escasas
la
al
que
"contrato
el
articulo
de
auditoria".
deliberadamente
finalmente,
de
la
estructura
lo
entre
por
fundamentalrnente
por
Y,
juridica,
establece
doctrinal
existente
aludiendo
aludiendo
de
que
porque
de
resulta
la
su
interno
diferentes
la
sociedad
tres
de
a)
de
la
el
"organicista".
razones.
En
la
de
Ley
segundo
esta
calificacion
contrario
figura,
euanto
la
includible
que
servicios,
determinado,
la
lugar,
materia
como
considerarlo
espiritu
de
la
del
opinion
doctrina!
inexistencia
en
legal
de
la
comparacion
analogica
que
naturaleza
lo
necesidad
de
la
su
del
contrato
no
bien
auditor
dicho
se
se
la
falta
le
puede,
le
de
confieren
por
lo
contrato
que
caracteriza
figura
de
una
de
un
lo
largo
la
emision
de
la
al
gran
de
en
el
contrato
de
periodo
de
un
un
temporal
de
auditoria,
auditado
del
sobre
resultado
prestacion
de
prever,
mejor
o,
un
arrendamiento
informe
del
obra,
informe
como
contrato
decision
medida,
servicios,
de
de
caracterizacion
naturaleza
en
de
de!
capacidad
menos
arrendainiento
materializacion
en
privan
un
posibles
divergencia
arrendamiento
la
concretan
los
la
un
desarrollan
se
informe
por
como
de
unicamente
como
resultado
decanta
que
si
concepcion
figura,
el
exhaustiva
mencionarernos
la
se
servicios
de
dicho
Estas
el
aparicion
lo
como
la
ley
caracteristicas
resultado
los
realmente.
parte
del
del
que
tan
De
se
contrato
gap
esperan
otro
lado,
de
todo
pucden
estuviera
nombrado
usuarios
integrante
los
esperado
servicios
cuyo
dicho,
cuyo
de
obtener
no
contrastar
de
informe
tan
lugares.
no
diferencia
de
auditoria
diversas
auditoria
que
La
jurisprudencia,
pronunciamiento
de
tribunal
derivada
del
Tribunal
identidad,
por
su
parte,
entendida
en
Supremo
ha
en
el
ejercicio
clases
resume
que
ademds
defmido
lo
sentido
de
sus
cumple
siguiente:
"...
lo tanto, un servicio que se presta a la empresa revisada.. .2<!".
" Rincbn, E., Aula Financisra: La Auditoria Infarmatica. mito y reaiidad, en Eslrategia Financiers, n' 62, abril
1991, pagsnas 26yss.
Menendez Menendez, A., El contrato de auduoriu y la termmacicn unilateral ilet mis mo por ei auditor, en
" Scntenda del Tribunal Superior de Justicia de Madrid n 415 de 4 de mayo de 1.994.
RevistaCritica tie Octceho 'nmobiliario, n" 622, inayo-ju;iio 1994, paginas 1485 y$S-
varios
delimitado,
expectafivas,
del
existirian
informe
en
perfectamente
de
y
de
y
De
un
habria
lado,
lugar
expectativas
lo
que
se
informes
concluye
de
el
si
la
entre
obtiene
opinion,
juicio
del
auditor sobre las situaciones analizadas y los riesgos evaluados.
organo
que lo configura como una "instancia externa e independiente de control"23.
21
!a
iradicionai
investigacion
de
constituye
y que,
libertad
su
profesionalidad
de
parte
en
una
la
a!
por
14.2
sociedad
la
resultado, en cuanto a inclusion de contenidos, no se puede pactar.
tesis
En
en
la
auditoria
resultado
una
excluye
supone
en
unanimidad
realizar
encargar
4.2 UNA BREVE REFERENCIA A LA NATURALEZA

JURIDICA DEL CONTRATO DE AUDITORIA
asentar
que
tampoco
existe
arrendamiento de estas caracteristicas.
las
ariadida
de
conceptuales
contenidos
por
cuentas
pretender
encuadres
empezar
de
la
esfuerzo
como
dificultad
informatics,
de
funcion
alternativas en caso de litigio22.
Conviene
auditoria
Nuestra
opte
la
auditoria
juridica se refiere.
tan intocable eficiencia en ios costes.

En
de
la
es
principals
de
la
esporadica
la
de
que
institucionaiizada
perjuicio
de*forma
de
peculiaridades
si,
de
esta
de
especifico
las
en
manera
sin
caso
presentan
de
sea
el
sistemas
cuestidn.
ello
aunque
en
auditoria
constitution
informacion
CAPITULO 4. EL CONTRATO DE AUDITORIA 93
RA- MA
amplio
competencias
los
la
requisites
auditoria
como
y
de
no
de
todo
como
repeticion
cuentas
es,
la
e
por
CAPITULQ4. El. CONTRATG DE AUDITORIA %
RA-MA
4.3 PARTES EN UN CONTRA TO DE AUDITORIA. EL

PERFIL DEL AUDITOR INFORMATICO
por
actual
empresa
normativa
que
Las
entidad
que
veremos
mas
solicitaba
adclante,
una
To
Auditoria
hacia
Informatica,
porque
hasia
constataba
una
la
creando
serie
de
que
estaba
de
demandando
sus
cumplimiento
de
los
especializado
en
la
era
una
so!uciona
sistemas,
mas
controles
estabiecidos.
gestion
de
que
dichos
sus
una
problemas
verification
Es
decir,
sistemas,
se
en
pretendia
funcion
mas
terminos
una
revision
del
sometimiento
por
urt
de
asesoramiento
cercana,
como
vemos,
cada
de!
los
vez
mas
las
si
no
elemento
sistemas
de
empresas
son
conscientes
imprescindible
tratarniento
de
la
si
la
relevancia
completamente
esencial,
informacion,
de
a
una
serie
de
revisiones y controles entre los que destacan el de seguridad, el de calidad, el de las

licencias sobre el software que utiliza para el desarrollo de su actividad o el de 3a
proteccion
de
datos
obligatoriedad
de
legal.
forma
rapida
puede
garantizar
perfecto
de
estado
Por
conservation
de
las
es,
e!
para
De
la
auditor
afrontar
ahl
que
Informacion
herramientas
de
los
se
para
euentas,
nuevos
haga
las
la
gestion
no
se
riesgos
Comunicaciones
de
encuentra
derivados
imprescindible
la
(TIC)
negocios.
capacitado
de
la
existencia
auditor
en
terminos
utilizacion
de
estan
El
de
las
Auditoria
de
profesional
al
la
Entre las caracteristicas del auditor, y como ya hemos senalado en la

eomparativa expuesta al initio del trabajo, destaca la independencia. Podemos
definir la independencia del auditor como "la ausencia de interests o injluencias
caracter
Hoy
es
informacion
manteniendo
que
solo
personal
por
indispensable
suficiente,
los
se
preponderancia
en
actualizada
sistemas
certifies
su
disponer
de
tqdo
oportuna.
tratarniento
mediante
la
en
virtud
momento
de
dicha
correspondiente
de
de
esto
cual debe estar litre de cualquier predisposition que impida su imparcialidad en

la consideration objetiva de los hecho". Los problemas pueden clasificarse en tres
grupos principalmente: la compatibilidad de la practica de la auditoria con las
asesorias legales, el interlocutor del auditor dentro de la empresa auditada y la
rotation del auditor28.
En
su
una
ultimo,
es
seno
de
las
sistemas
de
informacidn
necesario
hacer
Administraciones
para
el
estan tambien sometidas a
la
ley
Administraciones
la
Publicas
referenda
puesto
desarrollo
que
se
realizacion
hay
auditoria
de
se
informacion
en
Constitucional
la
del
realization
de
orden
que
euentas,
articulo
de
cosas,
precisar,
pesar
remitidndonos
que
la
Ley
de
respondiendo
una
alegacion
regulador
de
la
Ley
de
una
Auditoria
de
que
vez
de
Cuentas,
referente
Colegios
calificamos
mas
a
la
la
de
comparacion
segiin
aclara
vulneracion
Profesionales,
no
con
el
por
regula
la
Tribunal
la
LAC
exactamente
una profesion liberal, sino una actividad que puede ser reaiizada por profesionales,
una
Publicas
otro
auditor,
solo
pertinente auditoria de dichos sistemas de informacion.
el
normalization
que permits al auditor actuar con libertad respecto a su juicio profeSional, para lo
embargo,
constituido
seguridad,
Sistemas de informacion27.
del
a la consultoria.
Sin
de
de
canales
esto
formation
tecnologias.
Por lo tanto, la empresa que necesitaba de este tipo de servicios en realidad

eficicncia
"Criterios
Tecnologias
nuevos
tradicional,
de uebilidades y/o amenazas provenientes de sus sistemas de informacion.
So
los
4.3,2 El auditor informatico
4.3.1 La entidad auditada

La
ejemplo
aplicaciones utilizadas para el ejercicio de potestades"26.
de
su
aplica
de
que
a
la
auditoria
informatica
en
estas
tambien
hacen
de
actividad
y,
al
las empresas.
auditorias
mismo
En e! caso
informaticas
uso
tiempo,
de
encuentra
las
su
justification tanto en la normativa aplicable" como en diversos documentos, como
de
la
tecnologta
ser
proporcionadas
la
naiuralesa
de
los
datosy
de
los
traiomientos
los
riesgos
los
que
esten expuestos".
Por
tanto,
se
ilevari
cabo
una
auditoria
informatica
sobre
e!
anafisis
de
riesgos
que
hacc
referenda
el
citado
articulo.
* Ministerio de Administraciones Publicas, 2004.
A modo de ejemplo cabc citar el articulo 4 de! Real Decreto 263/19%, de 16 de feorero, por el que se reguEa !a
utilizacion
de
teenicas
electronicas,
informdticas
telematicas
medios
aplicaciones
por
la
Administration
General
de!
Estado.
Dicho
articulo, en su apartado 2, indica que:
"
los
se
medidas
teenicas
utilicen
las
y
sopvrtes,
de
organization
necesarias
que
referidm
useguren
en
el
la
apartado
autenticidad,
dispamkilidady curnmrvaciim de la informacion. Dichai medidas de seguridad deberan tener en atenta d estado
anterior,
se
adoptardn
confidencialidad,
las
integridad,
Bohigas,
Sistemas
de
Alfonso,
Los
Informacion
servicios
y
Control
de
auditoria
Intemo
interna
<te
sistemas
(AUDISI'2000),
de
organizado
informacion,
por
Semiftario
Informdticos
AuiSitoria
Europeos
de
Expcrtos,
Madrid, febrero 2000.

n
"Cuando
Mur
Lora
Lara,
paginas 55 y ss.
B.
Serrano,
F.,
La
auditoria
debate;
presents
futures,
en
Pallida
DoWe,
65,
marzo
1996,
96 AUDtTORIA DE TECNOtOGlAS Y SISTEMAS DE INFORMAClflN
pero ni los profesionales
RA-MA
han de realizar solo esa actividad,
> RA-MA
ni esta ha de constituir
control
a
inevitable
En
cuanto
desarrollan
su
labor
la
en
e! campo
serie
de
normas
que
cabo
su
cometido
son
una
excepcion,
directrices
puesto
que
que
infoimatica
les
su
parte
(organizacional
del
recuperation,
del
y
aplicaciones,
usuarios)
eticos
antes
una
information,
como
en
de
pueden
que
ejercicio
atencion.
es
la
menos
creation
Pues
si
la
Normas
comparativo
del
instrumento
regulador
propio
es
profesion
tecnicas
por
sobre
los
aspectos
la
auditores.
sus
profesidn
verdad
que
que
de
existen
la
de!
Finalmente,
bases
su
la
(NTA),
siguiendo
Brezmes
M.
de
Villareal,
A.M.,
La
Ley
Poveda
Maestre,
J.P..
Auditoria
de
Cuentasy
una
insistencia
Con
abarcar
relation
desdc
sus
perifericos,
datos
y
En
autonomia
estos
referentes
sistemas
profesion
de
requiere
que
apoyen
con
el
los
analisis
las
la
procedimientos
fiabilidad
un
los
de
El
auditor,
hechos,
criterios
opinion.
Dicha
la
cantidad
misma,
en
evidencia
de
que
determinan
encontramos
los
tambien
normas
Auditoria
de
Cuentas
los
Auditoria
Informatica.
Analisis
de
revision
Por
utilizados
de
estos,
informatico,
de
supuesto,
desde
para
la
ei
su
de
Paez
Maria,
J..,
[Jeoniologia
del
Auditor
infonndtieo
Codigos
Edcos,
es
exigible
tiempos
los
aspectos
de
la
el
de
de
respuesta,
tecnicos
con
codification
explotacion,
puede
sistemas
los
comienzo
la
actividad
los
son
ordenador
datos,
programacion,
que
debera
a
de
esta
ser
su
suficientc
obtener
decir,
su
caracter
concluyente.
guiarse
por
criterios
El
de
importancia
que
la
forman
parte
relativa
de
aplicar
manos
tecnicas
sobre
del
el
los
importancia
va
buen
la
juicio
es
generales
no
en
La
la
de
experiencia
que
sirven
obtener
para
obtener
la
importancia
los
los
las
dentro
denominacion
de
del
juridica
del
auditor,
de
guia
para
a
la
evidencia
adecuada
probable.
riesgo
y elementos
misma
importancia.
de
de
general
otro
lado,
concepto
profesionales
aunque
de
contexto
pronunciamientos
cuanto
calidad
los
una
criterios
la
relativa.,
de
formarse
en
la
relativa
hechos,
son
de
Suficiente
relacibn
todos
evidencia
finalidad
adecuada.
importancia
los
de
la
con
contables
decisiva
emitir.
mayoria
y
que
documentos
encuadrables
pues
consideraciones
suporte
los
Pero
de
ha
con
adecuada
debera
los
trabajo,
evaluando,
existen
fijarla,
Jurisdiccionales,
en
una
pare
la
es
un
juridico
dejari
en
serie
de
dependiendo
su
Partida
bdsicas,
en
Tdcnica
Informatics',
anfoque
normas
" Poveda Maestre,

paginas 482 y ss.
.P.,
Auditoria
de
Cuentasy
Auditoria
Informatics.
Analisis
de
las
Cnntable, Tnmo 46, 1904, paginas 481 y ss.
"
lo
Oficial
aplicacion al caso concrete del contexto34.
&rganos
las
por
actuation,
requisito
la
su
en el Boletin
este
como
de
adecuacion
actuation:
es
indeterminado,
procedimientos
sistemas.
de
auditor
normas
encontrar
normative
generales
pues
la
la
e!
de
podemos
practicar32.
recurriendo
publication
auditor
hasta
desarrollo
evidencia
termino
Tambien
del
como
convenios
el
la calidad de su trabajo en el ejercicio de
profesional.
los
campo
elementos
auditor
de
puramcnte
de
fundamento,
nuevo
!a calidad33.
que
tecnicas
son
y de
comunicaciones, o, corno no, toda la gran area de la seguridad, fvsica y togisa, y de
opinion
normas
Cuentas,
recomendaciones
A,
lineas
su faita
sin
las
NT
caracter
meras
de
reales,
eaptura
caracter
Existen
de
son
funciones
de
mayor
cuya
Auditoria
su
funcionales,
necesidades
algunos
la
las
aspectos
ofrecen
de
pues
tribunales
como
estas
unicamente para las Seyes, segun el articulo 2.2 del Codigo Civil.
por
desarrollo,
asi
de
entender
los
que
Doble,n94,novlembre 1998,paginas I4yss.

54
es
que
indica,
Existen
en
profesion.
de
Estado
y eficacia
ante
los
elaboration de informes, donde el auditor informatico debe exponer los objetivos
51
del
condicionantes
de
deontologicos
alegacidn
pasando
y
de
utiiizadas 30.
todos
denomination
la
ftsicos
control
especial
hay
informacion
de
unos
analogia,
que
adecuadamente
naturaleza
originales
planes
su
propia
cubiertos
la
un
existente
trabajo
funcion
de
auditoria
de
la
normativos 31.
Auditoria
etica
sobre
de
por
normas,
los
tecnicas
existencia
codigos
de
ejecution
la
asentamiento
general sobre la Qualification de! auditor,

su
diferentes
las
logicos,
ser
el
la
mismo
telecomunicaciones,
de
de
asi
politicas
que
normaiivo
son
de
definition
de
de
aplicaciones
seguimiento
Tecnicas
esqueina
las
revision
con
requisites
de
accesos
llevar
no
la
desastres
de
para
informaticos
de
una
afectan
en
seguridad
que
solo
revision
frcnte
esta
minimos necesarios constituidos por los estandares

Las
serve
resaitable
de
cierto
una
no
profesionales
sometido.s
eonducta
cumplir
cuanto
especificas
la
auditores
de
software
los
estan
Los
consiste
de
en
de
profesionalmente
no
SI,
sistema
mas
el
areas
todos
cuentas
informe.
diferencias
actuaciones
tambien
es
especial
de
de
las
finalmente,
delimitan
tambien
sus
de
software
tambien
imper
precisan
que
eila,
de
profesional,
e!
deben
difsere
mantenimiento,
y,
punto
emitir
tambien
departamento
asi
capacidad
ademas
auditor,
auditoria
de
Las
de
del
la
inherentes.
medioambientales,
adquisicidn
este
aunque
son
legal
de
su
forma
cometido
controies
sujecion
tipifican
la
no
En cuanto
profesion29.
exclusivarnente cl objeto de una
de
CAPITULO 4. EL CONTRATO DE AUDITORIA 97
Audiloiia
Alonso Rivas, 0., Auditoria Informatica, Ediciones Diaz de Sanios, S.A., Madrid,! 988, paginas 46 y ss.
practice, Ed. RA-MA, Madrid, 1998,1" edicion, paginas 151 y ss.

