Auditora de

Sistemas de Informacin
Fernando Rodrguez Rivadulla
Colaborador de Auditora (CISA)
Serviciode
de Auditora
Auditora Interna
Servicio
Interna

ndice

Estrategia para la Auditora de Sistemas de la

Informacin
Esquema Organizativo
Auditor Informtico
Estndares y Normas Tcnicas
Planificacin de Actuaciones
Proceso de Auditoras de Sistemas de Informacin
Guin para Auditoras de Sistemas de Informacin
Informes de Auditoras de Sistemas de Informacin
Servicio de Auditora Interna

Estrategia para la Auditora de Sistemas de Informacin

Necesidad de definir una estrategia
Las TIC han acompaado la automatizacin y el crecimiento
La informacin y los recursos TIC como activos de las
organizaciones
Dependencia de las TIC

Implicacin de la Direccin
Incremento vulnerabilidad de los sistemas
Dar respuesta a la dependencia de la informacin
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados
Servicio de Auditora Interna

Estrategia para la Auditora de Sistemas de Informacin

Objetivos de las Administraciones Pblicas:

Cumplimiento de la legalidad vigente

Eficacia

Eficiencia

Auditora Sistemas de Informacin >

Supervisin de los riesgos de los sistemas de informacin
que pudieran afectar al cumplimiento de la legalidad
vigente, la eficiencia y la eficacia de los procesos
soportados por los sistemas de informacin, en especial
los de la administracin electrnica.
Servicio de Auditora Interna

Estrategia para la Auditora de Sistemas de Informacin

Servicio de Auditora Interna

Esquema Organizativo
Independencia
Autoridad

Servicio de Auditora Interna

Esquema Organizativo
Mandato para una Auditora Interna

Servicio de Auditora Interna

Esquema Organizativo
Mandato para una Auditora Externa

Servicio de Auditora Interna

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de
informacin (I)

Actuaciones de apreciacin independiente para

supervisar el control establecido
A- Actividades bsicas
Direccin o Gobierno de las TIC (Gobernanza TIC)
Supervisar el control interno TIC
Supervisar la gestin de riesgos TIC

Servicio de Auditora Interna

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de
informacin (II)
Proteccin de datos de carcter personal
Control de accesos
Administracin Electrnica
Equipamiento informtico
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotacin de sistemas de informacin
Contratacin bienes y servicios TIC
Tcnica de sistemas
Continuidad del servicio TIC
Acreditacin de confianza
Servicio de Auditora Interna

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de
informacin (III)

B- Acciones proactivas
Participacin en el ciclo de control
Asegurar existencia de controles internos razonables y adecuados
Divulgar y fomentar las buenas prcticas
Fomentar la documentacin de los sistemas y procedimientos
Asesorar en la implementacin de pistas de auditora
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestin recursos
Servicio de Auditora Interna

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de
informacin (IV)

C- Auditora forense
Desafo ante delitos informticos, garantizando la evidencia
digital que se presentase en un proceso judicial.
Recuperar informacin
Determinar cusa y origen de una situacin
Identificar autor(es) acciones ilcitas
Identificar uso inapropiado de los medios de la Organizacin

Servicio de Auditora Interna

Esquema Organizativo
Naturaleza del trabajo de auditora de sistemas de
informacin (V)

D- Apoyo en auditoras externas

Supervisin de auditores externos.

E- Apoyo a otras reas de Auditora

Asistencia para la obtencin, estructuracin y anlisis de la
informacin.
Servicio de Auditora Interna

Auditor Informtico
reas de Conocimiento (certificables)
Tcnica o metodologa de auditora informtica
Gestin, planificacin y organizacin de las TIC
Infraestructura tcnica, prcticas operativas y proteccin de
activos
Recuperacin de desastres y continuidad de la actividad
Desarrollo, adquisicin, implementacin y mantenimiento de
sistemas
Evaluacin de procesos y gestin de riesgos

Servicio de Auditora Interna

Auditor Informtico
Otras caractersticas (no certificables)

Comprender procesos de gestin y normativa legal

Identificar problemas y plantear soluciones
Llenar vaco de comunicacin entre direccin, usuarios y
tcnicos
Saber comunicar
Negociar situaciones de conflicto
Saber cuando solicitar asistencia

Servicio de Auditora Interna

Estndares y Normas Tcnicas

Principios
Salvar brechas entre riesgos del proceso de gestin,
necesidades de control y aspectos tcnicos
Determinar el alcance de las actuaciones e identificar los
controles mnimos
Observar e incorporar estndares y regulaciones nacionales
o internacionales

