Introduccin a los sistemas de

informacin y su auditora
[1.1] Cmo estudiar este tema?

[1.2] Introduccin a los sistemas de informacin y el rol de la

auditora informtica

[1.3] Definiciones de auditora informtica y de control

interno informtico

[1.4] Funciones y objetivos de la auditora informtica

[1.5] Diferencias entre control interno y auditora informtica

TEMA
 Esquema

TEMA 1 Esquema
Introduccin a los Sistemas de Informacin y su auditora

2
Auditora informtica
Rol de la Reseas Funciones y objetos de
Glosario vs.
auditora histricas la auditora informtica
Control Interno Informtico

Universidad Internacional de La Rioja (UNIR)

Auditora de la Seguridad
 Auditora de la Seguridad

Ideas clave

1.1. Cmo estudiar este tema?

Para estudiar este tema lee las Ideas clave que encontrars a continuacin y presta
especial atencin a los diferentes libros, vdeos y pginas web recomendados en los
respectivos apartados incluidos al final de este tema.

Este tema presenta una Introduccin a los sistemas de informacin y el rol de la auditora
informtica, diferencindolo del Control Interno Informtico.

1.2. Introduccin a los sistemas de informacin y el rol de la

auditora informtica

Este captulo introductorio realiza un recorrido, a travs de sus apartados, por algunos
aspectos que el alumno debe conocer para entender qu es un sistema de informacin,
la funcin de la auditora informtica en las organizaciones y su decisiva contribucin a
las TIC.

Un sistema de informacin es el conjunto de procesos, personas, datos y actividades

que procesan la informacin en una determinada empresa. Los procesos pueden ser
manuales y/o automticos

Los activos de Sistemas de Informacin

Segn International Standard Organization (ISO): Algo que tiene valor para la
organizacin (ISO/IEC 13335-1:2004). Un activo de sistemas de informacin (SI)
sera todo aquello que una entidad considera valioso por contener, procesar o generar
informacin necesaria para el negocio de la misma. Todo sistema de informacin
utilizado por la organizacin (en rgimen de propiedad, subcontratacin o pago por uso)
deber:

Salvaguardar la propiedad de la informacin. Los activos de SI asegurarn que

la propiedad de los datos sea siempre de la organizacin.

TEMA 1 Ideas clave 3 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Mantener la integridad de los datos (informacin). Los activos de SI deben

garantizar la integridad de la informacin, es decir, que la informacin no ha sido
alterada por terceros (fsicos o humanos).
Asegurar la confidencialidad de la informacin. La informacin solo es accesible y
entendible por quien tiene derechos.
Garantizar la disponibilidad de la informacin. La organizacin puede
disponer de la informacin en el momento en que la precise.
Llevar a cabo los fines de la organizacin y utilizar eficientemente los recursos.

El ltimo punto indica que los Sistemas de Informacin (SI) han de ser eficientes
(cumplir con los objetivos de la organizacin), eficaces (deben ser tiles para la mejor
utilizacin por parte de los usuarios) y econmicos (es decir, al menor coste posible)
en recursos y unidades monetarias.

De manera que todo sistema de informacin eficaz y eficiente se basa en:

Planificacin: un sistema de informacin no es un elemento aislado, sino que

convive de forma colaborativa con otros sistemas de informacin con los que
interactuar en la consecucin de los objetivos de negocio.

Las personas se interrelacionan y trabajan con otras personas y departamentos, de

igual modo los datos se estructuran y agregan otros datos, las aplicaciones interactan
entre s y los elementos hardware son parte de una infraestructura TIC
interrelacionada sobre la que se ejecutan los aplicativos.

Por tanto, tras asumir el punto anterior como cierto, el diseo, ejecucin o adquisicin
de un sistema de informacin no debe ser una decisin aislada sino formar parte de
una plan. Es decir, todo sistema de informacin, si se desea que sea eficaz y eficiente,
deber estar adecuadamente planificado.

