AUDITORIA TECNOLOGIA INFORMATICA

FERNANDO RADA BARONA

Estrategia para la Auditoría de Sistemas de Información

Necesidad de definir una estrategia

Las TIC han acompañado la automatización y el crecimiento
La información y los recursos TIC como activos de las
organizaciones
Dependencia de las TIC

Implicación de la Dirección
Incremento vulnerabilidad de los sistemas
Dar respuesta a la dependencia de la información
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados
Estrategia para la Auditoría de Sistemas de Información

Objetivos de las Administraciones Públicas:

Cumplimiento de la legalidad vigente
Eficacia
Eficiencia

Auditoría Sistemas de Información >

Supervisión de los riesgos de los sistemas de información
que pudieran afectar al cumplimiento de la legalidad
vigente, la eficiencia y la eficacia de los procesos
soportados por los sistemas de información, en especial
los de la administración electrónica.
 Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de
información

Protección de datos de carácter personal

Control de accesos
Administración Electrónica
Equipamiento informático
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotación de sistemas de información
Contratación bienes y servicios TIC
Técnica de sistemas
Continuidad del servicio TIC
Acreditación de confianza
 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información
Acciones proactivas
Participación en el ciclo de control
Asegurar existencia de controles internos razonables y adecuados
Divulgar y fomentar las buenas prácticas
Fomentar la documentación de los sistemas y procedimientos
Asesorar en la implementación de pistas de auditoría
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestión recursos
 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información

Auditoría forense
Desafío ante delitos informáticos, garantizando la evidencia
digital que se presentase en un proceso judicial.
Recuperar información
Determinar cusa y origen de una situación
Identificar autor(es) acciones ilícitas
Identificar uso inapropiado de los medios de la Organización
 Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas de

información

Apoyo en auditorías externas

Supervisión de auditores externos.

Apoyo a otras áreas de Auditoría

Asistencia para la obtención, estructuración y análisis de la
información.
 Auditor Informático

Áreas de Conocimiento (certificables)

Técnica o metodología de auditoría informática

Gestión, planificación y organización de las TIC
Infraestructura técnica, prácticas operativas y protección de
activos
Recuperación de desastres y continuidad de la actividad
Desarrollo, adquisición, implementación y mantenimiento de
sistemas
Evaluación de procesos y gestión de riesgos
 Planificación de Actuaciones
Qué auditar
Cumplimiento de requerimientos legales
Sensibilidad de la organización a riesgos / resultado de análisis
Resultado de auditorías anteriores
Condicionantes de la Organización
Cuándo auditar
Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la dirección
Elaborar el documento de planificación periódica de la unidad
de auditoría
Revisión periódica del plan inicial para incorporar actuaciones
no previstas
Cómo auditar
Proceso para planificar las actuaciones individuales
 AUDITORÍA DE SISTEMAS DE INFORMACIÓN

AUDITORÍA
Proceso sistemático de obtención y evaluación
objetiva acerca de aseveraciones efectuadas por
terceros referentes a hechos y eventos de naturaleza
económica, para testimoniar el grado de
correspondencia entre tales afirmaciones y un
conjunto de criterios convencionales, comunicando
los resultados obtenidos a los destinatarios y
usuarios interesados
American Accounting Association
 AUDITORÍA DE SISTEMAS DE INFORMACIÓN

la AUDITORIA de SI es el
PROCESO
de RECOGER, AGRUPAR y EVALUAR
EVIDENCIAS
para
DETERMINAR
si un SISTEMA INFORMATIZADO
SALVAGUARDA los ACTIVOS,
mantiene la INTEGRIDAD de los DATOS,
lleva a cabo
los FINES de la ORGANIZACIÓN
y UTILIZA EFICIENTEMENTE los RECURSOS
 QUE ES LA AUDITORIA TECNOLOGIA
INFORMATICA

Conjunto de procedimientos y técnicas

para evaluar total o parcialmente los
recursos tecnológicos del negocio, con el
objetivo de salvaguardar los activos y
recursos, garantizar el desarrollo
eficiente de sus actividades acorde con
los objetivos estratégicos, con el fin de
obtener la eficacia exigida en el marco
de la organización.
POR QUE LA AUDITORIA T/I
ASPECTOS RELAVENTES

☺ Cambio cultural del concepto de D.P. Al

concepto de S.I.
☺ La tecnología de la informática
☺ Desarrollo de la informática
☺ Planeación estratégica de sistemas
☺ Herramientas de calidad y productividad
del software
☺ Control preventivo vs control correctivo
☺ Valores morales y participación ética
☺ Auditoria - consultoría
☺ Independencia y confianza
PORQUE LA AUDITORIA T/I

EVOLUCIÓN DE LA INFORMATICA EN LAS EMPRESAS.

