Qu es la auditoria de sistemas de informacin?

Cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o

de cualquier porcin de ellos) de los sistemas automticos de procesamiento de
la informacin, incluidos los procedimientos no automticos relacionados con
ellos y las interfaces correspondientes.

Qu es la auditoria informtica?

Es un examen que se realiza con carcter objetivo, crtico, sistemtico y selectivo

con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos
informticos, de la gestin informtica y si estas han brindado el soporte
adecuado a los objetivos y metas del negocio.

Cul es el enfoque de la Auditoria informtica?

Puede tener enfoque financiero, verificativo, operativo y especial.

Cmo se clasifica la aplicacin de la Auditora por areas en Informtica?

Planificacin.

Organizacin y Administracin.

Desarrollo de Sistemas.

Explotacin.

Entorno de hardware.

Entorno de software.

De qu herramientas o tcnicas se apoya la auditoria informtica?

Cuestionarios: Es una tcnica ampliamente aplicada en la investigacin de
carcter cualitativa. Las auditoras informticas se materializan recabando
informacin y documentacin de todo tipo. No pueden ni deben ser repetidos
para instalaciones distintas, sino diferentes y muy especficos para cada situacin,
y muy cuidados en su fondo y su forma.
Entrevistas: En estas, se recoge ms informacin, y mejor matizada, que la
proporcionada por medios propios puramente tcnicos o por las respuestas
escritas a cuestionarios.

Checklist: Es un cuestionario ordenado y estructurado por materias auditadas. El

auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. El auditor conversar y har
preguntas "normales", que en realidad servirn para la cumplimentacin
sistemtica de sus Cuestionarios, de sus Checklist.
Trazas y/o Huellas: Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a travs del programa. se
utilizan para comprobar la ejecucin de las validaciones de datos previstas.
Log: El log vendra a ser un historial que informa que fue cambiando y cmo
fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para
asegurar lo que se llaman las transacciones.
Software de Interrogacin: Actualmente los productos Software especiales para
la auditora informtica se orientan principalmente hacia lenguajes que permiten
la interrogacin de ficheros y bases de datos de la empresa auditada.

Cules son los dos tipos de auditoria que puede aplicar en un negocio y cul es su
diferencia?
Auditora interna: es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada.
Auditora externa: es realizada por personas afines a la empresa auditada; es
siempre remunerada. La diferencia radica en su objetividad. La externa es ms
objetiva.
Menciona las divisiones o clases dentro de las areas generales de la auditoria
informtica:

De

explotacin

Informtica:

Se

ocupa

de

producir

resultados

informticos de todo tipo: listados impresos, archivos magnticos para

otros informticos, rdenes automatizadas para lanzar o modificar

procesos industriales, etc.

De sistemas: Es propia de lo que se conoce como "Tcnica de Sistemas

"en todas sus facetas. En la actualidad, la importancia creciente de las
telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes
de las instalaciones informticas, se auditen por separado.

De comunicaciones y redes: Constituyen las Redes Nodales, Lneas,

Concentradores, Multiplexores, Redes Locales, etc., no son sino el soporte
fsico-lgico del Tiempo Real.

De proyectos: es la importancia de la metodologa utilizada en el

desarrollo de los Proyectos informticos.

De seguridad informtica: comprende la seguridad fsica se refiere a la

proteccin del Hardware y de los soportes de datos, as como los edificios
e instalaciones que los albergan.

Cules son los objetivos de una Auditoria informtica?

Evaluar el sistema de informacin en general.

Verificar la eficaz gestion de los recursos informticos (HW-SW-RH).

Minimizar existencias de riesgos en el uso de Tecnologa de informacin.

Decisiones de inversin y gastos innecesarios.

Capacitacin y educacin sobre controles en los Sistemas de Informacin.

Que define el alcance de una auditoria en informtica y que documentacin genera?

El entorno y los lmites del desarrollo de la misma, y generan a su vez un documento
final en donde se evala los hallazgos y omisiones definiendo el xito de la misma.
Menciona las etapas principales de una auditoria informtica:

Exploracin

La exploracin es la etapa en la cual se realiza el estudio o examen previo

al inicio de la Auditoria con el propsito de conocer en detalle las
caractersticas de la entidad a auditar.

Planeamiento
El trabajo fundamental en esta etapa es el definir la estrategia que se debe
seguir en la Auditora a acometer.

