Auditoría de Sistemas –

S2
Ing. Eddie Malca Vicente
La Auditoría

 La Auditoria es un proceso sistemático de evaluación post-mortem y de

formación de opinión sobre una determinada
materia o situación.
 Para nuestro caso sobre una materia o situación relacionada a Tecnología
de Información tal como un Sistema Informático, una Base de datos, una
Infraestructura tecnológica, unos Servidores, la gestión del Gerente de TI,
un proceso de atención de soporte técnico a usuarios, etc.
 Este proceso es realizado por los Auditores quienes son profesionales
que se encargan de realizar la evaluación y en función su evaluación
forma una opinión sobre dicha materia o situación.
 Aquí vale la pena mencionar que las auditorias también pueden ser
previas o durante la ejecución de una determinada materia o situación.
 Tipos de Auditoría
Existen muchos tipos de Auditoria. Entre las principales tenemos:

• Financieras. En estas Auditorias el Auditor forma una opinión si los estados financieros
(balance general, de una empresa reflejan la realidad financiera de la empresa.

• Operacionales. En estas Auditorias Operacionales se forma una opinión de la efectividad de

los controles operativos de los procesos de una compañía. Por ejemplo compras, ventas,
producción, etc.

• Cumplimiento. En las Auditorias de Cumplimiento, se forma una opinión de si una empresa

cumple con las leyes y regulaciones que está obligada a cumplir.

• Sistemas. En las Auditorias de Sistemas, el Auditor forma una opinión de la efectividad de

los controles tecnológicos para minimizar los riesgos por el uso de la tecnología.
Tipos de Auditoría
 Las Auditorias Financieras se realizan al menos una vez al año. Muchas entidades
reguladoras exigen que se realicen Auditorias Financieras. Por ejemplo la
Superintendencia de Mercado de Valores (SMV) exige que se realicen auditorias
financieras a las compañías que cotizan en la Bolsa.
 La Contraloría General de la Republica (CGR) exige que las Entidades del Estado
realicen una auditoria una vez al año. La Superintendencia de Banca, Seguros y AFP
(SBS) audita que los Bancos e Instituciones Financieras al menos una vez al año.
 En el Perú, es frecuente encontrar las auditorias de Sistemas como parte de las
Auditorias Financieras.
 Las Auditorias de Sistemas no son tan frecuentes y normalmente son realizadas
cuando hay algún problema en el área de TI, o cuando un nuevo Gerente de TI la
solicita para tomar conocimiento de la situación que recibe.
 Auditoría Interna y Externa
 Las Auditorias pueden ser internas o externas en función de quien realiza la Auditoria.
Así tenemos:
 Auditoria Interna. Una Auditoria es considerada Interna cuando el Auditor o equipo de
Auditoria labora dentro de la misma compañía. En una Auditoria Interna se tiene la
ventaja del nivel de profundidad de la auditoria. Dado que los Auditores son internos
tienen la ventaja de conocer el negocio y pueden realizar auditorías más detalladas. Una
desventaja podría ser que en caso hubiese algún tipo de relación entre el Auditor y la
materia auditada, el Auditor perdería su independencia.
 En Perú los Auditores internos laboran en el área de Auditoria Interna. En las Entidades
del Estado laboran en las Oficinas de Control Interno (OCI).
Auditoría Interna y Externa

 Auditoria Externa. En este caso, el Auditor o equipo de Auditoria

pertenece a una compañía externa que tiene una experiencia
amplia por haber auditado muchas compañías de diversos rubros.
Como una desventaja se tiene que la Auditoria Externa podría ser
menos detallada ya que normalmente cuentan con un periodo de
tiempo reducido (semanas o pocos meses) para realizar la revisión.
Big 4

