SEMANA 2 – AUDITORÍA DE SISTEMAS

Es posible explotar las debilidades de seguridad en esas otras capas de muchas maneras y alterar
la integridad, fiabilidad y la seguridad de los sistemas de aplicación.

Los especialistas en extracción y análisis de datos deben tener habilidades en herramientas de

software de auditoría, tales como Audit Command Language (ACL) o IDEA. Estos especialistas
generalmente reciben requerimientos de los auditores financieros. Por ejemplo, en una revisión
del proceso de cuentas por cobrar, los auditores financieros podrían solicitar a los especialistas de
datos obtener una lista de todas las facturas de más de 90 días de mora. Sus actividades también
incluyen análisis de modelos que permitan el monitoreo continuo de pruebas de fraude,
violaciones al control interno, incumplimiento de políticas, entre otros. En el caso del monitoreo,
este puede ser configurado para buscar evidencias de pagos duplicados a proveedores, pagos
parcializados a proveedores (para eludir límites de aprobación del gasto), empleados configurados
como proveedores, etc. Los eventos específicos a ser monitoreados dependen de cada compañía.

En estos casos, es importante disponer de un acceso continuo a las bases de datos que almacenan
la información a revisar, ya que esto permite realizar pruebas bajo demanda, en lugar de tener
que solicitar los datos cada vez que se quiera realizar una prueba, lo cual, a su vez, representa un
riesgo de que la información pueda ser manipulada antes de ser entregada a los auditores.

Los auditores de tecnologías de información se focalizan principalmente en las capas que están por
debajo de la capa de aplicación. Se aseguran que la infraestructura básica que soporta a los
sistemas de la compañía sea segura y que tenga los controles apropiados para garantizar la
seguridad y confiabilidad. Generalmente tienen un perfil más técnico que de negocio y,
adicionalmente, también pueden participar en la revisión de controles generales de TI, como
control de cambios y gestión de accesos a los sistemas que se encuentran bajo revisión.

En lo anterior se evidencia que el auditor informático debe cumplir con un conjunto de requisitos
que garanticen la excelencia en el desempeño de sus funciones. Es por ello que resulta oportuno
mencionar la formación que debiera tener un auditor en informática.

1.1. FORMACIÓN
Delgado (1998) explica que se han realizado diversas discusiones sobre qué formación debería
tener el auditor: si es conveniente que sea un profesional de la tecnología o si debe provenir de la
rama de la auditoría. Si se realiza una verificación de las actividades que debe llevar a cabo un
auditor en informática, se evidencia que la mayoría no se llevan a cabo dentro del computador,
siendo su enfoque principal la verificación de los controles generales para determinar si se ha
diseñado de acuerdo con las normas internas y los requerimientos legales aplicables.

IACC
6
SEMANA 2 – AUDITORÍA DE SISTEMAS

Su labor consistirá en conducir a la mejora continua de los procesos que se llevan a cabo dentro de
la compañía y la optimización de los recursos.

La formación del auditor debe contener aspectos de auditoría financiera, técnicas y controles
sobre tecnologías, es decir, debe contar con conocimientos básicos en: desarrollo de sistemas de
información, sistemas operativos, telecomunicaciones, administración de bases de datos, redes
locales, seguridad física, administración de datos y comercio electrónico. De lo anterior, se infiere
que el auditor debe usar herramientas y manejar la terminología para lograr una comunicación
efectiva con el departamento de informática e interpretar la documentación diseñada para los
usuarios, desarrolladores, consultores o bien contar con personal que le ayude a realizar las
pruebas requeridas.

Por otro lado, en el área de auditoría financiera y controles, el auditor debe manejar técnicas de
administración de empresas para que las recomendaciones estén alineadas con los objetivos que
tiene la organización. En este aspecto, Delgado (1998) menciona que parte de la formación del
auditor debe estar centrada en el conocimiento de las actividades de administración y producción
de las empresas, de manera que entienda de contabilidad, administración de inventarios,
administración de bodegas, procesos de facturación, controles de producción, control de costo y
cualquier otro concepto requerido para entender cualquier sistema de aplicación que se le
presente.

Por las consideraciones anteriores, se deduce que el auditor en informática debe ser capaz de
manejar y evaluar los controles para cada actividad. Los conocimientos académicos para ello se
obtienen mediante el estudio de auditoría en la carrera de contador auditor, diplomados y cursos
en esta área. La idea es lograr una formación adecuada que incluya aspectos financieros y de toda
la normativa que rige la auditoría.