Supervisin
El propsito esencial de la supervisin es asegurar el cumplimiento de los
objetivos de la Auditora y la calidad razonable del trabajo.

Ejecucin
El propsito fundamental de esta etapa es recopilar las pruebas que
sustenten las opiniones del auditor en cuanto al trabajo realizado.

Informe
En esta etapa el Auditor se dedica a formalizar en un documento los
resultados a los cuales llegaron los auditores en la Auditora ejecutada y
dems verificaciones vinculadas con el trabajo realizado.

Seguimiento
En esta etapa se siguen, como dice la palabra, los resultados de una
Auditora, generalmente una Auditoria evaluada de Deficiente o mal, as
que pasado un tiempo aproximado de seis meses o un ao se vuelve a
realizar otra Auditora de tipo recurrente para comprobar el verdadero
cumplimiento de las deficiencias detectadas en la Auditoria.

Cules son los objetivos las normas generales para la auditora de sistemas de
informacin?
Los objetivos de estas normas son los de informar a los auditores del nivel mnimo de
rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas
en el Cdigo de tica Profesional y de informar a la gerencia y a otras partes
interesadas de las expectativas de la profesin con respecto al trabajo de aquellos que
la ejercen.

Caractersticas importantes de las normas generales:

Los Estndares definen requisitos obligatorios para la auditora y el reporte de SI.
Las Directrices proporcionan asesoramiento en la aplicacin de los Estndares de
Auditora de SI.
Los Procedimientos proporcionan ejemplos de procedimientos que podra seguir un
auditor de SI en el curso de un contrato de auditora.
Qu es el COBIT?
Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y
Tecnologas relacionadas (Control Objectives for Information Systems and related
Technology). desarrollado por ISACA (Information Systems Audit and Control
Association).
El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas
de informacin y tecnologa, orientado a todos los sectores de una organizacin, es
decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el
proceso.
Que establece el marco referencial de COBIT?
Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. Para
descargar esta responsabilidad, as como para lograr sus expectativas, la gerencia debe
establecer un adecuado sistema de control interno.
Que incluye el COBIT?
Objetivos de control.
Prcticas de control.
Directrices de auditora.

Directrices gerenciales.

Menciona las etapas de un proceso de auditoria informtica:

Alcance y Objetivos de la Auditora Informtica.
Estudio inicial del entorno auditable.
Determinacin de los recursos necesarios para realizar la auditora.
Elaboracin del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditora.
Confeccin y redaccin del Informe Final.
Redaccin de la Carta de Introduccin o Carta de Presentacin del
Informe final.
Quines son los beneficiados de una auditoria informtica?

Directivos y administrativos

Propietarios

Inversionistas

Bancos

Hacienda

Trabajadores y autoridades fsicas.

Cules son las funciones de un auditor?

Seleccionar los miembros del equipo auditor.

Negociar con el cliente el alcance y los mbitos de la auditora.

Formar a los auditores en los contenidos del proceso auditor.

Elaborar informes de auditora a partir de los datos registrados.

Dirigir equipos de auditores internos y externos.

Realizar la auditora siguiendo el modelo y el proceso previsto y

relacionarse de forma eficaz con todos los participantes en el proceso.

Qu conocimientos debe tener un auditor en informtica?

Administracin del Departamento de Informtica

Anlisis de riesgos en un entorno informtico

Sistemas operativos

Telecomunicaciones

Administracin de Bases de Datos

Redes locales

Seguridad fsica

Operacin y planificacin informtica

Administracin

de

seguridad

de

los

sistemas

(planes

de

contingencia)

Administracin del cambio

Administracin de Datos

Automatizacin de oficinas (ofimtica)

Comercio electrnico

Encriptacin de datos

Qu es un riesgo?
Es la probabilidad de que suceda un evento, impacto o consecuencia adversos. Se
entiende tambin como la medida de la posibilidad y magnitud de los impactos adversos,
siendo la consecuencia del peligro, y est en relacin con la frecuencia con que se
presente el evento.

