Auditoria TI

Msc Jose Victor Valle

Especialista en Auditoria, Riesgo y Seguridad TI
 ANTECEDENTES Y ORIGENES

• Desde que la tecnología (informática) se enfocó

hacia el apoyo de la sistematización de áreas
del negocio, se empezaron a implantar
aplicaciones administrativas tales como
contabilidad, nómina, etc., lo cual originó la
Auditoría a sistemas de Información
Crecimiento tecnológico imposibilito a los Auditores
tradicionales practicar auditorías de procesos
automatizados.
 Diferencia entre AS y AI
AS: revisión de los sistemas de
información en desarrollo, operación
y mantenimiento

AI: Evalúa y verifica políticas, controles,

Procedimientos y seguridad
en los recursos dedicados al manejo
de información
En la actualidad los temas relativos a la auditoría
informática cobran cada vez más relevancia,
tanto a nivel nacional como internacional,
debido a que la información se ha convertido
en uno de los activos más importante de las
empresas,
• Proceso metodológico que tiene el propósito
principal de evaluar todos los recursos
(humanos, materiales, financieros,
tecnológicos, etc.) relacionados con la
función de informática para garantizar al
negocio que dicho conjunto opera con un
criterio de integración y desempeño de
niveles altamente satisfactorios para que
apoyen la productividad y rentabilidad de la
organización.
 IMPORTANCIA Y OBJETIVOS

Cómo saber si se esta administrando y dirigiendo

de manera correcta la función de informática?
Sus beneficios son:

• Mejora la imagen pública.

• Genera confianza en los usuarios sobre la seguridad y
control de los servicios de TI.
• Optimiza las relaciones internas y del clima de trabajo.
• Disminuye los costos de la mala calidad (reprocesos,
rechazos, reclamos, entre otros).
• Genera un balance de los riesgos en TI.
• Realiza un control de la inversión en un entorno de TI, a
menudo impredecible.
El objetivo principal de la Auditoria TI es:

Garantizar una seguridad razonable que TI se

esta administrando adecuadamente y que existen
políticas y procedimientos encaminados a
mantener la continuidad de las operaciones del
negocio.
 PERFIL Y FUNCION DEL AUDITOR

• Profesional, intuitivo, preventivo, un experto;

pero sobre todo, sea un ser flexible, humano,
que entienda el contexto real del negocio.
• El auditor debe ser proactivo no correctivo
• Tiene que enfrentarse a las nuevas formas
• de trabajo, nuevos retos
Un auditor hace un proceso de análisis de la
organización para identificar y clasificar los
riesgos,

• Conocimiento
• Disposición
• Método
• Madurez
• Proactividad
• Actitud Productiva
• Excelencia
• Mentalidad Abierta
 Función
• Se orienta a que sea un punto de control y confianza
para la alta dirección
• Ser un facilitador de soluciones
• Es como el doctor que evalúa al paciente y le
recomienda el tratamiento idóneo para estar en
óptimas condiciones de salud, según la situación del
enfermo, recomendará tratamientos ligeros o fuertes y
estrictos
• No es ser un capataz o policía del negocio como
tantas veces se ha planteado de manera sarcástica o
costumbrista en las organizaciones
Dentro de la AI existen:
 Planeación y Organización
informática
 Seguridad
 Ciclo de desarrollo e
implantación
 Hardware
 Software
 Mantenimiento
 Redes locales y
comunicaciones
 Seguridad y Admon de BD
 Ambientes virtualizados
 Cloud Computing, Tecnologia
moviles
 Tercerización
1 - Dirección o Gerencia de Auditoria

• Independencia e integración de políticas y

procedimientos de empresa
• Planeación conjunta con Auditoria tradicional y
control sobre la T.I.
• Resistencia de las áreas de la empresa a ser
auditadas
• Riesgo de no conocer las metas y planes de la
• Función de Informática
• Que la función se oriente a la Auditoria de S.I.
únicamente
 Dirección de
Auditoria

Gerencia de Auditoria Gerencia de Auditoria Gerencia de Auditoria

Informática Financiera Fiscal

Encargado de
Encargado de Encargado de
Auditorias
A. Redes A. Seguridad
Sistemas
Dirección o Gerencia de Informática

• Conocimientos de proyectos e inversiones de

informática
• Actualización y dominio de la T.I. al interactuar con
sus responsables
• Apoyo de informática por su facilidad en la
concientización de riesgos
• Hay dependencia y se limita la autoridad de los
auditores
• Incertidumbre para implantar medidas preventivas o
correctivas
• Se puede caer en el esquema de ‘sugerir’ y no
• ‘controlar’
 Dirección de
Informática

Gerencia de Auditoria Gerencia de Sistemas Gerencia de Soporte

Informática Tecnico

Encargado de
Encargado de Encargado de
Auditorias
A. Redes A. Seguridad
Sistemas
Dirección General (como personal staff o de apoyo)

• Compromiso de la empresa hacía Auditoría de

Informática
• Se tiene una visión del negocio y la función es
estratégica
• La administración de la función debe ser con
conocimiento de causa
• El proceso de evaluación por la Dirección general
es complejo
 Gerencia General

Auditoria Informática

Gerencia de Operaciones Gerencia Administrativa Gerencia de Recursos H.

Ejercida por externos

• Auditores expertos, ejercen normas y políticas

comúnmente aceptadas
• Compromiso a beneficios directos y a ejercer ética y
eficientemente
• Se aprovecha su experiencia para capacitar a
personal de la empresa
• Posibles fugas de información y altos costos por el
tiempo del proyecto. La asimilación y la implantación
de controles no es breve.
• A veces ciertos consultores dan soluciones no
acordes a la empresa
• Si el responsable de informática los contrata puede
manipular
 Gerencia General

Auditoria Informática
Externa

Gerencia de Operaciones Gerencia Administrativa Gerencia de Recursos H.

• Bibliografía

• 1. AUDITORÍA INFORMÁTICA
• Mario G. Piattini y Emilio del peso
• COMPUTEC-RAMA 1998

• 2. AUDITORÍA INFORMÁTICA
• José Antonio Echenique G.
• Mc Graw Hill

• 3. H. Enrique (1998) Auditoría Informática (2da E). México: Grupo Cecsa