Ejecucin de una Auditoria de Sistemas de Informacin

1. Definicin

La auditora de SI, auditora informtica o auditora de sistemas es un

tipo de auditora consistente en el examen de los sistemas de
informacin y de los centros de proceso de datos, instalaciones y
unidades informticas de las organizaciones, con objeto de facilitar la
consecucin de los objetivos que persiguen, tanto los del rea
informtica como, primordialmente los del conjunto de la organizacin.
Verificar la calidad de los sistemas de informacin de la organizacin y
proponer mejoras de los mismos, coherentes con el proyecto de calidad
adoptado por la organizacin (cumplimiento de normas de calidad o
modelo de excelencia en gestin).

La auditora de sistemas de informacin persigue propiciar con sus

actuaciones:

El establecimiento y mantenimiento de sistemas de gestin de la

seguridad.

La reduccin de los riesgos inherentes a la utilizacin de los SI.

El incremento de la confianza de los usuarios internos y externos

en los sistemas de informacin.

Comprobar el cumplimiento de los requerimientos de negocio de

la informacin, es decir las propiedades que la informacin debe
tener para optimizar su utilizacin por la organizacin.

Analizar la gestin de los riesgos asociados a los sistemas de

informacin, proponiendo la adopcin de medidas que mejoren el
sistema de anlisis y gestin de los riesgos informticos, o que
conduzcan a que los riesgos sean mitigados, eliminados,
compartidos o aceptados por la organizacin.
Comprobar e impulsar la seguridad de los sistemas de
informacin.
2. Normas, Metodologa, Legislaciones Aplicable

Normas
Emitidas por el Consejo Normativo de la Asociacin de Auditora y
Control de Sistemas de Informacin ISACA.

Ttulo de auditora

Responsabilidad, autoridad y rendimiento de cuentas

La responsabilidad, la autoridad y el rendimiento de
cuentas abarcados por la funcin de auditora de los
sistemas de informacin se documentarn de la manera
apropiada en un ttulo de auditora carta de contratacin.

Independencia

Independencia profesional
En todas las cuestiones relacionadas con la auditora, el
auditor de sistemas de informacin deber ser
independiente de la organizacin auditada tanto en actitud
como en apariencia.

Relacin organizativa
La funcin de auditora de los sistemas de informacin
deber ser lo suficientemente independiente del rea que
se est auditando para permitir completar de manera
objetiva la auditora.

tica y normas profesionales

Cdigo de tica Profesional

El auditor de sistemas de informacin deber acatar el
Cdigo de tica Profesional de la Asociacin de Auditora y
Control de Sistemas de Informacin.

Atencin profesional correspondiente

 En todos los aspectos del trabajo del auditor de sistemas
de informacin, se deber ejercer la atencin profesional
correspondiente y el cumplimiento de las normas aplicables
de auditora profesional.

Idoneidad

Habilidades y conocimientos
El auditor de sistemas de informacin debe ser
tcnicamente idneo, y tener las habilidades y los
conocimientos necesarios para realizar el trabajo como
auditor.

Educacin profesional contina

El auditor de sistemas de informacin deber mantener la
idoneidad tcnica por medio de la educacin profesional
continua correspondiente.

Planificacin

Planificacin de la auditora

El auditor de sistemas de informacin deber planificar el

trabajo de auditora de los sistemas de informacin para
satisfacer los objetivos de la auditora y para cumplir con
las normas aplicables de auditora profesional.

Ejecucin del trabajo de auditora

Supervisin
El personal de auditora de los sistemas de informacin
debe recibir la supervisin apropiada para proporcionar la
garanta de que se cumpla con los objetivos de la auditora
y que se satisfagan las normas aplicables de auditora
profesional.

Evidencia
Durante el transcurso de una auditora, el auditor de
sistemas de informacin deber obtener evidencia
 suficiente, confiable, relevante y til para lograr de manera
eficaz los objetivos de la auditora. Los hallazgos y
conclusiones de la auditora se debern apoyar por medio
de un anlisis e interpretacin apropiados de dicha
evidencia.

