Auditoría de Sistemas de Información

Unidad 1:
La función de
Auditoría
Rodolfo Bojorque, MSc.

Página 1 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
Índice
1. La Función de Auditoría ........................................................................................................ 3
1.1. Definición de auditoría ...................................................................................................... 3
1.2. Componentes de una auditoría......................................................................................... 5
1.2.1. Auditorías internas o de primera parte......................................................................... 6
1.2.2. Auditorías de segunda parte ......................................................................................... 6
1.2.3. Auditorías de tercera parte ........................................................................................... 6
1.3. Objetivo de auditoría “Sistemas de Información” ............................................................ 7
1.4. Alcance de auditoría.......................................................................................................... 7
1.5. Proceso de Auditoría ......................................................................................................... 8
1.5.1. Tipos de pruebas ........................................................................................................... 9
1.5.2. Muestreo ....................................................................................................................... 9
1.5.3. Evidencias de auditoría ............................................................................................... 10
1.5.4. Hallazgos de auditoría ................................................................................................. 11
1.5.5. Riesgo de Auditoría ..................................................................................................... 11
1.6. Programa de Auditoría .................................................................................................... 12
1.6.1. Implementación de un programa de auditoría ........................................................... 13
1.7. Estandarización de la labor de Auditoría ........................................................................ 14
1.7.1. AICPA ........................................................................................................................... 15
1.7.2. ISO ............................................................................................................................... 15
1.7.3. ISACA ........................................................................................................................... 16
1.8. Gobierno de la TI ............................................................................................................. 17
1.8.1. Auditoría de los sistemas de información ................................................................... 17
1.8.2. Certificación de seguridad ........................................................................................... 18
1.9. Equipo Auditor ................................................................................................................ 18
1.10. Peritaje informático .................................................................................................... 20
Bibliografía: ................................................................................................................................. 21

Página 2 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
1. La Función de Auditoría

1.1. Definición de auditoría

Generalmente la interpretación de la palabra auditoría suele estar relacionada como

herramientas a disposición de la gerencia para el control de algún proceso, es decir, se mira
la auditoría como una actividad que involucrando alguna metodología ayuda a establecer
los criterios que ayudarán a medir la eficiencia, eficacia y posibles desviaciones de los
objetivos dados a un proceso concreto, otras visiones muy diseminadas establecen la
auditoría como un proceso sancionador, destinado a establecer responsabilidades de las
acciones o situaciones por la que una empresa no logra alcanzar los resultados deseados.
Las anteriores son definiciones muy alejadas de la verdad y que no reflejan la naturaleza de
la auditoría.

Desde un punto de vista general podemos definir a la auditoría como un proceso ejecutado
por un auditor, que es sistemático, independiente y documentado; y que busca obtener
registros, declaraciones, hechos u otra información conocida como evidencias de auditoría.
Las evidencias de auditoría deben ser verificables y evaluables de manera objetiva, puesto
que en base a ellas, se determinará la medida en la cual el hecho auditado cumple unos
criterios de auditoría. Estos criterios están determinados por un conjunto de políticas,
procedimientos o requisitos y son usados como referencia contra la que se compara la
realidad. Las pruebas de estas diferencias entre la realidad y la referencia son lo que se
entiende como evidencias de auditoría.

En conclusión, podemos concluir que el proceso de auditoría pretende poder objetivizar la

opinión de un experto.

Criterio de auditoría se entiende como el conjunto de políticas, procedimientos o requisitos

usados como referencia en la auditoría y que suelen tener como objetivo el control de algún
aspecto de la actividad del auditado. Es por ello que a veces son sinónimo de controles.

Según el ámbito de las organizaciones se definen distintas categorías de auditoría, entre las
más comunes podemos mencionar:

• Auditorías financieras
• Auditorías a procesos productivos de calidad (no solo relacionados con la ISO sino
con otros esquemas de gestión de calidad total como Six Sigma1)
• Auditorías del proceso de gestión de RRHH
• Auditorías de cumplimiento legal
• Auditorías a la gestión ambiental

1
Six SIGMA es una metodología de mejora de procesos creada en Motorola por el ingeniero Bill Smith
en la década de los 80, esta metodología está centrada en la reducción de la variabilidad, consiguiendo
reducir o eliminar los defectos o fallos en la entrega de un producto o servicio al cliente. Fuente:
http://www.leansolutions.co/conceptos/que-es-six-sigma/

Página 3 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
• Auditorías a los sistemas de información y en general a la forma en que es tratada y
gestionada la seguridad de la información digital de una organización.

Independientemente del tipo de auditoría y el hecho auditado, la auditoría siempre debería

guiarse por unos principios que garanticen que el trabajo realizado corresponde a algo más
que la opinión de un experto y que puede considerarse como una auditoría, es decir, un
análisis sistémico. La adhesión a estos principios es necesaria para que las conclusiones de
la auditoría sean pertinentes y suficientes, y para asegurar que los auditores que trabajan
independientemente entre sí lleguen a conclusiones similares en circunstancias similares.

Si una auditoría se rige por los siguientes principios será suficientemente objetiva.