☺ Inversiones cada vez mas cuantiosas en informática.

☺ Crecimiento permanente y frecuentemente desordenado.
☺ Paso de soporte operativo a soporte cada vez mas
Gerencial.
☺ Creciente dependencia.
☺ Mayores conflictos entre usuarios y la Gerencia de
informática.
☺ Dispersión de la informática por múltiples centro
autónomos de procesamiento.
☺ La intervención activa de organización y métodos.
PROBLEMAS DE LA AUDITORIA EN T/I

Falta de documentación.
Escasez de personal idóneo.
Planeación inadecuada. Falta de apoyo y
compromiso de la alta Gerencia.
Técnicas y herramientas inadecuadas.
Capacitación vs tecnología.
Problemas, relaciones y comportamientos.
El control es visto como un obstáculo.
El control se ejerce como vigilancia, poder
desconfianza.
 METAS DE LA AUDITORIA T/I

☺ Determinar la adherencia de los servicios informáticos con las

políticas, objetivos, metas y normas de la organización.
☺ Evaluar la gestión de informática y tecnología por el
desempeño y calidad de los servicios prestados.
☺ Evaluar la planeación, dirección y organización del área de
informática.
☺ Evaluar la efectiva utilización de los recursos informáticos.
☺ Evaluar que exista una efectiva función de desarrollo.
☺ Evaluar que exista eficiencia en el mantenimiento de los
aplicativos.
☺ Evaluar que exista una función de control de calidad.
☺ Evaluar que exista una función de control técnico.
☺ Evaluar que exista una adecuada documentación y estándares.
 AUDITORIA T/I UN CAMBIO GENERACIONAL

☺ Auditoria aplicaciones producción

☺ Auditoria centro de procesamiento de datos.
☺ Auditoria al desarrollo de sistemas de
información.
☺ Auditoria plan de contingencias.
☺ Auditoria adquisición de software.
☺ Auditoria a las comunicaciones -telematica.
☺ Auditoria bases de datos.
☺ Auditoria seguridad física y seguridad lógica.
☺ Auditoria aplicativos en mantenimiento.
AUDITORIA DE CAMBIO GENERACIONAL SISTEMAS

PASO TECNOLOGICO
Software.
Bases de datos.
Lenguajes de cuarta generación.
Telecomunicaciones.
Redes.
Satélites.
Criptografía
Correo electrónico.

PASO GESTION
Procesos.
Reingeniería.
Planeación estratégica
Mejoramiento continuo.
OBJETIVOS DE LA FUNCIÓN DE AUDITORIA
TECNOLOGIA INFORMATICA

OBJETIVOS GENERALES
Se establece como objetivo fundamental de
la auditoria de tecnología informática el
proporcionar a la alta gerencia una seguridad
razonable de que las aplicaciones en
producción, el desarrollo de sistema de
información, los equipos de computo y datos,
están siendo utilizados adecuadamente, que se
operan de acuerdo con los estándares de
seguridad y confiabilidad establecidos y que
están debidamente controlados para evitar
perdidas o su usos indebidos
OBJETIVOS DE LA FUNCIÓN DE AUDITORIA
TECNOLOGIA INFORMATICA

☺ Lograr que en el ambiente informático existan los controles eficientes

y efectivos a fin de proveer seguridad razonable sobre:

1. El cumplimiento de las metas y objetivos establecidos por

la Alta Gerencia en el área de informática.

2. La utilización eficiente y eficaz de los recursos de

informáticos (Humanos, Equipos y de Aplicación).

