Beruflich Dokumente
Kultur Dokumente
informacin y su auditora
[1.1] Cmo estudiar este tema?
TEMA
Esquema
TEMA 1 Esquema
Introduccin a los Sistemas de Informacin y su auditora
2
Auditora informtica
Rol de la Reseas Funciones y objetos de
Glosario vs.
auditora histricas la auditora informtica
Control Interno Informtico
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrars a continuacin y presta
especial atencin a los diferentes libros, vdeos y pginas web recomendados en los
respectivos apartados incluidos al final de este tema.
Este tema presenta una Introduccin a los sistemas de informacin y el rol de la auditora
informtica, diferencindolo del Control Interno Informtico.
Este captulo introductorio realiza un recorrido, a travs de sus apartados, por algunos
aspectos que el alumno debe conocer para entender qu es un sistema de informacin,
la funcin de la auditora informtica en las organizaciones y su decisiva contribucin a
las TIC.
Segn International Standard Organization (ISO): Algo que tiene valor para la
organizacin (ISO/IEC 13335-1:2004). Un activo de sistemas de informacin (SI)
sera todo aquello que una entidad considera valioso por contener, procesar o generar
informacin necesaria para el negocio de la misma. Todo sistema de informacin
utilizado por la organizacin (en rgimen de propiedad, subcontratacin o pago por uso)
deber:
El ltimo punto indica que los Sistemas de Informacin (SI) han de ser eficientes
(cumplir con los objetivos de la organizacin), eficaces (deben ser tiles para la mejor
utilizacin por parte de los usuarios) y econmicos (es decir, al menor coste posible)
en recursos y unidades monetarias.
Por tanto, tras asumir el punto anterior como cierto, el diseo, ejecucin o adquisicin
de un sistema de informacin no debe ser una decisin aislada sino formar parte de
una plan. Es decir, todo sistema de informacin, si se desea que sea eficaz y eficiente,
deber estar adecuadamente planificado.
El plan TIC debe dar respuesta a las necesidades del negocio expuestas en el plan
estratgico de la organizacin y ser coherente con este.
El alineamiento del plan estratgico y del plan de las TIC tiene una doble direccin en la
medida en que el negocio conforma las necesidades de sistemas de informacin y la
tecnologa posibilita medios cada vez ms eficaces y eficientes para cubrir los objetivos
de negocio, por lo que ambos planes han de retroalimentarse y estar alienados para
asegurar el adecuado gobierno de las TIC.
Salida
Entrada Proceso
(Informacin)
MAINFRAME
Por tanto, las organizaciones necesitan poner en marcha controles para asegurar la
integridad y exactitud de la informacin, pero tambin necesitarn de una auditora
independiente capaz de entender las interioridades de los procesos informticos y revisar
el correcto funcionamiento de los controles existentes.
Surge entonces la figura del auditor informtico que entenda lo que suceda en
el proceso de informacin dentro de aquellos mainframes.
Definicin de Auditora
Lawrence B. Sawyer (1985) (Sawyers Internal Auditing: The Practice of Modern Internal
Auditing) en (Sawyers Internal Auditing: The Practice of Modern Internal Auditing)
define la auditora como: Una sistemtica evaluacin de las diversas operaciones y
controles de una organizacin, para determinar si se siguen polticas y
procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos
eficientemente y si se han alcanzado los objetivos de la organizacin.
Tipos de auditora
o Planificar la auditora.
o Llevar a cabo las distintas tareas definidas en las fases de la auditora.
o Escuchar y observar (recordemos el origen latino del trmino: aquel que tiene la
capacidad de or).
o Gestionar las desviaciones y riesgos que pudieran producirse durante la auditora.
Las observaciones:
o Evidencias relacionadas
CONTROL INTERNO
AUDITOR INFORMTICO
INFORMTICO
Personal interno. Conocimiento especializados en TIC
Segn IT Governance Institute (ITGI) cuya misin es asistir a los lderes empresariales
en su responsabilidad de asegurar que las TIC estn alineadas con el negocio y generan
valor, medir su rendimiento y comprobar que sus recursos son adecuadamente
administrados y sus riesgos gestionados y mitigados el gobierno de TI es una parte
integral del gobierno corporativo. Y consiste en liderar y definir las estructuras y procesos
organizativos que aseguran que las Tecnologas de la Informacin y Comunicaciones
(TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organizacin,
siendo la responsabilidad del comit de direccin y gerencia.
El gobierno no solo persigue el logro de los objetivos del negocio (para lo cual ser
necesaria la gestin) sino que adems estos objetivos habrn de lograrse asegurando la
sostenibilidad de la organizacin o entidad, en equilibrio y cumplimiento de unos
principios de responsabilidad, tica y conducta. Ver la siguiente ilustracin.
Estos principios vertebran las directrices del buen gobierno mencionadas por el estndar
internacional ISO 38500; en concreto:
Es importante destacar que recomendar e informar a la alta direccin por parte del
auditor implica:
Lo + recomendado
No dejes de leer
Fernndez, C. M. (2010). Auditora de los estndares ISO en las TIC: una herramienta
de la Direccin. Revista red de seguridad, 45.
Este artculo elaborado por D. Carlos Manuel Fernndez, Gerente de TICs de AENOR,
presenta el modelo de ISO en las TIC y el papel de la auditora interna y externa como
herramienta para la direccin.
No dejes de ver
+ Informacin
A fondo
Anantha Sayana, S., CISA, y CIA (2002). The IS Audit process. ISACA Journal, 1.
Este excelente artculo concentra en su corta extensin los aspectos clave de la auditora
de sistemas de informacin con tanta completitud como concrecin y brevedad en su
exposicin.
Enlaces relacionados
ISACA
ISO
Bibliografa
Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madure de ingeniera del
software. AENOR Ediciones.
Fernndez, C.M., Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las
normas ISO. AENOR Ediciones.
Gmez, L., Fernndez P.P. (2015). Cmo implantar un SGSI segn UNE-ISO/IEC
27001:2014 y su aplicacin en el Esquema Nacional de Seguridad. AENOR Ediciones.
Guide to Using International Standards on Auditing in the Audits of Small- and
Mediumsized Entities. NY, 2007.
INTOSAI: Gua para las normas de control interno del sector pblico. (INTOSAI GOV
9100).
Marco para la auditora de los sistemas de informacin. 2009 ISACA Captulo Madrid.
Piattini, M., Del Peso, E. (2000). Auditora Informtica: Un enfoque prctico. Editorial
Ra-MA.
Piattini, M., Del Peso, E. y Fernndez, C.M. (Coautor). (2008). Auditora de Tecnologas
y Sistemas de Informacin, RA-MA.
The Institute of Internal Auditors (2007). The GAIT Principles. Altamonte Springs.
GTAG 1: Information Technology Controls.
VV.AA. (2009). Marco para la auditoria de los sistemas de informacin. ISACA Madrid.
Weber, R. (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw
Hill.
Test
8. El Comit de informtica:
A. Se encarga de hacer de interfaz entre los usuarios y los informticos. Est
compuesto por expertos en una materia y conocen muy bien el negocio/modelo de
datos que manejan.
B. Disea el plan estratgico de la compaa.
C. Elabora el Plan Director de Informtica, que se corresponde con el Plan
Estratgico. Puede ser a un ao o a dos.
D. Ninguna de las anteriores.
10. El CII (Control Interno Informtico) se diferencia del auditor informtico en:
A. No tiene cobertura sobre todos los componentes del sistema de informacin de
la organizacin.
B. Son personal interno o externo.
C. Realizan un anlisis del control interno informtico diariamente.
D. Informan a la Direccin General en tiempo real.