Menciona algunos ejemplos de riesgos de informacin:

Fraudes.
Falsificacin.
Venta de informacin.
Destruccin de la informacin.
Qu es seguridad de la informacin?
todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de
los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando
mantener la confidencialidad, la autenticidad y la Integridad de la misma.
Qu diferencia existe entre seguridad informtica y seguridad de la informacin?
En que la seguridad informtica slo se encarga de la seguridad en el medio informtico.
Cmo se lleva a cabo el manejo de riesgo?
Evitar: No se permite ningn tipo de exposicin.
Reducir: Cuando el riesgo no puede evitarse por tener varias dificultades de tipo
operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo posible.
Retener, Asumir o Aceptar el riesgo: Aceptar las consecuencias de la ocurrencia del
evento.
Transferir: Es buscar un respaldo y compartir el riesgo con otros controles o entidades.

De qu factores se componen los riesgos en el centro de cmputo?

Factores fsicos.
Cableado.
La iluminacin
El aire de renovacin o ventilacin
Las fuentes de alimentacin.

Factores ambientales
Incendios.
Inundaciones.
Sismos.
Humedad.

Factores humanos
Robos.
Actos vandlicos.
Actos vandlicos contra el sistema de red
Fraude.
Sabotaje.
Terrorismo.

Qu es la evidencia?
Es la base razonable de la opinin del auditor informtico, es decir el informe de
Auditoria Informtica.
Cmo se evala la fiabilidad de la evidencia?
1. La evidencia externa es ms fiable que la interna.
2. La evidencia interna es ms fiable cuando los controles internos relacionados con ellos son
satisfactorios.
3. La evidencia obtenida por el propio auditor es ms fiable que la obtenida por la empresa.
4. La evidencia en forma de documentos y manifestaciones escritas es ms fiable que la
procedente de declaraciones orales.
5.

El auditor puede ver aumentada su seguridad como la evidencia obtenida de diferentes

fuentes.
6. Debe existir una razonable relacin entre el costo de obtener una evidencia y la utilidad de la
informacin que suministra.

Qu calificativos contiene una evidencia?

Relevante, que tiene una relacin lgica con los objetivos de la auditoria.
Fiable, que es vlida y objetiva, aunque, con nivel de confianza.
Suficiente, que es de tipo cuantitativo para soportar la opinin profesional del
auditor.
Adecuada, que es de tipo cualitativo para afectar las conclusiones del auditor.
Cules son los mtodos para obtener evidencia de auditoria?
La Inspeccin: consiste en la revisin de la coherencia y concordancia de los
registros, as como en el examen de los documentos y activos tangibles.
La observacin: consiste en ver la ejecucin de un proceso o procedimiento
efectuado por otros.
Las preguntas: obtienen informacin apropiada de las personas de dentro y
fuera de la entidad.
Las confirmaciones: mediante ellas se obtiene corroboracin, normalmente por
escrito, de una informacin contenida en los registros
Los clculos: comprueban la exactitud aritmtica de los registros y de los
clculos y anlisis realizados por la entidad o en la realizacin de clculos
independientes.
Qu es el control interno?
Cualquier actividad o accin realizada manual y/o automticamente para prevenir,
corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema
para conseguir sus objetivos.
El Informe COSO define el Control Interno como:
Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas
para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn
y que los eventos no deseados se prevern, se detectarn y se corregirn.
El control interno se materializa fundamentalmente en controles de dos tipos:
Controles manuales: aquellos que son ejecutados por el personal del rea usuaria o
de informticas en la utilizacin de herramientas computacionales.
Controles Automticos: son generalmente los incorporados en el software, llmense
estos de operacin, de comunicacin, de gestin de base de datos, programas de
aplicacin, etc.

Menciona los componentes del control interno:

Entorno de control

Evaluacin de riesgos

Actividades de control

Informacin y comunicacin

Supervisin

Que son las actividades de control interno?

Son las polticas y procedimientos que ayudan a asegurar que se toman las medidas
para limitar los riesgos que pueden afectar que se alcancen los objetivos
organizacionales.
A que se refiere el apartado de informacion y comunicacin?
Se debe identificar, ordenar y comunicar en forma oportuna la informacin necesaria
para que los empleados puedan cumplir con sus obligaciones.
A que nos referimos con supervisin?
Debe existir un proceso que compruebe que el sistema de control interno se mantiene
en funcionamiento a travs del tiempo.
Qu es el control interno informtico?
Sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y
control de las operaciones con el objeto de asegurar la proteccin de todos los recursos
informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos
operativos automatizados.
Cul es la funcion de Control Interno Informtico?
Controla diariamente que todas las actividades de sistemas de informacin sean
realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin
de la organizacin y/o direccin de informtica, as como los requerimientos legales.
La misin del Control Interno Informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.
Cules son los objetivos principales del Control interno informtico?
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditora Informtica interna/externa.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informtico.