" Alroela Die
B-, La importancia relativa en auditoria, en Partida Dobie, if 73, diciembte 1996, paginas 44 y ss.
normas
bdsicas,
op.
cit.,
t; R A-M A
98 AUDJTORIA DE TECNOLOGJAS Y SISTEMAS DE INfORMACION
E!
auditor
conocimientos
se
desarrollan
riesgos
de
de
tecnicos
y
informacion,
especifscas
para
capacidad
este
evaluar
debe
el
tener
control
de
informacion,
recomendar
los
controles
de
disefiar
El
capacidad
los
entorno
en
que
del
capacidad
necesartos
procedimientos
actividad.
la
intemo
sistemas
para
tvpo
information
los
evaluar
de
revisar
procesan
controles,
Sistemas
para
auditor
de
tecnicas
sistemas
tratada
en
la
las
fisica
causas
de
causas
de
auditor
deberes
de
que
que
pueden
cumplimiento
del
sistemas
auditores
opinari
de
auditoria
excesivo,
de
informacion
que
3.
es
incompatibilidad,
los
la
administradores
cooperation
dilucidar
su
considerate
por
la
la
del
desisttmiento
de
de
la
sociedad
parte
de
la
procedencia
suficientes
necSsidad
perturbacion
del
auditor.
de
las
improcedencia
En
deberes,
confianza
de
de
las
entre
el
de
los
incumplimientos
uno
efectos
imposibilidad
otros
de
los
cada
la
relaciones
auditada
sociedad.
destacan
atender
los
casos
habra
delimitar,
entre
otras
cosas, las consecuencias juridicas de dicha termination unilateral del contrato36.

La
Resolution
seis
responsabiiidad
del 1CAC
meses,
objeto
es
detecta
la
Norma
su
financieros
norma
distingue
negligentes
no
en
posible,
su
superior
al
responsabies
en
de
las
errores
de
las
la
personas
la
empresa
y
dicha
que
presuntamente
la
su
por
informe
debe
del
implicadas
el
en
creo
introducia
la
Io
esta
subcomision
Cuentas.
necesidad
qvse
asi
una
de
el
de
caracter
confirmaha
las
la
de
eximia
el
estudlo
de
los
de
Ley
del
su
de
la
en
aquel
auditor.
Los
responsabiiidad
es
Profesionales 37
Sociedades
responsabiiidad
modification
auditores,
responsabiiidad
la
de
de
soiidario
borrador
initio
demandas
delimitar
ilimitado
e!
reivindicacion
que
Entre
aquel
los
socios
de
la firma de auditoria que no hubieran firmabo el informe. En la actualidad, a tenor
|c
por
y,
Qrupo
julio,
de
sus
pronto
unto
cuando
efectos
como
un
los
debera
la
sea
nivel
sociedad
y
de
auditoria,
sociedad38.
la
(Convergencia
Cuentas 39
que,
de
responderan
Asi
Unio),
entre
cuentas
efectivamente
terminar,
aceptacion
en
contribuir
mismo,
presento
el
solidariamente
el
este
el
respecto,
de
junio
de
otros
un
causado
aspectos,
regimen
de
compatible
con
tiene
por
objeto
responsabiiidad
las
reglas
civil
generales
la
queremos
en
la
profesion:
la
tnejora
hacer
referencia
doctrina,
los
de
en
Comites
la
las
de
gestion
una
figura
organizations
Auditoria.
corporativa
EI
que
esta
ganando
especiaitzadas
pbjetivo
garantizar
de!
la
y,
en
comite
es
asuncion
de
responsabilidades oportunas sobre el control intemo"10.
Comites
derivase
Catalan
auditores
dano
definitiva,
la
se
una
informe
de
los
al
gran
de
omisiones
Auditoria
Para
una
a
el
del derecho privado.
La
actos
tlrmado
para
proporcional
intencionados
alteren
pertenezca
ha
Parlameniario
establecer
responsabiiidad.
que
que
que
; 2007 una Proposicion de Ley para la reforms parcial de la Ley 19/1998, de 12 de
los
evaluar
auditor
cuyo
auditor
auditor
en
tan
as
la
cuando
existir
Cuando
direction,
implicados,
apiicar
terceros
como
auditor
que
pudieran
omisiones
errores,
el
doctrina;
irregularidades"
tiene
informacion.
comunicar
tambien
que
la
informacion publica,
delimitar
actos
contables,
propone
esten
auditor
como
irregularidades,
norma
gerencia
de
alteren
anuales,
La
asi
como
estados
e
e!
en
"errores
irregularidades
auditoria
misrno
polemico
sobre
que
e
persona!
los
tema
Auditoria
errores
su
el
asi
cuentas
existencia.
de
de
otro
de 1999 se somete
irregularidades,
por
que
existencia
potenciales
es
procedimientos
objeto
corrtemda
de
informs
entre
intencionados
posible
los
cometidos
informacion
Tecnica
caso
estados
auditor
de 18 de junio
establecer
en
del
se
Auditoria
de lo dispuesto en ei articulo ! 1.2 de la LAC, cuando la auditoria se realice por un
doctrina
contrato,
1999
de
los
r\
Entre
Ley
desracaba
informacion son un punto clave en una organizacion35.

cuestion
la
montento
empieza a ser un generalista, porque tiene que ser consciente de que los sistemas de
Otra
En
de
revisar
para
de
CAPITl'i.O 4. El. CONTRATO DE AUDITORS A 99
RA- MA
Segun
expertos
de
se
en
Auditoria
responsabilidades
information
sobre
los
auditorias,
desprende
relation
de
de
vigilancia
que
controles
intemos
internas
informes
estudios
constituyen
financiera
canto
los
con
pieza
los
Consejos
como
sociedades
que
cabo
clave
en
de
facilitan
tienen
extemas.
renombrados
a
una
que
las
de
llevados
el
sus
Comite
comisiones
materia,
cumplimiento
tienen
accionistas
esta
Administration
establecidos
Un
comites
sobre
sobre
compuesto
los
los
de.
las
sobre
la
terceros,
prqeesos
de
exclusivamente
de
Limitada,
en
miembros independientes y sin responsabiiidad ejecutiva aiguna redundaria
ultimos
obtener
el
adecuado asesoramiento legal.

n
Fmalmcnte seaprobo la Ley 2/J99S,de 23

el BoletiR Oficial del Esiado mirnero 71, de 24 de rtiarjo,
H
dernareo.de
Sociedades
de
Responsabiiidad
Segdn la redaccion dado al apartado2 del aniculo 1 f de la LAC por el articulo 52 de la Ley 44/20(12, de 22 de
ftoviembre,
de
Medidas
de
Reforms
del
Sistema
Financlero
(Soletin
Oficial
del
Estado
naviembre).
jJ 7ourifio.
Marina,
Conferencia
de
aptrtwa
en
el
Seminario,Auditoria
de
los
Sistemas
de
Informaciony
Control
Intemo (AUD1SI '2O0G), organizado por Inlbrmaticos Europeos Expertos, Madrid, febrero 2000.
'*
Sglesias
Prada,
J;L.,
La
renuncia
a!
cargo
del
auditor
de
cuentas:
circunstancias
w?ubJicadaer.
justificativas
el Boietfn Oficial del Congreso de Ins Dipuiados, serie B, nurnero 282-1, de 8 de junio de 2007.
consecuencias
juridicas de la rennncia, en Revista CrilAca de Qcrsctwi Inmobiliario, T V 622, mayo-junio 1994, paginas 1501 y $s.
44
publicada
Ramirez, J.. La comiston de auditoria, en t>: reccion y Progress n 159, 1.998, paginas 115 > ss.
niimerc
281,
de
23
de
CAPiTIJLO 4 EL CONTRATO DE AUDITORIA 101
RA-MA
necesariamente
se
en
traduciria
una
en
futures,
asi
como
de
Auditoria
Nueva
puedan
York
de
defensa
terceros
de
como
seguir
supervision
mejor
Comites
de
mejor
una
de
de
ias
los
infereses
interesados
en
ios
Consejos
de
requisite
para
admitir
operando
las
acti'vidades
la
de
buena
sociedades
ya
sociedad
sociedad,
de
son
la
por
cotizacion
Del
lo
que
presentes
sociedad.
exigidos
admiiidas.
Comitds de Auditoria han sido recomendados por el Informe
la
accionistas,
marcha
Administration
una
de
los
mismo
asuncion
de
La
Bolsa
para
que
modo,
los
usuarios
que
el
La
sino
information
que
ya
tambien,
en
responsabilidad
information.
Asr
propietario,
interesa
la
ha
pues,
sino
que
ha
a
en
actual
extiende
los
que
ampliado
el
se
ampliado
solo
medida
social,
ha
ia
todos
campo
o
atendido
audiencia
concepto*
a
su
accionistas
de
los
de
comunicacidn
propietarios
las
la
usuario
interesados
va
no
en
en
la
de
entornc
la
de
dirigida
se
la
dicha
refiere
actividad
Aunque
solo
empresarial,
en
Europa
el
ha
despertada,
la
la
funcion,
position
el
Maastricht
por
conocer
terceros
que
ellos,
empresa
que
afecta
mantengan
terceros,
la
cual
interesa
no
relaciones
pueden
versa
sob
la
misma,
con
conocer
la
opinion
emitida
la
la
calidad
propia
ernpresa,
habida
de
la
por
el
cuenta
informacion
auditor
de
cuentas".
American
expresa
Accounting
a
!a
informacion
sociales,
del
cual
economicas.
asi
la
Si
"A
funcion
social
uno
comienza
sociedad
se
Statement
Association,
contable,
en
de
of
que
la
de
la
ejercer
esta
por
cuales
contabilidad
Basic
Accounting
primera
contabilidad,
los
puede
ahade
a
su
funcion
es
se
vez
ias
considerada
funcion
social
de
el
se
establecen
facilitar
ser
Theory"
hace
los
1966
una
control
de
un
de
sobre
bien
de
medio
la
referenda
objetivos
fonciones
como
cardcter
en
la
controles
a
las
trav^s
unidades
publico
de
la
informacion contabie emitida por un auditor independiente, entonces aparece la
Lopez
Combarros,
J.L.,
Propues'as
teniendo
En
la
como
la
sociedad
la
literatura
auditoria"
para
una
modification
de
ks
Ley
de
Auditona
de
Cuentas,
en
Partida
Doble,
como
publico
su
depende,
MARC
en
lo
en
los
Lara
Lara,
L.,
Una
nueva
Ley
que
cada
se
la
esperan
los
ademas,
mornento,
ha
del
denominado
gap"),
usuarios
publicado
et
informe
forma
crearon
la
asumiendo
alcances
el
profesidn
que
si
ia
se
and
Auditing
auditoria
legal
Federation
investigation
1996,
lo
esperan
la
sobre
y
"Grupo
en
deberia
reducir
las
que
que
de
la
mundial,
es
cabo
legal
de
las
Europeo
Europa
cambiar
del
en
las
de
Auditoria,
de
todos
para
todos,
en
Pallida
Doble,
94,
novietribre
en
el
la
infonne
Bruselas
1992
se
gobiemo
en
habla
de
considerar
al
sus
de
las
intemacionales
para
responder
cuanto
en
en
firmas
Contacto"
podia
diferencias
Ademas,
fmancieros
.de
en
tratados
mayores
por
desarroliadas
Europeas
conferences
Ocho
Europeos
Comunidades
una
aspectos
para
estados
Europea.
organize
mismos.
cabo
Union
los
las
los
tambien
ia
que
los
de
acerca
en
sobre
a
(MARC),
Contables
aspectos
los
estudio
recomendaciones
auditor
inquietud
llevado
legislation
de
la
un
fue
Center
Expertos
llevada
de
promovio
la
Comision
sobre
Unido,
contable
pretendia
la
FEE,
en
alcance
prueba
Research
de
del
un
legal,
resumen
mismos
debatir
profesion
un
civil
los
el.
Europeas
del auditor
1a
Cadbury
1993
Como
1996
de
Reino
en
civil
La
de
paca
tiene
vimlencia.
de
de
"expectation
actuaies
expectativas 45.
que
gap",
enfoques
Finalmente,
la
Comision llevo a cabo una consulta publ'ica en enero de 2007 sobre la re forma de
la normativa aplicable a la responsabilidad de los auditores en los Estados
44
Frada Lorenzo, J.M., txi responsabilidad auditoria, en T&nica eoniable, tomo 46,1994, paginas 225 y ss.
Garcia
Bernau,
MA.
Vivo
Martinez,
A.,
iQue
ttxpera
ia
sociedad
de
la
auditoria'!,
extraordinario, 1998, paginas 17 y ss.
pigin&s 44 y ss.
de
en cuenta,
expectations
que
expectativas
de
sobre
estudio
1996
auditoria
1996.
octubre
verde
e!
en
la
de
de
Comunidades
responsabilidad
de
sociedades
las
enero
resultado
en
en
de
tratada
diciembre
n* 71, octubre 1996, paginas 42 y ss.

41
garante
lo
anglosajona
("audit
entre
mayor
responsabilidad
en
libro
gap
su
Accounting
era
posicidn
del
alcanzado
Comision
Posteriormente,
41
41
entre
auditores,
necesita
concrete.
fendmeno
donde
ella
revisada
declaration
desacuerdo
de
por
la
que
ai
existentes
ftmcion,
En
como
los
diferencias
presta
sabre
auditor
aludc
expectativas
415 de 4 de mayo de 1994 ya citada: "la auditoria de cuentas es un servicio que se
economico-contable
del
offecen
las
publicado
tambien
que
las
publico
todos
Jo
en
parte
que
expectativas
y
auditoria
del
miembros,
sino
de
auditoria
su
empresa
pane
el
Asi se senala en la Scntentia del Tribunal Superior de Justicia de Madrid n

la
por
mismo,
ernpresa,
impltcaciones
que
ya
de
entre los que se encuentra la coiectividad en general42.
social
auditoria y lo que los auditores consideran que es su trabajo44.
financiers
no
lo
es
la
tipo
tiempo
Cadbury41.
4.3.3 Terceras personas

de
responsabilidad
diferentia
de
"diferencias
sentido
una
fiabilidad de dicha informacion43.
Los
la
1998,
45
Lopez Combarros, J.L.. Reflexiones. sobre algunos purtlos relacianados con la auditoria, tn Pc.rti<ia Doble, n
85, enero i 998, piginas 24 y ss.
en
Ticnica
contable,
n*
102 AUDlTORiA DEiECNOLOGIAS Y SISTEMAS DE INFORMACfON
miembros
sn
la
que
constata
el
deseo
S- RA-MA
de
Ios
auditores
de
que
se
regule
su
' de coriocimiento y de gestion .empresarial que cada vez mas se ve abocada a
controlary con la acuciante demanda de profesionales en el mercado. Todo esto,
responsabilidad.
-t obvianiente, pasando por alto las voces discrepantes de algunos profesionales de la

Para
tendencia
ha
terminar
exclusiva
acunado
apostantes.
ei
Se
tradicionales
existe
un
de
este
apartado,
esta
aciividad.
termino
apunta
primeros
modeio
de
con
"base
En
la
senalar
literatura
o
stakeholders,
esta
o
en
el
esta
empresarial
que
accionistas
ampliada"
que
interesados,
denominacion,
interesados
de
quisieramos
es
mas
mas
recuerda
(shareholders
que
no
una
reciente
se
concretamente
sin
o
necesario
es
Ios
stockholders),
que
que
duda
toda
organizacidn
auditoria de cuentas que reclacnan la denominacion de auditoria en exclusiva
% fgjegando a las demas especialidades a adopter la expresidn de revision o

similares 47.
Entre las mencionadas "cuasi-referencias legales" se encuentran el articulo
' 28 e) del Estatuto de la Agenda Espanola de Proteccion de Datos (Real Decreto
vea a los nuevos miembros, que en )a literatura gerencial norteamericana se as i m i I a
t 428/1993, de 26 de marzo), la Norma C'uarta de la Instruction 1/1995 de la
a todos los ciudadanos porque se considera que el negocio de su pais es la empresa.
Agencia Espanola de Proteccion de Datos, relativa a prestation de servicios sobre
A!
c solvencia patrimonial y crddito 48, y ei articulo 17 del Real Decreto 994/1999, de ! I
menos
dichas
es
posible
apuestas":
los
identiflcar
cinco
grupos%le
accionistas,
los
empleados,
locales y la sociedad en general. Podrfamos

mediadores
disiribuidores,
los
"interesados"
los
"depositarios
dientes,
las
de
cornunidades
incluso detallar aim mils e incluir a los
provecclores,
los
cornpetidores,
las
de junio, por el que se aprueba el Reglamento de medidas de seguridad de los

ii-.
ficheros que confengan datos de caracter personal. Es necesario hacer tambien una
>' mention a las previsiones que sobre la auditoria (informatica) se eontienen en el

Proyecto de Real Decreto por el que se aprueba el Reglamento de desarroilo de la
instituciones fmancieras o los medios de comunicacion46.
Ley Organica 15/1999, de 13 de diciembre, de Proteccion de Datos de Caracter

Personal, que actualmente dedica a la auditoria los artlculos 94 y 108.
4.4 OBJETO DEL CONTRATO DE AUDITORIA

IN FORM ATICA
Entendemos
sobre
la
por
naturaleza
presentado
como
emision
de!
contrato
jurldica
tales
informe
no
objeto
el
en
de
del
contrato
del
la
mismo,
resultado
la
introduction
auditoria
que
del
de
auditoria,
tras
la
explicacidn
definicion
clasificacion
capitulo,
no
ia
la
fase
de!
constituye
encargo
Aunque
en
que
lo
esencia
caracterizaria,
de
previa
que
hemos
pura
simple
final
de
dicho
asi,
como
ser
impide
el
sometidas
lugar
otros
pcsar
auditoria
de
la
de
su
inexistencia
existente
en
la
en
informatica
esta
ampliamente
inusitado
que
requvere
auge
la
regulation
de
diversificado
de
nacional
cuentas,
y
esfueraos
actual,
el
objeto
se
encuentra
dogmaticos
de
todo
en
un
sobre
contrato
de
en
un
importantes
realizacion
tipo
un
de
tantos
pasaremos
en
que,
de
realizar
area
clausus
auditoria,
subtipos
a
un
numerus
por
sus
propias
actividades
consecuentemente,
contratos
una
que
de
especiftcos
enumeration
de
en
de
las
caracteristicas
susceptibles
nuestra
auditoria
principales
de
ser
opinion,
dan
de
entomos
areas
en
las
concreto,
de
una
podemos
distinguir
auditoria
informatica
los
sigliientes
de
las
ambitos
que
principales
eri
hemos
catalogado
la
como
perteneciente a ia auditoria juridica de los entomos informaticos 49 :

Proteccion de datos dc car&cter personal
periodo
para
encontramos
de
que se desarrolla la "inexistente" auditoria informatica actualmente.