3. El cumplimiento de las normas, políticas y procedimientos que

permitan garantizar que las aplicaciones en producción, los
desarrollos de sistemas, y los equipos de sistemas, se operan de
acuerdo con los estándares de seguridad y confiabilidad
establecidos en la organización
 OBJETIVOS DE LA FUNCION DE AUDITORIA T/I

OBJETIVOS ESPECÍFICOS
☺ Revisar y evaluar las normas, políticas y procedimientos establecidos
por área de informática para el desarrollo de aplicaciones y en la operación
de los sistemas.
☺ Evaluar permanentemente la seguridad existentes en los centros de
computo, en los procesamientos de la información y sobre los programas y
archivos de datos de las Empresas.
☺ Prever situaciones de riesgos y sugerir a la Gerencia los controles
suficientes y necesarios que eviten situaciones anormales en las Empresas.
☺ Comprobar la seguridad y confiabilidad de la información,
administrativa, operativa, financiera, legal etc., desarrollada dentro de la
Empresa.
☺ Evaluar la calidad del desempeño en la conducción de las
responsabilidades asignadas para el área de la informática.
☺ Participar en el desarrollo de los sistemas de información o en su
compra, a fin de verificar la incorporación o diseño de los controles
necesarios para garantizar su operatividad en forma confiable ,eficiente y
segura.
HABILIDADES DE UN AUDITOR T/I

☺ Asesor-consultor.
☺ Comunicador.
☺ Retroalimentador.
☺ Manejador de conflictos.
☺ Gestor de iniciativas.
☺ Gestor de cambio.

LIDER
 DEFINICION DE AUDITORIA T/I

Ya analizados unos conceptos básicos,

definamos lo que es la auditoria tecnología
informática: Parte de la auditoria General,
enfocada a evaluar los recursos informaticos
de las empresa para garantizar la integridad,
confidencialidad, exactitud y seguridad de la
información para la toma de decisiones.
 OTRA DEFINICION DE AUDITORIA T/I

La Auditoria tecnología informática la podemos

definir también como un proceso de
investigación, que tiene por objeto evaluar el
sistema de control interno informático y la
información computarizada, para emitir una
opinión independiente sobre la validez técnica del
sistema de control vigente y la confiabilidad de la
información producida por el sistema. La
auditoria en ningún momento implica el diseño,
implantación y ejecución de controles. Su función
es eminente evaluativa y asesora.
 Dos enfoques de la auditoria.

El enfoque tradicional de la auditoría.

Limitado a los controles contables internos.
No se enfocaba a las actividades claves.
Sólo interesaba al personal financiero.
En la actualidad.
Los SI intervienen en todas las actividades.
El auditor moderno evalúa riesgos y
comprueba controles.
Demuestra conocimientos informáticos.
 Tipos de auditorias

Financiera Gestión

La auditoría informática es el proceso

de recoger, agrupar y evaluar
Informática
evidencias para determinar si Cumplimiento
un sistema informatizado salvaguarda
los activos, mantiene la integridad de
los datos, lleva a cabo
eficazmente los fines de la
organización y utiliza eficientemente
los recursos
 Auditoría de TI
Objetivos
 Auditoría de TI
Objetivos específicos
Evaluar la intervención de la auditoría en el desarrollo,
implementación y mantenimiento de aplicaciones.
Evaluar las políticas y criterios para la adquisición y/o
desarrollo del software.
Evaluar los riesgos y fraudes de mayor incidencia al
interior de la empresa.
Examinar la documentación y los procedimientos
existentes para determinar su actualización y
efectividad.
Constatar si el personal se encuentra capacitado
para aplicar controles y procedimientos de seguridad.
 Auditoría de TI
Objetivos específicos
Comprobar la participación de los usuarios durante
las etapas de análisis, diseño y puesta en marcha
de las diferentes aplicaciones.
Evaluar los procedimientos para asignación de
claves de acceso, modificaciones, cancelaciones, etc.
Revisar los estándares de producción y comprobar
la calidad de la información producida.
Verificar la programación de los mantenimientos a
las aplicaciones
 Auditoría de TI
Justificación
 BENEFICIOS DE LA AUDITORIA T/I

Asesoría al personal de desarrollo de sistemas, en materia de

control informático, para diseñar los controles necesarios para
garantizar la confiabilidad de los procesos
☺ Examinar y evaluar el sistema de control de las aplicaciones
en producción, garantizando confiabilidad y credibilidad de la
información suministrada para la toma de decisiones.

