Función de la Auditoría en los
Sistemas de Información.
Prof: Cristina Mayr
1
Auditoría y Control
Auditoría de Sistemas de
Información
Campo: Gobierno corporativo
P. 2
Auditoría y Control
Gobierno corporativo



Es la combinación de procesos y estructuras implantados por el Consejo Directivo
para informar, dirigir, gestionar y vigilar las actividades de la organización con el fin
de lograr sus objetivos. (The Institute of Internal Auditors, IIA. Normas Internacionales para la
práctica profesional de la Auditoría Interna)
Promueve, a través de sus "buenas prácticas", el empleo de criterios éticos,
responsables y balanceados de conducción organizacional por parte de los
directivos, para armonizar la maximización del "valor de la organización"
con la consideración y respeto a los intereses de todas las "partes
interesadas" .
Implica:
P. 3

Establecimiento de reglas para la administración y reporte de riesgos del negocio

Gobernabilidad de TI
Auditoría y Control
Gobierno Corporativo

Definición

Es un conjunto de responsabilidades y prácticas ejecutadas por la
dirección y la administración ejecutiva para proveer dirección
estratégica

garantizando el alcance de los objetivos,

estableciendo la administrados apropiada de los riesgos y

verificando que los recursos de la empresa sean usados en forma
responsable
Fuente: Cobit, www.isaca.org
P. 4
Auditoría y Control
Gobierno Corporativo

Gobierno corporativo

En las organizaciones actuales la implantación de mejores prácticas,
además de estar relacionada con el cumplimiento de la normativa, se
considera como un sistema integral generador de seguridad y valor.
Gobierno corporativo y Gobierno Corporativo de TI
• ¿Cómo ayudar a los responsables del negocio y de tecnología en su
esfuerzo por cambiar el rol de TI y reducir la distancia entre TI y el
negocio que ésta debe soportar y apoyar?
• ¿Cuáles son las responsabilidades a nivel de dirección y gestión?
P. 5
Auditoría y Control
Gobierno Corporativo

Buen Gobierno de TI

Es un proceso para incrementar los beneficios de la compañía,
usando la infraestructura de TI adecuada, y con los planes y proyectos
adecuados.

Permite responder: ¿Cómo puede la Alta Gerencia …



… lograr que su organización TI devuelva valor de negocio a la compañía?
… lograr que su organización TI no invierta en proyectos equivocados?
… controlar su organización TI?
P. 6
Auditoría y Control
Niveles de Gobierno
(serie)
PAS99
22301
PAS 99 - Publicly Available Specification of common requirements for management systems (BSI)
P. 7
Auditoría y Control
ISO/IEC 38500:2015


La ISO/IEC 38500 establece los principios, las definiciones
y un modelo para ayudar a los órganos de gobierno a
comprender la importancia de la Tecnología de la
Información (TI).
Es una serie de normas que incluye:

ISO/IEC AWI 38501: 2015 Guía de implementación de
gobierno de TI

ISO / IEC TR 38502: 2017 Marco y modelo de Gobierno de TI

ISO/IEC 38503:2022
Evaluación del Gobierno de TI
Entre otras…
P. 8
Auditoría y Control
ISO/IEC 38500:2015
Modelo de Gobierno
P. 9
Auditoría y Control
ISO/IEC 38502:2017
Marco de Gobierno
P. 10
Auditoría y Control
ISO/IEC 38501:2015
Implementación de Gobierno Corporativo
P. 11
Auditoría y Control
Principios de ISO/IEC 38500:2015
1. RESPONSABILIDAD
Establecer en forma clara las responsabilidades de cada individuo o grupo de personas
dentro de la organización en relación a las TI.
2. ESTRATEGIA
Planear las TIC para un mejor soporte de la Organización
3. ADQUISICIÓN
Las adquisiciones de TI deben realizarse tras un adecuado análisis y tomando la
decisión en base a criterios claros y transparentes. Debe existir un equilibrio
apropiado entre beneficios, oportunidades, costo y riesgos, tanto a corto como a largo
plazo.
4. DESEMPEÑO
Las TI deben dar soporte a la organización, ofreciendo servicios con el nivel de calidad
requerido por la organización.
P. 12
Auditoría y Control
Principios de ISO/IEC 38500:2015
5. CUMPLIMIENTO
Las TI deben cumplir y ayudar a cumplir todas las leyes y normativas; las políticas y los
procedimientos internos deben estar definidos, implementados y apoyados en forma
clara.
6. FACTOR HUMANO
Las políticas y procedimientos establecidos deben incluir el máximo respeto hacia la
componente humana, incorporando todas las necesidades propias de las personas que
forman parte de los procesos de TI.
P. 13
Auditoría y Control