En
auditoria
este
informaticos,
dijimos, como contrato de arrendarniento de obra.
comparacion
nos
listado
su
estructuracion.
Esta
encontrar,
infomiatico,
si
inexistencia
bien
legal,
pues
conceptuaimente
especifican
en
todo
las
referencias
encuentran
momento
la
su
normativas
calificativo
realization
de
que
idoneo
una
se
quieren
el
termino
en
auditoria,
secas,
47
Lara Lara, L., "Una nueva ley de Auditoria. de todos y para todos", op. cit., paginas 46.
sin calificativos, choca de una manera frontal con la espectacular amplitud de areas
"Si bien, tai
que
ss
refiere
Reglamento
de
como indica ia Agencia a (raves de un informe juridico de (999 sobre ei alcance de la auditoria a ia
el
Reglamento,
medidas
de
la
norma
seguridad.
cuarta
Tanto
la
de
la
Insiruccton
instruccion
1/1995
1/1995
como
el
foe
derogada
Reglamento
por
de
e!
articulo
medidas
de
17
del
seguridad
se referian a un mismo supuestb ya que ios ficheros que eontienen datos reiativos a la prestacibn de servicios de
information sobre solvencia patrimonial
erddito quedan sometidas a ia bbligatibri de llcvar a cabo una auditoria
de las med idas de seguridad cada dos afros.

46
Fernandez
179 y ss-
Fernandez,
J.L.,
rica
para
entpresoriox
diradhos,
Ed.
ES1C,
2'
edicion,
Madrid,
1996,
paginas
49 Davarn Rodriguez, M.A., Manual dc Derecho Irtfocmatioj,d. Aranzadi, Pamplona, 1997, 396 paginas.
104 AUDITORIA DE TECNQLOGIAS Y SISTEMAS PE INFQRMAC16N
RA-MA
CAPITULO 4. EL CONTRATO DE AUDITOR!A 105
RA - MA
Pues
Proteccion juridica del software
Real
Proteccion juridica de las bases de datos
La
Medidas
de
para
mantiene
vigente
Transitoria
Tercera.
de
Proteccion
de
Ei
seguridad
Delitos informaticos
punto
de
de
estas
la
vista
remitiendonos
areas
deben
informacion
juridico.
en
ser
los
Pasaremos
a! capitulo
de
los
reglamentario
se
por
el
ficheros
que
contuvieran
este
No
que
plasmo
junto,
Reglamento,
obstante,
se
tai
debemos
en
la
aprohaba
datos
de
en
el
Reglamento
de
caracter
como
resenar
practica
el
personal.
prescribe
que
al
en
cierre
su
de
esta
objeto
de
un analisis
de
la
entrada,
sistemas
de
informacion
de
)a
empresa
en concreto
desarrollo
Datos
de
de
la
Ley
Organica
Personal52,
Caracter
15/1999,
que
de
13
derogaria
de
al
diciembre,
vigente
de
Reglamento
de medidas de seguridad.
Outsourcing
Todas
11
edition se ha presentado ya un Proyecto de Real Decreto por el que se aprueba el
Transferencia electronica de fondos
salida
desarrollo
de
Seguridad
Reglamento
Contratacion informatica
dicho
994/1999,
LOPD
Disposition
Contratacion electronica
bien,
Decreto
realizar
de
unas
este
libro
breves
observacion.es
en donde
ya
se
tratamiento
desde
al
un
respecto
tratan extensa
dependiendo
del
almacenados.
Como
LOPD
que
que
preve
puedan
a
momento.
En
niveles
grado
de
controle,
e!
auditoria,
para
que
hay
que
de
los
datos
de
caracter
Reglamento
de
desarrollo
el
Proyecto
de
informacion
cumplimiento
exige
basico.
destaca
tanto,
los
iniciandose
se
el
lo
sensibilidad
sistemas
en
por
alto)
novedad,
concreto,
excepto
se
los
dicha
aplicable
medio
repercutir
someterse
que
precisamente cada una de ellas50.
Reglamento,
(basico,
el
de
de
procedimiento
las
que
se
las
medidas
de
de
del plazo
al
respuesta
niveles
tos
dos
bienal
para
de
personal
de
tendran
anos
la
las
que
en dicho
todos
cumplimiento
registro
dc
ficheros
modificaciones
seguridad
cuyo
los
a
realicen
de
menos
medidas
tres
someter
los
auditoria
todas
en
en
el computo
una
Entre
clasifica
los
se
exige
incidenclas,
el control de accesos, la constitucion de un responsable de seguridad, etc.' . De esta
4.4.1 Proteccion de datos de caracter personal51

Es
materia
tratada,
plasrnacidn
prescrito,
una
quiza
por
entre
referenda
este
la
el
aspecto
Auditoria
escrito
y
por
el
legal,
como
mas
informatica,
todo
ottos,
que
el
pues
posterior
articulo
hemos
importancia
18.4-
tenido
desarrollo
de
dicho
ha
tiene
legal
nuestra
cuasi-explicita,
en
relacion
que
esperarse
del
derecho
Constitucion
de
para
la
con
la
hasta
la
auditoria,
que
puede
ser
tanto
informe
del
cual
el
responsable
de
seguridad
encontrandose
disposicion
responsable
del
fichero,
interna
como
externa,
se
obtendra
necesariamente
elevara
las
de
Agencia
la
conclusiones
un
al
Espanola
de
Proteccion de Datos (AEPD) en todo caso. El hecho de que el informe de auditoria
fundamental
quede
contar
parte de esta. Al respecto, la Agencia ha indicado en un informe juridico5 "1 de 1999
existencia
con
de
la
Proteccion
de
disposicion
de
la
AEPD
no
signifies,
en
modo
alguno,
una
aprobacion
por
lo siguiente:
auditoria de los sistemas de informacion.

"{...]
La
datos
de
Organica
datos
actual
Ley
caracter
Organica
personal
5/1992,
de
29
de
caracter
personal
medidas
de
contengan
dichos
datos
que
supone
oetubre,
(LORTAD)
seguridad
de
de
(LOPD
de
adopcionde
15/1999,
cardcter
para
de
13
la
regulacion
sigue
los
re
del
obligando
ficheros,
personal.
de
El
ya
tambien
diciembre,
forma
de
de
la
tratamiento
en
no
su
articulo
solo
articulo
anterior
9
automatizados,
9
Ley
automatizado
de
la
de
una
vez
elaborado
resultados,
adoptandose
"aprobacion"
formaly
el
las
externa
informe
medidas
de
su
de
auditoria,
pertinentes,
contenido,
que
deberan
sin
no
habrd
comunicarse
que
de
ello
ser
sus
exija
remitido
una
a
la
Agenda Espahola de Proteccion de Datos, sino puesto a su disposicion
la
que
LORTAD
remitia a desarrollo reglamentario para su concretion.

" Proyecto. de Real Decreto del Ministerio de Justicia por el que se aprueba ei Reglamento dc desarroilo de ia Ley
Organica 15/1999, de i 3 de diciembre, de Protecci6n de Datos de Caracter Persona! de 30 de abril de 200".
50
Del Peso, E Auditoria Informatics: un enfoquepractice, op. cit., piginas 119 y ss.
"
De!
Peso,
E.,
Ramos,
M.A.,
LORTAD
Reglamento
de
Seguridad,
Ediciones
1999, pdginas 163 y SS.

51
Davara Rodriguez, M.A., La proteccion de datos en Ewopu, Ed. Grupo Asr.ef Equifax, Madrid, 1998, paginas
u
20 y ss.
Dispuniblu en ia direceion de lntemcfTRtpTffwww.agpd.es a fecha de 20 de agostOdc 2007.
Diaz
de
Santos,
S.A.,
Madrid,
106
Un
en
TECNOf.OCif
AUDITOR / A P
el
aspecto
informe
implantacion,
SISTEMAS
AS Y
importante
de
en
audiioria
no,
de
iNFORMACiON
DE
relacion
es
las
RA-MA
con
quien
medidas
de
las
conckisiones
corresponde
seguridad
Ja
que
se
contienen
responsabilidad
indicadas
en
dicho
CRA - MA
por
la
informe.
En
de copias
este sentido, e! informe juridico de ia Agenda indica que:

[...]
sera
el
responsible
derivadas
resporisable
de
del
requisitos
informe,
de
responsabilidad,
del
seguridad
de
forma
seguridad
constitutiva
habrd
que,
en
de
stguiendo
de
caso
establecidos
infraccion
las
implantar
de
no
en
medidas
implantarse
el
grave
recomendaciones
las
eierto
acomodo
que
encuentra
perfecto,
en
la
en
la
conjuncidn
no
cumplirse
Reglamento,
segitn
el
incurrira
articulo
44
h)
de
inventario
en
control
la
un
de
Sistemas
auditoria
de
de
Information.
seguridad
de
los
porque
de
del
integra
distintos
eiementos
proteccion
juridica,
unos
industrial
v
juridica
en
otros
concreto
bajo
bajo
la
la
de
software
que
ha
la
figura
los
someter
bienes
objeto
debe
verificar
el
legalidad
cotTe
del
por
hablando,
software
permitir
el
cumplimiento
en
objeto
la
de
ilegalidad,
existente
de
ei
entre
la
de
La
bajo
auditores
de
siguiendo
criterios
Value
for
los
Auditing
este
informaticos
modo
un
hace
la
expuestos,
Money
para
tienen
misma,
riesgo
entre
una
que
y,
bajo
que
[a
esta
los
por
Io
tanto,
el
tienen que
investigar
rlesgo
la
que
cuantificando,
monetariamente
el
implantacion
otros,
por
gestion
la
y
software,
Software
legal56
llevar
el
de auditoria.
De
que
implies
herramientas
que
les
Alliance
en
cuestionarvo
legal
coste
de
datos
distintas
los
riesgos
buena
en
gestion
este
adecuada,
para
decir,
contiene
con
la
su
posicionamiento,
la
denominada
se
figura
por
copia
los
de
es
la
este
la
que
cabo
basico
un
multas,
ios
obsolescencia
deterioro
hacer
manera se
permitan
(BSA)
de
un
una
trata
de
de
la
dichos
elaborado
modelo
de
seguimiento
auto-auditoria
cortcienciar
software
minimlzar
ha
mciuye
adecuado
para
utilization
un
depdsito
aplicaciones,
la
datos,
los
no
legal
riesgos
de
creatividad
un
derecho
la
proteccidn
del
contenido
contenidos
de
una
de
constituya
de
base
las
de
facilitar
almacenamiento,
una
nueva
base
la
base
datos
datos
la
Pero,
de
las
en
la
una
nuevo
nos
adecuada
para
ademas,
bases
datos,
inversion
en
evitando
que
una
sqmetidos
unos
datos,
quede
la
surge
de
de
referencias
que
De
como
para
de
planteado
determinada
indizacion,
de
utii
recuperacion
conlleva.
generis"
de
de
autor
que
una
la
informacion.
de
"sui
documentation,
problema
proporciona
derechos
carga
garantizar
de
permite
un
mediante
presentation
distintos
de
pero
de
comun
que
resolution
juridica
la
proteccion
pretende
verification
recuperacion
y
asi
obtencion,
metodos
mismo
de
amparada
bajo la figura de los derechos de autor.
area
ISACA
en
su
conccpto
de
control
de
las
licencias
de
sea
identificables
informatica,
establecen
asi
mismo
susceptible
de
dichas
relacionados
con
como
requisitos
protecciones
la
obra
la
necesarios
existencia
realizada
el
para
de
trabajo
un
que
la
autor
original
que
base
o
de
autores
ha
dado
lugara dicha base de datos.

En
el
planteamiento
de
los
bienes
derechos
objeto
que atender, de un lado, a ios derechos de los titulares de los documentos
software. En particular, se pueden concretar los riesgos que conlleva la realization
u
55
un
de
Se
una
forme
Business
software
permite
base
Es
criterios
se
in
que
original,
riesgo
ia
del
usuarios
eneontramos
ultima,
asimilemos
que se
evaluando
eliminar
anadido
mejor
de
del
consulta.
drdenes
propiedad
pues
la auditoria
"pirateo",
valor
software
information
datos
Los
del
la
57
doctrinal,
diferentes
de
inclusion
autor,
sistemas,
dicho
del
modelo
control de todos y cada uno de los programas utillzados en la entidad.
proporcionando
eaiidad
tecniea,
sistemas
discusion
legislation
inteiectuai.
dichos
la
asistencia
4.4.3 La proteccion juridica de las bases de datos
encuadrarse
derechos
esta proteccion,
ufilizado
la
diferencial
de
de
la gestion de activos de software.
su
programas de ordenador a las obras iiterarias, cientificas o artisticas.

Como
en
ejemplo,
gestion
software
Una
bajo
propiedad
de
inexistencia
negative
por
la
de
diferentes
sido
pueden
amparables
para
proporcionarles
4.4.2 La protection juridica del software55

calificacidn
Guia
los
que tratan los datos y la calificacidn juridica de los datos involucrados.
La
de software original como son las sanciones
la
impacto
Tambien,
no lieva caiiflcativo legal aiguno, no es
la
el
empresas
Auditoria
de
tecnologica,
una
9 '
menos
tecnicos,
del
precisas,
LOPD".
Si bien es ciertc que esta auditoria
no autorizadas
probleinas
iniagen empresarial y los ataques intencionales.
tratamiento,
quien
CAPiTUlQ 4. hi CONTRATO DE AUDITORIA 107
Guia de Auditoria de Software Original, Business Software Alliance, Madrid, 2000, paginas 2 y ss.
Davara Rodriguez, MA., Manual de Qerechn Informatico, op. cit., p&ginas i 03 y ss.
Sf
Davara Rodriguez, M.A., Manual de Derecho Informatica, op ci! paginas 133 y ss.
de
proteccidn,
habra
almacenados,
creacidn
de
otro
tiene
lado,
tambien
una
los
derechos
carga
de
de
los
productores
intelectualidad,
y,
por
de
la
base
ultimo,
al
pvies
su
derecho
del
titular de !a base a impedir la extraction Q reutilizacion total o parcia!.

Pues
los
tres
bien,
casos
controles
la
auditon'a
expuestos,
establecidos,
verificando
la
en este
analizando
evitando
gestion
caso
por
el
tendra
del
mismo
cumplimiento
io
tanto
actualization
por
copias
las
para
rnodo
que
atendcr
todos
ellos
de
extracciones
personas
no
competentes
a
los
autorizadas,
jnedios
(business
to
usuario
auditor
debe
tendra
examinar
en
que
explotacion
mantenimiento,
implantation.
en
primer
aceptabilidad
si
los
dehera
y
Del
disenos
se
han
metodologia
correcta
del
de
un
plan
personal
una
de
para
despues
vez
puesto
explotacion
para
Jo
diseno
utilization,
correctamente,
procedimientos
establecer
formation
producto constituye un elemento permanente e
la
su
realizado
los
debera
la
modo,
analizar
conqfrobar
comprobar
finalmente
mismo
lugar
luego
despues
largo
de
la
de
la
vida
del
Entendemos
tipo
medio
de
acapara
sido
contratacion
el
su
por
contratacion
electronieo.
Con
la
empieza
perfeccionamiento
implantacidn
la
ser
de
que
electronica
toda
del
aquella
uso
constatabie.
de
Pero
contratos
electronicos,
relegado
al
ha
no
que
el
s61o
esta
aunque
anterior
se
internet
sisterna
es.
realiza
auge
de
red
consumidores
Podriamos
informacion
sentido
como
comercial
en
forrna
la
de
transaction
que
(Electronic
comercio
la
por
transmisidn
de
datos
adquisicion
intercambio
sobre
redes
aceptacion
Vefthuis.
(AUD!S1'2000),
w
Davani
electronieo,
Auditoria
de
Seminario
en
fa?
Rases
Auditoria
de
de
Datos
los
de
los
Sistemas
Almacenes
de
de
Informacion
Dates
y
separar
al
consumidor
final
anadir
la
contratacidn
entre
to
publicas
la
gestidn
de
las
relaciones
compra
en
de
el
que
servicio
no
comercio
bien
un
servicio
libro
en
de
las
alguna
se
electronica
primer
caso
del
o
lugar
de
otro
oferente,
la
la
relaeion
de
realiza
por
en
hay
electronieo
directo
como
integramente
por
medio
formato
medios
el
electronieo,
actividades
tipo
de
segundo
en soporte
que
inmediatez
mercantil
videoconferencia
escrita
que
el
perfeccionan
electronicos,
ya
sea
el
por
relaeion
lugar
babra
que
papel,
y,
atender
de
las
el
momento
por
el
la
la
tercer
tres
de
momento
calidad
asemejar
en
relaciones,
que
se
emision
de
la
llega
en
que
dehdialogo,
aceptacion
lugar,
desde
aspectos
cuestion
excluyendo
la
hecha
el punto
de
electronicas
de
por
vista
de la seguridad. Pasamos a dedicar un especial parrafo a este aspecto.