☺ Auxilia a los Auditores Financieros y Revisores Fiscales para

que puedan cumplir con la función de dar fe publica sobre la
razonabilidad de las cifras mostradas en los Estados Financieros
del negocio.
Asesora a la Alta Gerencia en la toma de decisiones
correspondiente al área de tecnología informática.
BENEFICIOS DE LA AUDITORIA DE SISTEMAS

Promueve el mejoramiento de la cultura de control en la

organización

Previene la ocurrencia de situaciones perjudiciales para la

organización

Genera actitud positiva hacia los controles en los responsables de

las operaciones de la empresa

Promueve la eficiencia operacional en el p.e.d.

Complementa el control que ejerce la gerencia de sistemas

Complementa los controles ejercidos por los usuarios internos y

externos del s.i.c.
AUDITORIA DE T/I

Auditoria que comprende la

evaluación de todos los aspectos de
los sistemas automatizados de
procesamiento de información,
incluyendo los procesos no
automatizados relacionados y las
interfaces entre ellos
 EFECTOS DE LA INFORMATICA EN LA
AUDITORIA

Aumento de los riesgos por la dependencia de las empresa

de sus sistemas

Incremento drásticos en p.e.d

Migración de controles al ambiente p.e.d.

Menos visibilidad de las pistas de auditoria

Segregación de funciones hombre - maquina

Nuevas funciones y recursos a auditar

 ESTÁNDARES INTERNACIONALES DE AUDITORIA
APLICABLES AUDITORIA TI

DECRETO 0302
DE 2915

NAI - Normas de
aseguramiento de
información

Auditoria y revisión Trabajos de Las Normas Control de calidad

información histórica aseguramientos internaciones trabajo de
diferentes de auditoria revisión
información histórica

Normas internacionales Normas Internacionales Normas Internacionales Normas Internacionales

de Auditoría (NlA), de Trabajos para de Trabajos de Revisión de Control de Calidad
(200 hasta el 810). Atestiguar NITA en NITR en español y ISRE (NICC) en español e
español e IASE (3000 al (2400 – 2410). ISQC
3402).

CODIGO DE ETICA PROFESIONAL DE LA CONTADURIA

 ESTÁNDARES INTERNACIONALES DE AUDITORIA
APLICABLES AUDITORIA TI

¿Qué se entiende por estándares internacionales de auditoría y aseguramiento?

Es decir que entre las Normas Internacionales de Aseguramiento, encontramos las Normas Internacionales de Auditoría cuyo
propósito es dar lineamientos o fijar guías sobre los objetivos y fundamentos por los cuales se debe regir un auditor o grupo
auditor al momento de hacer la revisión, o valga la redundancia la auditoría a los estados financieros.
En total son 36 estándares, algunos de los más importantes son:

1. NIA 200 –Objetivos globales del auditor independiente y

realización de la auditoría de conformidad con las NIA.
2. NIA 210 –Acuerdo de términos del encargo de auditoría. Principios Generales y Responsabilidad.
3. NIA 220 –Control de calidad de la auditoría de estados
financieros.
4. NIA 230 –Documentación de auditoría.
5. NIA 240 –Responsabilidades del auditor en la auditoría de
estados financieros con respecto al fraude. 9. NIA 300 –Planificación de la auditoría de
6. NIA 250 –Consideración de las disposiciones legales y estados financieros.
reglamentarias de la auditoría de estados financieros. 10. NIA 315 –Identificación y valoración de los
7. NIA 260 –Comunicación con los responsables del gobierno de riesgos de incorrección material mediante el

8.
la entidad.
NIA 265 –Comunicación de las diferencias en el control conocimiento de la entidad y de su entorno .
interno a los responsables del gobierno y a la Dirección de la 11. NIA 320 –Importancia relativa o materialidad
entidad. en la planificación y ejecución de la auditoría.
12. NIA 330 –Respuestas del auditor a los riesgos
valorados.
13. NIA 402 –Consideraciones de auditorías
relativas a una entidad que utiliza una
Evaluación de Riesgo y Respuesta a los
organización de servicios.
Riesgos Evaluados. 14. NIA 450 –Evaluación de las incorreciones
identificadas durante la realización de la
auditoría.
 ESTÁNDARES INTERNACIONALES DE AUDITORIA
APLICABLES AUDITORIA TI

¿Qué se entiende por estándares internacionales de auditoría y aseguramiento?