Informes

Contenido y formato de los informes

En el momento de completar el trabajo de auditora, el
auditor de sistemas de informacin deber proporcionar un
informe, de formato apropiado, a los destinatarios en
cuestin. El informe de auditora deber enunciar el
alcance, los objetivos, el perodo de cobertura y la
naturaleza y amplitud del trabajo de auditora realizado. El
informe deber identificar la organizacin, los destinatarios
en cuestin y cualquier restriccin con respecto a su
circulacin. El informe deber enunciar los hallazgos, las
conclusiones y las recomendaciones, y cualquier reserva o
consideracin que tuviera el auditor con respecto a la
auditora.

Actividades de seguimiento

Seguimiento

El auditor de sistemas de informacin deber solicitar y

evaluar la informacin apropiada con respecto a hallazgos,
conclusiones y recomendaciones relevantes anteriores
para determinar si se han implementado las acciones
apropiadas de manera oportuna

Metodologa

Qu es la metodologa de Auditoria de SI?

Un camino estructurado de forma lgica para asegurar el

xito de proyectos de auditora de informtica.
 Un grupo de etapas que pueden adaptarse a empresas
pequeas, medianas y grandes de cualquier giro para
planear y desarrollar proyectos de auditora en informtica.

Las metodologas de auditora de SI son de tipo

cualitativo/subjetivo. Se puede decir que son subjetivas por
excelencia. Estn basadas en profesionales de gran nivel
de experiencia y formacin, capaces de dictar
recomendaciones tcnicas, operativas y jurdicas, que
exigen en gran profesionalidad y formacin continua.

Solo existen dos tipos de metodologas para la auditoria de

SI
Controles Generales.- Son el producto estndar de
los auditores profesionales. El objetivo aqu es dar
una opinin sobre la fiabilidad de los datos del
computador para la auditora financiera, cuyo
resultado forma parte del informe de auditora, en
donde se hacen notar las vulnerabilidades
encontradas.

Metodologas de los auditores internos.- Estn

formuladas por recomendaciones de plan de trabajo
y de todo el proceso que se debe seguir. Tambin se
define el objetivo de la misma, que habr que
describirlo en el memorando de apertura al auditado.
De la misma forma se describe en forma de
cuestionarios genricos, con una orientacin de los
controles a revisar. El auditor interno debe crear sus
metodologas necesarias para auditar los distintos
aspectos o reas en el plan auditor.

Legislaciones Aplicable

Ley Orgnica de Proteccin de Datos de Carcter Personal

(LOPD)
 Esta ley se complementa con el reglamento estipulado en el Real
Decreto RD 1720/2007. El objetivo de esta Ley es garantizar y
proteger, en lo concerniente al tratamiento de los datos
personales (automatizados o no), las libertades pblicas y los
derechos fundamentales de las personas fsicas y, especialmente,
de su honor e intimidad personal y familiar.

Los derechos recogidos en la LOPD son:

Derecho de informacin: Cuando alguien proporciona

sus datos debe ser informado de que van a ser
almacenados.

Derecho de acceso, cancelacin, rectificacin y

oposicin: La persona puede ver la informacin que se
dispone de l, puede cambiar esos datos para que sean
correctos y exactos, cancelar la informacin que se
almacene de l y oponerse a que se almacene.

Ley de Servicios de la Sociedad de la Informacin y

Comercio Electrnico (LSSI)

Esta Ley se encarga de regular las obligaciones de los

prestadores de servicios y los servicios que prestan. Entre las
obligaciones que estipula la Ley estn:

Los prestadores de servicios deben facilitar sus datos de

contacto.

Deben colaborar con las autoridades, reteniendo los datos

de conexin y trfico durante 12 meses.

Los que albergan datos proporcionados por un cliente, no

sern responsables por la informacin almacenada a
peticin del destinatario, siempre que no tengan
conocimiento efectivo de que la actividad o la informacin
almacenada es ilcita o de que lesiona bienes o derechos
de un tercero susceptibles de indemnizacin, o Si lo tienen,
 acten con diligencia para retirar los datos o hacer
imposible el acceso a ellos.

Cuando transmitan informacin de terceros, los proveedores de

servicio no tendrn responsabilidad al respecto si:

No modifican la informacin.