Controles: ms adelante desarrollaremos ampliamente la definicin y tipologa de

los controles. Baste decir que un sistema de informacin eficaz y eficiente deber estar
controlado; es decir, debern existir mecanismos para medir y asegurar que el activo
de informacin lleva a cabo su cometido de una forma eficaz y eficiente.
Procedimientos: el uso de los sistemas de informacin por parte de la organizacin
deber estar descrito para asegurar su efectividad y eficacia y basarse en un marco de

TEMA 1 Ideas clave 4 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

procesos y procedimientos definido por la propia organizacin como sustento

necesario para la gestin, posibilitadora del adecuado gobierno.
Estndares: el marco de gestin indicado en el punto anterior deber basarse en los
estndares internacionales reconocidos para asegurar la interoperabilidad de la
organizacin con otras organizaciones y con el libre mercado.
Sistemas de seguridad: todo sistema de informacin organizativo debe
desenvolverse en el contexto de un marco de gestin de la seguridad que conduzca a
asegurar la integridad, confidencialidad y disponibilidad de la informacin generada,
tratada o accedida por dicho sistema de informacin

La ausencia de alguno de los elementos anteriores como base de un sistema de

informacin, especialmente en un entorno informtico, puede dar lugar a diversos
riesgos con impacto en la organizacin.

Las TIC como apoyo al plan estratgico de las empresas

El plan TIC debe dar respuesta a las necesidades del negocio expuestas en el plan
estratgico de la organizacin y ser coherente con este.

El alineamiento del plan estratgico y del plan de las TIC tiene una doble direccin en la
medida en que el negocio conforma las necesidades de sistemas de informacin y la
tecnologa posibilita medios cada vez ms eficaces y eficientes para cubrir los objetivos
de negocio, por lo que ambos planes han de retroalimentarse y estar alienados para
asegurar el adecuado gobierno de las TIC.

Si bien es necesario el alineamiento e integracin entre el plan estratgico y el plan de

TICs, as como una adecuada coordinacin entre el CIO (Chief Information Officer) y el
CEO (Chief Executive Officer) se habr de tener siempre en cuenta que la tecnologa est
al servicio del negocio, de manera que los avances tecnolgicos han de ser entendidos y
digeridos por la organizacin a travs de su plan TIC para extraer de ellos todo su
potencial y contribucin al negocio, pero sin condicionar este o hacerlo dependiente de
la tecnologa (esto que parece obvio evitar, acontece en buena parte de los casos).

Resea histrica y el rol del auditor informtico.

El crecimiento de las organizaciones y el avance tecnolgico confluyen a mediados del

siglo XX, de manera que a partir de 1950 y durante la dcada de los 60, con la aparicin

TEMA 1 Ideas clave 5 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

de ordenadores ms potentes, pequeos y econmicos, la informtica se convierte en una

herramienta muy importante en las labores de auditora financiera, ya que permite
realizar de forma rpida y precisa operaciones complejas que manualmente llevaran
mucho consumo de tiempo y personas. As, se transforma en un medio decisivo para el
anlisis y procesamiento de la informacin y en la preparacin y presentacin de los
resultados de auditora.

Se desarrolla la denominada auditora con el ordenador, a la que no se le considera

auditora informtica y no debe confundirse con ella ya que se trata nicamente de
una auditora en la que se utiliza el ordenador como herramienta del auditor
financiero.

Pero es el evolucionar tecnolgico lo que altera el soporte y medio de generacin,

tratamiento y procesamiento de la informacin.

Es decir, si al inicio de la funcin auditora los auditores trabajaban con informacin

escrita, a medida que las TIC penetran en la organizacin como un medio de desarrollo
estratgico del negocio, el soporte de la informacin se vuelve electrnico y la
informacin es generada, tratada, almacenada y procesada a travs de medios
informticos, en algunos casos de forma automtica y en otros manual.

La bsqueda de la exactitud y veracidad de la informacin nos lleva a plantearnos si a lo

largo de su ciclo de vida la informacin ha podido verse alterada por intervencin
humana o por un error de procesamiento; es decir, el auditor financiero empieza a
plantearse si la informacin que les daban los sistemas (Mainframes) eran correctos o
estaban manipulados.

La Ilustracin 1 muestra un esquema del tratamiento informtico de la informacin:

Salida
Entrada Proceso
(Informacin)

MAINFRAME

Procesamiento informtico de la informacin

TEMA 1 Ideas clave 6 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Es decir, las organizaciones han diseado e implementado o adquirido procesos

informticos (aplicativos) capaces de generar informacin de salida a partir de unos
datos de entrada: elaborar un balance contable cruzando informacin de distintas
fuentes, generar un informe contable basado en los estados de cuentas de las distintas
unidades, etc.

