Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORÍA DE SISTEMAS
SEMANA 2
Fundamentos generales de la auditoría
informática
Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni
utilizar los contenidos para fines comerciales de ninguna clase.
IACC
1
SEMANA 2 – AUDITORÍA DE SISTEMAS
APRENDIZAJES ESPERADOS
El estudiante será capaz de:
IACC
2
SEMANA 2 – AUDITORÍA DE SISTEMAS
IACC
3
SEMANA 2 – AUDITORÍA DE SISTEMAS
INTRODUCCIÓN
A medida que avanza el tiempo, las mejorar y garantizar la veracidad del trabajo
empresas adquieren herramientas e del auditor como, por ejemplo, ISO 19011,
implementan procesos que deben ser ITIL, COSO, COBIT, ISO 27001, entre otras.
verificados y controlados y, para ello,
demandan la contratación de personas
especializadas que ofrezcan juicios
profesionales confiables de acuerdo con las
evidencias encontradas. Los profesionales
del área, para ofrecer las conclusiones
adecuadas, deben poseer un conjunto de
conocimientos dependiendo del negocio
Fuente: www.gb-advisors.com/es/normas-y-
abordado y asumir un rol apropiado para
estandares-internacionales/
ejecutar la auditoría.
IACC
4
SEMANA 2 – AUDITORÍA DE SISTEMAS
Todos estos temas técnicos dan soporte a uno o más procesos de negocio de la compañía.
De acuerdo con lo establecido por Davis y Schiller (2011), existe una variedad de interpretaciones
respecto al perfil o rol de un auditor en informática dentro de la función de auditoría global,
siendo los principales los siguientes:
Los auditores de aplicaciones de sistemas corresponden generalmente a personas que conocen del
negocio de la compañía. Estos equipos de auditoría se centran en la capa de aplicación y realizan
un trabajo minucioso para asegurar que el acceso al sistema sea controlado adecuadamente y que
exista una correcta segregación de funciones. También se aseguran de que no se puedan realizar
cambios no autorizados en la aplicación y que existan controles para asegurar la integridad de los
datos que se introducen en el sistema. Sin embargo, no se focalizan en el resto de las capas de
revisión y, por lo tanto, no analizan los controles fundamentales de los que todos los sistemas
dependen, tales como la seguridad de la red y del entorno del sistema operativo.
IACC
5
SEMANA 2 – AUDITORÍA DE SISTEMAS
Es posible explotar las debilidades de seguridad en esas otras capas de muchas maneras y alterar
la integridad, fiabilidad y la seguridad de los sistemas de aplicación.
En estos casos, es importante disponer de un acceso continuo a las bases de datos que almacenan
la información a revisar, ya que esto permite realizar pruebas bajo demanda, en lugar de tener
que solicitar los datos cada vez que se quiera realizar una prueba, lo cual, a su vez, representa un
riesgo de que la información pueda ser manipulada antes de ser entregada a los auditores.
Los auditores de tecnologías de información se focalizan principalmente en las capas que están por
debajo de la capa de aplicación. Se aseguran que la infraestructura básica que soporta a los
sistemas de la compañía sea segura y que tenga los controles apropiados para garantizar la
seguridad y confiabilidad. Generalmente tienen un perfil más técnico que de negocio y,
adicionalmente, también pueden participar en la revisión de controles generales de TI, como
control de cambios y gestión de accesos a los sistemas que se encuentran bajo revisión.
En lo anterior se evidencia que el auditor informático debe cumplir con un conjunto de requisitos
que garanticen la excelencia en el desempeño de sus funciones. Es por ello que resulta oportuno
mencionar la formación que debiera tener un auditor en informática.
1.1. FORMACIÓN
Delgado (1998) explica que se han realizado diversas discusiones sobre qué formación debería
tener el auditor: si es conveniente que sea un profesional de la tecnología o si debe provenir de la
rama de la auditoría. Si se realiza una verificación de las actividades que debe llevar a cabo un
auditor en informática, se evidencia que la mayoría no se llevan a cabo dentro del computador,
siendo su enfoque principal la verificación de los controles generales para determinar si se ha
diseñado de acuerdo con las normas internas y los requerimientos legales aplicables.
