Conocimientos y Habilidades Técnicas Requeridas del Auditor de Sistemas

de Información

Auditoría de Aplicaciones

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso de

aplicaciones o sistemas de información en una entidad, con el propósito de
determinar si su diseño y aplicación son correctos y comprobar el sistema de
procesamiento de información como parte de la evaluación de control interno.

Las aplicaciones o sistemas de información son uno de los “productos finales” que
genera la infraestructura de las TI en las organizaciones y por ende son el aspecto
de mayor visibilidad desde la perspectiva de negocio.

Problemática de la auditoría de una aplicación informática

Una aplicación informática tiene como finalidad:

 Registrar exactamente la información considerada de interés en torno a las

operaciones llevadas a cabo por una determinada organización:
magnitudes físicas o económicas, fechas, descripciones, atributos o
características, identificación de las personas físicas o jurídicas que
intervienen o guardan relación con cada operación, nombres, direcciones.

 Permitir la realización de cuantos procesos de cálculo y edición sean

necesarios a partir de la información registrada, almacenar
automáticamente más información que la de partida.

 Facilitar, a quienes lo precisen, repuesta a consultas de todo tipo sobre la

información almacenada, diseñadas en contenido y forma para dar
cobertura a las necesidades más comunes constatadas.

 Generar informes que sirvan de ayuda para cualquier finalidad de interés en

la organización, presentado la información adecuada: se aplican según
convenga, criterios de selección, ordenación, recuento y totalización por
agrupamientos, cálculos de todo tipo, desde estadísticos comunes hasta los
más complicados algoritmos.

Supuestas amenazas al normal cumplimiento de la finalidad de una

aplicación:

 La posibilidad de fallo en cualquiera de los elementos que intervienen en el

proceso informático: software múltiple perteneciente a deferentes firmas,
computador central y dispositivos periféricos transmisión de datos
(servidores, módems, líneas de comunicación, etc.) constituye otra fuente
de posibles riesgos.
  La conexión cada vez más generalizada de las empresas a entornos
abiertos como internet multiplica los riesgos que amenazan la
confidencialidad y la integridad de la información de los sistemas. Y en este
caso el número de interesados en descubrir debilidades que le abran las
puertas para enredar y manipular la información a la que sean capaces de
acceder no tiene límites.

En una aplicación informática el control interno se materializa en dos tipos:

 Controles comunes: a realizar normalmente por parte de personal del área

usuaria, aseguran que las actuaciones del usuario se preparan y procesan
todas las operaciones, se corrigen todos los errores adecuadamente,
siendo coherentes con los resultados y las bases de datos que dan soporte
a la aplicación, mantienen medición de su integridad y totalidad.

 Controles automáticos incorporados a los programas de la aplicación que

sirvan de ayuda para tratar de asegurar que la información se registre y
mantenga completa y exacta, los procesos de todo tipo sobre la misma
sean correctos y su utilización por parte de los usuarios respete los ámbitos
de confidencialidad establecidos y permita poner en práctica principios
generales de control interno como el referente a la segregación de
funciones.

Herramientas de uso más común en la auditoría de una aplicación

Debido a la gran evolución de las tecnologías en los sistemas de información, se

requiere más esfuerzo para el personal de auditoría interna y en particular a los
especialistas en auditoría informática. Se deben impulsar respuestas integradas
en un plan de formación, que incluya las nuevas tendencias y preocupaciones.

Herramientas más utilizadas:

Entrevistas

Tiene una amplia utilización en todas las etapas de la auditoría, cumplen varios
requisitos:

 Las personas entrevistadas deben ser aquellas que más puedan aportar al
propósito pretendido.

 Debe ser preparada con rigidez de cara a sacar el máximo partido de ella.

 Es indispensable escribir el guión de temas y apartados a tratar (no un

cuestionario cerrado), para evitar que quede sin tratar algún asunto de
interés; exige ser alcanzado el nivel de conocimientos sobre la aplicación
necesario en ese momento para conducir con soltura la entrevista.
  Debe ser preparada con los interlocutores con anticipación suficiente,
informándoles del motivo y las materias a tratar en ella, duración
aproximada prevista y solicitando la preparación de la preparación de la
documentación o información que pueda ser necesario aporten durante la
misma, también invitación a colaborar con sugerencias estime
convenientes, no solo por el objeto de la entrevista sino también con miras
más amplias en relación con el proceso global desarrollado por la
organización y la aplicación informática que apoya el proceso.

 Los jefes de las personas a entrevistar deben estar informadas de las

actuaciones previstas; en general será positivo que sea el propio jefe quien
comunique al interesado la necesidad de participar en la auditoría.