Los principios de auditoría afectan tanto al comportamiento y características del auditor

como al proceso de auditoría en sí misma, lamentablemente no podemos actuar sobre los
principios de los auditados, por ello es clave ahondar esfuerzos para desarrollar los
siguientes principios:

• Con respecto al auditor:

o Conducta ética: Es la base de todo profesionalismo, es una asignación de
auditoría es esencial que se establezcan relaciones de confianza entre el
auditor y el auditado. Por lo tanto, el auditor debe actuar con un elevado
grado de integridad, confidencialidad y discreción. Es frecuente escuchar
acerca de códigos de conducta, sin embargo estos pueden estar explicados
o no, por lo general asociaciones o entidades publican sus propios códigos,
pero estos no son un requisito.
o Presentación justa: Los hallazgos, conclusiones y reportes de auditoría que
se emitan deben reflejar, con veracidad y exactitud, las actividades de
auditoría. En todo momento el auditor y el auditado deben tener constancia
de todos los problemas significativos encontrados durante la auditoría,
aspectos no resueltos o no tratados conjuntamente con las razones que lo
provocaron u opinión divergente entre el auditor y auditado.
o Profesionalismo: Tiene que ver con la diligencia y juicio en la auditoría. Los
auditores proceden con todo el cuidado y la profesionalidad requerida de
acuerdo con la importancia de la tarea que realizan y la confianza
depositada en ellos por los clientes de la auditoría y las partes interesadas.
Un prerrequisito para gozar de tal reconocimiento, por parte del auditado y
del cliente, es poseer la competencia profesional y técnica necesaria, y quizá
acreditarla mediante certificaciones profesionales, títulos académicos, años
de experiencia o similares.

• Con respecto al proceso de auditoría:

o Independencia: Es la base de la imparcialidad y la objetividad de las
conclusiones de auditoría. Todo auditor debe ser independiente a la
actividad auditada. Esto no quiere decir que no deba pertenecer a la

Página 4 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
organización, sino que no deben estar influenciados de algún modo por la
actividad que van a auditar.
o Evidencia: La base racional para llegar a conclusiones de auditoría confiables
y reproducibles en un proceso de auditoría sistemático. Toda auditoría se
basa en un ciclo de obtención de evidencias, el análisis de estas y
confrontación con los criterios de auditoría para determinar la presencia o
no de un hallazgo, el cual será soporte para la conclusión. Toda evidencia
debe basarse en muestras de información disponibles con un uso apropiado
del muestreo estadístico.

1.2. Componentes de una auditoría

En el proceso genérico de auditoría aparecen tres actores principales que están íntimamente
relacionados entre ellos:

• Auditor: Es el equipo de auditoría, aunque puede ser una sola persona, que han sido
designados para ejecutar la auditoría en el interés del cliente.
• Auditado: Es la organización, también puede ser la persona (es menos común),
responsable del hecho que se audita.
• Cliente: Es la persona u organización interesada en conocer la conclusión de la
auditoría.

Página 5 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
De la existencia o no de estos tres actores, la relación que tengan entre ellos, la organización a
la que pertenece el equipo auditor, y la motivación que exista en la asignación, se derivan los
tres tipos genéricos de auditoría:

1.2.1. Auditorías internas o de primera parte

Son ejecutadas por un equipo auditor que puede ser propio de la organización
responsable del hecho auditado, o bien externo, pero designado por la organización
auditada.
En este tipo de auditorías el destinatario final de los resultados es siempre la propia
organización.
Estas auditorías suelen ser empleadas por las organizaciones para realizar una
autoevaluación previa a otros tipos de auditoría. También puede tener otros objetivos
más prácticos, como detectar puntos de mejora en el hecho auditado. En cualquier caso,
el interesado en la auditoría es directamente el propio auditado.

1.2.2. Auditorías de segunda parte

Cuando una segunda organización puede tener un interés legítimo para realizar una
auditoría a la organización. En este caso, esta "segunda parte" es la que designa al
personal que realiza la auditoría, y es ella la destinataria final de los resultados del
trabajo de auditoría. El caso más habitual suele darse entre una organización cliente
sobre su proveedor.

1.2.3. Auditorías de tercera parte

Son realizadas por organizaciones auditoras externas e independientes de la parte
auditada y del interesado en el resultado de la auditoría. Dentro de este tipo de
auditorías, encontraríamos las auditorías de certificación de conformidad con los
requisitos de una norma.

En estas auditorías, las tres partes (auditado, auditor, cliente) son absolutamente
independientes entre sí. En ocasiones, en el momento de realizar la auditoría puede ser
que ni siquiera esté definido quién es el cliente de ésta. El auditor puede realizar la
auditoría a petición del auditado porque este último desea que una parte independiente
certifique/audite algún aspecto, en previsión de que en un futuro pueda existir un
cliente de auditoría interesado en el resultado de la auditoría. También puede darse el
caso de que el auditado encargue la auditoría sencillamente porque existe un
requerimiento (legal, regulatorio del mercado o contractual) de que se disponga de una
auditoría realizada por una parte independiente. Este tipo de auditorías también tienen
lugar en casos en los que el cliente de la auditoría es muy genérico, como puede ser el
Gobierno. En estos casos, el mercado marca los objetivos de la auditoría mediante
reglamentos, normas, contratos, etc. Las auditorías de certificación contra una norma
entran dentro de este tipo de auditorías de terceras partes. Las auditorías de
certificación permiten al auditado acreditar el cumplimiento de los requisitos de la
norma ante una comunidad amplia y a priori indeterminada, pero potencialmente
interesada, como podrían ser, por ejemplo, sus clientes. Para ofrecer la máxima

Página 6 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
objetividad, se recurre a una entidad externa a los interesados (el auditado y la
comunidad). Por esto, esta auditoría es clasificada como de tercera parte.