IACC
6
SEMANA 2 – AUDITORÍA DE SISTEMAS
Su labor consistirá en conducir a la mejora continua de los procesos que se llevan a cabo dentro de
la compañía y la optimización de los recursos.
La formación del auditor debe contener aspectos de auditoría financiera, técnicas y controles
sobre tecnologías, es decir, debe contar con conocimientos básicos en: desarrollo de sistemas de
información, sistemas operativos, telecomunicaciones, administración de bases de datos, redes
locales, seguridad física, administración de datos y comercio electrónico. De lo anterior, se infiere
que el auditor debe usar herramientas y manejar la terminología para lograr una comunicación
efectiva con el departamento de informática e interpretar la documentación diseñada para los
usuarios, desarrolladores, consultores o bien contar con personal que le ayude a realizar las
pruebas requeridas.
Por otro lado, en el área de auditoría financiera y controles, el auditor debe manejar técnicas de
administración de empresas para que las recomendaciones estén alineadas con los objetivos que
tiene la organización. En este aspecto, Delgado (1998) menciona que parte de la formación del
auditor debe estar centrada en el conocimiento de las actividades de administración y producción
de las empresas, de manera que entienda de contabilidad, administración de inventarios,
administración de bodegas, procesos de facturación, controles de producción, control de costo y
cualquier otro concepto requerido para entender cualquier sistema de aplicación que se le
presente.
Por las consideraciones anteriores, se deduce que el auditor en informática debe ser capaz de
manejar y evaluar los controles para cada actividad. Los conocimientos académicos para ello se
obtienen mediante el estudio de auditoría en la carrera de contador auditor, diplomados y cursos
en esta área. La idea es lograr una formación adecuada que incluya aspectos financieros y de toda
la normativa que rige la auditoría.
Cabe destacar que un profesional titulado como contador público deberá realizar estudios
específicos de tecnologías para familiarizarse con los términos usados en este ámbito, los cuales
pueden ser muy complejos, en especial para profesionales que no son del área.
Por otra parte, para el caso de los especialistas en tecnología, existen varias opciones que ofertan
las instituciones académicas para adquirir los conocimientos financieros, normas, técnicas y
procedimientos de acatamiento obligatorio o recomendado en la ejecución de auditoría.
IACC
7
SEMANA 2 – AUDITORÍA DE SISTEMAS
1.2. CERTIFICACIONES
Existen varias certificaciones relevantes para los profesionales que se dedican a la auditoría
informática o de sistemas, otorgadas por la Asociación de Auditoría y Control de Sistemas de
Información (Information Systems Audit and Control Association, Isaca), siendo una de las más
importantes la certificación CISA (Certified Information Systems Auditor), la cual fue establecida en
1978, debido a las siguientes razones (Erribarren y Morales, 2014):
• Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las
competencias de los individuos al realizar auditorías de sistemas.
• Proveer una herramienta motivacional para los auditores de sistemas de información para
mantener sus habilidades y monitorizar la efectividad de los programas de
mantenimiento.
• Proveer criterios de ayuda y gestión en la selección de personal.
CISA ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo
digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de
carrera innovadores y de primera clase. Los beneficios de obtener una certificación CISA, según
Canon (2008, p. 6), son:
IACC
8
SEMANA 2 – AUDITORÍA DE SISTEMAS
De acuerdo con lo expresado por Canon (2008, p. 14), los requisitos para obtener la certificación
CISA son:
El auditor de tecnología debe proveer razonable seguridad de que los objetivos de la auditoría se
realizan utilizando las normas.
Otra certificación que está cobrando relevancia es la certificación CISSP (Certified Information
Systems Security Professional), de alto nivel profesional, creada con el objetivo de ayudar a las
empresas a reconocer a los profesionales con formación en el área de seguridad de la información.