Por tanto, las organizaciones necesitan poner en marcha controles para asegurar la
integridad y exactitud de la informacin, pero tambin necesitarn de una auditora
independiente capaz de entender las interioridades de los procesos informticos y revisar
el correcto funcionamiento de los controles existentes.

Surge entonces la figura del auditor informtico que entenda lo que suceda en
el proceso de informacin dentro de aquellos mainframes.

Inicialmente, el auditor informtico es un perfil tcnico (analistas-programadores)

independiente que extraa informacin del sistema informtico auditado, dando soporte
a las necesidades que pudiera tener el auditor financiero, quien era el verdadero
conductor y responsable de la auditora.

Pero pronto el auditor informtico va asumiendo nuevas funciones y responsabilidades,

pasando de ser un mero soporte tcnico al servicio del auditor financiero para cubrir los
aspectos tecnolgicos de la auditora a realizar funciones de una marcada importancia
para las organizaciones, entre las que podramos destacar:

Analista programador para el auditor financiero.

Revisin de controles internos informticos generales
Revisin de controles por rea o departamento
Revisin de controles por aplicaciones
Revisin de controles de producto informtico (por ejemplo Oracle, IBM-
DB2, CISCO PIX, SAP, etc.).
Revisin de controles de sistemas de gestin de TICs (por ejemplos
estndares ISO, NIST, etc.)
Revisin de aspectos legales (en Espaa y otros pases existe la Ley Orgnica de
Proteccin de DatosLOPD)

La Auditora Informtica se desarrolla principalmente en Estados Unidos, Reino Unido

y Australia a finales de los aos 60. Concretamente, la profesin de auditora y control

TEMA 1 Ideas clave 7 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

interno de las Tecnologas de la Informacin y las Comunicaciones se constituye con la

creacin en 1969 de la EDPAA (Electronic Data Processing Auditors Association).

En 1993, el nombre de la asociacin EDPAA cambia a ISACA (Information Systems

Audit and Control Association, www.isaca.org).

En 1998, ISACA funda el ITGI (IT Governance Institute), encargado de desarrollar y

divulgar conocimientos sobre el gobierno de los sistemas de informacin.

1.3. Definicin de auditora informtica y control interno

informtico

Este apartado define los conceptos de auditora, de auditora informtica y de

control interno informtico y presenta algunos tipos de auditora.

Definicin de Auditora

Lawrence B. Sawyer (1985) (Sawyers Internal Auditing: The Practice of Modern Internal
Auditing) en (Sawyers Internal Auditing: The Practice of Modern Internal Auditing)
define la auditora como: Una sistemtica evaluacin de las diversas operaciones y
controles de una organizacin, para determinar si se siguen polticas y
procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos
eficientemente y si se han alcanzado los objetivos de la organizacin.

La auditora evala ajustndose a un sistema con el objetivo de determinar de

forma objetiva, basada en evidencias, el uso eficiente de los sistemas de informacin,
la conformidad a una norma, etc.

Los resultados de una auditora han de estar basados en evidencias

El auditor debe obtener evidencia suficiente y completa, mediante la aplicacin de

procedimientos de inspeccin y procedimientos analticos, para fundamentar en ella las
conclusiones de la auditora.

TEMA 1 Ideas clave 8 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Por tanto, la evidencia del auditor ha de ser suficiente y completa:

La suficiencia mide la cantidad de la evidencia; es decir, si sustenta las

conclusiones o hay un margen de incertidumbre. Est asociada a la caracterstica de
relevancia de la evidencia.
La completitud mide la calidad de la evidencia y el grado en que est basada en
hechos demostrables. Est asociada a las caractersticas de neutralidad, autenticidad
y verificabilidad de la evidencia.

Algunos mtodos de obtencin de evidencias por parte del auditor son:

Inspecciones (documentales o fsicas).

Observacin.
Entrevistas.
Procedimientos analticos.

Las evidencias pueden ser:

Fsicas: obtenidas a travs de las inspecciones y la observacin.

Testimoniales: obtenidas en las entrevistas.
Documentales: obtenidas en inspecciones y en las entrevistas.
Analticas: obtenida a travs de clculos, comparaciones, tendencias, etc.