Permiten el acceso a ella slo a los destinatarios

autorizados.

Actualizan correctamente la informacin.

No utilizan su posicin con el fin de obtener datos sobre la
utilizacin de la informacin

Retiran la informacin que hayan almacenado o hacen

imposible el acceso a ella, en cuanto sepan que ha sido
retirada del lugar de la red en que se encontraba, o que un
tribunal u rgano administrativo competente ha ordenado
retirarla o impedir que se acceda a ella.

Ley de Auditora de Cuentas

La auditora de cuentas se configura en esta Ley como la

actividad que, mediante la utilizacin de determinadas tcnicas de
revisin, tiene por objeto la emisin de un informe acerca de la
fiabilidad de los documentos contables auditados; no limitndose,
pues, a la mera comprobacin de que los saldos que figuran en
sus anotaciones contables concuerdan con los ofrecidos en el
balance y en la cuenta de resultados, ya que las tcnicas de
revisin y verificacin aplicadas permiten, con un alto grado de
certeza y sin la necesidad de rehacer el proceso contable en su
totalidad, dar una opinin responsable sobre la contabilidad en su
conjunto y, adems, sobre otras circunstancias que, afectando a
la vida de la empresa, no estuvieran recogidas en dicho proceso.

Ley de Propiedad Intelectual

La propiedad intelectual de una obra literaria, artstica o cientfica
corresponde al autor y le da la plena disposicin y el derecho
 exclusivo a la explotacin de la obra. Las obras pueden estar
expresadas en cualquier medio o soporte, tangible o intangible,
actualmente conocido o que se invente en el futuro como:

Los libros, folletos, impresos, epistolarios, escritos,

discursos y alocuciones, conferencias, informes forenses,
etc.
Los proyectos, planos, maquetas y diseos de obras
arquitectnicas y de ingeniera.

Los grficos, mapas y diseos relativos a la topografa, la

geografa y, en general, a la ciencia.

Al amparo de esta Ley, las organizaciones protegen su

conocimiento y las obliga a respetar el de las dems. El otro punto
relevante en el mbito de la seguridad de la informacin es la
obligacin de contar nicamente con software original (propietario
o libre), ya que la utilizacin de software sin licencia sera una
infraccin de la Ley.

Ley de Telecomunicaciones

El objeto de esta ley es la regulacin de las telecomunicaciones.

Entre los objetivos de esta Ley estn:

Fomentar la competencia.

Garantizar el cumplimiento de las obligaciones de servicio

pblico en la explotacin de redes y la prestacin de
servicios de comunicaciones electrnicas.

Promover el desarrollo del sector de las

telecomunicaciones.

Hacer posible el uso eficaz de los recursos limitados de

telecomunicaciones.

Defender los intereses de los usuarios.

 Fomentar, en la medida de lo posible, la neutralidad
tecnolgica en la regulacin.

Promover el desarrollo de la industria de productos y

servicios de telecomunicaciones.

Ley de Firma Electrnica

Esta Ley regula la firma electrnica, su eficacia jurdica y la

prestacin de servicios de certificacin.
La firma electrnica es el conjunto de datos en forma electrnica,
consignados junto a otros o asociados con ellos, que pueden ser
utilizados como medio de identificacin del firmante.
La firma electrnica reconocida tendr, respecto de los datos
consignados en forma electrnica, el mismo valor que la firma
manuscrita en relacin con los consignados en papel, por lo que
tanto su generacin como su utilizacin deben ser
cuidadosamente controladas para evitar problemas.

3. Clasificacin de Auditoria

Por la procedencia del auditor

Se refiere a la forma en que se realiza este tipo de trabajo y

tambin a como se establece la relacin laboral en las empresas
donde se llevara cabo la auditoria. Se divide en auditoria interna y
externa.

Auditoria externa: el objetivo fundamental es el de

examinar y evaluar una determinada realidad por personal
externo al ente auditado, para emitir una opinin
independiente sobre el resultado de las operaciones y la
validez tcnica del sistema de control que est operando
en el rea auditada.