IACC
9
SEMANA 2 – AUDITORÍA DE SISTEMAS
De acuerdo con lo establecido por Davis y Schiller (2011), en la década de 1970, debido al
aumento de quiebras de empresas y de colapsos financieros, comenzó una preocupación por una
mayor responsabilidad y transparencia de aquellas compañías que cotizan en la bolsa. La Foreign
Corrupt Practices Act (FCPA) -que es una ley bajo la cual cualquier empresa extranjera subsidiaria
de una corporación de Estados Unidos o que transe sus acciones en ese país puede ser
investigada, e incluso multada- fue la primera regulación que requirió que las compañías
implementasen programas de control interno para mantener extensos registros de transacciones
para fines de divulgación e investigación.
Desde entonces, otras asociaciones profesionales han seguido desarrollando nuevos marcos de
trabajo y nuevos estándares, para proporcionar una guía y mejores prácticas a la comunidad
informática en general.
IACC
10
SEMANA 2 – AUDITORÍA DE SISTEMAS
La norma ISO 19011 detalla los requisitos para realizar las auditorías de un sistema de gestión.
Surgió en el año 2002 con el fin de evitar la proliferación de normas internacionales que abarcaran
el mismo tema. Su nueva revisión 2011 tiene un mayor alcance que su predecesora, porque
considera su aplicabilidad para cualquier sistema de gestión y anteriormente se limitaba a
sistemas de gestión de calidad y sistemas de gestión ambiental, según lo afirma TÜV Rheinland (s.
f.). Con esta expansión de funciones, la auditoría es aplicable a cualquier sistema de gestión,
permitiendo ser auditado de manera independiente o de forma conjunta e integrada.
Esta norma es una guía para la gestión del programa de auditoría, la planeación y desarrollo de
esta y, adicionalmente, para las competencias y supervisiones que se deben realizar al equipo
auditor. Para ISO (2011), la norma es aplicable a todas las organizaciones que requieren llevar a
cabo auditorías internas o externas a sistemas de gestión o manejar un programa de auditoría. La
aplicación de esta norma internacional a otros tipos de auditoría es posible, en tanto se dé
consideración especial a la competencia específica requerida.
IACC
11
SEMANA 2 – AUDITORÍA DE SISTEMAS
Estos principios son usados para lograr que la auditoría sea una herramienta eficaz y fiable a través
del apoyo de las políticas y controles de gestión. ISO (2011, p. 4) señala que la auditoría se
caracteriza por depender de varios principios que proporcionarán información que permitirá
mejorar el desempeño de las organizaciones. A continuación, se mencionan:
IACC
12
SEMANA 2 – AUDITORÍA DE SISTEMAS
2.2.2. COSO
De acuerdo con lo expresado por Institute of Management Accountants (2015), COSO (Committee
of Sponsoring Organizations) se formó para patrocinar la Comisión Nacional de Información
Financiera Fraudulenta, en respuesta a la creciente crisis financiera de Estados Unidos y a la
demanda de una mayor supervisión gubernamental de las prácticas contables y de auditoría.
COSO es una iniciativa que estudió los factores causales que pueden conducir a una información
financiera fraudulenta, y está orientado a ayudar a una empresa a definir los riesgos de
organización a nivel empresarial.
COSO publicó en 1992 la guía “Control Interno – Marco de referencia integrado”. Esta publicación
establece una definición común para el control interno y un marco contra el cual las
organizaciones pueden evaluar y mejorar sus sistemas de control.
COSO es considerado como la piedra angular de las prácticas de gestión de riesgos y control
interno de las empresas modernas. Revolucionó las profesiones de contabilidad y de auditoría al
establecer una definición común de control interno, gestión de riesgo empresarial, entre otros
conceptos.
Según Harris (2010), el control interno definido por COSO consiste en los siguientes conceptos
interrelacionados:
COSO introduce el concepto de controles sobre los sistemas de información. Establece que debido
a la confianza generalizada que se tiene sobre los sistemas de información, es necesaria la
existencia de controles sobre los sistemas significativos. Clasifica las actividades de control sobre
los sistemas de información en dos grandes grupos.