En
se
lo
busca
que
garantizar
de
las
extremes:
seguridad
la
mismas.
la
regulatorios
de
Informacion.
En
efecto,
electronica41,
se
aprobo
de
certificacidn
de
regulation
la
de
Ley
de
aspectos
antes
el
de
Real
Orden
acreditacion
de
de
de
19
Espana
fiie
juridicos
que
se
de
de
en
no
una
ia
aprobara
la
de
de
de
de
17
2000
no
de
de
en
Sociedad
aprobo
estos
de
la
firma
septiembre,
sobre
su
Anexo
certification
electronica.
electronica
en
sobre
en
fiie
datos
y
garantizar
pionera
europca
obstante,
firma
origen
puede
mas
Directiva
firma
pais,
que
vez
servicios
de
(en
denominada
14/1999,
maestro
repudio
mecanismo
febrero
diciembre,
el
de
Decreto-ley
21
transmisiones
y
un
productos
electronica
las
existe
prestadores
determinados
firma
en
integridad
electronica.
Jos
la
59/2003,
refiere,
la
Actualmente
firma
temas
electrdnica,
se
autenticidad,
de
(dattrvvarsbouses),
Control
la
entre
del
Esta
primera
derogada
(LFE),
el
de
por
Aunque
la
no
es objeto de este trabajo su analisis exhaustive no queremos dejar de mencionar ias
Intemo
Organ izado por Ififorratticos Esiropeos Exper.os,Madrid, febrerc 2000.
Rodriguez,
Ed.
Mario,
podriamos
C2C)
contratacion
caso
en
tclefono
vigente
pronunciada
en
en
Reglamento
PiSttini
obtencion
indirecto
bien
la
soiventara
firma
conference
consummer,
diferenciar
la
ejemplo,
del
En
ha
comunicacion como Internet, se habla de la segmentation en la utilizacion de estos
51
emprcsa-administraciones
contratacion
final
(business
transporte, el pago o cuaiquier otra.
el
Data
en
clectrdnico
destino)
o
to
dicha
empresa-consumidor
empresa-empresa
direction
Ademas
de
direction
direccibn
la
B2A).
la
la
en
active
tambien
consiste
electronieo,
estos
cuaiquier
basada
que
correspondencia
'' Hoy en dia, en ef comercio electrdnico concretamente, y entendido en su

amplio
artifice
en
en
finalmente,
(consummer
por
Interchange) utilizado principalmente para transacciones intraempresariales 60.
mas
sentidos:
B2C),
administrativas de los administrados electronicamente.
este
mundial
cierto
EDI
tres
administrations,
conocimiento
generalization
como
fundamentales:
indispensable 58.
4.4.4 Contrataci6n electronica59

aigun
en
qonsummer,
B2B),
aquel
su
to
business
.
El
electronicos
(business
autorizadas
para ellq.
determinar
CAPiTULO 4, L CON i'RATO DE AUDITOR I A J 09
RA-MA
RA-MA
108 AUDI TORI A DE TECNOLOGIAS Y SISTEMAS DE1NTQRM AClON
M.A.,
La
Confederation
protection
Espafkjla
de
de
los
interests
Organizaciones
de!
de
consumidor
Amas
ante
de
ios
Casa,
nuevos
sistemas
Consumidores
de
comercio
Usuarios
(CEACCU), Madrid, 2000, paginas 37 y ss

'
Directiva
tnarco
40
Del Pe?o, F, At.ditpna juridico de los entornos informdiicos, en Informaticay Derecho, n 19-22,1998, paginas
644 y ss.
1999/93/CE
comunitario
2000, paginas 12 a 20.
para
del
ia
Pariamento
firma
Europso
electrdnica.
del
Pebllcada
Conseio,
en-el
de
D'.ario
13
Oficial
de
diciemtrre,
serie
I.
por
nilmero
la
13,
que
de
se
estabiece
un
de
dc
enero
! ]OAUD!TORiA DE TECNOLOGiAS Y SiSTEMAS DE fN'FORMACJON
caracteristicas
enire
tres
firma
la
importantes
de
eleetronica
emitida
trata
mas
olaSes
por
de
tiene
un
la
una
firma
comunitaria
no
utilizar
ninguna
pretendida
confianza,
las
arquitecturas
ia
que
quien
fecha
de
hizo
se
y
ia
clave
el
de
de
podran
pueda
expedir
(PKI)
que
la
quien
aeuerdo.
de
No
un
la
la
la
de
inexistencia
reconocidos
que
hardware,
autenticar
los
equipos
las
conjunto,
basan
en
consideran
de
los
ordenes,
informatica.
estas
funciones
con ella.
pues
libre
si
Desde
de
juridica
se
que
la
mera
no
sea
todo
que,
el
punto
contratacion
adecue
sin
vista
la
sine!
previo
ser
un
elemento
se
hace
los
un
ingente
de
controles
categorias
virtud
esencial
necesario
los
la
ur.as
del
eomo
por
de
de
tal prestador,
sdlo
lieven
aparejada
dicha
puede
que
herramienta
mencionado
la
al
y
para
que
estos
de
contratos
restantes
que
se
tipos
pueden
derivar de su inobservancia.
Es
fronteras
tan
decir,
la
la
mera
de
relevantes
en
exoneracidn
de
obligaciones
entre
convencionales,
legislaciones
usos
del
forma
la
de
para
practica
responsabiiidades,
las
entre
partes
otras
nacionales.
comercio,
Ni
que
que
cosas
estas
constituirse
contractual
la
no
por
siquiera
segun
nuevas
formas
en
pueden
la
los
nuestra
elementos
como
prestation
de
Ia
de
sin
contratacion
definitorios
delimitation
garantias
mas
globalization
terminos
legislacion
asemejarse
y
por
y
la
a
rnercantil
cuestiones
cn
su
division
"e-terms",
"incoterms"
en
constituidos
caracter
una
en
las
versar
estos
caso
de
soporte
en
servicios
a
dividir
el
determinada
con
clara
regulation
trafico
mercantil
dos
e)
tratamiento
soporte
de
al
que
el
todos
grandes
respecto
informatico.
en
son
aquellos
grupos
los
se
(compraventa,
una
juridico,
ban
arrendamiento
Asi
mismo,
que,
automaiico
dei
que
de
los
que
cabo
de
la
de
directa
al
objeto,
que
pueden
los
bajo
financiero,
se
las
sirven
respecto
en
elemento
afinidad
sobre
debido
todos
servicios
llevado
cuanto
ellos
logico
relacion
objetos
en
como
proporcionan
diferenciados:
distintos
negocio
realizados
en
asi
conforman
informaticos.
sistema
perifericos,
inmateriales
informatica
especiales
servicios
el
respecto
elemento
instrucciones
actividad
comunmente
de
use
forman
osus
bienes
informaticos
en
bicnes
que
proceso
del
conjunto,
la
caracteristicas
mas
dvrecta
los
e
su
de
fisico
informaticos
contratos,
informaticos
centra!
relation
de
elementos
contratos
una
figura
mantenimiento,
prestamo) en la que han encontrado acomodo pero que en casi todos los casos Via
sido necesario adecuar.
La
tienen
una
contratos
mezcla
por
informaticos
o
el
union
usuario,
iafonmatica
adhesion,
contratacion
calificacibn
hace
de
de
en
que
la
en los
de
estan
dos
mas
terminos
no
una
para
todo
de
de
la
tipos
e(
las
las
en
elementos
de
contratos.
de
contrato
partes.
partes
un
por
generates,
en
prestacion
situarla
formados
voluntad
que
bienes
uniforme
las
pueda
En
fija
de
servicios
modelo
tan
Asi
informaticos
tipo
de
dispares
mismo,
contrato.
que
el
estar
basado
en el
ocasiones
son
muchas
las cUusulas
exigen
limites
del contrato
no
Los
la
desconocimiento
posibilidades
de
Ia
principio
de
contratos
de
y la
otra
se
en
la
adhiere a las mismas, sin tener posibilidad de modificar ninguna de eilas.

La
contratacion
informatica
resulta
extremadamente
redaccion de los contratos y en la fijacion de los derechos y obligaciones de las
categorias
intersection
tienen
las
de
las
tanto
tradicionalmente
traspasa
una
el
que,
Podemos
autonomia
aparicion
unos
contratacion
aquellos
unidad
tienen
Los
debido
hace
virtual
aclaraciones
los
juridicas
este
redaction
medio
perfeccionarse
consecuencias
someter
utilizada
tradicionales
de
hemos
se
para
especificaciones
modo
las
que
tecnico
conceptuales
sometimicnto
en
asesoramiento
de
reconocidos
la
todos
la
complernento
juridica
potencialidad
las
imprescindibles
contractuales,
de
requiere
traslacion
posible
punto
de
se
definition
y
procedim'ientos
bien
competencia
que
datos,
haga.
apoyo
sea
bienes
information
certifique
ya
son
conforman
origen,
io
de
como
informaticos
con
firma eleetronica que tiene plenos efectos jun'dicos.
tipo
Definiendola
se
acreditado,
regimen
ha
a!
eri
lento
utilizados
de
acepto
que
obstante,
servicios
en
conllevar
en
international.
parte
integridad
que
temporal
ser
in
los
Bienes
se
destino,
en
asi
claves
comunicaciones,
realiza
certificados
de
es
paralela
de
tercera
y
ti
ello
La
se
que
despojarle
las
dicho
se
cifrado
si
idntica
national
y
identificar
garantizar
el
servicios,
de
sellado
prestador
prestadores
de
es
de
una
I/fffaestructure
en
un
tecnicas
repudio
de
en
puede
asimetrica,
nicgue,
garantizar
que
no
funcidn
estos
constituye
Key
lo
de acreditacion
acreditados
legislation
se
otros
acreditado
prestador
certification
la
perfeccicnamiento
El
distingue
reconocida.
juridica
la
ofcrta
puede
falta
de
asegurar
estar
de
afladir
del
las
constitution
sin que
la
Public
que
eficacia
por
de
su
LFE
la
entre
autoridad
electronico",
medio
algoritmos
puede
hora
unicamente
por
tendra
y
requisitos,
firncional).
pubiica,
pubiica
Iransmitidos,,
Ademas
los
clave
utilization
mensajes
la
de
solo
La
avanzada
de
reconocida,
de
"fedatario
intervinientes,
que
normativa.
la
serie
adoptada
calificacion
el
simple,
(equivalencia
competencia
creandose
partes
servicios,
ahora
la
novedosa
la
una
eleetronica
manuscrita
prsferido
esta
cumpiir
de
firma
terminologia
de
eleetronica,
que
prestador
emitir
de
firma
RA-MA
de
en
de
fuente de Derecho son absolutamente trasladabie.s a este entomo, y ejempio ciaro

63 D v.ita M .A
Manual
H'W Deri'cho. Infarmuiico, op. oil..
pagin.s 191 v ss.
complicada
RA-MA
112 AUDITORIA DE TECNOLOGIAS Y SISTEMAS DE INFORMACION
paries.
ello
mismos
la
hay
que
dificultad
deben
redactar
posible
la
auditor
informatico
acuerdo
los
anadir
en
teniendo
existencia
la
en
cobra
ios
aspectos
imprescindibles
que
someta
este
del
un
de
una
objeto
cuando
equilibrio
de
normaitva
son
su
y
importanCia
los
cuyo
de
especi'ficos
cumplimiento
tipo
nuevo,
asesorando
terminos
debe
contratacion
adecuada
contratos
prestaeiones
oscuras. Y es aqui', de
toda
tecnicos
los
inexistencia
cuenta
de clausulas
requisites
se
la
fijacion
ser
evitar
la
delimitan
objeto
cuyas
donde
de
los
en
io
del
en
y
los
particuiaridades
4.4.7 El outsourcing"
Se
figura
impiantando
que
complejos-
El
sobre
por
centrales
desarrollo
todo
momento
dicho
concretan
requieren
CAPiTULO 4. EL CONTRATO DE AUDITORIA 1 ]3
RA-MA
las
llevan
tanto
de
de
a
Un
El
outsourcing
especializado
en
aplicaciones
actividades
optimlzacion
de
los
datos
una
y
de
caracter
relevancia
sus
comun
personal
en
la
al
practica
la
pago
contratacion
electrdnico.
inusitada
en
particuiaridades
justifican
su
medios
de
electronicos
debito,
concrete
credito
tcrna
los
de
establecimiento
mencionamos
electrdnico
mercantil
aqui
pago
el
el
la
naciente
propiamente
dicho
concrete
este
En
constante
tratamiento
caso
para
electronica,
particular
conocidos,
de
las
de
compras
fendmeno
de
los
las
en
e!
entidades
de
referiremos
en
tarjetas
de
un
determinado
mismo,
y
del
de
No
obstante,
no
de
es
dado
este
fondos,
ni
que
el
una
lugar
los
vez
mas
donde
derechos
tenemos
analizar
que
las
obligacvones
recordar
fases
de
implicadas, el emisor del instrumento de pago y el usuario, ni ia

desequilibrio
Information
pueden
recurrir
razones
al
tecnicas,
las
plantearse
outsourcing
economicas
Comunicaciones
en
un
informatico.
de
otra
determinado
Se
trata
naturaleza,
la
los
sistemas
esta
nuevas
de
area,
se
puede
ser
defmido
informacidn
de
una
Integra
propias
resultados
de
tecnologias
en
de
la
la
la
toma
de
referida
misrna,
al
la
utilizacion
se
produce
coma
entidad
tiempo
con
que
recursos
cesion
un
decisiones
gestion,
de
"la
a
de
tercero
la
que,
desarrollo
de
las
la
finalidad
de
la
permite
la
especializados
entidad
de
los
el
que
La
extemalizacion
pierda
informacion,
solo
el
sino
que
control
sobre
simplemente
que
la
no
supone,
gestion
encarga
un
en
modo
alguno,
administration
tercero
del
especializado
que
sistema
en
la
el
de
materia
que realice dicha gestion con el fin de ahorrar cosies y centrarse en el desarrollo de
dinero
su actividad. El outsourcing se
dinero
mantenimiento
gestion
del
convierte
sistema
en una
de
forma
informacion
lo
de
externalizar
cual
va
los costes
suponer
de
que
la
entidad pueda optimizar sus recursos.
capitulo,
electrdnica
de
empresario
electrdnico.
este
la
no dispone"63.
relevancia
las
emisoras
acceso
adquiere
Esta
es,
micropagos
consecuentes
ultimo
Nos
esto
asociadas
realization
de
protection
crecimiento.
independiente.
ya
la
empresas
por
inform&tico
4.4.6 Transferencia electronics de Rondos63

un
de
que
gestidn de los sistemas de informacion total o parcialmente.
gestion
es
Tecnoiogfas
empresariales
muchas
externalizar,
asesoramiento especial izado y experto.
Este
las
estrategias
derivada
confidencialidad
ni
delimitation
las
de
de
la
seguridad
utilizacion
de
de
los
responsabilidades
nuevo
datos
de
de
riesgos
de
las
el
la
objeto
distintas
los
contratos
de
personal
involucrados,
en
el
El
aspecto
paries
uso
adhesion,
de
este
aconsejable
ni
la
en virtud
ni
la
tercera
medio
hecho
critieo
desarrolio
nueva situacion de
caracter
existentes
de
transferencia
de
la
que
de
de
para
las
de
el
empresas
podran
ios
outsourcing
empresas
auditoria
la que
entidad,
que
las
informatica.
incluyan
realizar
de
determma
En
en
una
procedimienlos
los
sistemas
que
sea
este
sentido,
los
contratos
auditoria,
que
el
de
un
de
ser
outsourcing
una
esta
sea
un
para
el
habitual
propicia
suele
o solicitar
outsourcer
informacion
area
una
clausula
auditoria
por una
siguiendo
para
ia
prestation del servicio y garantizar asi el nivei de servicios pactado entre las partes.
de pago.
La
tarea
espectfica
posible
en
comprobacion
la
probable
de
intersection
de
la
este
de
ambito
alguno
para
de
ir.teroperabilidad
el
auditor
los
otros
entre
los
informatico,
ambitos
sistemas
aparte
especificados,
de
lectura
de
la
reside
de
las
tarjetas y las redes de comunicaciones.
64
Del
Pesc
Navarro,
E,
Manual
de
Outsourcing
Informatico.
Andtisis
Madrid, 2003,237 pagtrcas.

M
fl>
Davara Rodriguez, M.A., Manual <Je Derecho Informatico, op. C )!., paginas 237 y ss.
Davara Rodriguez, M.A., Manual de Derecho Informatico, op. Cit.. pSginas 103 y ss.
contratacion.
2*
edicidiy
Diaz
de
Sanios,
114 AUDfTORiA DETECNOt.OCiAS Y SISTEMAS DM (NFORMACION
DRA-MA
CAPITULO 4. EL CONTRATO DF. AUDITORiA 115
RA-MA
4.4.8 El delito informatico 66
4.5 CAUSA
Para
Este es un tema debatido en la doctrina tanto en su defmicion, mas alia, en

cuanto
su
integrantes
existencia
de
diftcilmente
la
legal,
como
definicion
encontrables
en
su
estricta
en
la
clasificacion.
de
delito
utilizacion
en
de
De
la
un
lado,
doctrina
medios
ios
elementos
criminaiista
informaticos,
en
son
su
mas
terminar
De
de
los
todo
io
Sistemas
de
ampfio sentido, en la comision de ilfcitos. De otro lado, en ia clasificacion de todas
una
las
de estas caracteristicas.
accioncs
ilegales
unanimidad.
Parece
cuantitativa
encuentran
mismos
se
enurnerar
dolusas
claro
que
dentro
especifica
los
virus
(hackers)67,
fisicos
iogicos
el
instrumcntalizadas
son
Ios
de
una
fraudes
este
delito.
seleccidn
informaticos,
mere
robo
de
los
la
de
este
que
mas
ios
Pero
tampoco
unica.
modo
actuacion
de
Ios
otras
acciones
equipos
fisicas
informaticos,
modo
tampoco
importancia
en
la
de
ordenacion
de
piratas
similares
contra
destaca
baste
elementos
sobremanera,
la
No
es
el objeto
de
este
capttulo
el desarrollo
intense* de
este
de
los
elementos
cabe
deducir
en
de
rango
ningun
la
que
la
actualidad
que
relacion
al
auditor
informatico
reviste
aqui,
hemos
mencionado,
en
auditoria
con
circunscribir
de
tietermina
delitos
cuentas
su
existe
una
sin
legal
Ie
constltuye
en
delitos
sino
tambien
para
ayudnr
una
otra
categoria,
en
iddneo
en
una
su
La
especial
y
en
la
tema,
cuanto
para
no
solo
otra
Si,
toda
la
aconseja
hablando,
la
posibilidad
auditoria
de
las
Auditoria
Informatics,
caso
aceptada
de
actual
la
realization
que
opta
la
unica
la
de
este
por
de
la
en
la
que
detection
de
profesionalidad
del
constatacion
a
parte,
de
efectos
por
estos
de
estas
su
conclusion
Por
lo
interpretation
del
de
la
las
autopistas
de
la
information
la
tanto,
autonomia
en
voluntad
de
exigencia
legal
de
la
Auditoria
No
existe
una
ni
auditoria
espiritu
es
el
de
la
realista,
posible,
dentro
de
en
su
voluntad,
articulo
la
1255
empresa
prevista
principio
del
actual
auditada,
en
la
y,
la
de
conciuir
efectos
a
que
origenes: de
la
la
en
efectos
de
tradicional
a
de
causa
de
Derecho
ser
solicitada
tie
aceptacion
un lado,
puede
proteccion
consegulr
la
materia
como
puede
partiendo
contractual
a
simple
cumplimiento
datos
de
una
Ley,
la
en
lado,
de
de
Civil,
otro
normativa.de
ya
ineludiblemente
dos
rector
Codigo
la
legal"
de
momento
a
norma,
opinion
sus
el
datos
normatlvo
"figura
literalidad
por
Ueva
nuestra
licitud,
la
de
hermeneuticamente
cuerpo
!a
acudir
de
que
este
protection
caracter
de
la
personal
y en concreto en el articulo 17 del Reglamento de Medidas de Seguridad.
4.6 EL INFORMS DE AUDITORIA

la
sociedad
virtual,
Ed.
Aranzatii,
Pamplona,
de
auditoria
documentation
consisten
circunstancias
prevenir
1996, paginas 164 y ss.
informe
unica
principaies
De
adecuada
contrato,
prescrito
EI
M.A.,
mas
tener en este
Rodriguez,
contrato,
mismas
consideracioncs una especial responsabilidad en dicha deteccion.
Davara
todo
de
nula.
cabe,
modo,
existente
cuentas,
de
No
en
este
someterse
auditoria
dc
materia
imposition.
refiriendo
no
auditoria
en.
su
Aparece,
se
legal:
se
si
conduciria
regulation
suena
"convencionalcs".
corriente
del
como
profesional
conceptual
por
de
intervention
detectables
la
sistemas
utilidad.
cuidado
experiencia
delimitation
otorgandole,
de
irregularidades
diligencia
por
auditoria
informatico.
auditada,
que,
sujeto
la
dudas,
de
empresa
auditor,
inclusion
errores
deber
la
prescription
el
los
de
delito
lugar
un
comunicacion
arnbito
denominado
cuanto
tiene
el
LEGAL
determine
una
intentar
exigencia
puridad,
de la Auditoria Informatica como la idonea para este analisis.
de
en
pasamos
esenciaies
es,
remitimos de nuevo a Ia parte especifica de esta obra donde se detalia su contenido

informacion
anterior
obstante,
personal
reconocimiento
no
analisis
Informacion
disposition
caracter
cuyo
pirateria del software ya meneionada mas arriba.68