La terminología expuesta, es utilizada en entornos específicos y conocedores de la sutil

distinción entre los tipos de auditorías, lamentablemente varios autores han focalizado la
literatura a los conceptos de auditoría interna frente a auditoría externa, visión que es simplista
y obedece a aspectos económicos, con esta separación se causa confusión puesto que suele
describir únicamente el hecho de que el auditor pertenece o no a la organización auditada. Para
nuestro estudio el hecho más importante para definir el tipo de auditoría es definir claramente
quien es el consumidor de los resultados de auditoría.

Según la clasificación genérica de los tipos de auditorías y el hecho auditado, tenemos tantos
tipos de auditorías como temas auditables existen. Para nosotros es de especial relevancia las
auditorías informáticas, que serán aquellas en las que el hecho auditado sean los sistemas de
información. Este concepto es el "objetivo de auditoría".

1.3. Objetivo de auditoría “Sistemas de Información”

El objetivo de auditoría se refiere a las metas específicas que deben cumplirse por parte de
la auditoría. Los objetivos de auditoría son determinados por el cliente de la auditoría, y se
centran a menudo en validar si se implementan ciertos controles definidos por unas
políticas, normas y/o procedimientos. Estas políticas, normas y/o procedimientos
constituyen los criterios de auditoría contra los que se evaluarán las evidencias.

Los objetivos de una auditoría pueden incluir uno o varios de los siguientes aspectos:

• Determinar el grado de conformidad del sistema de gestión del auditado, o parte de

él, con los criterios de auditoría.
• Evaluar la capacidad de los sistemas de gestión para asegurar el cumplimiento con
requerimientos legales o contractuales.
• Evaluar la eficacia del sistema de gestión para lograr los objetivos especificados.
• Identificar áreas potenciales de mejora del sistema de gestión

Posteriormente, es tarea del auditor traducir estos objetivos de auditoría a puntos

específicos de control que se deberán verificar. A partir de estos puntos de control, se irán
desgranando las comprobaciones y pruebas que se planificarán y ejecutarán.

1.4. Alcance de auditoría

El alcance de la auditoría describe la extensión y los límites de la auditoría. Las
organizaciones auditadas pueden tener diversos procesos de negocio asociados, ejecutados
en un área geográfica que puede ser muy amplia (como el caso de empresas con presencia
nacional o internacional, sucursales, etc.), con unos medios diversos (por ejemplo la
tecnología empleada) y por personal variado. Por lo tanto, no sólo se tendrá que definir el
objetivo de la auditoría, también qué parte de la organización abarca, es decir, cuál será su
alcance.

Página 7 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
Los parámetros a considerar en la definición de un alcance son físicos, temporales y la
actividad del auditor dentro de la organización auditada:

• Localizaciones físicas
• Unidades organizativas
• Procesos o actividades a ser auditados
• Tiempo de duración de la auditoría

1.5. Proceso de Auditoría

Se debe establecer claramente que cada proyecto de auditoría es único, incluso si se audita
el mismo hecho, pero en distintos momentos. Sin embargo, todo proceso de auditoría de
manera genérica se rige por cuatro fases:

• Planificación: Esta fase dota al equipo de los recursos necesarios, un marco de

trabajo y los objetivos a cumplir. Para ello se debe definir:
o Equipo auditor
o Alcance y objetivos
o Definición del material de campo (preparar herramientas, estudio de
documentación)
o Quick-off meeting
o Elaboración de un plan de auditoría que identifique el conjunto de pruebas
a desarrollar para obtener criterios alineados con los objetivos y alcance de
la auditoría.
• Trabajo de campo: Es la actividad principal de una auditoría, consiste en ejecutar el
plan de auditoría mediante las diversas pruebas que buscarán comprobar el nivel
de cumplimiento.
• Reporting: Consiste en la transferencia de los resultados obtenidos al auditado y al
cliente. Todo resultado debe ser analizado por el auditor para determinar si se
pueden catalogar como evidencias de auditoría (relevantes para determinar
conclusiones alineadas con el objetivo). Los resultados deben ser constrastados en
primera instancia con el auditado para que pueda brindar su opinión y la misa esté
reflejada en las conclusiones.
• Seguimiento: Las conclusiones del reporting deben llevar al auditado a actuar de
algún modo para corregir los defectos que fueron evidenciados durante la auditoría.
Generalmente se entregan recomendaciones como propuestas de solución al
auditado, pero se debe vigilar en todo momento que las recomendaciones no
comprometan la independencia del auditor. Aquí subyace una clara separación
entre la labor de auditoría y consultoría.