 Cuando una empresa requiere realizar una Auditoria Externa, es

muy frecuente que las compañías contraten a una de
las llamadas Big Four para que realicen la Auditoria.
Se llama Big Four al conjunto de las 4 compañías internacionales
más prestigiosas en el campo de la auditoria, tal como
se muestra a continuación:
La Auditoría de Sistemas
 La Auditoria de Sistemas se refiere a la Auditoria de materias o situaciones
relacionadas a las Tecnologías de Información.
 El auditor de Sistemas tiene el “negocio” de encontrar riesgos. Veamos un
ejemplo: Imagina que te contratan como Auditor de Sistemas de una
compañía y al hacer la revisión de un Servidor de Base de Datos (todavía no
sabes cómo se hace, no te preocupes aun por eso), encuentras que dicho
Servidor no cuenta con Antivirus. También encuentras que la contraseña del
super usuario de la Base de datos no ha sido cambiada desde hace 3 años y
encuentras que al Sistema Operativo nunca se le han instalado parches del
fabricante (Imagina que es un Windows Server o SCO Unix).
 ¿Estas 3 situaciones que encontraste pueden originar riesgos? ¿Se cuenta con
los controles adecuados para minimizar los riesgos? ¿O todo lo contrario?
¿Qué opinión te vas formando de esta situación? Ese es el trabajo del Auditor
de Sistemas: encontrar situaciones que originan riesgos.
Estándares de ISACA
 Los Auditores de Sistemas están agrupados en gremios profesionales. A
nivel mundial una de las instituciones más prestigiosas es la
Information System Audit and Control Association (ISACA).
 ISACA es una institución con Sede en Chicago, Estados Unidos, que
agrupa a los profesionales de auditoria, control, riesgo y gobierno de TI.
Te invito a que le des un vistazo a esta institución. Puedes encontrar
más información en http://www.isaca.org

Estándares de ISACA
 Asimismo ISACA es uno de las entidades certificadoras de profesionales
más importantes del mundo. Actualmente, ISACA ofrece 4
certificaciones, las cuales son:

 Para Auditoria de Sistemas, evidentemente la Certificación que nos

sirve es la CISA. Si a lo largo del curso, descubres que la Auditoria de
Sistemas te interesa y ves que tienes competencias para identificar
riesgos, entonces tu podrías ser un futuro Auditor CISA.
 Estándares de ISACA
 ISACA cuenta con un framework de Auditoria de Sistemas denominado “A
Professional practices Framework for IS Audit/Assurance”, más conocido
como el framework ITAF.

Estándar 1003 Independencia profesional. El estándar indica

textualmente que: “Los profesionales de auditoría y aseguramiento de SI
deben ser independientes y objetivos, tanto en actitud como en
apariencia, en todos los asuntos relacionados con las asignaciones de
auditoría y aseguramiento”. Esto significa que no debe haber ninguna
relación entre al Auditor y la materia que se está auditando. Por ejemplo,
imagínate que estas auditando una compañía y tu esposa trabaja para
dicha compañía. En este caso podría afectarse tu independencia. Si
encuentras muchos riesgos, el que pueda estar en riesgo eres tu!.
Estándares de ISACA
 Estándar 1006 Competencia. “Los profesionales de auditoría y
aseguramiento de SI, junto con otras personas que ayudan en la
asignación, deben poseer las habilidades y la competencia adecuadas
para realizar las asignaciones de auditoría y aseguramiento de SI y ser
profesionalmente aptos para realizar el trabajo requerido”. Por ejemplo
no podemos hacer una Auditoria de Sistemas a un cajero automático sino
tenemos la mínima idea de cómo funciona por dentro. En este caso no
somos competentes para realizar la evaluación.

Estándares de ISACA

 Estándar 1201 Evaluación de riesgo en planificación: “La función

de auditoría y aseguramiento de SI debe utilizar un enfoque de
evaluación de riesgo adecuado y metodología de respaldo para
desarrollar el plan completo de auditoría de SI y determinar las
prioridades para la asignación efectiva de los recursos de
auditoría de SI”. Como dijimos el riesgo es primordial para el
Auditor de Sistemas. En función del riesgo se planifica que auditar y
con qué prioridad.
Estándares de ISACA
 Estándar 1204 Materialidad. “Los profesionales de auditoría y
aseguramiento de SI deben considerar las debilidades potenciales o
ausencias de controles mientras planifican una asignación y si esas
debilidades o ausencias de controles pudieran resultar en una
deficiencia significativa o una debilidad material”.
Estándares de ISACA
 Estándar 1205 Evidencia: “Los profesionales de auditoría y
aseguramiento de SI deben obtener evidencias sufcientes y apropiadas
para llegar a conclusiones razonables sobre las cuales basar los
resultados de la auditoria”. El Auditor siempre se respalda con
evidencias, como por ejemplo fotos, videos, actas, documentación,
pantallazos, etc.
 Estándar 1207 irregularidad y Actos irregulares: “Los profesionales de
auditoría y aseguramiento de SI deben considerar el riesgo de
irregularidades y actos ilegales durante la auditoria”.