Como
el
informaticos
los
sola
los
ejemplificacion,
llamados
donde
existe
cualitativa
con
pasamos a examinar la causa del contrato de auditoria.
que
una
en
que
constituye
va
permitir
afectan
interpretacion
su
a
al
que
fiabilidad
errdnea
el
llegar
de!
producto
a
quien
final
la
del
ha
revisa
entender
conclusiones
las
grado
de
trabajo
encargado.
el
trabajo
de)
responsabilidad
de
auditoria
Sus
objetivos
realizado,
auditor,
asi
asumido
las
como
por
el
auditor69.
67
Scbre los piratas mforrrialicos o hackers, puetie verse el Proyecto de Ley Orgar.ica por la que se modifies ia Ley
Organica
10/1995,
de
23
de
noviembre,
de!
Codigo
Penal,
que
hace
referencia
la
introduction
en
el
articulo
197
accediera
sin
de una nueva redaction para eviiar que los hackers se sirvan de la Jaguna legal existente castigando a quien por
cuatquier
medio
autorizacion
Oiicial
de
a
las
proctdimiento
datos
Cortes
programas
Generales,
vulnerando
informaticos
Congreso
de
dictamenes
las
medidas
contenidos
los
Dipulados,
d<
en
seguridad
un
serie
cstablecidas
sisiema
A,
para
informatico-
niimero
119-1,
hacerlo
Publicado
de
15
de
en
enero
el
Boletin
de
2007,
pdgrna 7,
44
Del
Peso,
E.,
Manual
de
Santos, S.A.. Madrid, 1995, paginas 153 y ss
peritajes
information.
Analisis
de
casta
practices.
Edicioncs
Diaz
de
69
Bemal
MoniaWs,
R.
Collell
Valencia. Valencia, 1996, paginas 123 y ss.
Simon,
O.,
Auditoria
de
los
Sistemas
de
Information.
Universidad
Politecnica
de
RA-MA
116 AUDITORjA DE TECNOI.OGIAS Y SiSTEMAS DE fNFQRMAClON
El
informe
antccedentes,
resumen
por
el
debe
estar
objetivo
del
para
la
Direction
es
un
incumplimiento
eon
los
que
discutirse
en
auditados
escrito
proceso
lerminos
o
de
firmado.
auditoria,
no
una
antes
if
de
emitir
el
el
deben
posiblcs
En
cada
tecnicos.
debilidad,
En
las
y
alguna
definitivo.
constar
limitaciones
punto
debe
algunos
las
interpretation
un
recbazo
explicarse
recomendacion.
En
y
Ha
casos
CAPi r ULQ4. EL CONTRATO DE AUDITORjA 117
RA-MA
de
al
como
del
mensaje
informe
corto
una
forma
contenido.
y
mds,
la
En
terminos
aceptacion
entre
otras
generates,
generalizada
cosas,
de
de
se
su
acortar
ha
produtido
alargamiento,
el
tan
de
nombrado
un
nuevo
gap
de
expectatlvas 73.
incluso
se pueden recoger las respuestas de los auditados 70.

En
relacion
de
concrete,
con
dates,
la
el
artlculo
auditoria
indica
que
de
el
17
los
del
Reglamento
sistemas
informe
de
de
information
auditorla
Medidas
debera
de
instalaciones
incluir
"los
Seguridad,
de
en
El
pone
informe
que
de
manifiesto
informacion
dicha
de
cumplan
la
contable
informacion
autentico
auditoria
unos
opinion
auditada,
y,
en
conocimiento
de
su
de
cuentas
determinados
hechos
del
de
caso,
causa.
auditor,
manera
obligatorio
es
un
respect
que
de
la
cualquier
tomar
decisiones
Estas
caracteristicas
sobre
base
de
ciertas
donde
fiabilidad
tercero
la
son,
para
documento
de
pueda
de
ia
nuevo,
se
misma
con
aplicabies
al
informe consecuente de la realization de una auditoria informatica.

Un
quidn
va
informe
dirigido
auditada,
parrafo
comparabilidad
su
efecto
opinion
de
debe
y
de
quien
las
imagen
fiel),
(NT
el
sobre
o
el
e!
partes:
nombramiento),
y
su
informe
de
en
parrafo
principio
de
destinatario
su
de
la
caso),
de
firmas
de
fecha
de
(detallando
enfasis,
contable
(a
entidad
parrafo
salvedades
parrafo
genera!
gestion,
tltulo,
identification
excluidas
naturaleza),
parrafo
de
representation
(que
coincida
colectivos
que
el
auditor
interesados,
el
pueda
informe
transmitir
de
de
auditoria
forma
debe
ser
despues
donde
encontramos
mas
pasaremos
hablando
de
que
dos
partes
resaltables
se
en
realizar
!a
debe
diferenciadas.
cuanto
un
mas
auditoria
hacer
los
extenso
a
primer
analisis
informatica
hincapie
En
elementos
pues
la
vista
contrato
la
situacion
de
es
en
de
lugar,
del
este
lo
punto
estudiado
anteriormente.
El
regulation
es
algo
que
propio
de
contrato
jurldica
de
su
se
falta
suele
tener
la
encuentre
delimitado.
La
inseguridad
espera
cuanto
regulacion,
de
sus
dudas
todo,
los
ademas
configuration
de
juridica.
suffe,
cuanto
La
a
su
otras
juridica
de
cosas,
que
objeto
multiplicidad,
profesion
empresa
su
todo
Informacion
La
entre
funciones.
en
expectativas es aqul
se
como
de
contratacion,
de
informatica,
Tecnologlas
su
extralimitacion
auditoria
las
esta
de
de
de
de
se
espera
una
menos
solution,
claro
no
tienen
su
una
aun
la
no
es
palpable.
se
caracteriza
una
afecta
El
objeto
por
informatico,
La
la
aparte
profesional
auditoria
resultado.
de
informatica
diferencia
de
lo que se espera, pues
detection
la
Comunicaciones,
intrusismo
mayor porque ni siquicra se tiene ciaro
terceros,
que
auditor
solicita
lo
las
de
existencia
los
probiemas.
delimitation
de
En
la
figura. Por otra parte, la causa, como hemos visto, es escasamcnte legal en cuanto a
periodicidad en la obligation.
con la de termination del trabajo en la oficina de la entidad auditada)72.

Para
tendran
puntos
normativamente
dificuitad
siguientes
anteriores),
anuaies
recalcando
parrafo
las
utilizadas
ejercicios
cuentas
(especialmente
de
efectuo
alcance
(respecto
sobre
constar
los
actual
la
valorar
conclusions
extraerernos
analizado,
anuaies,
parametros,
Estas
tratamiento
datos,
observaciones en que se basen los dictamenes alcanzados y recomendaciones

propuestas"11. 9
entidades
4.7 CONCLUSIONES
satisfactoria
un
su
documento
trabajo
que
debe
No vamos a abandonar en este
los
ser
no
por
rnucho
hemos
leldo y comprendido sin que los Ieetores encuentren dificuitad o dudas en la
venido
situacion
tiempo,
esquema
siguiendo,
actual
de
la
y,
por
misma
ultimo apartado el obligado,
comparativo
io
e
tanto,
respecto
nos
intentaremos
la
auditoria
aprovecharemos
sintetizar
los
de!
puntos
es paramos que
de
cuentas
analisis
mas
de
que
la
relevantes
para basar nuestras "reivindicaciones".
Comencemos por resaltar
Ramos Gonzalez, MA., Auditoria informatica, en Informatica y Derecho, n 19-22.1998, pagirtas 657 y ss.
partir
71
ya
Literalmente,
dicho
por
el
ei
apartado
Reglamento
del
de
articulo
Medidas
94
de
del
Proyecto
Seguridad
en
de
Reglamento
retacibn
a!
de
contenido
desairolio
del
de
informe
la
de
LOPD
reproduce
auditoria
sobre
lo
de
la
LAC
(1988)
se
una vez
reguia
por
mds lo novedoso de su normativa. Solo a

primera
vez
la
profesion
de
auditoria
de
cuentas, determinandose quien puede ser auditor de cuentas, como debe actuar el
ios
datos, hechos y observaciones en que se basen los dictamenes alcanzados y las recomendaciones propuestas.
72
Lope?. CorraleS. fCumphmicnto de las mrmos ticnicm en ia emisiqn de informes, en Partida l)ob!e, n" 94,
novicubre 199ft, paginas 68 y ss.
Garcia
Bemau,
M.A.
Vico
Martinez,
A.,
Tendencies
auditoritr, en Ticnica Contable, Tomu 48,1996, pagirtas 11 y ss.
Internationales
en
la
elaboration
de
los
informes
de
IS AUDITURIADl- TECNOLOGIAS Y SISTFMAS OK tNFORMACION
CAPiTULO 4. EL CONTRA TO DF, AUDITORiA 119
SRA-MA.
auditor de cuentas en el ejercicio de su profesion, ios pla/os para la contratacion, ej

regimen
de
incompatibiiidades
y
las
responsabiltdades
y
mecanisrno
sancionador.
Para una profusion que se remonta a ios origenes de las civilizaciones mas
antiguas, resulta cuaitdo menos llamativo.
"-flamento,
-upiento
afectan
tanto
al contenido
de
sus
de
trabajo,
como
al alcance
del
mismo,
p'
^ a la forma de su expresion como actividad profesional. Ternas como la
autorregulacion profesional, la unification de criterios, la internationalization de

los principios contables, conceptos como Ios de empresa en marcha, importancia,
la
]a
un
documento
annonizacidn
misma
jablecimiento
de
normas
de
jjg
-ofcilidad
. Pero adernas, la auditoria tiene aun pendientes numerosos problemas que'
presento
denominado
ia
auditoria
legal
en
Ewopa:
el
%rnino a seguir, donde se especifica que el fin de protection del interes publico, e!
la
falta
u&tbr
de
legal
de
a
la
zjTC5tdndares
intemacionaies
en
los
establecidos
en
controles
la
un
modelo
ejecucion
del
para
el
La
posicion
un
incremento
elemento
unico.
funcion,
adoptar
prion
en
mercado
la
de
financiers
auditoria
del
sobre
necesidad
information
la
funcioriamiento
unanimidad
y de
la
constituyen
Comision
es
trabajo,
que
en
la
a
la
la
el
civil
su vez
calidad
de
para
consciente
responsabiiidad
comun
mejorar
importante
del
respete
emision
de
de
citados
los
la
"brines76.
) relativa, fraude t ilegalidad, la compatibiUdad de las funciones de auditor

En
profesional y la consuftoria, sobre Ios procesof de concentration, las relaciones con
ldolece
las autoridades, Ios controles deor.tologicos o ia calidad de! trabajo. Tambien es:
\ necesaria una normativa c-orrsun europea sobre aspecios relacionados con
crecimiento
sta
responsabilidades exigibles, los seguros de responsabiiidad profesional y el-'
\ Apoyando esta afirmacipn, como hemos visto, el Libro Verde sobre la-.
posicion
responsabiiidad
del
auditor
legal
en
la
Union
Europea74;
contenido
de!
informe,
la
independencia
de!
auditor
legal,
la
forma
-de','
> realization del control de calidad, la responsabiiidad del auditor legal... en orden a'
de auditon'a. El Pariamento Europeo, por su parte, analizo el citado Libro Verde y
sea,
subcomite
tecnico,
profesion
tan
legates,
de
de
la
profesion,
Asi,
comparatives
un
nada
la
auditoria
problemas
informatica,
aunque
como
en
como
tantos
convencional
aspectos
sin
indefinidos, v dado e! muy superior ritmo
auditoria
importancia,
la
antigua
con
sea
para
futuro
reclamar
cercano
saftsfactorios
en
entendemos
pretendidamcnte
e|
reconocimiento
esperamos
el
que
tener
estudio
ya
se
de
soslayada,
dc
que
las
de
una
dejar
de
caracteristicas
la
necesidad
en
muchos
propio
todos
sus
que
los
instrumentales
y
las
la
similitudes
auditoria
delimite
aspectos:
hasta
propia
pues
puntos
la
figura
desde
objetivos,
los
en
organizativos.
delimitadora,
existentes
de
de
la
Es
preciso
declarativa
que
la
para
auditoria
subjetivos,
cuanto
cuentas
de
sistemas
definiendo
la
no
el
regulacion
lograr
una
indefmicion
comenzar
de
informacion
del
del
lo
que
proccso
auditor
principalmente,
regulacion,
constitutiva,
de
perfil
legal
legal
un
que
tipo
que
es
una
tealidad creciente en nume'ro e importancia: la profesion de auditoria informatica.
^ la necesidad de concretar !os objetivos mas inmediatos, la idonevdad de la

un
de
particularidad.
analisis
riormativo
en
los
) aprobd una Resolution en enero de 1998 en la que consideraba, entre otras cosas, ;
de
informatrco,
establecer las bases que permitan el desarrollo del mercado interior de Ios servitios
constitution
importancia
"Aprovechemos"
sufre
y homogeneizar el ejercicio de la auditoria en aspectos como su definition, la forma

el
una
originals y propias de esta profesion.
civil
^ publicado por ia Comision en 1996 pone de manifesto !a necesidad de

y
si
imperfecciones
nivel
real
jdentidad
realizar
funcion,
un
*fcsehcia
) regimen de control y supervision y de sanciones aplicabies por conductas

impropias.74.
tantas
-{jefitiir y con extremos tan absolutamente
la' 1
, independencia y objetividad del auditor, ias reglas de contratacion, las."

}
definitiva,
de
de
armonizar
el
ejercicio
de
la
4.8 LECTURAS RECOMENDADAS
; auditoria en la UE resaltando la relevancia de las normas profesionales, la

1 independencia del auditor y el ejercicio del control de calidad, la responsabiiidad
Davara
' civil de los auditores, aconsejando la suscripcion de un seguro minimo... En
Rodriguez,
M.A.,
Manual
de
del
consumidor
Derecho
In/ormatico;
Editorial
Aranzadi, Cizur Menor, Navarra, 2007.
? resumen, que para que se desarrolle el mercado intemo de los servitios de auditoria
es
5
imprescindihle
que
se
disponga
de
un
modelo
comun
de
organization
de
ia
actividad. La Comision Europea, como continuation del anterior analisis del
14
Sariche2
} extraordinario, 1998, paginaS 37 y ss.
Fdez.
de
Valderrama,
S.L.,
La
auditoria
' 71 Libro Verde : funcion, position yrespojisohilidacl civil del auditor legal en la Union Europea (96/CJ2I/0I).
en
la
proteccion
de
los
intereses
ante
comercio electronico, Editorial CEACCU, Madrid, 2000.
al
comexto
economico
actual,
en
Teenica
Contable,
Gonie^ Ciria, Aiitonio, Decfmo anivcrsaria de to Ley iic Auditorin de C'swnfas cn Doblt-, numciu 94.
noviembrc ] ^98, pagirras 4 y ss.
los
nuevos
sistemas
de
332 AUPITORIA PE TECNOLOGIAS Y SISTEMAS PE INFORMACION
NBS
Special
Magnetic Storage Media.
Publication
RA -MA
500-101,
Care
and
Handling
of
Computer
10.10 BIBl.JOGRAFIA
Objetivos
(COBIT), ISACA.
de
Norma
ISO
Seguridadde la Information.
Control
para
27002:2005,
la
Information
Buenas
Practicas
la
Tecnologia
para
la
relacionada
Gestion
de
la
Normalization
y
Conservation
de
potestades (C-SCN) del Ministerio
las
de
Capitulo 11
.9
Publicacion
Criterios
aplicaciones utilizadas para
Admirristraciones Publicas.
de
Seguridad,
el ejercicio de
LAAUDITORlA DE LA DIRECCION DE
INFORMATICA
1. Oomente las cuatro normas basicas de la seguridad fisica traditional.

2. Exponga el concepto de defensa en profundidad.
Juan Miguel Ramos Escobosa

3. Explique lo que se entiende por proteccidn de perimetro.
4. iQud indicadores se utilizan para medir la eficacia de los controles de
seguridad fisica?
11.1 INTRODUCCION
Sie/npre
5. <,Que medidas de seguridad implantan'a para poder cumplir el objetivo
caracteristicas
de control "Seguridad del Cableado" de la norma ISO-27002?

6.
7.
Explique cdmo las medidas que tomaria para

MAP
"Se
deben
ubicar
los
terminates
que
datos sensibles en lugares donde se reduzca el
esten a la vista".
iQud
experto
cree
que
deben
formar
parte
de
Mejore y complete
el capitulo.
el
cuestionario
de
seguridad
ha
su
dicho
direccibn.
que
Los
una
organization
modes
maneras
es
de
un
reflejo
actuar
de
de
las
aqublia
estan
influenciados por la filosofia y la personalidad de ia segunda.

aplicar el Criterio de
manejen
information
y
riesgo de que aquellos
Obviamente,
Aunque
un
equipo
que
va
que
se
jncluye
en
en
particular,
de
las
razbn
mayores
qui
influencia
direccion
capitulo:
con
mismas,
principal
propia
este
departamentos
organizaciones
la
la
enfoca
los
argumentarse
estimulos
desde
fisica
puede
integrados
de
realizar una auditoria fisica de unas instalaciones de TI?