Auditoria interna: Es una funcin de control al servicio de

la alta direccin empresarial. El auditor interno no ejerce
autoridad sobre quienes toman decisiones o desarrollan el
 trabajo operativo, no revela en ningn caso la
responsabilidad de otras personas en la organizacin. El
objetivo final es contar con un dictamen interno sobre las
actividades de toda la empresa, que permita diagnosticar la
actuacin administrativa, operacional y funcional de
empleados y funcionarios de las reas que se auditan.

Por su rea de aplicacin

Auditora financiera: Tiene como objeto el estudio de un

sistema contable y los correspondientes estados
financieros, con miras a emitir opinin independiente sobre
la razonabilidad financiera mostrada en los estados
financieros del ente auditado.

Auditoria administrativa: Evala el adecuado

cumplimiento de las funciones, operaciones y actividades
de la empresa principalmente en el aspecto administrativo.
Es la revisin sistemtica y exhaustiva que se realiza en la
actividad administrativa de una empresa, en cuanto a su
organizacin, las relaciones entre sus integrantes y el
cumplimiento de las funciones y actividades que regulan
sus operaciones.

Auditoria operacional: Tiene como objeto de estudio el

proceso administrativo y las operaciones de las
organizaciones, con miras a emitir opinin sobre la
habilidad de la gerencia para manejar el proceso
administrativo y el grado de economicidad, eficiencia y
efectividad de las operaciones del ente auditado.

Auditora integral: La auditora integral est dada por el

desarrollo integrado de la de auditora financiera,
operacional y legal. Tiene como objeto de estudio los
respectivos campos de las finanzas, la administracin y el
derecho, en relacin con su aplicacin a las operaciones
 econmicas, de los entes auditados. Tiene como objetivo
emitir una opinin independiente sobre la aplicacin de las
normas contables, administrativas y legales de las
operaciones econmicas con base en los parmetros de
economicidad, eficiencia y efectividad.
En esta auditoria se conjuga la participacin de muchos
profesionales de distintas especialidades, quienes
aparentemente no tienen relacin entre s por lo diferente
de sus reas de actuacin, pero que al conjuntar sus
trabajos contribuyen en gran medida a elevar los alcances,
la profundidad y eficacia de la evaluacin de todas las
reas de una misma empresa.

Auditoria gubernamental: Es la revisin exhaustiva,

sistemtica y concreta que se realiza a todas las
actividades y operaciones de una entidad gubernamental.
Esta evaluacin se ejecuta con el fin de evaluar el correcto
desarrollo de las funciones de todas las reas y unidades
administrativas de dichas entidades, as como los mtodos
y procedimientos que regulan las actividades necesarias
para cumplir con os objetivos gubernamentales.

4. Programas de Auditoria
5. Frases Clebres en Sistema de Informacin

Una imagen vale ms que mil palabras. Pero ocupa mucha

memoria!.

Evite los virus. Hierva la computadora antes de usar.

Mi Sistema Operativo es multitarea: acaba con mi paciencia y mis

nervios de modo simultneo.

Quin demonios es el General Failure y qu hace leyendo mi

disco duro?

Los README son para cobardes. Se valiente!. Ejecuta!.

Cambio Pentium por calculadora que sepa dividir.

 No he perdido la cabeza, tengo la copia de seguridad en algn
sitio.

Hardware: La parte de un sistema informtico que se puede

patear y/o pegar.

Slo cuando falle todo lo dems, lee las instrucciones.

Presiona cualquier tecla para continuar, menos esa, esa, esa, esa
y esa de ah. NO, esa tampoco.

Hardware: lo que golpeas. Software: la causa.

Hardware: recibiendo maltratos por culpa del software desde

tiempos inmemorables.

Una vida? Genial! Dnde puedo descargarme una?

Alerta!. Error de Usuario. Favor reemplazar al usuario y presionar

cualquier tecla para continuar.

La caja deca: Requiere Windows 95 o mejor. As que instal

Linux.

No soy antisocial!!; simplemente no tengo una interfaz amigable.

