Tema 11

SEGUIMIENTO DE UN SISTEMA DE
INFORMACIN (II). AUDITORIA

Sistemas Informativos de Gestin

Curso 2014/2015

ESQUEMA
Definiciones de Auditora informtica
Causas de Auditora Informtica
Objetivos de la Auditora Informtica
El auditor y el departamento de auditora informtica
Tipos de auditora informtica
Metodologa para la realizacin de una auditora informtica
Herramientas, tcnicas y normas para la auditora informtica

Sistemas Informativos de Gestin

Curso 2014/2015

DEFINICIONES DE AUDITORA INFORMTICA

La revisin, verificacin y evaluacin de un

conjunto de mtodos, tcnicas y herramientas de
los sistemas de informacin de una organizacin,
de forma discontinua y a peticin de su Direccin
y con el fin de mejorar su rentabilidad, seguridad
y eficacia

Sistemas Informativos de Gestin

Curso 2014/2015

CAUSAS DE LA AUDITORA INFORMTICA

Desorganizacin
Insatisfaccin de usuarios
Debilidades econmico- financieras
Inseguridad de los Sistemas de Informacin
Cumplimiento de la legalidad

Sistemas Informativos de Gestin

Curso 2014/2015

OBJETIVOS DE LA AUDITORA INFORMTICA

Objetivos fundamentales:
Mantenimiento de la operatividad
La mejora de la eficiencia, la seguridad y la
rentabilidad del SI sobre el que acta.

Beneficios para una entidad que ha sido

auditada:
Refuerza la imagen pblica
Otorga confianza en los usuarios sobre la
seguridad y control de los servicios de T.I
Optimiza las relaciones internas

Reduce los costos de la mala calidad

Proporciona un balance de los riesgos en TI
Realiza un control de la inversin en TI
5

Sistemas Informativos de Gestin

Curso 2014/2015

EL AUDITOR INFORMTICO
El auditor observa, juzga y recomienda.
Debe ser independiente, con buena preparacin,
terica y prctica.
Cualificacin de auditor:
Educacin
Experiencia
Habilidad para la comunicacin
Entrenamiento especfico en S.I

Sistemas Informativos de Gestin

Curso 2014/2015

EL AUDITOR INFORMTICO
Qu debe hacer el auditor?
Recomendar
Ser independiente, objetivo
Ser competente en A.I
Diagnosticar en base a verificaciones
Actualizarse

Qu no debe hacer el auditor?

Obligar o amenazar
Actuar en beneficio propio
Diagnosticar en base a suposiciones
Dejar obsoletos sus conocimientos

Sistemas Informativos de Gestin

Curso 2014/2015

EL DEPARTAMENTO DE AUDITORIA INFORMTICA

No debe depender del Responsable de
Informtica ni de ninguna de sus reas, y
tampoco del Administrador de Seguridad.
Podra depender de la Direccin General o del
Director de Auditora General
La organizacin tipo de la A.I deber contemplar
los siguientes principios:
Su localizacin puede estar ligada a la localizacin
de la auditora interna
Debe ser independiente de auditora interna

Sistemas Informativos de Gestin

Curso 2014/2015

TIPOS DE AUDITORIA
Tipos de auditora en general:
De gestin
Operacional
Financiera
Contable
Organizativa
De Calidad
Informtica

Sistemas Informativos de Gestin

Curso 2014/2015

TIPOS DE AUDITORIA INFORMTICA

Segn reas a considerar
reas generales
reas especficas
Segn los realizadores

Interna
Externa
Mixta
Segn el mbito de aplicacin
De cifras
De procedimientos
De gestin
Segn la especificidad
De cumplimiento de controles
De concienciacin de la Direccin y los usuarios
De cumplimiento de la legislacin vigente
De remuneracin de los RRHH del departamento de S.I.
10

Sistemas Informativos de Gestin

Curso 2014/2015

TIPOS DE AUDITORIA INFORMTICA

Segn reas a considerar

reas generales
Direccin de informtica
Usuarios
Interna

Seguridad (actividades generales)

reas especficas
Explotacin
Desarrollo

Sistemas con sistemas operativos (SW bsico y de

procesos)
Comunicaciones

Seguridad fsica y lgica

11

Sistemas Informativos de Gestin

Curso 2014/2015

TIPOS DE AUDITORIA INFORMTICA

Segn los realizadores

Interna
Por personas de la empresa

Ventaja: Los responsables pertenecen a la propia

empresa
Inconveniente: Falta de objetividad

Externa

Se realiza por personas ajenas a la empresa

Ventaja: Objetividad

Inconvenientes:
Alejamiento de la problemtica de la empresa
Mayores costes
Mixta
Equipo mixto de auditores internos y externos
12

Sistemas Informativos de Gestin

Curso 2014/2015

TIPOS DE AUDITORIA INFORMTICA

Segn el mbito de aplicacin

De cifras
Control de entrada de datos

Control de tratamiento de datos

Control de salidas de datos

De procedimientos

Adecuacin de los mtodos utilizados

Adecuacin de la documentacin

Adecuacin de la normativa aplicada

De gestin

13

Sistemas Informativos de Gestin

Curso 2014/2015

TIPOS DE AUDITORIA INFORMTICA

Segn la especificidad

De cumplimiento de controles
De concienciacin de la Direccin y los usuarios
De cumplimiento de la legislacin vigente
De remuneracin de los RRHH del departamento de
S.I.

14

Sistemas Informativos de Gestin

Curso 2014/2015

METODOLOGA PARA LA REALIZACIN DE UNA A.I.

Definicin del mbito y objetivos
Ser necesario un acuerdo entre auditores y clientes
Definir las excepciones (lo que no ser auditado)
Fijar interlocutores

Estudio previo donde se examinar:

El entorno organizativo
El entorno operativo
Entorno tcnico

Determinacin de recursos (humanos y materiales)

Elaboracin del plan (plan de trabajo,
cronograma)
Realizacin (transparencias 16 y 17)
Elaboracin del informe final (transparencia 18)
15

Sistemas Informativos de Gestin

Curso 2014/2015

REALIZACIN
Construccin del equipo de trabajo
Presentacin del proyecto de auditora a los
implicados
Preparacin de la documentacin de trabajo
(cuestionarios)
Captura de informacin (entrevistas, simulaciones,
muestreos)
Evaluacin y diagnstico (anlisis de desviaciones)
Informe final

Lo veremos en detalle

16

Sistemas Informativos de Gestin

Curso 2014/2015

ENTREVISTAS Y CUESTIONARIOS

ENTREVISTA
Peticin de documentacin
Entrevista general
Entrevista planificada, buscando
finalidades concretas

CUESTIONARIO
Check list
De rango (de 1 a 5)
Binarios (Si /No)

17

Sistemas Informativos de Gestin

Curso 2014/2015

ELABORACIN DEL INFORME FINAL

En forma de documento
Tres partes:

Preparacin/ planificacin
Situacin actual y diagnstico

Recomendaciones
Habr otros documentos adems del informe
final
Informes parciales
Borradores
Papeles de trabajo

18

Sistemas Informativos de Gestin

Curso 2014/2015

UNAS REFERENCIAS CUANTITATIVAS

La cifra global del sistema informtico en

cuanto a costes no debe superar el 1,5%
de la cifra de ventas.
El coste de personal informtico no debe
superar el 19% del coste total del S.I.

19

Sistemas Informativos de Gestin

Curso 2014/2015