8.
se
de
de
la
que
duda
que
informatica.
auditoria
informaticos
que,
de
su
por
tanto
cabe
que,
dichos
En
la
no
son
vez,
estos
son
destinatarios
dado
el
departamentos
cualquier
Direccion,
una
caso,
exception.
departamentos
de
est&n
uin
sinfin
dmbito
tecnologico
reciben
viene
es
entendida
ello
como
tan
inducida
lo
que
se
gestion
(en
el
de
la
resto del capitulo se intercambiaran los dos tbrminos) de la Informatica.

Las
informacion
dependencia
enonnes
en
que
necesaria
una
constituye,
de
un
las
sumas
mismas
evaluation
hecbo,
que
crecimiento
la
del
tienen
las
que
empresas
no
se
del
uso
independiente
de
la
de
cste
razon
principal
no debe quedar fuera: es una pieza clave del engranaje.
dedican
vislumbra
correcto
de
dicha
funcidn
libro.
las
el
que
La
tecnologias
final
tecnologia
la
direccion
la
absoluta
hacen
gestiona.
de
muy
Ello
informatica
324 AUDlTORj A DE TECNOLOOI AS Y SISTEMAS DE INFORMACION

RA-MA
CAPiTUl.O ) I . LA AUDITQRI A DE LA DIRECCION
RA-MA
Sin entrar en discusiones profundas sobre el alcance y significado detras

dei verbo dirigir (no es el objetivo de este libro y existen multitud de plumas mas
preparadas que la mia para disertar adecuadamente sobre este apartado), de una
manera general, se podria decir que algunas de las actividades basicas de todo
proceso de direccion son:
planificar
Existen
los
demas,
empresarial
varies
es
el
que
tipos
que
de
planes
marca
el
informaticos.
camino
ifamaremos
El
general
aqui:
el
DE
INFORMATICA 325
principal,
de
Plan
origen
evolucidn
de
Estrategico
de
la
de
todos
informatica
Sistemas
de
Information.
11.2.1 Plan Estrategico de Sistemas de Informacion

Es
* Qtganizar
empresa.
el
marco
Debe
basico
asegurar
de
el
actuation
de
alineamiento
los
de
Sistemas
los
de
mismos
Informacion
con
los
en
la
objetivos
de
negocio
en
negocio de Ea propia empresa.

coordinar
Desgraciadamente,
objetivos
controlar
En
information
ejecutivo,
grandes
Ilneas,
empresa.
suele
recomendable
atencion
para
informdtica
venir
que
en
ast
el
se
trata
auditor:
en
no
empresa
de
Dicha
plasmada
sea;
la
las
realizacion
de
este
polemica.
auditor
en
la
contenido
dicha
11-2 PLANIFICAR
informaticos
en
la
utilizacion
ademas
documentos
caso
seria
prever
prevision,
contrario,
logico
estuviera
que
de
de
llamados
ia
ante
tecnologias
en
planes
estariamos
unicamente
las
estar
un
la
(y
la
es
bueno
punto
de
evolution
en
mente
futura
de
su
siempre
tipo
de
evaluar
si
de
dichos
tarea
facil,
iuconvenientes
planes.
lector
una
No
se
encontrara
tales
de
trata
objetivos
Mucho
las
en estos
abundante
metodologias
se
escrito
diversas
breves
bibliografia
se
de
ha
estan
sobre
e!
metodologias
apuntes
sobre
de
la
utilizando,
de
terciar
en
materia.
cdmo
se
El
estan
utilizando y/o, en caso contrario, si pueden ser de utilidad para su empresa.
del
primer
previsible
ia
de
mente
transformation
es
ventajas
EI
debera
la
no
de
la
primer
Estrictamente
exciusiva
la
de
incumbencia
abajo)
de
hablando,
Direccion
de
otros
incluso
Direccion
ejecutivo). Los documentos llamados planes demuestran, ademas, varias cosas:
la
en
estos
de
estamentos
ultimo
Informatica
planes
Informatica.
de
no
Su
la
empresa:
termino
de
ser
pennanente
debe
el
son
de
aprobacion
la
la
final
Comite
Direccion
es
de
Informatica
General.
impulsor
responsabilidad
probablemente
de
Sin
una
de
(ver
mas
embargo,
la
planificacion
de
Sistemas de Informacion adecuada y atiempo.
que
se
existido
ha
una
reflexionado
actividad
sobre
el
objeto
consciente
de
de!
documento
consideration
y,
del
por
tanto,
futuro,
analisis de alternativas y de evaluation de riesgos,
ha
de
Aunque
anos,
de
empresa.
Hay
sirven para marcar un camino, poner objetivos, tareas, plazos y

responsables,
actividad,
es
son muy utiles como elemento de xeferencia para medir el avance de la

organizacidn que los disend,
adecuado
el
se
hecho
muchos
competencia,
la
definir
piazo
decir,
de
de
suele
tal
es
factores
si
la
tecnoiogia
las
la
muy
que
empresa
Cada
empresa
de
influyen:
se
informatica
telecomunicaciones,
etc.
vigencia
dependiente
un
es
tiene
un
cultura
en
un
factor
ejemplo-,
su
estrategico
entorno
la
encuentra
por
plan
del
en
equilibrio
que
el
el
-el
sector
que
que
el
mueve
sector
en
actividades
natural
de
se
empresarial,
sector
estrategico
las
como
el
el
4
ia
de
uso
financier
realice
auditor
ia
debera
evaluar si los plazos en uso en su empresa son los adecuados.

En
acetones
y
aunque
su
implementacidn
en
la
practica
acabe
difiriendo
del
documento
papel
original,
los
participantes
seran
conscientes
de
las
diferencias y de su justification y, ademas, para el proximo ejercicio de
planificacion, estaran, quizas, mas curtidos, lo que redundant en una
mejora general del proceso.
activa
cualquier
concretas
de
los
caso,
llevadas
usuarios
independientemente
de
existir
(aspecto
cabo,
clave),
debe
que
la
metodologta,
un
regularmente
los
plazos
las
proceso,
con
participacidn
elabore
planes
estratdgicos
de Sistemas de Informacion a largo plazo, cualauiera que sea ese largo, y el auditor
debera evaluar su adecuacidn.
326 AUDlTORlA DETECNOLOGI AS Y SISI KMAS.PE 1NF0RMACI0N
' RA- MA
CAPiTULO U. LA AL'DITORIA DE LA DiRECCiQN DE INFORMATICA 327
RA-MA
Guia de auditoria
El auditor debera examinar el

informacion y evaluar si razonablemente
Entre otros aspectos, debera evaluar si:
proceso de
se cumplen
planificacion
los objetivos
con
de sisteinas de
para el mismo.
el
Durante
el
proceso
de
historia
estrategico
sincronizacion
de
entre
asociados
entorno
legislative,
recursos,
etc.,
Plan
se
y
en
de
si
aspectos
los
estan
Sistemas
se
de
siempre
de
mecanismos
camfcios
organizativos,
informatica,
desde
el
empresa
Igualmente,
consideracion
punto
de
no
como
auditor
nuevas
de
su
tareas
mismo,
situation
si
actividades
asignacion
tienen
actual
presentes
de
plazos
de
la
en
recursos
de
el
para
consecution
empresa,
de
la
Plan
poder
tienen
en
organizacion
informatica
ha
habido
demasiados
privilegios
esencial.
epocas
de
en
los
usuarios
sintonia
las
decisidn
de
y
lo
con
el
de
La
largo
que
los
informaticos
sobre
las
necesidades
auditor
debe
ester
siempre
vigilante
para
comprobar
que
el
y
y
comprension
actualizacidn
de
del
los
Plan
mecanismos
de
su
relation
existentes
con
la
de
evolucion
11,2.2 Otros places relacionados
experimentation
la
correspondiente
Ilevarlas
realistas
un
participacidn
de la empresa.
Como
adecuada
es
Identificacidn
informiticos,
y
el
seguimiento
tecnoiogica.
Las
aspecto
Este
la
representantes
de
punto de vista de los usuarios es ampliamente tenido en cuenta.
el
el
vista
grado
desuso,
organizacion
en
de
Plan.
arrogaban
entrevistas
su
de
como
recogidos
del
de
evaluar
de los usuarios y aunque ahora estos modos y maneras ya han caido en
informaticos
%decuadamente
de
al
proyectos
adecuada
la
atencion
los
Informacion.
presta
fines
adecuada
establecen
y
tecnoldgica,
impactos
infonnaticas,
contribution
tuenta
presta
se
hitos
evolucidn
sus
se
empresa,
grandes
tienen
evaluar
tecnologias
la
sus
Estrategico
debera
planificacion,
realizacion
fin
contenido
se
plan
lguaimente,
cabo.
funcidn
se
todos
ha
comentado
mas
arriba,
normalmente,
deben
existir
otros
planes
ellos nacidos al am para del Plan Estrategico. Entre otros, los
mas habituales suelen ser (con nombres mis o menos similares):
Asl
de
informatica,
la
Plan operativo anual
del
estado de la tecnologia, de experiencias pasadas, etc.
Plan de direction tecnoldgica
Entre las acciones a realizar, se pueden describir:

Plan de arquitectura de la informacidn
Lectura de actas de sesiones del Canute de Informatica dedicadas a la

planificacion estrategica.
Identification y lectura de los docurnentos intermedios prescritos por la
metodologia de planificacion.
Lectura
y
comprension
detallada
del
Plan
e
identification
de
las
consideracion.es.
incluidas
en
el"
mismo
sobre
los
objetivos
empresariales,
cambios
organizativos,
evolution
tecnoiogica,
plazos
y
nivetes de recursos, etc.
Plan de recuperacion ante desastres

Algunos
integrados
estos
en
planes,
ellos
propio
los
mas
(Plan
Plan
tecnoldgico.
Estrafogico.
comunes
que,
Plan
En
de
este
ademds,
arquitectura)
capitulo,
siempre
se
tienen
aparecen
tratarin
vida
sdlo
veces
dos
propia*.
de
Plan
operativo anual y Plan de recuperacion.

Plan operativo anual . .
El
Realizacion de entrevistas al Director de Informatica y otros miembros

del Comite de Informatica participantes en el proceso de elaboracidn
del Plan Estrategico. -
de
el
Plan
operativo
normalmente)
es
coincidir
en
el
tiempo
para
el
afio
siguiente,
tambidn
una
ocasidn
siendo
vdlidos
el
que
con
debe
propicia
coherentes.
se
establece
marca
el
proceso
estar,
al
pautas
de
evaluar
mismo,
comienzo
de
durante
seguir
presupuestacidn
obviamente,
para
Asi
las
si
debe
alineado
los
objetivos
estar
necesidades de los usuarios (actividad esencial una vez mas).
con
cada
general
el
(afio,
mismo.
Suele
de
la
empresa
Plan Estrategico
marcados
prccedido
ejercicio
el
de
en
una
este
es
siguen
recogida
de
328 AUDITORIA DE TECNOl.OGiAS Y SiSTEMAS DE INFORMACION
El
realizar
Plan
operative
durante
sistemas
de
el
de
siguicnte
informacion
Sistemas
ejercicio
a
de
Information
natural.
desarrollar,
Entre
Ids
describe
otros
las
aspeetos,
cambios
actividades
debe
tecnologieos
senalar
CAPiTULO I I. LA AUDITORJA DE LA DIRECCION DE INFORMATICA 329
RA-MA
RA-MA
11.3 ORCAN1ZAR Y COORDINAR
los
previstos,
El
los
informacion
recursos y los plazos necesarios, los eostes anticipados, los responsables, etc.
proceso
de
controies
los
organizar
sirve
que
para
permitan
estructurar
alcanzar
los
los
recursos,
objetivos
los
fiujos
marcados
de
durante
la planificacion.
El
Debera
auditor
estudiar
necesidades
cabo
el
de
Plan,
debera
su
evaluar
alineamiento
los
usuarios,
etc.
Debera
la
con
sus
existencia
el
Plan
Plan Estrategico,
previsiones
analizar
del
si
de
los
los
su
grado
recursos
plazos
su
nivel
de
son
calidad.
atencion
necesarios
descritos
de
para
realistas
las
llevar
teniendo
11.3.1 Comite de Informatica
en
cuenta, entre otras cosas, las experiencias anteriores en la empresa, etc.
Una
los
de
Informatica
naturaieza:
robo,
instalacion
incendio,
sabotaje,
informatica
inundation,
puede
fallo
acto
de
teiTorismo,
de
un
servicio
indisponibilidad
verse
de
etc.
afectada
algun
que
desastres
componente
tengan
informatico
por
como
adecuado.
critico
de
de
consecuencia
La
variada
hardware,
inmediata
Direction
debe
la
prever
esta posibilidad y, por tan to, planiftcar para hacerle frente.

Estrictamente
hablando,
la
responsabilidad
de
hacer
frente
este
riesgo
es
lo que
se
trata
de
proteger
con un Plan de este
tipo es
la
es
se
crear
un
objetivo
necesita
la
Plan {un
de
colaboracion
documento,
proteger
departamentos
la
la
del
no
empresa,
empresariales
resto
de
se
olvide)
no
involucrados
empresa
creible
hay
en
ia
el
nadie
dia
que
mejor
a
la
las
son muy
necesidades
importantes
presupuestarias
estan,
derivadas
en general,
fuera
dla
para
sea
plasmar
fijacion
dc
impulsor
de
Direccion
este
Plan.
de
Informatica
En
comunmente
comunicacibn
otro
debe
capituio
de
actuar
utii
que
para
otras
atiende
la
Si
bien
de
para
los
Informatica
lanzadas
contra
entendimiento
la
que
informatica
se
establece
entre
este
un
del
alcance
relativos a la auditoria de un Plan de recuperacion ante desastres.
libro,
conocer
Plan
de
de
impulsor,
se
de
encuentro
dentro
de
la
empresa
de
los
toda
ia
empresa
permite
los
usuarios
conocer
las
en
Se
cvitan
relation
mejor
al
asf
acusaciones
trato
utilization
recibido
de
los
dc
de
favoritismo
informatica
recursos
entre
ursas
en
definitiva,
y,
informaticos,
areas
se
tradicionalmente
el
Comite.
cubren
este
si
se
no
ha
Aunque
que
tipo
la aprobacion
catalizador,
los
estrictamente
Informatica
de
de
el
no
la
nombramiento,
son
etc.
del
de
la
Direccion
de
General
fundamentalmente,
la
Direccion
principal
impulsor
Direccion
convertir
la
fijacion
responsabilidades
en
el
de
directas
de
funciones,
la
existencia
de
de
dicho
formado
por
pocas
empresa,
responsable
propios
personas
de
como
lugar
afectan
prioridades.
directa de la Direccidn de Informatica.

La
primer
que
usuarias
eri
porque
el
informatica
Comite
necesitan y como deben operar en ausencia de servicio informdtico,
mas
de
necesidades del conjunto de la organizacion -no solo las de su area- y participar en
Informatica,
porque
falta
informaticos y sus usuarios: es el lugar en e! que se debaten los grandes asuntos de
actividad
de la empresa, no solo la actividad de los sistemas de informacion,
acusaciones
la
escasos.
de la Direccion General de la empresa y ello por las siguientes razones al menos:

porque
es
el departamento de informatica en la empresa y el resto de la misma. El Comite de
Plan de recuperacion ante desastres *

Una
las
informaticos
aspeetos
ultimo
coincidir
no
existe
presidido
por
deberia
senior,
dentro
de
las
tecnologlas
propio
Director
nivel
sus
directores
ser
Comite
el
con
Comite
deberia
el
m&s
termino
del
integrarse
fija,
director
no
secretario
de
regla
el
miembro
en
el
y
del
Comite
las
grandes
mas
senior.
Comite.
como
de
de
areas
Asi
Otras
la
estar
de
informacion,
Informatica.
usuarias
mismo,
personas
deberian
el
de
miembros
temporales
funciones
Este
director
la
la
position
deberia
estar
de
se
puede
como
representadas
Auditoria
organizacion
cuando
que
actuar
traten
al
Interna
tambien
asuntos
pueden
de
su
Comite
de
incumbencia o de su especialidad.
Se
Informatica
ha
escrito
mucho
sobre
las
parece
existir
un
cierto
consenso
que
debe
realizar
al
menos,
en,
aspeetos:
Aprobacion del Plan Estrategico de Sistemas de Informacion
un
los
siguientes
330 ADDiTORIA PE TECNOLOG1AS Y SISTEMAS PE INFQKM ACION
RA-MA
CAP1TULO 11. LA AUDlTORiA PE LA PIRECCiON PE rNFORMATiCA 331
0 RA-MA
Entre las acciones a reaiizar, figuran:
Aprobacion de las grandes inversiones en tecnofogfa de la informacion
Fijacion de prioridades entre !os grandes proyectos infonnaticos
Lectura
de
rnismo,
con
las
actas
especial
del
Comite
incidencia
en
entrevistas
los
ios
representantes
miembros
de
los
del
usuarios
para comprobar que:

Vehiculo de discusidn entre (nformatica y sus usuarios
el
Vigila y realiza el seguimiento de la acttvidad del Departamento de

Informatica
Comite
Guta de auditom
los
acuerdos
vista
A1 ser eJ maximo drgano decisorio sobre et papel de las tecnologlas de la
informacion
deberia
en
!a
soslayar
emptesa,
su
ninguna
revision.
El
auditoria
auditor
de
la
debera
Direction
asegurar
de
Para
emprender
este
ya
imperante
los
ello,
En
en
nada
p a i s m o .
conocer,
en
difieren
las
que
la
objetivos,
existira
debera
punto,
dependeran,
empresa.
En
responsabilidades,
de
eso
. . .
y
.
no
,
en
unos
gran
casos,
mas
lugar,
acciones
componentes,
habra
primer
que
las
que
el
funciones
concretas
manera,
existira
etc.
del
reuniones
que
del
una
Comite
T - ' '""--"iy*
V.
v.
grado
normativa
Comite
informales
' -C -
> ':,
ftinciones^que en la gractica realiza dicho Comite. .
;' V.-.'. . Entrevistas a los representantes de los usuarios, miembros del Comite,
funciones
los
los
puntos
de
usuarios
son
tenidos
en
al
EI
debera
formalization
explicando
otros
11.3.2 Posicion del Departamento de Informatica en la

empresa
no
periddicas
del
papel
de
Informatica
deberia
segundo
la
en
estar
suficiente
para
aspecto
informatica
la
importante
en
estructura
suficientemente
disponer
de
la
tener
empresa
organizativa
alto
en
autoridad
la
es
en
cuenta
la
general
ia
ubicacion
de
jerarquia
la
y
independencia
hora
del
misrna.
contar
frente
de
VI
. Una vez establecida la. exisfencia del Comite de Infonudtica, habrd que
fbvaluarla adecuacidn <te las funciones que realiza. Para ello, pi auditor, mediante
im. con]unto de entrevistas, lecjufasde -dqcumentacida interna -del .omit2,' etc.,. ]
.debera esfablecer an juicio sobre Ja validcz, adecuacion, etc-Hfe. las actuacipaes del *
El
con
los
por ello, cada vez es mfb habitual encontrar a departarnentqs de. m|go^tica
. dqsendiendo directamente de Direcrion General: Siempre 4e el depai^rientojde ..
. ihformdtica estd integrado.en algun departamento usuario, pttfedeq surgirjdtias
razoftables sobre su ecuanirmdad a la hora de atcnder. las^peticiones-jfel <resto. de.jr
"departaiiieiitos'dfi la empresa.. ' . ' /
. '* .* ' . " *" v * 4 " '
' Xomite.' Uno de. los aspectos fundariientales que debera revisar es 1 Q *que~ hace '
Ademas, empieza ya a ser bastante habitual que el Director de Informatics

'sea roiembro de derecho del Comite de Diêccion u drganoêmejSfite,-ûnqu6 esta situacidn depende mucho del sector de actividad: cuanto mSs estiatfegicas^son jas
.tecnologlas de la inforniacidn. para ta empresa, mayor es la rtectsidadiie cbnta: con
?su
representee en el mSkimo organP decisorio de la organizacion..' ^ '

Opa vez maSi estnctamente hablando, la posicion del Departamento He
referencia a lapresencia y participacion. efectiva de las ireas usuaxias (aspecto
Inform&tica no ea de la incumbencia de su Diteccion sino de otros estamentos
esencial, una vez mas).
empresaria'les, pro^blemqnte,. Ia Direccion General. Sid embargo, se |rae a
evaluar
Departamento
dla, la informatica da sppdrte 'a iui .conjunto lttucho mayor de areas enipresarial.es y,
. para conocer si entienden y est&rf dp acuerdo con su papel en el roismo.

