Auditoria de Sistemas de Tecnologías de

Información
La Auditoria de Tecnologías de la información, es una relativamente una rama nueva de
auditoria, en las entradas compartire un poco algunos conceptos y teorias de referencia a la
materia, la misma tiene aportar diversos criterios y alimentar nuestros conocimientos

La Auditoria de Sistemas de Información es un examen y validación del cumplimiento de

los controles y procedimientos utilizados para la confidencialidad, integridad y
disponibilidad de los sistemas de información.
Realizada por personal externo a la empresa, proporciona al negocio una evaluación
independiente y objetiva de los hechos que, en ocasiones es difícil de obtener cuando se
está inmerso en la operación y en presión de la problemática del día a día.

Determinar si los controles implementados son eficientes y suficientes, identificar las

causas de los problemas existentes en los sistemas de información y a su vez las áreas de
oportunidad que puedan encontrarse, determinando las acciones preventivas y correctivas
necesarias para mantener a los sistemas de información confiables y disponibles.

Identificar causas y soluciones a problemas específicos de los sistemas de información, que

pueden estar afectando a la operación y a las estrategias del negocio. Por ejemplo:

1.- Cumplimiento de licencias de software (identificar software pirata, control de licencias).

2.- Incompatibilidad del hardware y software.
3.- Errores frecuentes de la aplicación (“caída”, resultados inexactos, lentitud).
4.- Bases de Datos con problemas de integridad.
5.- Bajo desempeño del hardware y software.
6.- Proyectos con retrasos o que “nunca terminan”.
7.- Insatisfacción de los usuarios para con los sistemas de información.
8.- Corrección frecuente a los programas de las aplicaciones.
9.- Fallas en el control de versiones.

El objetivo de la auditoria de sistemas de tecnologías de información es verificar, el nivel

de gestión de la función informática en la empresa y a la vez detecte áreas de oportunidad o
desviaciones en la alineación del uso de las Tecnologías de Información con los objetivos
del negocio.
 CONCEPTO DE AUDITORIA DE TECNOLOGIA DE INFORMACION

La Auditoría de Tecnolgía de Información es el proceso de recolectar y evaluar la evidencia para

determinar si los Sistemas de Información y los recursos relacionados (base de datos, redes,
aplicaciones, personal, infraestructura, presupuesto, etc) protegen adecuadamente los activos,
mantienen los datos y la integridad del Sistema de Información, proveen información relevante y
confiable. Además de asegurar que las Tecnología de Información coadyuven a los objetivos
organizacionales y que los eventos no deseados serán detectados oportunamente para ser
evitados.

En algunos países altamente desarrollados es catalogada como una actividad de apoyo vital para el
mantenimiento de la infraestructura crítica de una nación, tanto en el sector público como
privado, en la medida en que la INFORMACION es considerada un activo tan o más importante
que cualquier otro en una organización. Existe pues, un cuerpo de conocimientos, normas,
técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad,
razonabilidad, y disponibilidad de la INFORMACION tratada y almacenada a través del

computador y equipos afines, así como de la eficiencia, eficacia y economía

con que la administración de un ente están manejando dicha INFORMACION y todos los recursos
físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión,
distribución, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio,
para lo cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico
específico.

CARACTERISTICAS:

Síntomas de necesidad de una auditoria informática: Las empresas acuden a las auditorias
externas cuando existen síntomas bien perceptibles de debilidad.
Síntomas de descoordinación y desorganización: No coinciden los objetivos de la Informática de la
Compañía y de la propia Compañía.
Síntomas de mala imagen e insatisfacción de los usuarios:

– No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los
terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse
diariamente a su disposición, etc.
– No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El
usuario percibe que está abandonado y desatendido permanentemente.

Síntomas de debilidades económico-financiero:

– Incremento desmesurado de costes.

– Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente
convencida de tal necesidad y decide contrastar opiniones).
– Desviaciones Presupuestarias significativas.
– Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad: Evaluación de nivel de riesgos

– Seguridad Lógica
– Seguridad Física
– Confidencialidad