9. Metodologa de Auditoria

Una Metodologa de Auditoria es un conjunto de procedimientos

documentados de auditoria diseados para alcanzar los objetivos de
auditoria planeados. Sus componentes son una declaracin del alcance,
una declaracin de los objetivos de la auditoria y una declaracin de los
programas de auditoria.
La metodologa de auditoria debera ser establecida y aprobada por la
gerencia de auditoria para lograr consistencia en el enfoque de auditoria.
Esta metodologa debera de ser formalizada y comunicada a todo el
personal de auditoria.
10. Fases de una Auditoria Tpica

Sujeto de la auditoria
Identificar el rea que ser auditada.

Objetivo de la auditoria
Identificar el propsito de la auditoria. Por ejemplo, un objetivo
podra ser determinar que los cambios al cdigo fuente de los
programas se realicen en un ambiente bien definido y controlado.

Alcance de la auditoria
Identificar los sistemas especficos, la funcin o unidad de la
organizacin a ser incluida en la revisin.

Planeacin de Auditoria Preliminar o Preauditoria

Identificar las habilidades y recursos tcnicos que se

necesitan.

Identificar las fuentes de informacin para probarlas o

revisarlas tales como organigramas funcionales, polticas,
estndares, procedimientos y documentos de trabajo de
auditoras previas.

Identificar la ubicacin o las instalaciones que sern

auditadas.

Procedimientos de Auditoria y pasos para la recopilacin de

datos

Identificar y seleccionar el mtodo de auditoria para verificar

y probar los controles.

Identificar una lista de personas para entrevistar

Identificar y obtener polticas, estndares, y directrices de los

departamentos para su revisin.

Desarrollar herramientas y metodologas de auditoria para

comprobar y verificar los controles.

Procedimientos para evaluar la prueba o revisar los resultados

 Especifica de la organizacin

Procedimientos de comunicacin con la gerencia

Especifica de la organizacin

Elaboracin del informe de auditoria

Identificar los procedimientos de la revisin de seguimiento.

Identificar los procedimientos para evaluar/probar la

eficiencia y efectividad operativa.

Identificar los procedimientos para probar los controles.

Revisar y evaluar la correccin de los documentos, las

polticas y los procedimientos.

14. Riesgo de Auditoria

Es el riesgo que tiene un auditor como consecuencia de no haber

detectado durante la revisin practicada las fallas o irregularidades que,
al ser conocidas, le hubieran hecho modificar el dictamen del informe y
las recomendaciones asociadas.
La auditora debe ser planeada y para ello es imprescindible una debida
evaluacin y categorizacin de riesgos para priorizar los casos asignar
recursos y aplicar los procedimientos de auditora ms convenientes.

15. Enfoque Basado en Riesgos

La auditora con un enfoque basado en riesgos trata sobre la

identificacin de los riesgos relevantes para alcanzar los objetivos
y determinar actividades de control.

Una recopilacin, acumulacin y evaluacin de evidencia sobre

informacin de una entidad, para determinar e informar el grado
de cumplimiento entre la informacin y los criterios establecidos.

Un proceso sistemtico para obtener y evaluar riesgos de manera

objetiva, las evidencias relacionadas con informes sobre
actividades econmicas y otras situaciones que tienen una
relacin directa con las actividades que se desarrollan en una
 entidad pblica o privada. El fin del proceso consiste en
determinar el grado de precisin del contenido informativo con las
evidencias que le dieron origen, as como determinar si dichos
informes se han elaborado observando principios establecidos
para el caso.

16. Tipos de Riesgo

Riesgo inherente: aquel que es propio de la actividad del ente o

sistema, su naturaleza, estructura, actividad, magnitud, etc.
Est fuera de poder ser controlado por el auditor como para poder
eliminarlo.

Riesgo de Control: son los que resultan de un sistema de control

deficiente, incapaz de evitar o detectar fallas o irregularidades en
forma oportuna.

Est fuera de poder ser controlado por el auditor como para poder
eliminarlo, pero sus recomendaciones deben contribuir a
reducirlo.

Riesgo de Deteccin: son los que resultan de un deficiente

planeamiento y/o ejecucin de la auditora, sea tanto en la
evaluacin y categorizacin de los riesgos, como en la seleccin
y/o aplicacin de los procedimientos de auditora.
Es del mbito y tarea exclusiva del auditor.