Para nosotros la fase principal del proceso constituye la realización práctica de la misma, por
ello la correcta selección de las pruebas es relevante para el objetivo de la auditoría. Las
pruebas proporcionarán la información necesaria para emitir una conclusión. Aquí es
fundamental la experiencia técnica del auditor puesto que él debe seleccionar las pruebas

Página 8 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
que faciliten la interpretación de resultados y la obtención de evidencias. Esta selección de
pruebas son la diferencia entre un auditor experimentado y uno novato, en las pruebas se
conoce la pericia del auditor y es el punto de inflexión para ser más eficiente en términos de
costos y resultados.

1.5.1. Tipos de pruebas

Según la materia que se esté auditando, se pueden realizar diversas pruebas de carácter
técnico, desde un punto de vista teórico es importante resaltar dos tipos de pruebas:

• Pruebas de cumplimiento: Su finalidad es comprobar el cumplimiento del

auditado con la norma que describe el control sobre el proceso que se está
auditando. Buscan evidencias de que los controles internos están funcionando
• Pruebas sustantivas: Están orientadas más a la práctica y son necesarias porque
con las pruebas de cumplimiento no es suficiente. Buscan evidencia de cómo el
proceso que se quiere controlar es ejecutado, de su integridad y del modo en
que los controles consiguen realmente sus objetivos. Estas pruebas a parte de
obtener evidencia del cumplimiento de los controles brindan evidencia de la
eficacia.

En resumen, las pruebas de cumplimiento buscan comprobar si se implementan los

controles tal y como se recoge en la normativa de referencia (puede ser interna a la
organización auditada, o bien externa, como una ley, un reglamento, etc.). Si los
resultados de este tipo de pruebas son satisfactorios, puede hacerse innecesaria la
realización de pruebas sustantivas, las cuales son per se más costosas y complejas.

Se debe considerar, especialmente en las pruebas sustantivas, que puede resultar poco
práctico o directamente inabarcable realizar una comprobación exhaustiva o completa.
En muchos casos, se impone la necesidad de seleccionar sólo unas cuantas
comprobaciones. Esta selección es lo que se denomina muestreo.

1.5.2. Muestreo
Si el tiempo y costo impiden la verificación completa y total requerida por una prueba
sustantiva, es necesario verificar una muestra. En algunas circunstancias, en una prueba
de cumplimiento puede imponerse también la necesidad de realizar un muestreo. Éste
resulta necesario cuando no se tienen suficientes recursos para realizar las pruebas
sobre todos los elementos que se deberían analizar.

Población/universo: Es la totalidad de elementos que se deben examinar para realizar

las pruebas.

Muestra: Subconjunto de la población, se lo define mediante un proceso estadístico

conocido que permite inferir características de una población en base a la observación
del subconjunto representativo.

Existen dos maneras de abordar el muestreo

Página 9 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
• Muestreo probabilístico: Su principal ventaja radica en que es un enfoque
objetivo y científico.
El enfoque más utilizado es el muestreo aleatorio simple: Las muestras tienen la
misma probabilidad de ser seleccionadas, si se confinan o sesgan los datos a una
parte de la población, las inferencias también se sesgan solo a esa parte de la
población.
Generalmente el muestro simple no siempre es el adecuado. Existen grupos o
estratos que permiten un muestreo aleatorio estratificado (stratified sampling).

• Muestreo no probabilístico (basado en un criterio): En este caso el tamaño y

selección de la muestra queda a criterio del auditor. Este proceso a priori parece
ser más sencillo, sin embargo, es aplicado generalmente por los auditores con
mayor experiencia. Su desventaja es la subjetividad, pero para el auditor
experimentado resulta un proceso más práctico.

Sin importar el enfoque de muestreo el auditor tiene que desarrollar el siguiente

proceso:

• Determinar los objetivos de la prueba.

• Definir la población de la que se obtendrá la muestra.
• Determinar el método de muestreo.
• Calcular el tamaño de la muestra.
• Seleccionar la muestra.
• Evaluar la muestra desde la perspectiva de la auditoría.

Es evidente que al trabajar con una muestra el proceso puede tener un margen de error,
por ello es fundamental que el auditor siempre mida y proporcione el margen de error.

1.5.3. Evidencias de auditoría

Cualquier información usada por el auditor para determinar si algún aspecto del proceso
auditado cumple con los criterios de auditoría es considerada evidencia. La
confrontación de las evidencias de auditoría con los criterios permite al auditor concluir
si se ha realizado un hallazgo de auditoría.

A la luz de la totalidad de los hallazgos, el auditor podrá emitir un juicio y dar una
conclusión que dé respuesta al objetivo de auditoría. Ahí radica la importancia de las
evidencias.

Todo el proceso de auditoría se reduce a la realización de pruebas para la recogida de

evidencias. Las evidencias serán cuantitativas o cualitativas, y pueden ser de muchos
tipos. Todo ello dependerá, principalmente, de la naturaleza del tema auditado:

• Observaciones del auditor.

• Notas o actas de entrevistas.
• Documentación: contratos, registros, formularios, etc.

Página 10 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
• Resultados de pruebas de auditoría que pueden tener a su vez formas muy
variadas, aunque cada vez más tendrán un soporte informatizado (archivos
informáticos).