IACC
13
SEMANA 2 – AUDITORÍA DE SISTEMAS
El primero se refiere a los controles generales, que incluye controles sobre la gestión de las
tecnologías de información, sobre la infraestructura de tecnologías de información, gestión de
seguridad y sobre los procesos de adquisición, desarrollo y mantención de software. El segundo
grupo se refiere a los controles de aplicación, que incluyen actividades automáticas al interior de
la aplicación para controlar reglas de negocio a través de los sistemas de información. Estos
controles permiten asegurar la integridad, exactitud y validez de la información.
Fuente: Infosaudit
2.2.3. COBIT
COBIT (Control Objectives for Information Systems and Related Technology, en español Objetivos
de Control para Sistemas de Información y Tecnologías Relacionadas) es un marco de trabajo para
el gobierno y la gestión de empresas de tecnología de información, que consolida y armoniza
estándares de fuentes globales prominentes en un recurso crítico para la gerencia. Es un modelo
para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los
sectores de una organización, es decir, administradores IT, usuarios y, por supuesto, los auditores
involucrados en el proceso.
IACC
14
SEMANA 2 – AUDITORÍA DE SISTEMAS
para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio,
profesionales de tecnologías de información y profesionales de aseguramiento.
De acuerdo con lo indicado por Peña (2012), COBIT se basa en 5 principios básicos, que son los
siguientes:
1. Satisfacción de las necesidades de las partes interesadas. Las necesidades de las partes
interesadas deben ser transformadas en una estrategia accionable para la organización. Las metas
en cascada de COBIT traducen las metas corporativas de alto nivel en otras metas más manejables,
específicas, relacionadas con TI y mapeándolas con procesos y prácticas específicas.
2. Cobertura de toda la empresa. Las organizaciones deben cambiar su visión, con el objetivo
de considerar el área de tecnologías de la información como un activo y no un costo. Los directivos
deben tomar la responsabilidad de gobernar y gestionar los activos relacionados con las
tecnologías de la información dentro de sus propias funciones.
IACC
15
SEMANA 2 – AUDITORÍA DE SISTEMAS
De forma conjunta, estos cinco principios permiten que la empresa desarrolle un marco eficaz de
gobierno y gestión que optimiza la inversión en información y tecnología y su uso para beneficio
de las partes interesadas.
De acuerdo con lo indicado por Peña (2012), los lineamientos y estándares internacionales
conocidos como COBIT, definen un marco de referencia que clasifica los procesos de las unidades
de tecnología de información de las organizaciones en cuatro dominios principales:
3. Soporte y servicios: Abarca los servicios requeridos desde operaciones tradicionales hasta
el entrenamiento, tomando en cuenta la seguridad y aspectos de continuidad. Para la definición
de servicios se deben establecer los procesos de soporte necesarios.
4. Monitoreo: Todos los procesos deben ser evaluados constantemente para verificar su
calidad y suficiencia en cuanto a los requerimientos de control.
El marco COBIT, en su versión 4.1, establece 34 objetivos de control de alto nivel y 215 objetivos
de control detallados, los que se encuentran agrupados según estos 4 dominios, de acuerdo con lo
establecido por el documento COBIT 4.1 publicado por el IT Governance Institute el año 2007.
https://ebookcentral.proquest.com/lib/iaccmhe/detail.actio
n?docID=3191643.
IACC
16
SEMANA 2 – AUDITORÍA DE SISTEMAS
- COBIT 5 tiene por objetivo ayudar a las organizaciones a crear un valor agregado basado
en las TI, porque mantiene un equilibrio entre los beneficios y la optimización del riesgo y uso de
los recursos.
- Los principios y habilitaciones de COBIT 5 son genéricos, útiles y aplicables a todo tipo de
organización.
IACC
17
SEMANA 2 – AUDITORÍA DE SISTEMAS
2.2.4. ITIL
http://www.magazcitum.com.mx/?p=50#.XD44KFVKjIU
ITIL proporciona una serie de referencias prácticas y normas específicas que son adaptables
prácticamente a cualquier organización. En su versión 3, consta de 5 libros basados en el ciclo de
vida del servicio:
2. Diseño del servicio. Una vez identificado un posible servicio, el siguiente paso consiste en
analizar su viabilidad. Para ello se toman factores tales como infraestructura disponible,
capacitación del personal, y se planifican aspectos como seguridad y prevención ante desastres.