Tipos de auditora

Tradicionalmente han existido diversas clases de auditora en funcin de su contenido,

objeto y finalidad:

De Cumplimiento: tiene como objetivo verificar e informar sobre el cumplimiento

de las disposiciones, normativas y leyes laborales, civiles, estatutarias, tributarias,
comerciales, de seguridad social e industrial, medio ambiente, etc.
Financiera: es la revisin de los controles y los registros de contabilidad de una
empresa, cuya conclusin es un dictamen acerca de la correccin de los estados
financieros de la misma.
De Gestin: su objetivo es evaluar el grado de eficacia en el logro de los objetivos
previstos por la organizacin y la eficiencia en el uso de los recursos.

TEMA 1 Ideas clave 9 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Informtica (o de sistemas de informacin): su objetivo es evaluar el

alineamiento de las TIC con la estrategia organizativa, la eficacia de los sistemas de
informacin y el uso eficiente de los recursos.

Desde otro enfoque, podramos clasificar las auditoras como:

Interna: realizada por personal vinculado laboralmente a la institucin pero

independiente al mbito auditado, con el fin de garantizar los principios de
independencia y objetividad.
Externas: realizada por personal no vinculada a la empresa auditada.

Todas los tipos de auditora se basan en los principios de independencia, sistematicidad

y objetividad.

Definicin de control interno informtico

El control interno informtico es el conjunto de medidas (controles) que la organizacin

implementa para asegurar en el da a da el adecuado alineamiento de las TIC a los
objetivos de negocio sin perder la eficacia, eficiencia y economa. Los objetivos del
control interno informtico son:

Garantizar diariamente que todas las actividades de SI sean realizadas

cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la
Organizacin y/o Direccin de Informtica, as como los requerimientos legales.
El grado de eficacia de los SI, es decir, la medida en que los sistemas de
informacin cubren los objetivos de negocio para los que fueron diseados.
El uso eficiente de los recursos por parte de los SI: la misin del Control
Interno Informtico es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vlidas.

TEMA 1 Ideas clave 10 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Definicin de Auditora Informtica

Ron Weber (1988) ha definido la auditoria informtica como el proceso de recoger,

agrupar y evaluar evidencias para determinar si un sistema informtico:

salvaguarda los activos

mantiene la integridad de los datos
lleva a cabo los fines de la organizacin
utiliza eficientemente los recursos

Es importante mencionar que el proceso de auditora informtica no debe contemplar

nicamente los aspectos tcnicos, sino tambin los de planificacin, gestin y
organizativos.

1.4. Funciones y objetivos de la auditora informtica

El objetivo principal del auditor es el de evaluar y comprobar en determinados

momentos del tiempo los controles y procedimientos informticos ms complejos,
objeto del anlisis, desarrollando y aplicando metodologas de auditora.

La auditora informtica emplea las mismas tcnicas descritas de inspeccin y

observacin, entrevistas, documentacin y procedimientos analticos propios de
cualquier tipo de auditora, si bien:

En la auditora informtica, las tcnicas de inspeccin harn un mayor uso de

software de inspeccin capaz de automatizar la verificacin de los sistemas de
informacin que en el caso del resto de tipos de auditora.
La auditora informtica no se denomina de ese modo por este mayor uso de medios
informticos sino porque el objeto auditado son los sistemas de informacin, las TIC.

Es decir, actualmente no es posible verificar manualmente procedimientos

informatizados que resumen, calculan y clasifican datos, por lo que se deber emplear
software de auditoraCAATS (Computer Assisted Audit Techniques).

TEMA 1 Ideas clave 11 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

El auditor es responsable de:

Llevar a cabo la auditora, lo cual implica:

o Planificar la auditora.
o Llevar a cabo las distintas tareas definidas en las fases de la auditora.
o Escuchar y observar (recordemos el origen latino del trmino: aquel que tiene la
capacidad de or).
o Gestionar las desviaciones y riesgos que pudieran producirse durante la auditora.

De informar a la Direccin de la Organizacin acerca de:

o El diseo y funcionamiento de los controles implantados.

o La fiabilidad de la informacin suministrada (su competencia).
o La suficiencia de las evidencias, o la medida en que sustentan las conclusiones de
auditora

El auditor presentar a la direccin de la organizacin un informe de auditora que

contendr, entre otros puntos:

Las conclusiones de la auditora.