0
correctamente
de
el
de
Departamento
masa
critica
departamentos
' era encontrar al departamento%de infermdtica in'tegrado.'dewtri) debgiisrfid1. fibyjen --
- 5 -- ' ' *' r. .. . .. . * ' - , " '
- *- . . . .
tornados
representantes
depfertamento financiero 'o. de "admihistracion y, por tantp, el bsquema ,tradicumaL
, * Entrevistas a miernbros destacadds del Comite'con el fin de conocer las

v
de
interna
no
son
los
'"~*i ' '' ' ? ~ v * * * * i " -
>-' - " * Lectura de la morrnatiVH Interna, si hubtera,* pars .conocfer las -
auditor
en
de
. :v I'radicioriqlmente,* )a infoiîatiZaciori fen las empresas conleflzo. .por' el '
; f ' - ' ' '"J . .>' - 4 ? - .

r - \ ' * . , " Vy -
las
usuarios. .
, . .
' funciones qufc'deberia cumplirel CorhitS tic Informatica, * , *
con
cuenta.
de
encomendadas
el
' 'JL
' - Entre las acciones a realizar; figurah; : ' '
V "i . ' - *... . J - ' -
efectivamente
informfetica
1 nformatica exists y cumple su papel adecuadamenle.
Comite.
cumple
enunciadas mas arriba,
RA-MA
332 AUDITORIA DE TECNOLOGIAS Y.SfSTEVCAS DEINFORMACiON
colacion
en
este
diferentes
capitulo,
porque
departamentos
Informatica
no
departamentos
de
existe
concretos
un
de
el
auditor
ia
la
debe
empresa
sesgo
evaluar
son
demasiado
misma.
Si
esto
si
las
tratadas
alto
ultimo
necesidades
de
los
equitativamente
hacia
ocurriera,
un
departamento
una
de
ias
CAPITULO 11. i-A AUDlTQRlA DE LA DiRECCiQN DE INFORMATICA 333
RA-MA
separada
de
por
Informatica
organization
primeras
razones para ello puede ser la ubicacion incorrecta de dicho Departamento.
la
de
production,
(por
incluso
segregacion
jerarquica
que
dc
puede
no
dependa
funciones
tener
otras
de
la
Direccion
exclusivamente;
complicaciones
esta
cuyas
de
uitima
consideraciones
estan fuera del objetivo de este capitulo).
Aseguramiento de ia Calidad
Gui'a de auditorla
La
El
de
auditor
Informatica
este
proceso,
directores
revisar
evaluar
sera
de
debera
muy
algunos
su
util
el
emplazamiento
independencia
realizar
frente
entrevistas
departamentos
usuarios
organizativo
departamentos
eon
para
del
el
Director
Conocer
su
Departamento
usuarios.
de
Para
Informatica
percepcion
sobre
informaticas
de
necesario
de
responsabilidades
necesario
relation
las
este
ellos
sistemas
unidades
sus
delimitadas
conocimiento
todos
con los
grandes
tengan
claramente
que
Informatica:
que
Informatica
se
deben
de
extienda
conocer
informacibn.
todo
el
sus
funciones
todo
ello
es
dentro
del
sus
Igualmente,
que
exista
separation
otro
es
de
una
segregation
de
de
papeles
es
un
proceso
incompatibles
modificar
lado,
en
una
aplicacion,
responsable
de
seguridad
informatico
ademas
asegurar
que
el
funciones.
impedir
critico
probaria
que
pueda
darles
personal
punto
de
de
esencia!
La
filosofia
que
un
(por
ejemplo,
perteneciente
responsabilidades
una
labor
que
tener
un
entorno
en
Informatica
los
a
en
compete,
debe
en
de
unicamente
orientar
que
acceder
Ademas,
dentro
de
esta
pueda
desarrollo
de
estas
dos
nunca
los
informaticos
particular,
se
deberia
sistemas
de
information
sm
los
departamentos
usuarios,
mediar
por
asegurar
de
la
alterando
previa
de
segregacibn
entre
produccibn
(los
datos
los
informdticos
sistema
se
deberia
la
las
de
la
actividad
de
directamente
usuarios
funciones
deben
en
pertinentes).
aconsejable que la funcion de administracibn de la seguridad estb claramente
por
el
en
mas,
dia,
la
se
a
Esta
diaria
una
del
en
de
funcion
control
y
de
organizaciones
de
semejanza
de
departamento
Informatica
organizativa
las
esta
imagen
funcion
de
funcion
asiste
aparicion
informaticos,
industrial.
Departamento
de
ha
control
de
las
ha
de
ser
de
depender
muy
las
importante
organizaciones
que
esta
funcion,
informaticas,
tenga
de
reiativa
el
total
nueva
respaldo
de
aparicion
la
en
Direccion
el
y
sea percibido asi por el resto del Departamento.
Gui'a de auditoria
No
de
es
informatica.
existe
una
queremos
proposito
de
Ello
describe
se
amplisima
resaltar
capitulo
en
bibliografia
aqui
documentadas
este
es
que
son
describir
otros
sobre
el
la
auditor
actuales
las
capitulos
materia.
debera
que
las
funciones
de
este
El
de
libro,
aspecto
cornprobar
unidades
que
un
departamento
ademas
de
que
fundamental
que
las
descripciones
organizativas
informaticas
las conocen y comprenden y desarrollan su labor de acuerdo a las mismas.

Entre las tareas que el auditor podra realizar, figuran:
Examen del organigrama del Departamento de Informatica e
identificacion de las grandes unidades organizativas.
Revisibn de la documentacion existente para conocer la descripcion de
las funciones y responsabilidades.
descripcibn
explotacibn
no
vez
independiente
de
usuarios
ejemplo,
aprobacion
la
Hoy
servicios
mundo
un
a!
de las funciones existente para su puesto de trabajo concreto.

En
cada
ofrecidos
establecimiento
actividades
produccibn;
para
sistema).
controlado
tenga
programador
entomo
usuarios
mismo
actua
que
individuo
un
al
ese
basica
solo
traspasarla
autorizar
alta
para
los
el
estan
todo
el
Calidad.
en
es
gran medida, a la Direction de Informatica.

Por
de
servicios
organizaciones
Es
personal
y
la
evolucionadas,
calidad
mundo
descritas
documentadas.
de
los
mediante
directamente de la Direccion de Informatica.
organizativas
funciones
de
asegurada
Aseguramiento
11.3.3 Description de funciones y responsabilidades del

Departamento de Informatica. Segregation de
funciones
Es
calidad
estar
el
grado de independencia y atencion del Departamento de Informatica.
Departamento
debe
los
de
entre
sustituir
ficheros
Ademas,
es
Realizacion
unidades
de
entrevistas
organizativas
responsabilidades
descripciones
de
existentes
los
directores
para
su
unidad
en
actuacion en el dia a dia operative.
de
determinar
la
que
cada
su
una
de
las
conocimiento
estas
documentacion
responden
correspondiente
grandes
de
las
las
y
334 AUi-H I ORJ A DE TECNOLOGIAS Y SISTEMAS DE INFORMACION
Examen
de
las
descripciones
adecuada
scgregacion
desarrollo
de
usuarios.
de
de
las
funciones
funciones,
sistemas
Igualmente,
RA-MA
de
information,
sera
para
incluyendo
menester
evaluar
la
production
evaluar
la
si
existe
separation
entre
independencia
de
Observation
de
analizar, en la
las
mismas
y
ana'iizada.
areas
operativas
experiencia
actuation,
de
las
del
los
la
relaciones
con
vehiculo
actitud
la
independencia
la
de
la funcion frente
Informatica,
existencia
rcales
de
de
dc
su
metodos
realizar
su
dotation
de
procedimientos
trabajo,
el
de
la
del
ai
de
usuarios,
personal
necesarias
Informatica
por
de
con
grado
en
existentes
tanto
generales
funciones
organizativas.
cumplimiento
de
la
information,
de
los
a
del
otro.
un
Estos
Informdtica
la
procedimientos
por
la
ftnalidad
iado,
estandares
filosofia,
de
crear
que
y
son
mentalidad
mantener
sus
el
y
un
formales
contenido
de
de
los
Ademas,
La
De
Funcion
en
el
cumplimiento
de
las
estandares
politicas.
particular
del
procedimientos
sistemas
dichos
actualizados
de
los
el
de
estandares
coznunicados
ser
Direction
de
aspectos.relacionados
Departamento,
informacion,
procedimientos
debe
con
promover
adquisicion
disefio
la
ei
produccion
estar
documentados,
los
departamentos
todos
la
la
el
deberian
adecuadamente
Informdtica
con
con
adoption
de
est&ndaies
puestos
de
procedimientos y dar ejemplo de su uso.
Departamento,
metodoiogia
son
para
expiotacidn y con la administration de la seguridad.
la
organigrama
Por
del
trabajo
de
relaci6n
importancia
material
recursos,
otro
las
cotrto
importancia
actividades
y
del
lado,
dentro
responsabilidad
AnSHsis
controles
particular
equipos
afectados.
Conocimiento de la position
Departamento de Informdtica.
Departamento
transmitir
los
funcionamiento
desarrollo/modificacion
Entre las acciones a Ilevar a cabo, se pueden considerar:
de
Departamento
departamentos
para
hacia
del
al resto de
informes elaborados por la funcion, etc.
los
ideal
De
Departamento
mismos,
estandares
actividad
entorno controlado para la vida de los sistemas de informacion de la empresa.
evaluar
posibilidades
existir
gobiemen
de
debera
DlRECCIQN DE [ NPORMATICA 335
DE TRABAJO
Deben
Aseguramiento de la Calidad *
El auditor
LA
PROCEDIMIENTOS. DESCRIPCION DE EOS PUESTOS
la
las
actividades
del
personal
del
Departamento
para
practica, las funciones realizadas, la segregacion entre
el
grado
de
curnplimienio
con
la
documentation
DE
LA AUDITQRIA
11.3.3.1 ESTANDARES DE FUNCIONAMIENTO Y
departamentos
funcion de seguridad.
CAPlTULO 1 L
RA-MA
en
deben
existir
de
Informatica
cada
caso.
Las
documentadas
descripciones
de
delimitando
elaramente
la
descripciones
deberian
incluir
los
autoridad
los
conocimientos
tecnicos y/o experiencia necesarios para cada puesto de trabajo.
procedimientos
espectftcos
es
el
ciclo
de
vida
de
los
que
gobieman
la
de
sus
grado
de
sistemas
de
expiotacidn
Guia de auditorfa
El
auditor
debera
evaluar
la
existencia
de
est&ndares
de
funcionamiento
procedimientos
distribuidos
procedimientos y descripciones de puestos de trabajo adecuados y actualizados.
del
Entre las acciones a realizar, se pueden citar:
ordenador y de la investigacidn de la calidad de los datos que se envian

a los usuarios.
'
Evaluation
puestos
del
proceso
de
trabajo
por
el
son
que
los
estandares,
desarrollados,
aprobados,
actualizados.
Revision
de
evaluar
si
algunos
su
informes
estructura
emitidos
y
por
contenido
la
son
Funcion
con
adecuados.
existencia de acetones de seguimiento basadas en dichos informes.
Revision
de
fin
de
transmiten
Analizar
la
de
el
su
estandares
promueven
adecuacion,
actividades
usuarios.
los
y
grado
informaticas
procedimientos
una
de
y
filosofia
actualization
de
las
existentes
adecuada
y
de
nivel
relaciones
de
con
para
evaluar
control.
cobertura
los
si
Evaluacidn
de
las
departamentos
336 ALfDil'ORIA DE TECNOLQGIAS Y SiSTEMAS DE INFORMACION
ORA-MA
Revision de las descripciones de los puestos de trabajo para cvaluar si

reflejan las actividades realizadas en la practica.
Ademas,
PROMOCION, FINALIZACION
caiidad
de
de
gestion
los
Informatica.
recursos
grandes
los
es
de
expertos
en
humanos
crucial
elementos
la
operados
tecnicos.
ser
los
organization
directamente
recursos
puede
uno
cualquier
influye
de
adecuadamente
en
mantenidos
parte
son
humanos
como
humanos
producidos,
Ademas,
informatica
los
informatics,
recursos
information
motivarlos
de
general
el
necesarios
la
en
personas.
calidad
por
criticos
de
de
ios
en
una
la
de
marcha
de
la
busqueda
cada
empleado
establecidos
Que
los
los
que
objetivos
va
Existen
procesos
empleados
y
en
desarrollo
planifica
la
directa
cifras
de
los
de
de
de
estadisticas
Si
Realization
los
de
ios
aspectos
procesos
anteriores
estan
para
cubrir
utilizados
Informatica,
personal
rotation
bien
externa,
de
proyectos
numeros
ser
se
evalua
responsabiiidades
a
alcanzar
evaluado
por
son
para
base
futuro
cobertura
determinar
su
las
experiencia,
de
son
regularmente
espetificas
cada
conocidos
en
del
empleado
por
cada
sea
por
utilization
promotion
de
empresas
personal,
terminados
(muy
anormales
niveles
fuera
de
de
altos),
absentismo
presupuesto
constjtuir
podria
base
puesto
ios
de
puesto
trabajo,
personal
tecnologico
de
estas
de
de
necesidades
formation
la
en
Revision
los
instaiacion.
lleva
etc.
las
procesos
de
general
de
del
Departamento
responsabiiidades
evaluacion
de
desempeno,
ban
asociadas
seguido
las
los
para
a
la
empresa,
si
sus
objetivos
particulares
su
pautas
empleados
y
los
de
desempeno
les
ban
sido
comunicados
de
una
manera
del
y
calendario
ticnicas
de
con
asignadas
de
los
al
cursos,
ensenanza,
descripciones
para
determinar
conocimientos,
personal
con
la
de
que
los
mismos,
experiencia,
estrategia
los
cursos
son
responsabiiidades,
tecnologica
marcadapara
los sistemas de informacion de la empresa.
Se
politica
estandares
consistentes
rcsponsabilidad
se
en
la
los
personal
de
acorde con los procedimientos establecidos.
criterios
de
si
evaluaciones
de
empleado
trabajo,
los
al
conocimiento
criterios que se iban a seguir en su evaluacion y si los resultados de sus
metodos
necesidades
ordenada
de
conocian
entrevistas
su
marcadas
base a on ciclo peribdico (anual, normalmente) de evaluation.
las
determinar
la formacidn, experiencia y niveles de rcsponsabilidad anteriores.
bajo
todos
una serial de faita de liderazgo por parte de la Direction de Informatica
* La selection de personal se basa en criterios objetivos y tiene en cuenta
trabajo.
de
plazo.
puesto
de
que
y/o de motivacidn por parte del personal.
desempeno
evaluacion
Departamento
interna,
de
Entre otros aspectos, el auditor debera evaluar que:
estandares
en
laboral
Gufa de auditori'a
El
evaluar
el
vacantes
Analisis
instaiacion
informatica y su papel en la empresa.
debera
de seleccion de personal o de trabajo temporal.
sistemas
mantenerlos
buena
Conocimiento
La
Departamento
Seieccionarlos,
para
auditor
Entre las acciones a realizar, se pueden citar:
EVALUACION DEL DESEMPENO, FORMAOON,

La
el
en lines con las pollticas y procedimientos de la empress.
11.3.3.2 GESTldN DE RECURSOS HUMANOS: SELECCION,
estructura
CAFiTULO 11. LA MJPITQRI A DE LA DIRECCiON DE INFORMATICA 337
Q RA-MA
la
Revision
de
Evaluar
si
usuario,
contrasenas
practica.
* Existen procesos para la promotion del personal que tienen en cuenta
su desempeno profesional.
los
locales
los
procedimientos
dichos
y
para
procedimientos
y
sistemas
otros
la
preven
dispositivos
informdticos
son
finalizacion
que
los
necesarios
para
cancelados,
de
contratos.
identificadores
tener
devueltos,
acceso
etc.,
de
a
con
efectividad inmediata tras la finalizacion del contrato de un empleado.