Cules son las funciones especficas del Control interno Informtico?

Difundir y controlar el cumplimiento de las normas, estndares y procedimientos

al personal de programadores, tcnicos y operadores.

Disear la estructura del Sistema de Control Interno de la Direccin de

Informtica.

Cul es la clasificacin de los controles internos informticos?

Controles Preventivos: Sirve para tratar de evitar un evento no deseado de todas
las reas de departamento como son: Equipo de cmputo, sistemas,
telecomunicaciones.
Controles Detectivos: trata de descubrir a posteriori errores o fraudes que no
haya sido posible evitar los con controles preventivos. Ejemplo (registros de
intentos de acceso no autorizados, el registro de la actividad diaria para detectar
errores u omisiones).
Controles Correctivos: Tratan de asegurar que se subsanen todos los errores
identificados, mediante los controles preventivos; es decir facilitan la vuelta a la
normalidad ante una incidencia. Es un plan de contingencia.
Quin es el Auditor?
Se llama auditor a la persona capacitada y experimentada que se designa por
una autoridad competente o por una empresa de consultora, para revisar,
examinar y evaluar con coherencia los resultados de la gestin de una
dependencia (institucin gubernamental) o entidad (empresa o sociedad) con el
propsito de informar o dictaminar acerca de ellas, realizando las observaciones
y recomendaciones pertinentes.
Cul es su papel dentro de la auditoria?
debe estar encaminado hacia la bsqueda de problemas existentes dentro de los
sistemas utilizados, y a la vez proponer soluciones para estos problemas.
Qu es la norma ISO/IEC 20000?
Es el estndar reconocido internacionalmente en gestin de servicios de
Tecnologas de la Informacin. Una manera de demostrar que los servicios
estn cumpliendo con las necesidades del negocio es implantar un Sistema de
Gestin de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC
20000.

Caractersticas del auditor informtico:

Se deben poseer una mezcla de conocimientos de auditora financiera y de

informtica en general.

Especializacin en funcin de la importancia econmica que tienen distintos

componentes financieros dentro del entorno empresarial.

Debe conocer tcnicas de administracin de empresas y de cambio, ya que las

recomendaciones y soluciones que aporte deben estar alineadas a los objetivos
de la empresa y a los recursos que se poseen.

Debe tener un enfoque de Calidad Total.

Responsabilidad del Auditor informtico:

1. Verificacin del control interno tanto de las aplicaciones como de los SI,
perifricos, etc.
2. Anlisis de la administracin de Sistemas de Informacin, desde un punto de
vista de riesgo de seguridad, administracin y efectividad de la administracin.
3. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del
anlisis de aplicaciones.
4. Auditora del riesgo operativo de los circuitos de informacin
5. Anlisis de la administracin de los riesgos de la informacin y de la
seguridad implcita.
6. Verificacin del nivel de continuidad de las operaciones.
7. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las
consecuencias empresariales que un desfase tecnolgico puede acarrear.
8. Diagnstico del grado de cobertura que dan las aplicaciones a las
necesidades estratgicas y operativas de informacin de la empresa
9. Tambin el auditor informtico es responsable de establecer los objetivos de
control que reduzcan o eliminen la exposicin al riesgo de control interno.

Principios bsicos del auditor informtico:

Principio de beneficio del auditado

El auditor deber conseguir la mxima eficiencia y rentabilidad de los medios

informticos de la empresa auditada.

El auditor deber evitar estar ligado a determinados intereses.

Principio de calidad
El auditor deber prestar servicios con los medios a su alcance.
Libertad de utilizacin de los mismos.
Condiciones tcnicas adecuadas.

Principio de capacidad
El auditor debe estar plenamente capacitado para la realizacin de la auditora

encomendada.
Debe ser plenamente consciente del alcance de sus conocimientos y de su
capacidad y aptitud para desarrollar la auditora (sobreestima o subestima).

Principio de cautela:
El auditor debe evitar que el auditado se embarque en proyectos de futuro

fundamentados en intuiciones sobre la evolucin de las nuevas tecnologa de la

informacin.