Es fundamental garantizar las siguientes características de las evidencias:

• Confiabilidad: La confianza en la evidencia depende de la forma en la que se la

obtuvo, para ellos es necesario garantizar:
o Independencia
o Objetividad
o Disponibilidad
• Relevancia: Las evidencias tienen diferente nivel de relevancia en cuanto a los
objetivos de la auditoría. Las evidencias de relevancia tangencial deben ser
eliminadas.
• Suficiencia: Esta característica representa la relación entre cantidad y la
objetivad que permitirá a un observador llegar a las mismas conclusiones del
auditor.
• Competencia: Es la característica de calidad de la evidencia, entendida como la
capacidad de permitir al auditor determinar si ha realizado o no un hallazgo de
auditoría.

1.5.4. Hallazgos de auditoría

Toda evidencia que cumpla la característica de suficiencia y competencia se confrontará
contra los criterios de auditoría para determinar si ha realizado un hallazgo o no y de
que tipo:

• No conformidades (Generalmente existen niveles de no conformidad)

• Posibilidades de mejora
• Conformidades (El criterio de auditoría se cumple)

1.5.5. Riesgo de Auditoría

La tarea de determinar cuándo una o varias evidencias respaldan un hallazgo conlleva
un riesgo inherente de error. (El riesgo que el auditor concluya de manera errónea). Los
factores que intervienen en este riesgo son:

• El muestreo
• Evaluación errónea de las evidencias, se da generalmente por falta de
experiencia o porque se utilizan evidencias no confiables.
• La evidencia carece de suficiencia

La importancia de realizar la auditoría mediante planes de trabajo, siguiendo

metodologías reconocidas y respetando los códigos éticos de la profesión, da garantías
al auditor en el momento de valorar los hallazgos y emitir sus conclusiones.

Página 11 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
1.6. Programa de Auditoría
En los apartados anteriores hemos hablado de la auditoría como una actividad aislada que
se realiza por una única vez (tal vez más veces), pero sin existir un objetivo estratégico para
la actividad general de auditoría, o sin establecer relaciones entre varias auditorías.

En el medio local las organizaciones se plantean auditorías en momentos puntuales, en

especial cuando se trata de auditorías de segundas o terceras partes. El cliente encarga la
auditoría y una vez ejecutada adopta las acciones que considere pertinentes y la relación
con el auditor termina.

Los mayores beneficios y fortalezas de una auditoría se vislumbran cuando se suceden en el

tiempo y están enmarcadas en lo que se denomina programa de auditoría.

Los programas de auditoría suelen surgir en organizaciones con sistemas de gestión

ampliamente implantados y entendidos. Por ello es habitual encontrarnos con programas
de auditoría de primeras y terceras partes en el contexto de la calidad, medio ambiente,
financiero y de seguridad de la información.

Los programas de auditoría se basan en el ciclo de mejora continua PDCA (ciclo de Deming
o Shewhart, se abordará este tema con mayor profundidad en la Unidad 2) que se compone
de cuatro procesos:

• Plan (Planear)
• Do (Implementar lo planificado)
• Check (Comprobar lo implementado)
• Act (Mejorar según lo analizado)

En este ciclo son necesarias las auditorías de primera parte en la fase Check y puesto que el
ciclo es repetitivo la realización de estas auditorías también es continua. Las auditorías
continuas no se realizan independientemente unas de otras, requieren una organización por
parte de los responsables de gestionar la función auditora de la organización, y es en este
contexto donde intervienen los programas de auditoría.

Es decir, el programa de auditoría es un conjunto de auditorías planificadas para un periodo

de tiempo y con un objetivo de auditoría de nivel estratégico común, aunque cada una de
las auditorías tenga objetivos más específicos.

Los programas de auditoría representan los siguientes beneficios:

• Los programas perfeccionan la planificación del esfuerzo y la asignación de recursos

para las auditorías.
• Se promueve la manera de actuar de los auditores, mejorando sus técnicas y
propiciando la capacitación del personal auditor, transmitiéndose el conocimiento
hacia la organización.
• Se maximizan los recursos de auditoría y se obtienen unos mejores resultados.

El propósito de un programa es planear el tipo y número de auditorías, e identificar y

suministrar los recursos necesarios para realizarlas.

Página 12 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
1.6.1. Implementación de un programa de auditoría
La gestión de un programa de auditoría es un proceso que va más allá de simplemente
planificar las auditorías que se van a realizar a lo largo de una determinado periodo de
tiempo, se trata de un sistema de gestión que pretende controlar de manera continua
el proceso de auditoría, por lo tanto es lógico que se integre en el proceso que pretende
verificar (gestión de la calidad, gestión medioambiental, gestión de los sistemas de
información).

Integrar la auditoría con los distintos procesos de gestión de una organización facilita el
incremento de su eficacia y eficiencia, puesto que gran parte del conocimiento necesario
es común y controlado por unos mismos responsables. Esta situación conlleva la
necesidad de implementar una nueva función organizativa de auditoría (dependiendo
de los autores se lo suele llamar control interno).

En caso que se decida crear la función de auditoría para que gestione un programa de
auditoría la dirección de la organización debe oficializar esta función y asignarle
autoridad para dirigir el programa de auditoría.