Para la puesta en marcha se toman en consideración la reasignación de cargos, la infraestructura y
software a implementar. Este libro cubre los siguientes procesos: gestión del catálogo de servicios,
gestión de niveles de servicio, gestión de la disponibilidad, gestión de la capacidad, gestión de la
continuidad de los servicios, gestión de proveedores, gestión de la seguridad de la información y
coordinación del diseño.
IACC
18
SEMANA 2 – AUDITORÍA DE SISTEMAS
3. Transición del servicio. Antes de poner en marcha el servicio se deben realizar pruebas.
Para ello se analiza la información disponible acerca del nivel real de capacitación de los usuarios,
estado de la infraestructura, recursos de tecnologías de la información disponibles, entre otros.
Luego se prepara un escenario para realizar pruebas: se replican las bases de datos, se preparan
planes de rollback (reversión) y se realizan las pruebas. Luego de ello, se limpia el escenario hasta
el punto de partida y se analizan los resultados, de los cuales dependerá la implementación del
servicio. Este libro cubre los siguientes procesos: gestión de la configuración y activos, gestión del
cambio, gestión del conocimiento, planificación y apoyo a la transición, gestión de release y
despliegue, gestión de validación y pruebas y evaluación del cambio.
La ISO 27001 es un conjunto de normas básicas que tratan varios aspectos relacionados a prácticas
de seguridad de la información, gestión de seguridad de la información, y gestión del riesgo de
seguridad de la información. Esta norma forma parte de una familia de normas denominada ISO
27000.
Para Castellano (2015, p. 12), el objetivo de la familia de normas ISO 27000 es establecer los
requisitos mínimos con los que debe cumplir un Sistema de Gestión de la Seguridad de la
Información (SGSI) en una organización.
IACC
19
SEMANA 2 – AUDITORÍA DE SISTEMAS
Según el portal de ISO27000.es (s. f.), existen tres términos que constituyen la base de la seguridad
de la información:
• ISO 27799: Es una guía para implementar ISO 27002 en la industria de la salud.
IACC
20
SEMANA 2 – AUDITORÍA DE SISTEMAS
• Política de seguridad.
• Gestión de activos.
• Control de acceso.
• Cumplimiento.
IACC
21
SEMANA 2 – AUDITORÍA DE SISTEMAS
https://advisera.com/27001academy/es/que-es-iso-27001/
IACC
22
SEMANA 2 – AUDITORÍA DE SISTEMAS
COMENTARIO FINAL
En esta semana se ha revisado el perfil del auditor en informática, su formación, estándares y
marcos de trabajo aplicados en la auditoría en informática. Dependiendo del alcance de esta
última, se analizaron los distintos roles que debe tomar el auditor, cuya formación viene tanto de
las carreras de auditoría o gestión como de las carreras de informática. En este aspecto, toman
especial relevancia las certificaciones que otorgan un reconocimiento internacional en este
campo, como por ejemplo, las certificaciones CISA y CISSP otorgadas por Isaca. Además, se
evidenció que, dependiendo de su base profesional, debe educarse para adquirir los
conocimientos faltantes para llevar a cabo un proceso de auditoría. También se revisaron los
aspectos claves que debe tener un auditor en informática para lograr el éxito.
IACC
23
SEMANA 2 – AUDITORÍA DE SISTEMAS
REFERENCIAS
Delgado, X. (1998). Auditoría informática. Capítulo 1. Recuperado de:
www.isaca.org\nonenglishbooks.
Echeñique, J. (2001). Auditoría en informática. Capítulo XXX. 2.ª edición. México: McGraw-Hill.
Sistemas. Semana 2.
IACC
24
SEMANA 2 – AUDITORÍA DE SISTEMAS
IACC
25