Principio de comportamiento profesional

Exige al auditor una seguridad en sus conocimientos tcnicos y una clara

percepcin de sus carencias (acudiendo a expertos si necesario) dejando constancia de

esa circunstancia y reflejando en forma diferenciada, en sus informes y dictmenes, las
opiniones y conclusiones propias y las emitidas por los mismo.
Debe guardar un escrupuloso respeto por la poltica de la empresa que audita.

Principio de concentracin en el trabajo

El auditor deber evitar que un exceso de trabajo supere sus posibilidades de

concentracin y precisin en cada una de las tareas

Nunca copiar conclusiones de otros informes de auditoras pasadas por la
acumulacin de trabajo

Principio de confianza:
El auditor deber facilitar e incrementar la confianza del auditado en base a una

actuacin de transparencia en su actividad profesional

Principio de criterio propio:

El auditor deber actuar con criterio propio y no permitir que este este

subordinado al de otros profesionales

Principio de discrecin:
El auditor deber mantener una cierta discrecin en la divulgacin de datos

Principio de economa:
El auditor deber proteger los derechos econmicos del auditado evitando

generar gastos innecesarios

Principio de formacin continuada:

Impone al auditor la obligacin de estar en continua formacin.

Principio de fortalecimiento y respeto a la profesin

Los auditores han de cuidar del valor de trabajo realizado y de las conclusiones

obtenidas

Principio de independencia
El auditor debe exigir una total autnoma e independencia en su trabajo.

Principio de informacin suficiente:

Obliga al auditor aportar en forma clara, precisa e inteligible para el auditado la

informacin

Principio de integridad moral

Obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin,

a ajustarse a las normas morales, de justicia y probidad, y a evitar participar en actos

de corrupcin personal o a terceras personas.

Principio de legalidad
El auditor deber evitar utilizar sus conocimientos para facilitar, a los auditados

o a terceras personas, la contravencin de la legalidad vigente

Principio de libre competencia

Exige que el ejercicio de la profesin se realice en el marco de la libre

competencia.

Principio de no discriminacin
El auditor en su actuacin antes, durante y despus de la auditora, deber

evitar inducir, participar o aceptar situaciones discriminatorias de ningn tipo.

Principio de no injerencia
El auditor deber evitar injerencias en los trabajos de otros profesionales,

respetar su labor y eludir hacer comentarios que pudieran interpretarse como

despreciativos de la misma o provocar cierto desprestigio de su calificacin profesional.

Principio de precisin
Exige del auditor la no conclusin de su trabajo hasta estar convencido de la

viabilidad de sus propuestas.

Principio de secreto profesional

La confidencia y la confianza son caractersticas esenciales de las relaciones

entre el auditor y el auditado, e imponen al primero la obligacin de guardar en

secreto los hechos e informaciones que conozca en el ejercicio de su actividad
profesional.

Principio de veracidad
El auditor en sus comunicaciones con el auditado deber tener siempre

presente la obligacin de asegurar la veracidad de sus manifestaciones con los lmites

impuestos por los deberes de respeto, correccin y secreto.

Principio de servicio pblico

Incitar al auditor a hacer lo que est en su mano y sin perjuicio de los intereses

de su cliente, para evitar daos sociales como los que pueden producirse en los casos
en que, durante la ejecucin de la auditora, descubra elementos de software dainos
(virus) que puedan propagarse a otros sistemas informticos diferentes al auditado.
qu es un plan de contingencias?
Es un conjunto de procedimientos alternativos a la operativa normal de cada
empresa cuya finalidad es garantizar la continuidad del negocio y las
operaciones de una compaa.
Cules son los componentes de el plan?

Objetivo del plan

Criterio para la ejecucin del plan

Tiempo esperado mximo de duracin del plan

Roles, responsabilidad y autoridad

Requerimiento de recursos

Cules son las etapas del plan?

Evaluacin.
o

Constitucin del grupo de desarrollo del plan

Identificacin de las funciones crticas

Planificacin.
o

Objetivo del plan

Tiempo de duracin

Costes estimados

Recursos necesarios.

Pruebas de viabilidad.
o

Ejecutar las pruebas y documentarlas

Actualizar el plan de contingencia de acuerdo a los resultados

obtenidos en las pruebas

Ejecucin.
o

asegurar la continuidad de las tareas crticas de la empresa.

Recuperacin.
o

Debido al siniestro los datos pudieron haber quedado

desactualizados o corruptos, por lo cual deben corregirse usando los
procedimientos ya definidos previamente.