Un programa de auditoría debe incluir los siguientes aspectos mínimos

• Establecer los objetivos y extensión del programa de auditoría del SGSI

o Los objetivos se basan en:
 El plan estratégico de la organización.
 Requisitos del sistema de gestión (si los controles a auditar se
encuentran certificados).
 Requisitos legales.
 Necesidad de evaluar a proveedores.
 Requisitos de los clientes.
 Necesidades de las partes interesadas.
 Riesgos potenciales para la organización.
o El alcance puede variar por los siguientes factores:
 Objetivo y duración de cada auditoría.
 La frecuencia o intervalos en los que se realizará las auditorías.
 La complejidad de la organización (tamaño, negocio) auditada.
 La cantidad y complejidad de las actividades por auditar.
 Necesidad de acreditación o certificación/registro.
 Los resultados de las auditorías previas o la revisión del
programa de auditoría previo.
 Aspectos culturales y sociales (por ejemplo el idioma).
 Cambios significativos para una organización o sus operaciones
• Establecer las responsabilidades
Las responsabilidades del personal designado para dirigir el programa de
auditoría son: definir, implementar, hacer seguimiento, revisar y mejorar el
programa de auditoría. En la operativa diaria deberán identificar y suministrar

Página 13 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
los recursos para el programa de auditoría. Para cumplir lo mencionado el perfil
del personal debe garantizar:
o Conocimientos generales de los principios de la auditoría.
o Conocimiento de las competencias generales y técnicas de otros
auditores disponibles para los diferentes aspectos a auditar.
o Habilidades para la gestión y trabajo en equipo.
o Conocimientos técnicos y del negocio pertinentes para las actividades
que van a auditarse.
• Estimar y planificar los recursos necesarios
o Las técnicas de auditoría que se deberán aplicar, en ocaciones los
auditores no disponen de la capacitación necesaria y/o de las
herramientas o técnicas necesarias (El software de auditoría es
costoso).
o Los procesos de capacitación para mantener la competencia de los
auditores, y mejorar la calidad del trabajo de éstos.
o La disponibilidad de los auditores y expertos técnicos que posean la
competencia apropiada para los objetivos del programa de auditoría
particular.
o La duración prevista de las auditorías.
o Todo lo implicado a movilización de personal como tiempos de
desplazamiento, hospedaje y otras necesidades logísticas durante la
realización de la auditoría.
• Asegurar la implementación del programa de auditoría
o Comunicar y divulgar a la dirección acerca de los objetivos generales del
programa y de los específicos de cada una de las auditorías.
o Controlar el proceso de ejecución de las distintas partes del programa:
 Planificación y asignación de los recursos a los distintos equipos
auditores.
 Control del avance de acuerdo con los objetivos del programa.
 Revisión de los informes de auditoría y comunicación a los
clientes y partes interesadas.
 Asegurar que se realizan las acciones complementarias de la
auditoría, en el caso de que sean aplicables (por ejemplo,
revisiones o nuevas auditorías después de periodos de
corrección de no conformidades).
• Hacer seguimiento, revisar y mejorar el programa de auditoría

Debido a diferentes cambios en la organización (tecnologías, leyes, reglamentos,

conclusiones de las mismas auditorías), los programas de auditoría necesitan
mantenimiento continuo.

1.7. Estandarización de la labor de Auditoría

Debido a que la actividad de auditoría es una función que requiere objetividad y una
sistematización del proceso se permite describir a la auditoría desde un punto de vista

Página 14 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
teórico sin relaciones a la actividad o ámbito auditado. De ahí se derivan diferentes
estándares que tratan de marcar un ruta o camino sobre cómo debe realizarse la labor de
auditoría.

1.7.1. AICPA
Fundada en 1887, es la asociación estadounidense de contadores públicos certificados
(Certified Public Accountant [CPA]). Se destaca a AICPA por ser la promotora de la
profesión de la auditoría y ser la iniciadora (solo en parte) de la auditoría de sistemas
de información, esto debido a que los sistemas informáticos mediante la digitalización
fueron sustituyendo todas las formas analógicas de llevar las cuentas (libros contables,
cuadernos de movimientos, etc).

1.7.2. ISO
ISO (Internacional Organization for Standarization) se enfoca en la universalización de la
provisión de guías, buenas prácticas y estándares para el proceso de auditoría.

Dentro del ámbito de los sistemas de información podemos destacar la norma ISO/IEC
27007:2011 “Information technology -- Security techniques -- Guidelines for information
security management systems auditing” que es aplicable a todos los tipos de auditorías
(primera, segunda y tercera parte).

Además, la ISO considera auditorías de tercera parte para sistemas de gestión mediante
familias determinadas (ISO 9000, ISO 14000 o ISO 27000) que pueden ser certificables
(ISO 9001, ISO 14001 o ISO 27001) por entidades de certificación.

Las entidades de certificación son fuertemente reguladas porque deben demostrar su

verdadera independencia de manera que los resultados de la auditoría sean reconocidos
por una organización distinta del auditado y del auditor. Por lo tanto, las entidades
certificadoras no gestionan sus auditorías de acuerdo a unas guías o directrices, más
bien se rigen a un conjunto de normas superior por ejemplo ISO-Internacional o AENOR-
Ecuador en nuestro país. Toda entidad de certificación debe estar acreditada por una
entidad de acreditación denominada entidad de acreditación. Esta relación se basa en
el cuestionamiento de ¿Quién audita al auditor?.

En el caso de los sistemas de información para el Ecuador el INEN ha adoptado las

siguiente normas, sin embargo el INEN todavía no es una entidad certificadora ISO
27001.