 Durante el desarrollo de la entrevista, el auditor tomará las anotaciones

imprescindibles, lo más próximo posible a la finalización de la entrevista el
auditor debe repasar sus anotaciones, completando con detalles que pueda
recordar aquellas que pudieran haber quedado esbozadas y reflexionando
sobre las posibles implicaciones de las novedades o singularidades que el
interlocutor haya podido aportar.

Encuestas

Pueden ser de utilidad para ayudar a determinar el alcance y objetivos de la

auditoría como para la materialización de objetivos relacionados con el nivel de
satisfacción de los usuarios.

 Preparar un cuestionario que pueda ser contestado con la mayor rapidez a

base de marcar las repuestas entre las posibles.

 Conviene que todas las preguntas vayan seguidas de un espacio destinado

a observaciones no sólo las que soliciten descripción cuando la respuesta
es “otros”, si no que pueda elegir entre varias alternativas. Al final del
cuestionario hay que solicitar sugerencias u observaciones abiertas, mejor
en página exclusiva para ello, que pueda ser fotocopiada por quienes
necesiten más espacio para sus comentarios.

 Aunque no puede ni debe exigirse la identificación personal del encuestado,

si debe hacerse de la organización a la que pertenece (cuidado con los
recuentos de resultados de la encuesta por organización que pudieran
quedar con una única respuesta: no deben ser obtenidos, limitando, por
tanto, la obtención de tales recuentas a la condición de contar con más de
una respuesta en el agrupamiento). Sin embargo, sí puede invitarse a que
se identifique quien no tenga ningún inconveniente en ello, lo que permitiría
contactos enriquecedores si la encueta contestada plantea asuntos de
interés.
Pruebas de conformidad

Es de uso general en todo el campo de la auditoría, son actuaciones orientadas

específicamente a comprobar que determinados procedimientos, normas o
controles internos, particularmente los que merecen confianza de estar
adecuadamente establecidos, se cumplen o funcionan de acuerdo con lo previsto
y esperado, según lo descrito en la documentación oportuna.

La comprobación debe llevar a la evidencia a través de la inspección de los

resultados producidos: registros, documentos, conciliaciones, etc. Y observación
directa del funcionamiento de un control ante pruebas específicas de su
comportamiento.

 La evidencia de incumplimiento puede ser puesta de manifiesto a través de

informes de excepción.

 Los testimonios de incumplimiento no implican evidencia pero, si parten de

varias personas, es probable que la organización asuma como válidos
dichos testimonios y las consecuencias que de los mismos pudieran
derivarse de cara a posibles recomendaciones, ahorrando esfuerzos para
tratar de conseguir su confirmación documental.

Pruebas Sustantivas o de Validación

Detectan la presencia o ausencia de errores o irregularidades en procesos,

actividades, transacciones o controles internos integrados en ellos.

También pertenecen al dominio general de la auditoría.

Especialmente indicadas en situaciones en las que no hay evidencia de que

existan controles internos relevantes, suficientes como para garantizar el correcto
funcionamiento del proceso o elemento considerado.

 Todo tipo de error o incidencia imaginable puede ser objeto de investigación

en esta clase de pruebas. En el ámbito de la auditoría de una aplicación
informática, irregularidades de diversa índole que pueden afectar a las
transacciones:

 Transacciones omitidas, no registradas en el sistema.

 Duplicadas, registradas más de una vez.

 Inexistentes indebidamente incluidas.

 Registradas sin contar con las autorizaciones establecidas.

  Incorrectamente clasificadas o contabilizadas en cuentas diferentes a las
procedentes.

Uso del computador

Una de las herramientas valiosas en la realización de la auditoría de una

aplicación informática.
 Computadores personales
 Computadores donde se explota la aplicación, que es el objeto de auditoría.

Existen en el mercado infinidad de productos de software concebidos para facilitar

la tarea del auditor: herramientas que permiten el acceso generalizado a la
información contenida en archivos y bases de datos de forma trasparente para el
usuario y con independencia de las características de organización y modo de
almacenamiento. Muchos presentan como “herramientas de auditoría”, ya que
incorporan facilidades típicas de esta función como pueden ser la generación de
muestras estadísticas, edición de circularizaciones, etc.

 Lenguaje SQL, se puede acceder a la información y seleccionar la que

interese; su proceso posterior a través de un gestor de bases de datos.

 Informes de excepción, diseñados para propósitos de auditoría.