Cabe destacar que un profesional titulado como contador público deberá realizar estudios
específicos de tecnologías para familiarizarse con los términos usados en este ámbito, los cuales
pueden ser muy complejos, en especial para profesionales que no son del área.

Por otra parte, para el caso de los especialistas en tecnología, existen varias opciones que ofertan
las instituciones académicas para adquirir los conocimientos financieros, normas, técnicas y
procedimientos de acatamiento obligatorio o recomendado en la ejecución de auditoría.

En ambos casos, si el auditor posee formación de contador o de informático, deberá

complementar sus conocimientos para poder cumplir con los requisitos propios de un proceso de
auditoría.

IACC
7
SEMANA 2 – AUDITORÍA DE SISTEMAS

1.2. CERTIFICACIONES
Existen varias certificaciones relevantes para los profesionales que se dedican a la auditoría
informática o de sistemas, otorgadas por la Asociación de Auditoría y Control de Sistemas de
Información (Information Systems Audit and Control Association, Isaca), siendo una de las más
importantes la certificación CISA (Certified Information Systems Auditor), la cual fue establecida en
1978, debido a las siguientes razones (Erribarren y Morales, 2014):

• Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las
competencias de los individuos al realizar auditorías de sistemas.
• Proveer una herramienta motivacional para los auditores de sistemas de información para
mantener sus habilidades y monitorizar la efectividad de los programas de
mantenimiento.
• Proveer criterios de ayuda y gestión en la selección de personal.

CISA ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo
digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de
carrera innovadores y de primera clase. Los beneficios de obtener una certificación CISA, según
Canon (2008, p. 6), son:

a) Progreso profesional: Con la certificación se demuestra la experiencia previa que

posee el auditor, aprobando un examen riguroso que pone a prueba sus
conocimientos de auditoría.

b) Proporcionar un valor añadido al empleador: Con la certificación se espera la

adquisición de nuevos métodos que mejoren sus habilidades en el trabajo.

c) Proporciona seguridad de calidad a sus clientes: El destino de la organización

puede descansar en los resultados que se detallen en el informe del auditor,
debido a que la certificación garantizará que el auditor es una persona en la cual se
puede confiar para obtener los resultados precisos.

d) Proporciona una mayor oportunidad para el avance: Las empresas se interesan

por contratar a un buen profesional que esté motivado, en constante actualización
y que demuestre su capacidad con credenciales.

e) Construye respeto y la confianza de otras personas: Existen muchas empresas

que están dedicadas a la auditoría y buscan confianza en la gestión de negocio por
medio de la certificación CISA. Es un paso importante hacia la credibilidad que se
desea demostrar.

IACC
8
SEMANA 2 – AUDITORÍA DE SISTEMAS

De acuerdo con lo expresado por Canon (2008, p. 14), los requisitos para obtener la certificación
CISA son:

a. Aprobar el Examen CISA.

b. Aportar evidencias verificables de una experiencia laboral de al menos 5 años en el
ámbito de la auditoría, control o seguridad de TI.
c. Enviar la solicitud CISA dentro de los 5 años posteriores a la aprobación del examen.
d. Adherirse al Código de Ética Profesional de Isaca.
e. Cumplir los estándares de auditorías de los sistemas de información adoptados por
Isaca.
f. Cumplir con el programa de educación profesional continua.

El auditor de tecnología debe proveer razonable seguridad de que los objetivos de la auditoría se
realizan utilizando las normas.

Otra certificación que está cobrando relevancia es la certificación CISSP (Certified Information
Systems Security Professional), de alto nivel profesional, creada con el objetivo de ayudar a las
empresas a reconocer a los profesionales con formación en el área de seguridad de la información.

1.3. ASPECTOS FUNDAMENTALES DE UN AUDITOR

INFORMÁTICO
Según Davis y Schiller (2011), las características claves que debe tener un auditor informático son
las siguientes:

• Capacidad para profundizar en aspectos técnicos, sin perderse en los detalles.