Hechos
Adecuar tcnicas auditora tradicionales a los controles de las TIC
Generar resultados homogneos
Organizar los trabajos (tipificar tareas)
Emplear distintos referentes segn tipo de auditora
Estndares basados en buenas prcticas
Servicio de Auditora Interna

Estndares y Normas Tcnicas

1) Instrumentos de normalizacin de las
Administraciones Pblicas en Espaa

Normas de Auditora del Sector Pblico de la IGAE: No son

especficas a la auditora de sistemas de informacin
MAGERIT Versin 2: Es la metodologa de anlisis y gestin
de riesgos de los sistemas de informacin.
Modelo EFQM de Excelencia: Es una orientacin de la
Fundacin Europea para la Gestin de la Calidad que
contempla algunos criterios que hacen referencia a las TIC
Serie Seguridad de las Tecnologas de la Informacin del
Centro Criptogrfico Nacional (CCN-STIC)

Servicio de Auditora Interna

Estndares y Normas Tcnicas

2) Instrumentos de normalizacin de las
Administraciones Pblicas en EE.UU.

Government Auditing Standars (GAGAS): Son las normas

de aplicacin para el General Accountability Office (GAO) de
EE.UU.
Federal Information System Controls Audit Manual
(FISCAM): Una gua metodolgica que aplica las normas del
GAO y del NIST.
Serie de Publicaciones Especiales SP-800 del Instituto
Nacional de Estndares y Tecnologa (NIST)

Servicio de Auditora Interna

Estndares y Normas Tcnicas

3) Prcticas y recomendaciones de asociaciones
internacionales (I)

Normas Internacionales para el Ejercicio Profesional de la

Auditora Interna (The Institute of Internal Auditors)
Asociacin de Auditora y Control de Sistemas de
Informacin (ISACA)
Control Objetives for Information and Related
Technologies (COBIT)
IS Standars, Guidelines and Procedures for Auditing
and Control Professionals
Information Technology Infraestructure Library (ITIL)

Servicio de Auditora Interna

Estndares y Normas Tcnicas

3) Prcticas y recomendaciones de asociaciones
internacionales (II)

Modelo de Madurez de las Capacidades Integrado para el

Desarrollo (CMMI) del Instituto de Ingeniera del Software (SEI)
Instituto SANS (SysAdmin, Audit, Network, Security)
Normalizacin internacional ISO:
Gestin de Servicios de las Tecnologas de la
Informacin (IT Service Management): ISO/IEC
20000:2005
Seguridad de la Informacin: Familia ISO/IEC 27000
Criterios comunes de evaluacin de la seguridad de las
tecnologas de la informacin ISO/IEC 15408:2005 (Common
Criteria for Information Technology Security Evaluation)
Servicio de Auditora Interna

Planificacin de Actuaciones
Qu auditar

Cumplimiento de requerimientos legales

Sensibilidad de la organizacin a riesgos / resultado de anlisis
Resultado de auditoras anteriores
Condicionantes de la Organizacin

Cundo auditar
Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la direccin
Elaborar el documento de planificacin peridica de la unidad
de auditora
Revisin peridica del plan inicial para incorporar actuaciones
no previstas

Cmo auditar
Proceso para planificar las actuaciones individuales
Servicio de Auditora Interna

Planificacin de Actuaciones
Anlisis de
riesgos

Prioridades de la
Organizacin

Actuacin 1

Sensibilidad de
la Direccin

Requerimientos
legales

Plan de Actuaciones de
Auditora

Actuacin 2

Tarea 1
Tarea 2
Tarea n
Servicio de Auditora Interna

Situaciones de riesgo
inicialmente no previstas

....

Actuacin n

Proceso de Auditoras de Sistemas de Informacin

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

PLANIFICACIN DE ACTIVIDADES
Identificar la informacin a recopilar
Identificar las tareas de campo
Identificar interlocutores
Recursos necesarios/disponibles
Responsabilidades de los miembros del equipo auditora
Calendario tentativo

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Identificar el Alcance de la Actuacin
Que se quiere comprobar
Que se pretende demostrar
Que se va a informar
Obtencin de Informacin Preliminar
Actividad llevada a cabo por el rea a auditar
Esquema de control interno (polticas, normas, etc.)
Estndares de referencia
Informes anteriores
Familiarizarse con el entorno tecnolgico a auditar

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Identificar Objetivos Detallados
Evaluacin preliminar para identificar objetivos de control
Identificar posibles condicionantes
Grado de extensin acorde al alcance
Auditoras de cumplimiento:

Auditoras operativas:

Modelo de control de referencia

Modelo de control de referencia

Existencia de controles

Planificacin y gestin de controles

Adecuacin y eficacia de los controles Aseguramiento de los controles

Proporcionalidad

Oportunidad de introducir cambios

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

FORMALIZACIN DEL INICIO DE LA ACTUACIN
Notificacin del responsable de la unidad de auditora al
responsable del rea a auditar
Reunin del equipo auditor con el responsable de la
unidad a auditar para comunicar:
Alcance de los trabajos
Necesidad/obligacin de colaboracin
Interlocutor del equipo auditor
Se debe tener presente no interferir con el trabajo
realizado por el rea auditada
Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

TRABAJOS DE CAMPO
Tcnicas Recoleccin de Evidencias
Revisin de documentos
Entrevistas
Observacin del trabajo realizado
Pruebas y verificaciones
Uso de herramientas

Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Uso de Herramientas Informticas o Tcnicas de
Auditora Asistidas por Ordenador - CAAT (I)
Obtencin de informacin de los SI
Recoleccin de evidencias de los SI
Creacin de muestras para realizar pruebas
Ventajas
Aseguran independencia en la recoleccin de datos
Disminuyen el riesgo propio del proceso de auditora
Mayor cobertura y consistencia de la pruebas
Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Uso de Herramientas Informticas o Tcnicas de
Auditora Asistidas por Ordenador - CAAT (II)
Caractersticas

Productos informticos ad-hoc o herramientas de los sistemas

Acceso a distintas estructuras o formatos de datos
Aplicacin de criterios de seleccin
Reorganizacin de la informacin obtenida
Funciones estadsticas y aritmticas

Precauciones
El acceso a los datos reales por los auditores debe ser siempre slo
en modo lectura
Los datos extrados deben aislarse del entorno de produccin para
evitar que las manipulaciones alteren los originales
El empleo de herramientas que puedan causar perturbaciones debe
ser limitado
Servicio de Auditora Interna

Proceso de Auditoras de Sistemas de Informacin

Uso de Herramientas Informticas o Tcnicas de
Auditora Asistidas por Ordenador - CAAT (III)
Ejemplos
Logs: contienen el registro de actividad
Utilidades de sistema: contienen
implementan las polticas de control

los

parmetros

que

Software generalizado de auditora: acceso a archivos,

seleccin de datos, reorganizacin, etc.
Software especfico:
propsito concreto

herramientas

Servicio de Auditora Interna

empleadas

con

un

Guin para Auditoras de Sistemas de Informacin

El GUIN es la herramienta fundamental de

apoyo para el auditor que documenta el
proyecto de la auditora
Identifica que tareas se deben efectuar
durante la actuacin
Cuantifica los medios necesarios
Define la secuencia de los trabajos
Para que el equipo comprenda lo que debe
realizar y obtenga una visin del conjunto
Servicio de Auditora Interna

Guin para Auditoras de Sistemas de Informacin

ESTRUCTURA DEL GUIN
1. Punto(s) de control
En funcin del objetivo y alcance de la actuacin se habrn
establecido objetivos de control detallados => apartados
del guin. Identifica lo que se va a supervisar del sistema de
control.
2. Directriz de auditora
Desarrollan los Puntos de control sealando las tareas a
efectuar,
efectuar antes o durante la actuacin.
Determinan los medios y tcnicas necesarios para cada punto
de control
Limitadas por el desarrollo de la funcin de auditora en la
Organizacin
Servicio de Auditora Interna

Guin para Auditoras de Sistemas de Informacin

Secuencia de las actividades

Esquema COBIT para el guin

Servicio de Auditora Interna

Informes de Auditoras de Sistemas de Informacin

Contenidos
del Informe
de Auditora

Servicio de Auditora Interna

Informes de Auditoras de Sistemas de Informacin

Ejemplos de Informes de Auditoras Sistemas de
Informacin
Elaboracin propia
Basado en actuaciones reales
Cumplimiento de polticas e instrucciones

Georgia Department of Audits and Accounts

Informe sistema informacin para la gestin del IVA
Informe de seguimiento

National Audit Office

Informe de calidad de la informacin Impuesto Renta
Progreso en informacin y servicios on-line

Goverment Accountabillity Office

Uso de datos adquiridos
Servicio de Auditora Interna
Desafo en el uso del correo
electrnico

Fernando Rodrguez Rivadulla

frrivadulla@correo.aeat.es
www.agenciatributaria.es

Servicio de Auditora Interna