 Utilizar la aplicación, aplicando ensayos o transacciones ficticias

preparadas por los auditores, para verificar la eficacia de los controles
implantados. No siempre es recomendable, sobre todo si no ha sido
prevista tal contingencia durante la etapa del diseño de la aplicación.

Etapas de la Auditoría de una Aplicación Informática

1. Recogida de la información y documentación sobre la aplicación

Se realiza un estudio preliminar en el que recogemos toda aquella
información que nos pueda ser útil para determinar los puntos débiles
existentes y aquellas funciones de la aplicación que puedan entrañar
riegos.

Se lleva a cabo por medio de entrevistas con el equipo responsable de la

aplicación, tanto de la organización usuaria como la del sistema de
información, se inicia el proceso de recopilación de información y
documentación para profundizar en los conocimientos hasta los niveles de
exigencia necesaria para realizar el trabajo.
Resulta útil confeccionar unas guías q permitan seguir una pauta en las
primeras entrevistas y contengan la relación de documentos a solicitar q
ayuden a:

 Adquirir una visión global del sistema: descripción general de

la aplicación, plan de sistemas de la empresa donde figuren
objetivos, planes y presupuestos. El manual de usuario es de
gran trascendencia.

 Conocer la organización y procedimientos de los servicios que

utiliza la aplicación. Lista de los servicios, organigrama y
dependencias funcionales entre ellos, política de formación y
sensibilización de los usuarios, etc.

 Describir el entorno en el que se desarrolla la aplicación:

conocer recursos de computador central asignados, numero
de computadores asignados total o parcialmente a la
aplicación, cantidad de recursos periféricos asignados,
configuración de la red y de las líneas de comunicaciones
usadas, etc.

 Entender el entorno de software básico de la aplicación,

identificando las seguridades que ofrece y los riesgos
inducidos.

 Asimilar la arquitectura y características lógicas de la

aplicación. Es necesario conocer los principales tratamientos y
cómo están estructurados los datos: programas clave,
lenguaje y método de programación, archivos maestros,
bases de datos, informes generados, periosidad de
tratamientos.

 Conocer las condiciones de explotación de la aplicación y los

riesgos q se puedan dar. Si la aplicación explota directamente
los usuarios o depende de los servicios informativos, volumen
de capturas, volumen de información almacenada,
planificación y organización general de la explotación,
características generales, tiempos de respuestas, frecuencia y
naturaleza de las incidencias.

 Conocer condiciones de seguridad de que dispone la

aplicación: controles que incorpora, definición de perfiles de
acceso a los recursos y a la aplicación, existencia de pistas de
auditoría, grado de automatización, documentación.
  Disponer de información relativa a: Estadísticas de tiempos
de explotación para cada proceso, tiempo de respuesta de
transacción online, tiempo de reproceso por fallos, tiempo
dedicados al mantenimiento, informes de gestión de los
accesos, informe de seguimiento de las salidas, protección de
recursos asignados, perfiles de acceso a dichos recursos.

2. Determinación de los Objetivos y alcance la Auditoría

Las observaciones e identificación de puntos débiles a los datos recopilados

permiten al auditor establecer su propuesta de objetivos de la auditoría de la
aplicación y un plan detallado del trabajo a realizar.

3. Planificación de la Auditoría

Debe ser Objeto de una Planificación cuidadosa. Es importante acertar con el

momento más adecuado para su realización.

4. Trabajo de Campos, informe e implantación de mejoras

 La etapa de realización del trabajo de campo consiste en la ejecución del

programa de trabajo establecido. Evidentemente, los resultados que se van
obteniendo pueden llevar a ajustar el programa en función de dichos
resultados, que pueden aconsejar ampliar la profundidad de alguna prueba,
acometer otras no previstas y concluir alguna antes de su final.

 Redacción del informe de la auditoría, recogerá las características del

trabajo realizado y sus conocimientos y recomendaciones o propuestas de
mejora.

 La implementación de las mejoras identificadas en la auditoría: la situación

óptima a alcanzar es conseguir que la organización auditada asuma las
propuestas de actuación para implantar las recomendaciones como
objetivos de la organización, ésta es la mejor señal de valoración positiva
por parte de una organización a un trabajo de auditoría.

Auditoría de Desarrollo

La auditoría del desarrollo tratará de verificar la existencia y aplicación de

procedimientos de control adecuados que permitan garantizar que el desarrollo
de Sistemas de Información cumple con los principios de ingeniería, o por el
contrario determinar las deficiencias existentes.
Una de las áreas que tradicionalmente aparece es la de desarrollo. Esta área
abarca todas las fases que se deben seguir desde que aparece la necesidad de
disponer de un sistema de información hasta que este es construido e
implantado. El desarrollo incluye todo el ciclo de vida del software excepto
la explotación, el mantenimiento y la retirada de servicio de las aplicaciones.