15. NIA 500 –Evidencia en la auditoría.

16. NIA 501 –Evidencia de auditoría –Consideraciones
específicas para determinadas áreas.
17. NIA 505 –Confirmaciones externas.
18. NIA 510 –Encargos iniciales de auditoría –Saldos de
apertura.
19. NIA 520 –Procedimientos analíticos.
20. NIA 530 –Muestreo de auditoría.
Evidencia de Auditoría
21. NIA 540 –Auditoría de estimaciones contables incluidas las
de valor razonable, y de la información relacionada con
revelar.
22. NIA 550 –Partes vinculadas.
23. NIA 560 –Hechos posteriores al cierre.
24. NIA 570 –Empresa en funcionamiento.
25. NIA 580 –Manifestaciones escritas.

26. NIA 600 –Consideraciones de estados financieros de grupos

(incluido el trabajo de los auditores de los componentes).
Uso del trabajo de otros 27. NIA 610 –Utilización del trabajo de los auditores internos.
28. NIA 620 –Utilización del trabajo de un experto del auditor.
 ESTÁNDARES INTERNACIONALES DE AUDITORIA
APLICABLES AUDITORIA TI

¿Qué se entiende por estándares internacionales de auditoría y aseguramiento?

29. NIA 700 –Formación de la opinión y emisión del

informe de auditoría sobre los estados financieros.
30. NIA 705 –Opinión modificada en el informe emitido por
un auditor independiente. Conclusiones y dictamen de
31. NIA 706 –Párrafos de énfasis y párrafos sobre otras
cuestiones en el informe emitidos por un auditor Auditoría.
independiente.
32. NIA 710 –Información comparativa –Cifras
correspondientes de períodos anteriores y estados
financieros comparativos.
33. NIA 720 –Responsabilidad del auditor con respecto a
otra información incluida en los documentos que
contienen los estados financieros auditados.
34. NIA 800 – Consideraciones Especiales –
Auditorías de Estados Financieros
Preparados de conformidad con un Marco de
Información con fines específicos.
35. NIA 805 –Consideraciones especiales –
Auditorías de un solo estado financieros o de
un elemento, cuenta o partida específicos de
Áreas especializadas un estado financiero.
36. NIA 810 –Encargos para informar sobre
estados financieros resumidos.
ESTÁNDARES INTERNACIONALES DE AUDITORIA
APLICABLES AUDITORIA TI

PROCESO DE
AUDITORIA
 SERVICIOS DE AUDITORIA DE TECNOLOGIA INFORMATICA

Asesoria en:
Diseño de controles
Medidas de seguridad
Evaluacion de:
Normas y estandares
Eficiencia y seguridad de operaciones
Planes de continuidad
Control Interno en aplicaciones
Integridad de Informacion

Cooperacion en:
Normas y estandares
Diseño de S.I
Ejecucion de Pruebas
Implementacion de Software de seguridad
Y Politicas de seguridad
 Lo mínimo necesario
1 2 3
Objetivos del Unidades de Trabajo del Servicios del
Proyecto (OP) Usuario (UTU) Aplicativo (SA)

5 4
Estándares de Modelo de Datos (MD)
Programación (EP) Cliente
Factura
Producto
Items

FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI

 EL ROL DE LA TECNOLOGÍA

Pedidos del Cliente Web enable

Ruteo
Inteligent E-Mail
e IVR-
Socios de Negocio
VRU
Fax Server PBX-ACD CTI Sistemas de
Princip
Gestión
al
Móvil

Agente Data Sistemas de

Warehouse Infromación
FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI
 PROCESO DE COMPRAS
1 2
3
Requerimiento Validacion en Internet
el sistema Internet
EDI Socios de Negocio
EDI

6
Despacha la mercancia
Correo
Electronico
11
Socio de Negocio Internet
EDI

4 7 9
5
Sistema inteligente Factura Electronica Ingreso inventarios
Elabora O.C.

Interne
t
EDI
9
8 Remision electronica
9 Causacion.
10
Banco. Tesoreria

Interne
t
EDI

FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI

 BD empleados activos

Registro empleados
Integrador

Sistema liquidación nomina

Edificio Administrativo

Sistema Financiero – Cajero Electrónico Planta de producción

Utilizando el Sistema Financiero

Pago Servicios Públicos - Compras Integrador

BD estructura salarial BD asignación turnos operaciones Integrador

Internet
EDI

Sistema Financiero – Banco

Internet Sistema información Contable

EDI Sistema de Tesorería

Integrador

FERNANDO RADA BARONA UNIVERISIDAD SANTIAGO DE CALI