Las no conformidades:
o Menores y mayores
o Evidencias relacionadas

Las observaciones:
o Evidencias relacionadas

Una descripcin de la auditora:

o Objetivo.
o Alcance.
o Fases y fechas.
o Tcnicas empleadas.
o reas auditadas.
o Entrevistados.

TEMA 1 Ideas clave 12 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

La relacin de evidencias detectadas y por cada una:

o Su competencia.
o Su suficiencia.

1.5. Diferencias entre control interno y auditora informtica

La auditora informtica es la revisin independiente, sistemtica y objetiva

del control interno informtico.

La Ilustracin 2 esquematiza las diferencias entre control interno informtico y auditora

informtica:

CONTROL INTERNO
AUDITOR INFORMTICO
INFORMTICO
Personal interno. Conocimiento especializados en TIC

Semejanzas Verificacin del cumplimiento de controles internos, normativa y

procedimientos establecidos por Direccin Informtica y la Direccin general
para los SI
Anlisis de los controles en el da a
da Anlisis de un momento informtico
determinado
Informa a la Direccin del
Departamento de Informtica Informa a la direccin General de la
Organizacin
Diferencias Son personal interno
Personal interno y/o externo
El alcance de sus funciones es
nicamente sobre el Departamento de Tiene cobertura sobre todos los
Informtica componentes de los Sistemas de
Informacin de la Organizacin

La principal diferencia entre ambos radica en que:

el control interno informtico realiza su verificacin en el da a da, asegurando la

eficacia y eficiencia de los controles.
la auditora informtica lleva a cabo un anlisis con una frecuencia puntual, en un
momento determinado y con un propsito muy concreto. Es como una foto en un
momento concreto.

TEMA 1 Ideas clave 13 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Gobierno corporativo y gobierno de TI

El gobierno corporativo se define como un comportamiento empresarial tico por

parte de la Direccin y Gerencia para la creacin y entrega de los beneficios para
todas las partes interesadas (Stakeholders).

Segn IT Governance Institute (ITGI) cuya misin es asistir a los lderes empresariales
en su responsabilidad de asegurar que las TIC estn alineadas con el negocio y generan
valor, medir su rendimiento y comprobar que sus recursos son adecuadamente
administrados y sus riesgos gestionados y mitigados el gobierno de TI es una parte
integral del gobierno corporativo. Y consiste en liderar y definir las estructuras y procesos
organizativos que aseguran que las Tecnologas de la Informacin y Comunicaciones
(TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organizacin,
siendo la responsabilidad del comit de direccin y gerencia.

De ambos conceptos podemos extraer los siguientes planteamientos:

El gobierno de TI es el alineamiento estratgico de las TI con la organizacin, de tal

forma que se consigue el mximo valor de negocio por medio del desarrollo y
mantenimiento de un control y responsabilidad efectivos, la gestin de la eficiencia y
la eficacia (desempeo), as como la gestin de riesgos de TI.
El plan informtico (plan TICs) se tiene que corresponder con el plan estratgico de
la empresa, en el que el primero es un Control General de ms alto nivel tal, y como
veremos ms adelante.

Es necesario que cada organizacin administre sus recursos de TI a travs de un conjunto

estructurado de controles para asegurar la integridad, exactitud, confidencialidad y
disponibilidad que requiere para su negocio.

La ISACA (Information System Audit and Control Association) y el ITGI han

desarrollado un Marco de Objetivos de Control para Informacin y Tecnologas
Relacionadas (COBIT, en ingls: Control Objectives for Information and related
Technology) que viene a ser una gua en su actual versin es COBIT 5 de mejores
prcticas dirigida a la gestin de tecnologa de la informacin (TI).

TEMA 1 Ideas clave 14 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Directrices del gobierno de TI

El gobierno no solo persigue el logro de los objetivos del negocio (para lo cual ser
necesaria la gestin) sino que adems estos objetivos habrn de lograrse asegurando la
sostenibilidad de la organizacin o entidad, en equilibrio y cumplimiento de unos
principios de responsabilidad, tica y conducta. Ver la siguiente ilustracin.

