El documento describe los diferentes ámbitos que pueden ser objeto de una auditoría informática, incluyendo la protección de datos personales, la protección jurídica del software y las bases de datos, la contratación electrónica, la contratación informática, la transferencia electrónica de fondos, el outsourcing y los delitos informáticos. Explica los aspectos clave de cada uno de estos ámbitos que deben ser evaluados como parte de una auditoría informática completa.

1. EL CONTRATO
DE AUDITORIA
C E D E Ñ O M E N D O Z A
J O S E A B E L
A U D I T O R I A D E
S E G U R I D A D D E L A
I N F O R M A C I O N N I V E L
“ A ”

2. Auditoria
Informática
• La auditoria informática comprende la
revisión y la evaluación independiente y
objetiva, por parte de las personas
independientes y teóricamente
competentes del entorno informático de
una entidad, abarcando todas o algunas
de sus áreas, estándares y
procedimientos en vigor, su idoneidad y
el cumplimiento de estos, de los
objetivos fijados, los contratos y las
normas legales aplicables, el grado de
satisfacción de usuarios y directivos, los
controles existentes y análisis de los
riesgos relacionados con la informática.

3. Cuadro comparativo entre Auditoria de
Cuentas y Auditoria Informática
AUDITORIA DE CUENTAS AUDITORIA INFORMATICA
Auditor Cualificada = Auditor de cuentas
Independiente
No existe titulación oficial ni registro
Independiente
Función Analizar:
Información económico-financiera
deducida a documentos contables
Analizar:
Información de entornos informáticos
deducida revision y control de los mismos
Informe Emitir informe:
Manifestando su opinión
Responsable sobre la fiabilidad de
la información para que se conozca
y valore por terceros
Emitir informe:
Manifestando su opinión
Responsable sobre la fiabilidad de la
información para que se conozca y valore
por terceros
Reglamentación Sujeto a:
Requisitos
Formalidades
Ley
Reglamento
Sujeto a:
Requisitos
Formalidades
Normas de profesión
Códigos de conducta de profesión

4. Análisis comparativo
• Es decir, la auditoria de cuentas y la
auditoria informática son completamente
independientes puesto que la primera
evalúa el estado contable (información
económico-financiera) de una empresa,
mientras que la segunda analiza la
información de los entornos informáticos,
si bien ambas, se basan en el análisis de
riesgos y en la elaboración de un informe
de auditoria.

5. PARTES DE UN CONTRATO DE AUDITORIA. EL
PERFIL DEL AUDITOR INFORMATICO
La empresa o entidad que solicitaba una Auditoria Informática, lo hacia porque constaba una
serie de debilidades y/o amenazas provenientes de sus sistemas de información. La empresa
que necesitaba de este tipo de servicios en realidad lo que estaba demandando era una
solución a sus problemas, mas que una revisión del cumplimiento de los controles
establecidos.
LA ENTIDAD AUDITADA

6. El Auditor Informático
El auditor tradicional (Auditor de
cuentas) no se encuentra
capacitado para afrontar los
nuevos riesgos derivados de las
utilización de las tecnologías. De
esta manera, se hace
imprescindible la existencias de la
Auditoria de Sistemas de
Información.
Una característica que destaca del
auditor, es la independencia,
definiéndola como “la ausencia de
intereses o influencias que permite
al auditor actuar con libertad
respecto a su juicio profesional”.

7. Terceras personas
• En la literatura empresarial mas reciente se ha acunado el
termino “stakeholders”. Se apunta con esta denominación,
que existe un modelo de “base ampliada” en el que es
necesario que toda organización vea los nuevos miembros.
Al menos es posible identificar cinco grupos de ‘interesados’:
los accionistas, los empleados, los clientes, las comunidades
locales y la Sociedad en general.

8. OBJETO DEL
CONTRATO DE
AUDITORIA
INFORMATICA
Podemos distinguir los siguientes ámbitos en la
realización de una auditoria informática,
catalogadas como pertenecientes a la auditoria
jurídica de entornos informáticos:
1. Protección de datos de carácter personal.
2. Protección jurídica del software.
3. Protección jurídica de las bases de datos.
4. Contratación electrónica.
5. Contratación informática.
6. Transferencia electrónica de fondos.
7. Outsourcing.
8. Delitos informáticos.

9. Protección de
datos de carácter
personal
• Se clasifica en tres niveles de
seguridad (básico, medio, alto) a
los que hay que someter a los
ficheros dependiendo del grado de
sensibilidad de los datos de
carácter personal almacenados.

10. La protección
jurídica del
software
• El software, como bien objeto de
protección, se tiene que someter a una
auditoria en la que se debe verificar el
cumplimiento de la misma, y, por lo tanto,
investigar la legalidad del software
utilizado en dichos sistemas, evaluando el
riesgo que se corre por permitir la
ilegalidad, el “pirateo” , y cuantificando
monetariamente, el diferencial entre dicho
riesgo y el coste de implantación y control
de todos y cada uno de los programas
utilizados en la entidad.

11. La protección
jurídica de las
bases de datos
• La auditoria en este caso tendrá del
mismo modo que atender tres casos
expuestos, analizando el cumplimiento
para todos ellos de los controles
establecidos, evitando por lo tanto
copias o extracciones no autorizadas,
y verificando la gestión y actualización
por las personas competentes y
autorizadas para ello.

12. Contratación
electrónica
• En la contratación electronica hay que attender a tres
aspectos fundamentals: en primer lugar a la
inmediatez de las relaciones, cuestión que se
solventara en caso de relación mercantil por el
momento de emisión de la aceptación y en caso de
otro tipo de relación mercantil por el momento en que
llega a conocimiento del oferente, en segundo lugar
la calidad del dialogo, y excluyendo el teléfono o la
videoconferencia habrá que asemejar la aceptación a
la fecha por correspondencia escrita en soporte de
papel, y en tercer lugar, desde el punto de vista de la
seguridad.

13. La contratación
informática
• Definiéndola como la contratación de bienes o
servicios informáticos. Se debe redactar
teniendo en cuenta un equilibrio de prestaciones
y evitar en lo posible la existencia de clausulas
oscuras. Es aquí donde el auditor informático
asesora e implanta en dicho acuerdo los
requisitos técnicos y los términos específicos
que delimitan y concretan los aspectos
imprescindibles cuyo cumplimiento debe ser
objeto de los controles a los que se someta este
tipo de contratación cuyas particularidades
requieren un asesoramiento especializado y
experto.

14. Transferencia
electrónica de fondos
• Nos referimos en concreto a los medios de pago
electrónicos ya conocidos, como las tarjetas de
crédito y de debito, o el caso particular de las
asociadas a un determinado establecimiento
mercantil para la realización de compras en el
mismo.
• La tarea especifica de este ámbito para el
auditor informático reside en la comprobación de
la interoperabilidad entre los sistemas de
lecturas de las tarjetas y las redes de
comunicaciones.

15. El outsourcing
• El outsourcing informático puede ser definido
como la cesión de la gestión de los sistemas de
información de una entidad a un tercero que,
especializado en esta área, se integra en la toma
de decisiones y Desarrollo de las aplicaciones y
actividades propias referidas a la gestión.
• Suele ser habitual y aconsejable que las
empresas incluyan en los contratos de
outsourcing una clausula en virtud de la que
podrán realizar una auditoria, o solicitar una
auditoria por una tercera entidad, de los
procedimientos que el outsourcer esta siguiendo
para la prestación del servicio y garantizar así el
nivel de servicios pactado entre las partes.