Importancia de la Auditoría del Desarrollo

Cualquier departamento o área de una organización es susceptible de ser

auditado y presenta ciertas circunstancias que hacen importante el área de
desarrollo y por tanto su auditoría.

 Los avances en tecnologías de los computadores han hecho que

actualmente el factor de éxito de la informática sea la mejora de la calidad
del Software.
 El gasto destinado al Software es cada vez superior al que se dedica a
hardware.
 Crisis del Software, incluye problemas asociados con el desarrollo y
mantenimiento del Software y afecta a un gran número de organizaciones.
 El Software como producto es difícil de validar. Un mayor control en el
proceso de desarrollo incrementa la calidad del mismo y disminuye los
costes de mantenimiento.
 El índice de fracasos en proyectos de desarrollo es demasiado alto, lo cual
denota la inexistencia o mal funcionamiento de los controles.
 Aplicaciones Informáticas, son el producto principal obtenido al final del
desarrollo, pasan a ser la herramienta de trabajo principal, convirtiéndose en
un factor esencial para la gestión y la toma de decisiones.

Planteamiento y Metodología

En la Auditoría del área de Desarrollo es necesario definir funciones o tareas que

son responsabilidad del área.

 Planificación del área y participación en la elaboración del plan

estratégico de informática.
 Desarrollo de nuevos sistemas. Esta es la función principal la cual
incluirá para cada uno de los sistemas, el análisis, diseño,
construcción e implantación.
 Estudio de nuevos lenguajes, técnicas, metodologías, estándares,
herramientas, etc. relacionados con el desarrollo.
  Establecer un Plan de formación para el personal adscrito al área.
 Establecer normas y controles de actividades para todas las
actividades que se realizan en el área.

Auditoría de Tecnología

La Auditoría de las Tecnologías de Información, mejor conocida como “Auditoría

de TI” o “Auditoría Informática”, es una actividad de control que comprende la
evaluación de las Tecnologías de Información (TI), así como de la Seguridad de la
Información (SI), dentro de una organización.
Está basada en buenas prácticas y normas nacionales e internacionales, que son
utilizadas para revisar y calificar el diseño, desempeño y cumplimiento de los
controles implementados en el ambiente de TI.
Permite contar con una evaluación objetiva e independiente respecto a los
procesos, servicios, aplicaciones, infraestructura e información, identificando los
principales riesgos de negocio relacionados con TI, resultado de posibles
debilidades de control.

Principales Beneficios de la Auditoría de TI

 Verificar que los servicios de TI se encuentran al nivel que la organización

necesita para habilitar, potenciar y soportar de manera efectiva y eficiente sus
funciones sustantivas.
 Determinar si el ambiente de control en TI, cumple con las regulaciones y
requerimientos normativos.
 Contar con las recomendaciones necesarias para mitigar posibles riesgos que
pongan en peligro a los activos de información y a la continuidad del negocio.

¿Por qué es importante llevarla a cabo?

Actualmente muchas organizaciones invierten recursos significativos en tecnología
para desarrollar sus capacidades de negocio, todas ellas están expuestas
a riesgos e impactos potenciales debido a vulnerabilidades en sus controles,
procesos y proyectos de negocio habilitados por TI.
Por ello la relevancia de hacer una adecuada planeación y verificar que se
preserve el valor generado por negocio y sus inversiones.
Los procesos de auditoría de TI deben realizarse por una persona, departamento
u organización, que mantenga una posición independiente de los auditados, es por
ello que las empresas han optado por contratar los servicios de Consultoras
especializadas en Auditoría de TI y, en algunos casos; han optado por tercerizar
de manera completa o parcial las funciones.

Los servicios de Auditoría de Tecnología de Información se encuentran orientados

al mercado pro-activo y preventivo, brindándole a nuestros clientes evaluaciones
de sus controles, que sirvan para el fortalecimiento de su seguridad e
infraestructura tecnológica.

Auditoría de Tecnología de la Información

 Auditoría de Sistemas
 Outsourcing o Co-Sourcing de Auditorias de Sistemas
 Revisiones de estándar de seguridad del PCI – VISA
 Auditoría de Sistemas especializadas (ACH, Cajeros automáticos (ATM),
etc.)
 Certificación-Declaración de Sistemas Contables
 Certificación-Declaración de Sistemas de Almacenamiento Tecnológico
 Sistema de Gestión de Seguridad de la Información (Norma ISO)
 Evaluación y Alineamiento de Tecnología con mejores prácticas Gobierno
de TI

Objetivos específicos:

– La información y la tecnología es el activo más valioso de nuevo milenio.