• Capacidad de análisis. Es muy importante para el auditor no solo saber de tecnologías,
sino que también utilizar ese conocimiento para descubrir riesgos en el negocio y para
aplicar juicio respecto al grado de criticidad de estos riesgos.
• Habilidades de comunicación (oral y escrita). Un auditor informático debe ser capaz de
comunicarse y entenderse con personas con los más diversos cargos dentro de la
compañía, desde cargos muy técnicos hasta los más altos cargos gerenciales.
• Capacidad de aprender rápidamente nuevas tecnologías e identificar puntos de riesgos
clave dentro de estas tecnologías.
• Habilidades para construir relaciones de confianza. Los auditores informáticos deben ser
capaces de construir relaciones basadas en la confianza que sean sólidas. Esto incluye la
capacidad de sentir empatía con los clientes.

IACC
9
SEMANA 2 – AUDITORÍA DE SISTEMAS

2. MARCO DE TRABAJO Y ESTÁNDARES APLICADOS A LA

AUDITORÍA INFORMÁTICA
2.1. INTRODUCCIÓN A LOS MARCOS DE TRABAJO Y
ESTÁNDARES
En la medida que las tecnologías de información evolucionan y maduran en el tiempo, los
departamentos de informática de cada compañía desarrollan sus propios métodos para la gestión
de operaciones. Los marcos de trabajo y estándares surgieron para proporcionar directrices para
la gestión y evaluación de los procesos asociados a la tecnología de la información.

De acuerdo con lo establecido por Davis y Schiller (2011), en la década de 1970, debido al
aumento de quiebras de empresas y de colapsos financieros, comenzó una preocupación por una
mayor responsabilidad y transparencia de aquellas compañías que cotizan en la bolsa. La Foreign
Corrupt Practices Act (FCPA) -que es una ley bajo la cual cualquier empresa extranjera subsidiaria
de una corporación de Estados Unidos o que transe sus acciones en ese país puede ser
investigada, e incluso multada- fue la primera regulación que requirió que las compañías
implementasen programas de control interno para mantener extensos registros de transacciones
para fines de divulgación e investigación.

Cuando la industria de los préstamos y ahorros se derrumbó a mediados de la década de 1980,

hubo una mayor demanda de supervisión gubernamental de las normas de contabilidad y de la
profesión de la auditoría. En un esfuerzo para disuadir a la intervención gubernamental, una
iniciativa del sector privado, más adelante denominada Comité de Organizaciones Patrocinadoras
(Committee of Sponsoring Organizations, COSO), se inició en 1985 para evaluar la más óptima
manera de mejorar la calidad de la información financiera. COSO formalizó los conceptos de
control interno y de marco de trabajo en el año 1992, cuando se emitió la publicación de
referencia “Control Interno – Marco de referencia integrado”.

Desde entonces, otras asociaciones profesionales han seguido desarrollando nuevos marcos de
trabajo y nuevos estándares, para proporcionar una guía y mejores prácticas a la comunidad
informática en general.

IACC
10
SEMANA 2 – AUDITORÍA DE SISTEMAS

2.2. MARCOS DE TRABAJO Y ESTÁNDARES ACTUALES Y

EMERGENTES APLICADOS A LA AUDITORÍA INFORMÁTICA
2.2.1. ISO 19011

La norma ISO 19011 detalla los requisitos para realizar las auditorías de un sistema de gestión.
Surgió en el año 2002 con el fin de evitar la proliferación de normas internacionales que abarcaran
el mismo tema. Su nueva revisión 2011 tiene un mayor alcance que su predecesora, porque
considera su aplicabilidad para cualquier sistema de gestión y anteriormente se limitaba a
sistemas de gestión de calidad y sistemas de gestión ambiental, según lo afirma TÜV Rheinland (s.
f.). Con esta expansión de funciones, la auditoría es aplicable a cualquier sistema de gestión,
permitiendo ser auditado de manera independiente o de forma conjunta e integrada.

Esta norma es una guía para la gestión del programa de auditoría, la planeación y desarrollo de
esta y, adicionalmente, para las competencias y supervisiones que se deben realizar al equipo
auditor. Para ISO (2011), la norma es aplicable a todas las organizaciones que requieren llevar a
cabo auditorías internas o externas a sistemas de gestión o manejar un programa de auditoría. La
aplicación de esta norma internacional a otros tipos de auditoría es posible, en tanto se dé
consideración especial a la competencia específica requerida.

En el siguiente cuadro se presenta un resumen de la estructura de la norma ISO 19011 realizado

por Pulgarin (2011). El primer aspecto para considerar es la base conceptual, en la cual se
encuentran los capítulos que hacen mención a los términos y definiciones usados en la norma.
Adicionalmente, se describen los principios en los que se basa la auditoría.

Fuente: Itm Quality Auditors

IACC
11