Estructura Gobierno de TI segn ISO 38500.

Fuente: ISO

Estos principios vertebran las directrices del buen gobierno mencionadas por el estndar
internacional ISO 38500; en concreto:

Responsabilidad: todo el mundo debe comprender y asumir sus responsabilidades

en la oferta o demanda de TI. La responsabilidad sobre una accin lleva aparejada la
autoridad para su realizacin.

Estrategia: la estrategia de negocio de la organizacin tiene en cuenta las

capacidades actuales y futuras de las TI. Los planes estratgicos de TI satisfacen las
necesidades actuales y previstas derivadas de la estrategia de negocio.

Adquisicin: las adquisiciones de TI se hacen por razones vlidas, basndose en un

anlisis apropiado y continuo, con decisiones claras y transparentes. Hay un
equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto
como a largo plazo. Existe una planificacin.

TEMA 1 Ideas clave 15 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Rendimiento: la TI est dimensionada para dar soporte a la organizacin,

proporcionando los servicios con la calidad adecuada para cumplir con las
necesidades actuales y futuras. Es decir, existe una gestin de la capacidad y
continuidad de la TI para que sea resiliente, asegurando la sostenibilidad del negocio.

Conformidad: la funcin de TI cumple todas las legislaciones y normas aplicables.

Las polticas y prcticas al respecto estn claramente definidas, implementadas y
exigidas.

Conducta humana: las polticas de TI, prcticas y decisiones demuestran respecto

por la conducta humana, incluyendo las necesidades actuales y emergentes de todas
las partes involucradas.

El rol de la auditora en el gobierno de TI

La auditora informtica o de sistemas de informacin es una pieza clave

en la medicin de la eficacia de los controles puestos en marcha por la organizacin para
asegurar el cumplimiento de los objetivos del negocio, ya que es la que est mejor
posicionada para:

Recomendar prcticas a la alta direccin, con el fin de mejorar la calidad y efectividad

de las iniciativas y controles de gobierno de TI implantados.
Asegurar el cumplimiento de las iniciativas de gobierno de TI.

La auditora informtica necesitar evaluar los siguientes aspectos relacionados con el

gobierno de TI:

El alineamiento de la funcin de TI con la misin, la visin, los valores, los objetivos

y las estrategias de la organizacin.
El logro por parte de la funcin de TI de los objetivos de eficiencia y eficacia
establecidos por el negocio.
Los requisitos legales, de seguridad y los propios de la empresa.
El entorno de control diseado y puesto en marcha por la organizacin.
Los riesgos intrnsecos dentro de TI, su probabilidad de ocurrencia y su grado de
impacto en el negocio.

TEMA 1 Ideas clave 16 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Es importante destacar que recomendar e informar a la alta direccin por parte del
auditor implica:

Definir el alcance de la auditora, incluyendo reas y aspectos funcionales a cubrir.

Establecer el nivel de direccin al que se entregar el informe de auditora.
Garantizar el derecho de acceso a la informacin por parte del auditor, poniendo a su
disposicin el conjunto de informacin necesario y la colaboracin por parte de todos
los departamentos de la empresa, as como de los terceros relacionados.

TEMA 1 Ideas clave 17 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Lo + recomendado

No dejes de leer

Auditora de los estndares ISO en las TIC: una herramienta de la direccin

Fernndez, C. M. (2010). Auditora de los estndares ISO en las TIC: una herramienta
de la Direccin. Revista red de seguridad, 45.

Este artculo elaborado por D. Carlos Manuel Fernndez, Gerente de TICs de AENOR,
presenta el modelo de ISO en las TIC y el papel de la auditora interna y externa como
herramienta para la direccin.

Accede al artculo desde el aula virtual o a travs de la siguiente direccin web:

http://www.redseguridad.com/opinion/articulos/auditoria-de-los-estandares-iso-en-
las-tic-una-herramienta-de-la-direccion

No dejes de ver

Auditora informtica y modelo COBIT

Este vdeo presenta los aspectos introductorios de los sistemas de informacin y el

concepto de la auditora informtica.

Accede al vdeo desde el aula virtual o a travs de la siguiente direccin web:

http://www.youtube.com/watch?v=va8RRPmMaac

TEMA 1 Lo + recomendado 18 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

+ Informacin

A fondo

The IS Audit process

Anantha Sayana, S., CISA, y CIA (2002). The IS Audit process. ISACA Journal, 1.