– La información puede constituirse en una ventaja competitiva de la empresa

frente a terceros. Su uso inadecuado puede convertirse en la peor amenaza

– La información es la memoria y el conocimiento de la empresa. Base de su

desarrollo y adaptación futura

– Todo lo que la rodea (la información) y la soporta, debe estar adecuadamente

asegurado y controlado. Hablamos de equipos, personas y programas de
computador

– Es necesario determinar si los recursos informáticos están siendo utilizados de la

manera más efectiva, eficiente y económica.

– Es de vital importancia evaluar si los sistemas de negocios que posee la

empresa tienen involucrados los CONTROLES suficientes que garanticen una
información libre de errores, fraudes, alteración o falta de disponibilidad. Es
decir, que dicha información está realmente segura y protegida del acceso no
autorizado, daño intencional o destrucción por parte de terceros o personal de la
empresa

– Se hace necesario mantener servicios de monitoreo de nuevas tecnologías, de

forma que estas se adquieran y utilicen en beneficio de los objetivos de la
empresa, generando ventajas competitivas y beneficios tangibles frente a
terceros.
 Tendencias Globales de Tecnología de Información
1. Adaptación de la empresa al siglo XXI: Existe un efecto de “fuera a dentro”
que está transformando la estructura de las empresas y su respuesta en el
mercado actual en plena evolución.

En este escenario es indispensable que las organizaciones reinventen sus

modelos y procesos de negocio con agilidad, afectando el cambio a su estructura,
cultura de liderazgo, procesos de selección del talento, estilo de equipo o
ecosistemas de socios. Por todo ello, las inversiones deberán destinarse a
herramientas que permitan a los empleados una constante mejora en los
procesos.

2. Equipación de máquinas inteligentes: Las máquinas han llegado a un punto

que son capaces de realizar cálculos más complejos y analizar conjuntos de
información más amplios, detectando correlaciones y casuística que permiten la
predicción de un mejor resultado.

Esto se consolida en un ecosistema de datos que, cuanto más profundo sea

menos sentido tendrá su transporte. De ahí que se abra el camino al aprendizaje
basado en la nube y a plataformas de inteligencia artificial.

Para evitar un sesgo digital, los directivos deberán conocer en profundidad la

información digital y plantearse una estrategia que, con su adopción, mejore la
productividad de la empresa.

3. Madurez de IoT e Internet Industrial: Como respuesta a la necesidad de

contar con una plataforma de fácil implementación en la empresa, que además
genere un retorno de la inversión, la adopción de IoT y los sensores serán claves
para proporcionar datos front-end.

Los sensores en red y un ancho de banda mayor, con la aparición del 5G, harán
que su productividad se multiplique. Como pasó en los noventa, surge de nuevo
un renacimiento del aprendizaje gracias a máquinas mucho más eficientes.
4. Sinosfera como centro mundial de innovación: Existe un continuo ascenso
de la Sinosfera, es decir, del ámbito cultural de Asia Oriental influenciado
históricamente por China, y donde se incluye Vietnam, Japón y Corea del Sur.
Esta tendencia pone en auge la Ruta de la Seda Digital, que como centro de
innovación ha comenzado a competir con Silicon Valley.

Este flujo cultural desde Oriente a Occidente está creando una competencia muy
valiosa entre California y Asia, ya que cada uno irá completando al otro, y se
generará una mayor productividad en el mercado.

En este escenario, el foco está puesto en el este, donde se formulan nuevas ideas
y se dan avances tecnológicos en una cultura única, y ya formada.

5. Incremento en la adopción y simplificación de plataformas en la nube: En

este contexto, los CIO están comenzando a implementar un plan 80/20, es decir,
que un 80% de la carga de trabajo pueda estar en la nube pública en 2020. A nivel
mundial, mientras que las empresas no secunden estas iniciativas, los líderes
comenzarán a competir en funciones y capacidad, creando diversidad de nubes y
nuevos estilos de hibridación.

La diversidad que se dará en el Cloud permitirá mejorar las obligaciones

regulatorias y de seguridad, y consolidar una plataforma a tiempo real.

Reducir esta complejidad hará que los clientes puedan construir nuevos servicios
empresariales y buscar fuentes de ingresos orgánicas distintas, que eran
imposibles sin el Cloud.