El término Auditoría se aplica a evaluaciones de diferentes temas; en

función de su contenido, objeto y finalidad se establecen Auditorías:

• Auditoría Financiera: Revisa los controles y los registros de

contabilidad de una empresa, cuya conclusión es un dictamen a
cerca de la corrección de los estados financieros de la misma.
• Auditoría Cumplimiento: Verifica e informar sobre el cumplimiento
de las disposiciones, normativas y leyes laborales (civiles,
estatutarias, tributarias, comerciales, de seguridad social e
industrial, medio ambiente, etc.).
• Auditoría de Gestión su objetivo es evaluar el grado de eficacia en
el logro de los objetivos previstos por la organización y la eficiencia
en el uso de los recursos.
• Auditoría Forense.
• Auditoría Electoral.
• Auditoría Informática.
• Etc.
Desde otro enfoque, se clasifican las auditorías
como:

Auditoría Interna
Realizada por personal vinculado laboralmente a la
institución, pero independiente al ámbito auditado.

Auditoría Externa
Realizada por personal no vinculado a la empresa
auditada.

Las de auditorías se basan en los principios de

independencia, sistematicidad y objetividad.
El auditor debe obtener evidencia suficiente y
competente, mediante la aplicación de procedimientos
de inspección y procedimientos analíticos, para
fundamentar en las conclusiones de la auditoría

La suficiencia mide la cantidad de la evidencia, es decir,

si sustenta las conclusiones o hay un margen de
incertidumbre; es la relevancia de la evidencia.

La competencia mide la calidad de la evidencia y el

grado en que está basada en hechos demostrables; Es
la características de neutralidad, autenticidad y
verificabilidad de la evidencia.
El auditor obtiene evidencias mediante
• Inspecciones (documentales o físicas)
• Observación
• Entrevistas
• Procedimientos analíticos

Las evidencias pueden ser:

• Físicas: obtenidas a través de las inspecciones y la
observación.
• Testimoniales: obtenidas en las entrevistas.
• Documentales: obtenidas en inspecciones y en las
entrevistas.
• Analíticas: obtenida a través de cálculos, comparaciones,
tendencias, etc.
Ron Weber: (1988).
La auditoria informática
Es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema
informático
• Salvaguarda los activos.

• Mantiene la integridad de los datos

• Lleva a cabo los fines de la organización

• Utiliza eficientemente los recursos.

Una definición general sería:

Auditoría Informática es un examen

sistemático, profesional, ético y objetivo
que analiza y evalúa procesos y controles
informáticos a través de un muestreo y
hallazgos, donde se incluye evidencia para
dar una opinión razonable de lo evaluado
en una organización o empresa el mismo
que será presentado en un informe de
auditoría con sus respectivo dictamen y
recomendaciones.
Una definición técnica sería
Auditoría Informática
Es un proceso llevado a cabo por profesionales especialmente
capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un Sistema de
información, salvaguarda el activo empresarial, mantiene la
integridad de los datos ya que esta lleva a cabo eficazmente los
fines de la organización, utiliza eficientemente los recursos,
cumple con las leyes y regulaciones establecidas.
Permiten detectar de Forma Sistemática el uso de los recursos y
los flujos de información dentro de una Organización y
determinar qué Información es crítica para el cumplimiento de
su Misión y Objetivos, identificando necesidades, falsedades,
costes, valor y barreras, que obstaculizan flujos de información
eficientes.
Wikipedia
Las organizaciones actuales (públicas privadas)
independientemente de cual sea la misión, ubicación
geográfica, tipo de organización, etc. Dependen de
las Tecnologías de la Información (TI).

Las organizaciones deberían confiar ciegamente en

la información, los procesos y la tecnología que les
permite usar y gestionar eficazmente la información.

Las TI son fundamentales para el éxito, la eficiencia

operativa, la competitividad, e incluso la
supervivencia, esto hace que las organizaciones se
aseguren del uso correcto y eficaz de las TI.
Los recursos serán asignados eficientemente.
La funcionalidad de la TI tendrá un nivel suficiente
de calidad y rendimiento
Los activos de información deberán estar asegurados
adecuadamente, de acuerdo con la tolerancia al
riesgo de la organización.
Los activos deben ser administrados de manera
efectiva, para operar como está diseñado, funcionar
correctamente, cumpliendo con reglamentos y
estándares.
La auditoría de TI ayuda a las organizaciones a lograr
esto
Information Technology Infrastructure Library (ITIL) define a
la auditoría en general como la inspección formal y
verificación para comprobar si se está siguiendo una norma
o conjunto de directrices
• Los registros son exactos.
• Los objetivos de eficiencia y eficacia se están cumpliendo.

Esta definición se adaptada a la auditoría de TI,

comprendiendo una amplia gama de normas, requisitos y
otros criterios de auditoría correspondientes a:

• Procesos.
• Sistemas.
• Tecnologías.
• Organizaciones enteras en el uso TI.
Las auditorías de TI pueden evaluar:
• Organizaciones enteras.
• Unidades de negocio.

• Las funciones.

• Los procesos de negocio.

• Los servicios.