Página 15 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
TIPO NUMERO REV. TITULO

NTE INEN-ISO/IEC 27000 4E TECNOLOGÍAS DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN -
DESCRIPCIÓN GENERAL Y VOCABULARIO (ISO/IEC 27000:2016, IDT)
NTE INEN-ISO/IEC 27001 0 TECNOLOGÍAS DE LA INFORMACIÓN — TÉCNICAS DE SEGURIDAD
— SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN –
REQUISITOS (ISO/IEC 27001:2013 Cor.1:2014 Cor. 2:2015, IDT)
NTE INEN-ISO/IEC 27002 0 TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS DE SEGURIDAD ─
CÓDIGO DE PRÁCTICA PARA LOS CONTROLES DE SEGURIDAD DE
LA INFORMACIÓN (ISO/IEC 27002:2013 Cor. 1:2014 Cor. 2: 2015, IDT)
NTE INEN-ISO/IEC 27014 1E TECNOLOGÍAS DE LA INFORMACIÓN — TÉCNICAS DE SEGURIDAD
— GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN (ISO/IEC
27014:2013, IDT)
ITE INEN-ISO/IEC TR 27015 0 TECNOLOGÍAS DE LA INFORMACIÓN — TÉCNICAS DE SEGURIDAD
— DIRECTRICES DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
PARA LOS SERVICIOS FINANCIEROS (ISO/IEC TR 27015:2012, IDT)
ITE INEN-ISO/IEC TR 27016 0 TECNOLOGÍAS DE LA INFORMACIÓN — TÉCNICAS DE SEGURIDAD
— GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN — ECONOMÍA DE
LA ORGANIZACIÓN (ISO/IEC TR 27016:2014, IDT)
ITE ITE INEN- TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD –
ISO/IEC TR DIRECTRICES PARA AUDITORES SOBRE LOS CONTROLES DE
27008 SEGURIDAD DE LA INFORMACIÓN (ISO/IEC TR 27008:2011, IDT)
NTE NTE INEN-ISO 0 INFORMÁTICA SANITARIA. GESTIÓN DE LA SEGURIDAD DE LA
27799 INFORMACIÓN EN SANIDAD UTILIZANDO LA NORMA ISO/IEC 27002
(ISO 27799:2008, IDT)
NTE NTE INEN- 0 TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -
ISO/IEC 27003 GUÍA DE IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
NTE NTE INEN- 0 TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -
ISO/IEC 27004 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - MEDICIÓN
NTE NTE INEN- 0 TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE SEGURIDAD -
ISO/IEC 27005 GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN
NTE NTE INEN- 0 TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD.
ISO/IEC 27006 REQUISITOS PARA ORGANIZACIONES QUE PROVEEN AUDITORÍA Y
CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
NTE NTE INEN- TECNOLOGÍAS DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD.
ISO/IEC 27007 DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27007:2011, IDT)
NTE NTE INEN- TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD –
ISO/IEC 27010 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN PARA
COMUNICACIONES INTERSECTORIALES E INTERORGANIZA-
CIONALES (ISO/IEC 27010:2012, IDT)
NTE NTE INEN- TECNOLOGÍAS DE LA INFORMACIÓN – TÉCNICAS DE SEGURIDAD –
ISO/IEC 27011 DIRECTRICES DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
PARA ORGANIZACIONES DE TELECOMUNICACIONES BASADAS EN
ISO/IEC 27002 (ISO/IEC 27011:2008, ID

Donde NTE significa Norma Técnica Ecuatoriana e ITE significa Informe Técnico
Ecuatoriano.

Actualmente empresas como CNT y Telconet han obtenido la certificación ISO/IEC

27001.

1.7.3. ISACA
La Information Systems Audit and Control Association (ISACA) posee una de las
certificaciones con más confianza y fiabilidad en el mercado que es la denominada CISA.
En el caso de la certificación CISA es una certificación profesional de terceros y que
acreditan la labor sobre todo para auditorías de primera parte.

Página 16 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
1.8. Gobierno de la TI
El Gobierno de TI o también llamado Gobierno de las TIC consiste en asegurar que los
sistemas de información y comunicaciones de una organización apoyen y permitan el logro
de sus estrategias y objetivos.

Según el glosario de COBIT 5, se define el Gobierno de TI Empresarial como “Un enfoque de

gobierno que garantiza que las tecnologías de información y las relacionadas soportan y
habilitan la estrategia de la empresa y la consecución de las metas corporativas. También
incluye el gobierno funcional de TI, por ejemplo, garantizando que las capacidades de TI son
provistas de forma eficiente y efectiva”.

El gobierno de las TIC es correcto cuando su gestión se encuentra alineada con los objetivos
de negocio, se conocen los riesgos que afectan a los sistemas de información, y se gestionan
adecuadamente.

La necesidad de implantar estrategias de gobierno de las TIC puede estar motivada por:

• Requerimientos legales.
• Aumento del capital intelectual de una organización (conocimiento que mucha de
las veces radica en sus activos de información).
• Evolucionar el negocio alineando los objetivos estratégicos con las TIC
• Imagen corporativa

Existen dos factores fundamentales en los riesgos relacionados con las TIC.