Estándares de ISACA
 Los profesionales de auditoría y aseguramiento de SI deben mantener una
actitud de escepticismo profesional durante la asignación.
 Los profesionales de auditoría y aseguramiento de SI deben documentar y
comunicar, de manera oportuna, cualquier acto ilegal o irregularidad
material a la parte apropiada”. Esto significa que si encontramos una
irregularidad o un acto ilegal, estamos en la obligación de obtener la
evidencia correspondiente e informarlo, no podemos ignorarlo
Estándares de ISACA
 Estándar 1401 Reportes: “Los profesionales de auditoría y aseguramiento de SI
deben proporcionar un reporte para comunicar los resultados al concluir la
auditoria, que incluye:

• Identificación de la empresa, los destinatarios previstos y cualquier restricción

sobre el contenido y la circulación.
• Alcance, objetivos de la asignación, período de cobertura y la naturaleza, los
plazos y el alcance del trabajo realizado
• Hallazgos, conclusiones y recomendaciones de la auditoría
• Cualquier calificación o limitación dentro del alcance que el profesional de
auditoría y aseguramiento de SI tenga con respecto a la asignación
• Firma, fecha y distribución según los términos del estatuto de la función de
auditoría o carta de asignación de auditoría”.
Como es evidente, este estándar nos indica claramente cuales son los entregables
de la Auditoria de Sistemas.
Estándares de ISACA
 Estándar 1402 Actividades de Seguimiento: “Los profesionales de
auditoría y aseguramiento de SI deben monitorear información relevante
para concluir si la dirección ha planeado/tomado la acción oportuna y
apropiada para abordar los hallazgos y las recomendaciones de la
auditoría reportados”. El seguimiento se refiere a revisar que los auditados
hayan ejecutado las recomendaciones de la Auditoria de Sistemas del
periodo anterior.