Existen controles que tienden a asegurar que el cambio de puesto de
trabajo y la finalizacion de los contratos labo rales no afectan a los
controles internos y a la seguridad informatica.
Comunicacibn
Es
Direccion
necesario
de
que
Informatica
exista
y
el
una
resto
comunicacion
del
personal
efectiva
del
eficiente
Departamento.
aspectos que son importantes hacer iiegar se encuentran: actitud de servicio hacia
entre
Entre
la
los
338 AUDITORIA DE TKCNOUXUAS Y SiSTEMAS DE WFORMACiON
RA-MA
los usuarios y resto de la empresa, actitud positiva

, etica, cumpUmienio de la normativa interna -entre otras, la de seguridad
inforrnatica-, compromise con la calidad, etc.
hacia
los
controles,
integridad,
CAPiTULO H . I . A AUDITORIA DE LA DIRECCION DE INI-ORMATICA 339

RA-MA
Gut* de auditoria
EI
un
, Guia de auditoria
aprobarlo
El auditor debera evaluar las caracteristieas de la comunicacion entre \a
Direccion y el personal de Inforrnatica. Para elio se podra serv'ir de tareas formates
como las descritas hasta ahora y de otras, per ejemplo, a traves de entrevistas
informales con el personal del Departamento.
1
Direccidn
de
Inforrnatica
tiene
de
Los
bienes
los
componentes
del
mismo
varian
grandemente.
Un
ejemplo
tipico
son
; los administra y, en otros casos, puede ocurrir que la politica de la empresa indique
1
pagados
por
los
departamentos
usuarios.
En
otro
presupuesto
linea
con
las
de
los
politicas
economico,
de
usuarios-
procedimientos
servicios
lo
largo
que
el
Departamento
descritos
en
su
plan
han
de
del
ejcrcicio
de
Inforrnatica
operativo
estar
anual
y/o
documentados
siga
para
que
se
adquirir
demuestren
alineados
con
los
procedimientos de compras del resto de la empresa. Aqul, la variedad es infinita
el
auditor
tambien
La
auditor
debera
juzgar
son
seguir
Direccion
con
Un
si
esta
area
no
debe
diferenciarse
de
una
auditoria
apropiados.
Lo
que
si
deberla
entre
los
darse en todo proceso de presupuestacion de un Departamento de Inforrnatica es
ademas,
una previa petition de necesidades a los departamentos usuarios (aspecto, como ya
alcance
la
de
aspecto
muy
usuarios.
Esta
tiene
de
directrices
debe
los
en
recursos
de
este
capitulo.
suele
estar
muy
' Departamento tendra sus propias necesidades: catnbio o ampliation de los
caso,
es
cierto
que,
de
, ordenadores o de los discos, de elementos de seguridad, de equipamiento auxiiiar
grandes
(aire acondicionado, sistemas de alimentacidn inintemimpida...), instalacidn de un
habitual
robot manejador de cartuchos, de una unidad de comunicaciones, etc. que se
tarnano medlano o pequeno.
organizations
encontrar
reiacionado
medida
ventajas
sus
tipo
deberan integral en el presupuesto. Lo mas logico es elaborar al mismo tiempo el
las
Inforrnatica
utilization
este
se ha sefialado varias veces en este capitulo, esencial). Adicionalmente, el
basicamente
programas
de
trabajo
de
todo
momenta
informaticos,
gestionar
humanos
los
costes
tecnologicos.
Y ello, obviamente, exige medirlos.
) No vamos a entrar aquf en los diversos metodos existentes de

ei
debera
asociados
Departamento de Inforrnatica debe seguirla para elaborar su presupuesto anual.
pero
de
puede
ocurrir que los terminales (pantallas e impresoras) sean costeados por los usuarios
presupuestacion,
auditoria
Medida y reparto de costes

ejemplo,
) en vez de serio por Inforrnatica. Sea cual sea la politica seguida en la empresa, el
en
un
auditoria elaborados para este proceso.
' los costes de las comunicaciones: en unos casos es el propio Departamento quien
sean
esta
de
consideraciones
tradicional del proceso de compras de cualquier otra drea de la empresa, con lo que
presupuesto economico, normalmente en base anual. Los criterios sobre cuales
que
proceso
procedimientos
y
Una
ser
dicho
existencia
incluya
Guia de auditoria
' Como todo departamento de la empresa, el de Inforrnatica debe tener un

debeu
que
la
-que
con lo que es imposihle dar reglas fijas. .
) Presupuestacion
constatar
elaborarlo
Adquisicion de bienes y servicios
necesarios
Este apartado de las responsabilidades de la
) varias facetas: presupuestacion, adquisicion de bienes y servicios y medida y
^ reparto de costes.
debera
para
dela empresa y con Jos planes estratdgico y operativo del propio Departamento.
los
11.3.3.3 GESTI0N ECOIS6MICA
auditor
proceso
un
es
no
asociada
estar
reparto
inconvenientes
Normalmente,
con
el
esta
la
presents,
de
costes
suele
los
costes
del
Departamento
en
todas
las
empresas
que,
tambien,
existencia
la propia
se
importantes
sistema
de
implantada
da
cultura
en
de
costes
encuentran
ausencia
de
general,
departamentos
reparto
se
la
con
de
de
un
empiesa.
mayor
del
sistema
de
En cualquier
frecuencia,
inforrnatica.
informaticos
y,
fuera
en
No
empresas
en
es
de
Guia de auditoria
presupuesto econdmico y ef Plan operative anual.

El
reparto
de
ser
un
tema
delicado.
En
realidad,
los
asuntos
espinosos suelen ser el Uamado precio de transferencia, o sea el coste"interna que el

Departamento de Inforrnatica repercute a los departamentos usuarios poi los
RA-MA
340 A'JDITORJA DE TECNQLOQfAS Y S1STEMAS PE fKFORMAClON
servicios
que
les
presta
ast
como
los
componentes
de
coste
incluidos
en
dicha
facturacion interna, no siempre inteligibles para las .unidades de negocio.

El
auditor
debera
evaluar
la
conveniencia
no
en
dicha
cobertura.
Por
ejemplo,
algunas
polizas
solo
cubren
el
r'eemplazo
del
equipo pero no los otros costes mencionados, etc.

de
que
exista
no
un
sistema de xeparto de costes mformaticos de acuerdo a la cultura de la empresa y de

que
este
sea
justo,
inckiya
Jos
conceptos
adecuados
de
que
el
precio
de
transferencia aplicado este en Hnea o por debajo del disponible en el mercado.
sin esta faceta que forma
La tarea de dirigir no
Entre las acciones a llevar a cabo, se pueden mencionar;
Realizacion
para
de
entrevistas
evaluar
su
grado
la
de
indisoluble de tai rest
direction
de
los
comprension
de
los
11.4.1 Control y Seguiraiento

usuanos
Un
de coste
obligacion
utilizados en la formula de calculo del pTecio de
aspect
que
permanente de
Anaiisis
de
precio
de
acudir
al
los
conceptos
transferencia
mercado
para
externo
eriterios
evaluar
a
con
su
ofertas
los
que
ecuanimidad
de
centros
de
esta
y
calculado
el
planes
consistencia,
del
proceso
de
datos
independientes para compararlas con dicbos costes intemos.

Conocimiento
de
para
de
recoger
maquina,
help-desk,
etc.),
los
diversos
registrar
niimero
para
de
la
sistemas
actividad
Iineas
procesarla
existentes
del
misrno
impresas,
horas
con
el
fin
de
en
el
Departamento
(consumo
de
obtener
de
de
la
de
costes y presentarla de una manera apropiada.
otros
recursos
information
todo
lo
que
tiene
se
de
ha
dicho
controlar
hasta
el
momento
efectuar
un
es
la
seguimiento
la
planes
operativo
cartera
de
de
de
formation,
(espacio
en
los
proyectps
peticiones
la
de
los
desarrollan,
la
pendientcs,
la
de
carga
ordenador
evolucion
disco,
que
usuario
la
comunicaciones,
del
capacidad
ejecucion
evolution
de
las
de
los
de
los
impresoras...),
etc.
recursos
programacidn,
presupuesto,
los
Direccion
la actividad del Departamento.. Se ha de vigilar la elaboracion de los
estrategico
costes,
comun
la
En
con
se
los
esta
que
utiliza
para
Informatics
labor,
comparar
ello
los
es
muy
conveniente
la
actividad
para
usuarios
del
gobernar
son
los
que
existan
Departamento.
las
estandares
Una
relaciones
Uamados
Acuerdos
de
las
entre
el
del
Nivel
de
rendimiento
tecnicas
que
mas
Departamento
de
Servicio
de
(ANS,
tambien Uamados Service Level Agreements o SLA por su nombre en ingles).

Los
ANS
Departamento
La Direccion de Informatica debe tomar las medidas necesarias con el fin
de
consiituyen
Informatica
documentos
y
usuarios,
que
en
rellejan
los
que
acuerdos
quedan
entre
dos
descritos
los
partes,
servicios
que aquel presta a ios uitimos y los indicadores que sirven para medirlos. A Galileo
de tener suficiente cobertura de seguros para los sistemas informaticos. Aqui se
Galilei
incluyen no solo las coberturas mas tradicionales como la de los equipos (el
todo lo que puedas medir y lo que no lo sea, hazlo medible". Y este es el espiritu
o la de infidelidad de los empleados, sino tambien otro tipo de
deltas de los ANS. Entre sus ventajas, se pueden mencionar-.
normalmente mas asociadas a la repentina interrupcion del servicio

por causa de algun desastre. Estas coberturas amparan riesgos tales
se
le
atribuye
Permitcn
y
como la posible pdrdida de negocio derivada de dicha interrupcion, los costes
los
asociados a tener que ofrecer servicio informatico desde un lugar alternative a!
que
indisponible el sitio primario, los costes asociados a la regeneracion de datos
recibir.
' " ' o inutilizacidn de los datos originales, etc.
Existen
una
objetivar
usuarios
sumintstrar
El auditor debera estudiar las pofizas de seguros y evaluar la cobertura

existente, analizando si la empresa esta suficientemente cubierta o existen huecos
que
las
de
tai
la
mecanismos
dichos servicios.
Guia de auditoria
frase
viene
relaciones
manera
otra
claros
que
de
muy
entre
que
una
servicios
medida
eolation
el
en
este
apartado:
Departamento
parte
y
del
en
de
conoce
que
que
forma
nivel
de
"Mide
Informatica
servicios
debe
tiene
esperar
cumplimiento
de
342 AUDFTQR1A DE TECNOLOGiAS Y SISifcMAS
PE
INKORMACION
Los ANS son aplicables a las diversas

Departamento hacia lbs usuarios y son
tener una validez anual.
RA - MA
facetas de la produccion del

un documento vivo que suele
CAPITULO 11. LA AUDiTORlA DE LA DIRECC^N DE INFORMATICA 343
RA - MA
Gufa de auditoria
El auditor debera evaluar si ia mencionada normativa aplicabie se cumple.
Para
Gufa de auditoria
la
Entre las acciones a realizar, se puede mencionar:
Conocimiento
para
llevar
periodicidad
de
represupuestaeion
el
analisis
de
los
cabo
el
seguimiento
los
procesos
mismos.
economica,
existentes
y
control.
Analizar
si
existed,
en
las
Departamento
Evaluacion
igualmente
y
el
los
de
procesos
consideraciones
que
la
tienen en cuenta.
Revision
de
actual
para
proyectos,
comprobar
presupuestos
que
son
de
anos
anteriores
estudiados,
que
se
del
analizan
las
Conocimiento
de
los
ANS
analisis
y
acuerdo
de
con
ios
los
procesos
existentes
usuarios.
El
para
auditor
no
la
conocer
de
dicha
conocer
continuation,
lugar,
normativa,
el
entrevistarse
Humanos
entorno
la
todo
legislativo
con
la
Asesoria
Direccion
ello
de
Juridica
independientemente
aplicabie
de
Informatics
su
empresa
normas,
en
con
de
que,
su
como
evaluara
el
cumplimiento
de
las
particular,
en
distintos
aspectos
legales,
debera
buscar
asesoramiento
adecuado,
interne
la
empresa o externo.
debe
evaluar
La
embargo,
auditoria
la
tanto el contenido de los ANS si no mas bien que existen, que cumplen
realizar)
al
esenciai.
Desde
- ' -oportunidad de participar y su opinion estenida ert icaenta, que hay

ii'riplantados mecanismos para su denuncia y renegociacidn en su caso,
'
de
ia
contribution
su papel de mejora de las relaciones Informatica-usuarios, que el
' -v.-" .il'
primer
Recursos
los aspectos mas criticos mencionados mas arriba. Si cl auditor no es un tecnico en
negociacidii
, proceso.de su gestaciop .es conocido, que los usuarios tienen la
' ate ' .
de
en
de
11.5 CONCLUSIONS
desviaciones y que se toman las medidas correctoras necesarias.
debera,
Direccion
auditor, le obliga.
los
planes,
fin
la
responsabilidad
de
se
ello,
empresa,
ambiente
un
de
dicha
control
punto
de
impulsado
^c^ble^corrjpprtamiento-
auditor,
se
jiecesitan
por
de
vista
sobre.
el
inspirado
Direccion
que
la
t&micasnmy:profi|ndas.,.., ..... . . x ^
L . V .*.. ' 4 ' "*
las
de
Informatica
de
los
de
de
operaciones
auditoria,
Direccion
capacidades
' ,< ' ' * '' - - ' " ' yf
de
Direccion
de
la
es
informaticas
caildad
Informatics
sistpqias
evaluar
una
tarea
Informatica
de
la
de
del
tiene
una
gestton
mas-
Sin
(o
una
empresa
marco
information.*.
dificil.
realiza
de
gran
Por
qqe
debe
es
controles
influencia
pqrte
del.
capacidades
11.6LE.CTURASBECOMENDADAS,- > C
Control
11.4.2 Cumplimiento dela normativa legal ; J

La Direction de Informatics debe controlar que la realization de sus
i
actividades se Ueva a cabo dentro. del respeto a Ja riormativa legal aplicabie. En
particular, se consideran fundamentales los relativos :ala seguridad eltigiene en el
Govemancei
for Information and related technology version 4.1, IT

2007. La serie de,pubijcaclbpe*s ernitidas alrededor del COBIT
Objectives
Institute
constituyen"
inffermatico. t '
una
amplisima
fuente
de
documentation
referenda
. ' *."
"e**.*
trabajq, - normativa". laboral y iandical, proteccidn de datos personales, propiedad

inlelectual del software, requisites defmidos en la cobertura de seguros, prevencidn
. de riesgos Jaboralea, etc. asi como normativa emitida por Organos reguladores
sectoriaies.
- 1; Describanse las aotividades a realizar por un auditorpara evaluar un'

. plan, estrategico de sistemas de informacidn. . .
2. Describanse las funciones de un comite de informatica. Elaborese una
' lista con las funciones erapresariales que deberian estar representsdas
..
'
Asi
mismo,
permanentemente la legislation aplicabie. *
deben
existir e identificar
procedimientos*
para vigilar
para
el
auditor

Unidad 1 y 2

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Unidad 1 y 2

Încărcat de

Drepturi de autor:

Formate disponibile

V

CONTROL INTERNO Y AUDITORIA DE

que son adoptadas a lo largo del tiempo.

lo que se espera de ellos.

control intemo en las organizaciones. '

4 AL'DtTQRiA D TECNQLOOiAS Y SISTF.MAS DE iNFQRMACiON

CAPiTCLO I. CONTROL INTERNO Y AUD1TORIA DE SiSTEMAS DE MFORMACION 5

Ei exito de las estrategias de extemalizacidn de la gestidn de los

La gestion de la calidad total (TQM- Total Quality Management).

1.2 LAS FUNCIONES 0E CONTROL INTERNO Y

surgen nuevas funciones en cuyos principals impulsores, podemos encontrar:

y/o la Direccidn de Informatica, asi como los requerimientos legales.

dependencia de las organizaciones respecto a los mismos.

del aumento del nivel de control sobre los Sistemas de Informacion.

1.2.1 Control Interno Informatico *

"abrir" los sistemas de informacion de las organizaciones a terceros.

con entomos heterogeneos y abteuos, a la vez que integrados.

en el articulo 33 de la citada Ley.

intemos como externos) respecto a sus sistemas de informacion.

Dentro de las diferentes actividades que componen la estrategia de control

proportionados a los cometidos que se le encomienden.

de Seguridad recogido en el Real Decreto 994/1999, que desarrollaba

cumplimiento de ias normas legales.

TECNOLOGIAS Y SISTEMAS DE INFORMACION

Coiaborar y apoyar el trabajo

Licencias y relaciones contractual con terceros.

Asesorar y transmitir cultura sobre el riesgo informatico.

RA-MA CAPlTULO I. CONTROL INTERNO V AUD'TORIA DE SISTEMAS DE INFORMACION 7

1.2.2 Auditona Informatica

como de la implantacion de los medios de medida adecuados.

Objetivos de proteccion de activos e integridad de datos.

control de las diferentes actividades operativas sobre:

Objetivos de gestion que abarcan, no solaroente los de proteccion de

activos, sino tambien los de eficaciay eficiencia.

Merece resaltarse la vigilancia sobre el control de cambios y versiones

auditona y otras tecnicas por ordenador.

del software y del servicio informatico.

Controles en los sistemas microinformaticos.

sobre la fiabilidad de la informacion suministrada.

Controles sobre el software de base. .

Controles sobre la produccidn diaria.

dual de la misma cuando esta encargada a otro organo):

las fases andlogas de realizacidn de cambios importantes.

cobertura ante errores y ftaudes.

INFORM AUON RA-MA

CAPiTU'LO I. CONTROL INTERNO Y AUDiTORiA DE SISTEMAS DE INFORMAC1QN9

1.3 SlSTEMA 0E CONTROL INTERNO INFORMATICO

Revisar y juzgar el nivel de efieacia, utilidad, fiabilidad y seguridad de

1.3.1 Defmicion y tipos de controles internos

afectarTTfuncionarniento de urTsTsterna para conseguir

Los controles cuando se diseften, desarrollen e implanten Kan de sef~aH

menos completes, simples, fiables, revisables, adecuados y rentables. Respecto a

una transition natural.

gestionar los sistemas de informacidn.

combination de eiementos de software y de procedimientos

clasificados en las siguiemes categorias:

Controles preventives: para tratar de evitar e! hecho, como un software

Analisis de los controles en e! dia a

de seguridad que impida los accesos no autorizados al sistema.

errores u omisiones, etc.

producido incidencias. Por ejemplo, la recuperacidn de un fichero

10 AUDiTOR'A DE TbCNOLOGIAS Y SISTEMAS DE fNFORMACiON

tradicionales de controles informaticos. *

CAPITULQ 1 CONTROL INTERNO Y AUDITORIA DE SISTEMAS DE INFORMACiON I i