Este excelente artculo concentra en su corta extensin los aspectos clave de la auditora
de sistemas de informacin con tanta completitud como concrecin y brevedad en su
exposicin.

Accede al artculo desde el aula virtual o a travs de la siguiente direccin web:

https://isaudit101.wordpress.com/chapter_i/

Enlaces relacionados

ISACA

Pgina web de la Asociacin de Auditora y Control de Sistemas de Informacin. En ella

tambin encontrars informacin sobre el ITGI, el IT Governance Institute.

Accede a la pgina desde el aula virtual o a travs de la siguiente direccin web:

http://www.isaca.org

TEMA 1 + Informacin 19 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

ISO

Pgina web de ISO (International Standards Organization).

Accede a la pgina desde el aula virtual o a travs de la siguiente direccin web:

http://www.iso.org

Bibliografa

Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniera del
software. AENOR Ediciones.

Fernndez, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. AENOR Ediciones.

Gmez, L., Fernndez P.P. (2015). Cmo implantar un SGSI segn UNE-ISO/IEC
27001:2014 y su aplicacin en el Esquema Nacional de Seguridad. AENOR Ediciones.
Guide to Using International Standards on Auditing in the Audits of Small- and
Mediumsized Entities. NY, 2007.

ISO 20000-1 para PYMES. Como implantar un sistema de gestin de servicios de

tecnologas de la informacin. Nextel y AENOR Ediciones.

ICAC (2003). Norma Tcnica de Auditora sobre la auditora de cuentas en entornos

informatizados. BOICAC n 54.

INTOSAI: Gua para las normas de control interno del sector pblico. (INTOSAI GOV
9100).

Lynne, M. y Daniel, R. TIC y cambios organizativos.

TEMA 1 + Informacin 20 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Marco para la auditora de los sistemas de informacin. 2009 ISACA Captulo Madrid.

NIST SP 800-100, Information Security Handbook.

Piattini, M., Del Peso, E. (2000). Auditora Informtica: Un enfoque prctico. Editorial
Ra-MA.

Piattini, M., Del Peso, E. y Fernndez, C.M. (Coautor). (2008). Auditora de Tecnologas
y Sistemas de Informacin, RA-MA.

Piattini, M., Hervada, F. (2007). Gobierno de las tecnologas y los sistemas de

informacin. RA-MA.

The Institute of Internal Auditors (2007). The GAIT Principles. Altamonte Springs.
GTAG 1: Information Technology Controls.

VV.AA. (2009). Marco para la auditoria de los sistemas de informacin. ISACA Madrid.

Weber, R. (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw
Hill.

TEMA 1 + Informacin 21 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

Test

1. A principios de la segunda mitad del siglo XX la informtica se convierte en una

herramienta muy importante para la auditora financiera. En este mbito, marque la
verdadera:
A. La auditora informtica es sinnima de la auditora financiera con el ordenador.
B. La auditora con el ordenador, como apoyo al auditor financiero, no es auditora
informtica.
C. La auditora informtica es la realizacin de auditoras de cualquier tipo con un
ordenador.
D. El auditor financiero y el auditor informtico no colaboran entre s.

2. En los aos 60, el auditor informtico:

A. No se le tiene en cuenta para ninguna actividad.
B. Es un analista financiero que aprende de las arquitecturas de sistemas de la
poca y realiza l mismo las auditoras.
C. Es inicialmente un analista programador que forma parte de los mainframes
que audita.
D. Es inicialmente un analista programador independiente que presta ayuda al
auditor financiero.

3. Cul de las siguientes afirmaciones no es cierta?

A. Una funcin del auditor informtico puede ser realizar revisiones del control
interno de una empresa.
B. Una funcin del auditor informtico puede ser revisar aspectos legales
directamente relacionados con la tecnologa.
C. Una funcin del auditor informtico puede ser revisar el balance contable de una
empresa.
D. Una funcin del auditor informtico puede ser revisar la instalacin de un
producto software de acuerdo a unas especificaciones.