Estos estándares no son los únicos. Una lista completa de los estándares de
Auditoría, los puedes encontrar en:
https://www.isaca.org/bookstore/audit-control-and-security-
essentials/witaf
Riesgos como factor clave
 Suponga que se realiza una revisión y no encuentras situaciones de
riesgo. Es decir, haces la Auditoria y se “te escapan” estos puntos. Es
decir no encuentras las situaciones que originan los riesgos (que en
el ejemplo son muy evidentes). ¿Qué opinión te formarías? Se dice
que Auditor de Sistemas que no encuentra riesgos, no es Auditor de
Sistemas. Por eso es muy importante que aprendamos a identificar
los riesgos.
 Y lo primero es que debes tener muy presente lo que es el riesgo.
 Veamos la definición de la Norma ISO 13335. “El riesgo es la
probabilidad que una amenaza se aproveche de una vulnerabilidad y
nos genera un daño”.
Riesgos como factor clave
 Aquí la amenaza es cualquier cosa que tenga el potencial de hacer
daño.
 La vulnerabilidad es cualquier deficiencia que se tenga.
 El daño es el impacto negativo que tenemos si la amenaza se
aprovecha de la(s) vulnerabilidad(es).
 El daño pude ser económico, patrimonial, de imagen, etc.
Riesgos como factor clave
 Volvamos a las tres situaciones identificadas del caso de un servidor.
Tenemos que:
• El Servidor no cuenta con Antivirus.
• La contraseña del super usuario de la Base de datos no ha sido
cambiada desde hace 3 años y
• Al Sistema Operativo nunca se le han instalado parches del
fabricante.
Riesgos como factor clave
 Descompongamos la primera situación en función de la definición
del riesgo:
¿Cuál sería la amenaza? Es evidente que lo que nos puede hace daño
aquí es el malware.
¿Cuál sería la vulnerabilidad? La propia inexistencia del Antivirus es
la vulnerabilidad.
¿Cuál sería el daño? El ingreso de malware podría originar la
inutilización del servidor, el robo de información del servidor, entre
otros.
Riesgos como factor clave
 La segunda situación:
¿Cuál sería la amenaza? Cualquier persona que tenga acceso al
servidor y que conozca o adivine la contraseña es considerada una
amenaza.
¿Cuál sería la vulnerabilidad? Mantener la misma contraseña es la
vulnerabilidad.
¿Cuál sería el daño? El robo o la modificación de la información
contenida en el servidor.
Riesgos como factor clave
 La tercera situación:
¿Cuál sería la amenaza? El malware o los criminales informáticos son las
amenazas.
¿Cuál sería la vulnerabilidad? El no actualizar los parches del Sistema
Operativo
¿Cuál sería el daño? El robo o la modificación de la información contenida
en el servidor.
Como vez, en las 3 situaciones se encuentra la amenaza, la vulnerabilidad y
el daño.
Los Auditores de Sistemas se enfocan en identificar los riesgos.
Qué hacemos con el riesgo
 Una vez que el riesgo ha sido identificado, el riesgo debe ser tratado.
 El término “tratamiento del riesgo” quiere decir que hay que hacer
algo con ese riesgo.
 El tratamiento del riesgo le corresponde al Auditado.
Qué hacemos con el riesgo
 El auditado tiene 4 opciones para trata el riesgo:
 Reducirlo. Cuando se decide reducir (o minimizar) el riesgo, se tiene
que hacer algo para que ese riesgo se reduzca.
Por ejemplo mantener actualizado un Sistema Operativo actualizado
con los parches que emite el fabricante.
 Transferirlo. En algunas situaciones es posible transferir el riesgo a
un tercero. Por ejemplo tercerizar un proyecto de desarrollo de
software a un tercero, en lugar de hacerlo nosotros mismos. Otro
ejemplo podría ser contratar una póliza de seguros.
Qué hacemos con el riesgo
 Aceptarlo. Aceptar un riesgo es lo mismo que no hacer nada.
Simplemente, se “le acepta”. Ejemplo de esto es seguir sin Antivirus
a pesar de que se encontró que un computador esta sin Antivirus.
 Cesar la actividad que da origen al riesgo. A esta opción algunos
autores le llaman “eliminar” el riesgo. Por ejemplo, si no se puede
instalar un Antivirus (cosa poco probable) siempre queda la
alternativa de apagar el computador. Al apagar el computador, estoy
cesando la actividad que da origen al riesgo. Pero esta acción ha
tenido un costo muy alto. Si bien es cierto que “elimine” el riesgo de
infección, también inhabilite el uso del computado
Qué hacemos con el riesgo
 Aceptarlo. Aceptar un riesgo es lo mismo que no hacer nada.
Simplemente, se “le acepta”. Ejemplo de esto es seguir sin Antivirus
a pesar de que se encontró que un computador esta sin Antivirus.
 Cesar la actividad que da origen al riesgo. A esta opción algunos
autores le llaman “eliminar” el riesgo. Por ejemplo, si no se puede
instalar un Antivirus (cosa poco probable) siempre queda la
alternativa de apagar el computador. Al apagar el computador, estoy
cesando la actividad que da origen al riesgo. Pero esta acción ha
tenido un costo muy alto. Si bien es cierto que “elimine” el riesgo de
infección, también inhabilite el uso del computado
Controles
 Cuando se decide reducir el riesgo, entonces se requiere de un
control que haga ese trabajo.
 Un control en su término
más amplio es cualquier cosa que minimiza un riesgo. Por ejem.
escribir un procedimiento, implementar un frewall,
instalar un antivirus, ejecutar un respaldo (backup), etc.

 El auditor como parte de su trabajo debe recomendar los mejores

controles para reducir el riesgo que identificó.

 Para minimizar los riesgos se pueden implementar varios tipos de

controles:
Controles
 Preventivos. Siempre se debe preferir este tipo de controles. Su
función es detectar problemas antes de que estos ocurran. Por
ejemplo una pantalla de usuario y contraseña de acceso a un
Sistema o la encriptación de datos sensibles.
 Detectivos. Estos controles como su nombre lo indica detectan y
reportan la ocurrencia de un incidente, error o situación. Por
ejemplo un log de auditoria, una alarma o una función hash.
 Correctivos. Los controles correctivos minimizan el impacto de una
amenaza así como corrigen los problemas descubiertos por los
controles detectivos. Por ejemplo un respaldo (backup) o un plan de
contingencias.