• Los sistemas.
• Los componentes de infraestructura o tecnología.
• Los centros de datos y otras instalaciones físicas.
• Infraestructura de red.
• Telecomunicaciones.
• Sistemas operativos.
• Bases de datos.
• Almacenamiento.
• Virtualización de servidores y entornos.
• Servicios y operaciones externas.
• Los servidores web y de aplicaciones.
• Las aplicaciones de paquetes de software.
• Las interfaces de usuario y aplicaciones.
• Dispositivos móviles.
PROCESOS DE NEGOCIOS Y SERVICIOS

INTERFASES

MANTENIMIENTO
MONITOREO

SEGURIDAD
OPERACIÓN
APLICACIONES

BASES DE DATOS

PLATAFORMA DE
SERVIDORES

INFRAESTRUCTURA DE RED

INSTALACIONES - CENTRO DE DATOS

• Verificar el cumplimiento de normas de seguridad
que la empresa estableció en la auditoría interna.
• Evaluar la eficacia de los controles implementados.
• Confirmar la adhesión a las políticas internas, a los
procesos y procedimientos.
• Comprobar la conformación de gobierno de TI o
control de marcos y normas.
• Análisis de vulnerabilidad y las opciones de
configuración para apoyar el monitoreo continuo.
• Identificar las debilidades y deficiencias como
parte del riesgo inicial o en curso administración.
• Medir el rendimiento de los puntos de referencia
de calidad o acuerdos de nivel de servicio.
• Verificación y validación de la ingeniería de
sistemas o gestión de proyectos informáticos.
• Autoevaluación de la organización frente a
estándares anticipado criterios que serán
utilizados en auditorías externas
 Auditoría de la
Organización

Varios tipos de organizaciones Auditoría de Control

y profesionales de la auditoría, Interno

llevan a cabo diferentes tipos

Auditoría de
Tec nologías de la
Información
de auditorías de TI, porque la
amplitud de conocimientos, la
Auditoría de
Sis temas de

experiencia necesaria y los

Información

objetivos primarios dependen

del alcance de la auditorías a Auditoría
s eguridad

realizar.
• Los auditores internos, que comprenden a los
empleados de las organizaciones que llevan a cabo
auditoría interna de TI.

• Contratistas, consultores, o especialistas contratados

por las organizaciones para llevar a cabo auditorías
internas.

• Auditores de TI que trabajan como contratistas

independientes o como empleados profesionales las
empresas de servicios que proporcionan servicios de
auditoría externa de TI.

• Empresas de auditoría informática.

• Organizaciones de certificación autorizadas que evalúan las
prácticas de las empresas; así como controles y certificación
entregadas a las empresas cuyos procesos internos, sistemas,
servicios o entornos operativos se adhieren a las normas
aplicables u otros criterios de certificación.

• Organizaciones con la autoridad para supervisar los controles

o hacer cumplir las normas, tales son oficinas de
responsabilidad gubernamental
(SRI; Contraloría General del Estado, Superintendencia
Bancos, Compañías, etc.)

• Inspectores generales, ejecutivos de auditoría, o funcionarios

encargados por la autoridad para proporcionar una revisión
independiente de TI.
• Conocimientos de TI
• Habilidades y capacidades y la experiencia en
general y específicas de TI
• Principios de auditoría
• Prácticas
• Procesos

Las organizaciones necesitan entrenar o contratar

personal especializado en controles de TI; con la
experiencia en operaciones de TI necesaria, para llevar
a cabo con eficacia las auditorías de TI.
Estos requisitos son necesario para:

Las organizaciones cuyos los programas de auditoría

de TI se centran en la realización de auditorías
internas.

Así como para las empresas de servicios

profesionales que llevan a cabo auditorías externas o
proporcionan a auditores o expertos para apoyar las
actividades de auditoría interna de las
organizaciones.
El objetivo del auditor informático es el de evaluar
y comprobar en determinados momentos del
tiempo los controles y procedimientos
informáticos más complejos, objeto del análisis,
desarrollando y aplicando metodologías de
auditoría

La auditoría informática emplea las mismas

técnicas descritas de:
Inspección Observación, Entrevistas,
Documentación y los procedimientos analíticos
propios de cualquier tipo de auditoría.
En la auditoría informática, las técnicas de
inspección usan de software de inspección capaz
de automatizar la verificación de los Sistemas de
Información.

La auditoría informática no se denomina así por el

uso de medios informáticos; sino porque el objeto
auditado son los Sistemas de Información, las TIC.

Por lo que se debe emplear software de auditoría

CAATS (Computer Assisted Audit Techniques).

.
Llevar a cabo la auditoría

• Planificar la auditoría.

• Llevar a cabo las distintas tareas definidas en las

fases de la auditoría.

• Escuchar y observar (el origen latino del término:

aquel que tiene la capacidad de oír).

• Gestionar las desviaciones y riesgos que pudieran

producirse durante la auditoría.
 Informar a la Dirección

• El diseño y funcionamiento de los controles

implantados.

• La fiabilidad de la información suministrada

• La suficiencia de las evidencias o la medida en la

que sustentan las conclusiones de la auditoría.
 FINANZAS Y NEGOCIOS Y
CONTABILIDAD LEYES

A U DITORÍA
GENERAL

AUDITOR
DE TI

CERTIFICACÓN

INGENIERÍA DE SISTEMAS Y
TECNOLOGÍAS DE LA INFORMACIÓN
La auditoría informática debe poseer, un cuerpo de
conocimientos, normas, técnicas y buenas
practicas dedicadas a la evaluación revisión
independiente de la confidencialidad e integridad
de la información y la disponibilidad de los
servicios afines.
Examinará la eficiencia, eficacia y economía con
que la administración de una organización maneja
la información; junto con los recursos físicos y
humanos para su adquisición, procesamiento,
transmisión, distribución, uso, almacenamiento y
destrucción de la información.
Se debe hace énfasis en la revisión
independiente, debido a que el auditor debe
mantener independencia mental, profesional y
laboral para evitar cualquier tipo de influencia
en los resultados de la misma, por lo que se
establecen equipos multidisciplinarios
formados por:
• Ingenieros Informático
• Abogados especializados en auditoría.

• Auditores.
Perfil del auditor de Tecnología de Información
El Equipo de auditoria de Tecnología de
Información