TEMA 1 Test 22 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

4. El Gobierno de TI se puede definir como:

A. El alineamiento estratgico de las TI con la organizacin de tal forma que se
consigue el mximo valor de negocio por medio del desarrollo y mantenimiento de
un control y responsabilidad efectivas, gestin de la eficiencia y la eficacia.
B. El alineamiento estratgico de las TI con la organizacin de tal forma que se
consigue el mximo valor de negocio por medio del desarrollo y mantenimiento de
un control y responsabilidad efectivas, gestin de la eficiencia y la eficacia, as como
la gestin de riesgos de TI.
C. Consiste en liderar y definir las estructuras y procesos organizativos que
aseguran que las Tecnologas de la Informacin y Comunicaciones (TIC) de la
empresa soportan y difunden la estrategia y los objetivos de la organizacin,
mantenindose de forma autnoma al comit de direccin y gerencia.
D. Ninguna de las anteriores.

5. Es funcin del gobierno de TI:

A. Gestin de eficacia y eficiencia as como gestin de riesgos, entre otros.
B. Polticas y procedimientos, gestin de riesgos entre otros.
C. Exclusivamente gestin de eficacia y eficiencia.
D. Control y responsabilidad as como gestin de riesgos entre otros.

6. Cul de las siguientes afirmaciones es cierta?

A. El plan estratgico de la empresa se tiene que corresponder con el plan
informtico de TI. El primero se disea en funcin del segundo.
B. Las organizaciones con consideracin a las TI, tienen menor retorno de
inversin que aquellas que no lo consideran ante los mismos objetivos estratgicos,
de tal forma que con la madurez tecnolgica se llegue a un estado de mayor retorno.
C. El plan informtico de TI no se tiene que corresponder con el plan estratgico
de la empresa.
D. Ninguna afirmacin es cierta.

TEMA 1 Test 23 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

7. El rol de la Auditora en el Gobierno de TI consiste en:

A. Implantar prcticas a la alta direccin, con el fin de mejorar la calidad y
efectividad de las iniciativas del gobierno de TI implantadas y asegura el
cumplimiento de las iniciativas de gobierno de TI.
B. Asumir responsabilidades de Direccin detectando necesidades e
implantndolas como funcin de control interno dentro del departamento de TI.
C. Realizar evaluaciones y nicamente asegurar el cumplimiento de las iniciativas
de gobierno de TI.
D. Recomendar prcticas a la alta direccin, con el fin de mejorar la calidad y
efectividad de las iniciativas del gobierno de TI implantadas y asegura el
cumplimiento de las iniciativas de gobierno de TI.

8. El Comit de informtica:
A. Se encarga de hacer de interfaz entre los usuarios y los informticos. Est
compuesto por expertos en una materia y conocen muy bien el negocio/modelo de
datos que manejan.
B. Disea el plan estratgico de la compaa.
C. Elabora el Plan Director de Informtica, que se corresponde con el Plan
Estratgico. Puede ser a un ao o a dos.
D. Ninguna de las anteriores.

9. Seala la correcta en relacin a objetivos y funciones del auditor informtico:

A. Participar en las revisiones e implantaciones durante y despus del diseo,
realizacin, implantacin y explotacin de aplicaciones informticas.
B. Revisar y analizar los controles implantados en los sistemas de informacin para
verificar su adecuacin de acuerdo a las directrices de la Direccin, requisitos
legales, proteccin de confidencialidad y cobertura ante errores y fraudes.
C. Revisar, analizar y en su caso corregir indicando acciones a realizar, el nivel de
eficacia, utilidad, fiabilidad y seguridad de los equipos y sistemas informticos en
general.
D. Revisar y analizar los controles implantados en los sistemas de informacin para
verificar su adecuacin de acuerdo a las directrices de la Direccin, estableciendo
y dirigiendo las desviaciones detectadas aplicando acciones de mejora.

TEMA 1 Test 24 Universidad Internacional de La Rioja (UNIR)

 Auditora de la Seguridad

10. El CII (Control Interno Informtico) se diferencia del auditor informtico en:
A. No tiene cobertura sobre todos los componentes del sistema de informacin de
la organizacin.
B. Son personal interno o externo.
C. Realizan un anlisis del control interno informtico diariamente.
D. Informan a la Direccin General en tiempo real.

TEMA 1 Test 25 Universidad Internacional de La Rioja (UNIR)