• El despliegue de TIC alineadas con los objetivos del negocio, puesto que
representan una inversión cuantiosa de recursos financieros y humanos.
• La gestión de los riesgos de las TIC.

Por lo tanto, resulta evidente que la seguridad de la información es necesaria en el Gobierno

de TI, sobre todo porque en la actualidad la información y las comunicaciones son factores
determinantes de las estrategias de negocio.

Las auditorías internas son una herramienta para el gobierno de las TIC, y sirven para que la
dirección de una organización conozca el modo en que se gestionan los riesgos, y para
demostrar a otras organizaciones su postura frente a los riesgos que afectan a la
información.

1.8.1. Auditoría de los sistemas de información

La auditoría de sistemas de información surgió antes de que se defina el termino
Gobierno de TI, como se revisó en el apartado 1.7.1 la AICPA debía confiar cada vez más
en los datos proporcionados por los sistemas de información y cada vez menos en la
información analógica (libros de estados financieros, cuentas, etc), por lo tanto existía
una necesidad de verificar si la información de los sistemas era correcta.

La función de la auditoría de los sistemas de información es verificar que la implantación

de los controles de seguridad cumple con lo establecido en las diferentes políticas

Página 17 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
dictadas por la organización y están funcionando correctamente desde el punto de vista
técnico.

La revisión de las medidas de seguridad se realiza frente a una norma de referencia como
COBIT o ISO/IEC 27002.

1.8.2. Certificación de seguridad

El proceso de certificación de seguridad de la información lo lleva a cabo una
organización que ha implantado un Sistema de Gestión de la Seguridad de la
Información (SGSI) y está en arreglo con la norma ISO/IEC 27001. Como se revisó
anteriormente la certificación se otorga por una entidad externa acreditada, que se
encarga de revisar la correcta implantación de la norma. Obviamente la entidad
certificada debe estar acreditada por una entidad de acreditación.

1.9. Equipo Auditor

Un proyecto de auditoría debe ser ejecutado por un equipo auditor, ya sea para la revisión
de las medidas de seguridad (auditorías técnicas de seguridad) o para la revisión de la
correcta implantación de la norma (auditorías de certificación). La propuesta genérica según
la ISO 27006 “Information technology -- Security techniques -- Requirements for bodies
providing audit and certification of information security management systems” exige como
mínimo:

AUDITOR JEFE

AUDITORES EXPERTOS TÉCNICOS

• Auditor Jefe: Es designado por la dirección del programa de auditoría o por la

dirección de la organización auditora. Su principal función es determinar la
composición del equipo de auditoría, para ello debería considerar:

o Objetivos y alcance de la auditoría

Página 18 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
o Competencias requeridas en el equipo para alcanzar los objetivos
o Requisitos de las entidades de certificación (Si es necesario)
o Establecer el mecanismo que garantice la independencia del equipo.
o Habilidades blandas necesarias para trabajar en equipo y en relación con el
auditado
o El ambiente corporativo como la idiosincrasia establecida.

El auditor jefe se destaca del resto del equipo en:

o Su capacidad de Planificación y Gestión de Recursos

o Habilidades comunicativas para relacionarse con el cliente y el auditado,
como representante del equipo auditor
o Liderazgo y experiencia en la resolución de conflictos
o Formación académica que garantice conocimientos técnicos indispensables
del área a auditar
o Haber participado en auditorías previas como parte de algún equipo auditor
(Requisito en las auditorías de certificación).

Otras funciones del auditor jefe son:

o Gestionar todas las fases de la auditoría

o Colaborar en la selección del equipo auditor
o Dirige las reuniones del equipo auditor y del personal auditado
o Toma las decisiones en materia del SGSI

• Auditor: El auditor es seleccionado por el auditor jefe debido a las siguientes

características. (Cabe destacar que el auditor jefe también debe demostrar
estas características porque también es un auditor del equipo):
o Comprende la función de auditoría, el proceso de auditoría y domina
técnicas de auditoría.
o Está al día en la legislación aplicable al ámbito de auditoría.
o Dominio específico del área auditada, esto incluye ser un conocedor de los
diferentes documentos de referencia, estándares y normas. Esta
característica se verifica con su formación académica, certificaciones o
acreditaciones.
o Comprender la sistemática y lógica de un sistema de gestión.
o Comprender y abstraer situaciones de idiosincrasia de la organización
auditada, así como el modelo de negocio y las implicaciones sociales del
mismo.
o Demostrar el dominio de habilidades blandas
o Tener experiencia de al menos cuatro años en el ámbito de los sistemas de
información y por lo menos dos años en el ámbito de la seguridad de las TIC.
(Requisito para las auditorías de certificación).
o Para las auditorías de certificación es necesario demostrar experiencia en:
 Revisión o participación en la generación de documentación para
un SGSI.

Página 19 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
 Revisión o ejecución de análisis de riesgos de una organización.
 Desarrollo de informes de auditoría en las cuales haya participado
 Haber auditado un SGSI.

Son funciones del auditor:

o Documentar todos los hallazgos y evidencias

o Dar seguimiento a las acciones de mejora para mitigar las no conformidades

• Experto técnico: Cuando ciertas habilidades o experticias no se encuentran

cubiertas por el equipo auditor se puede incluir a expertos técnicos. Es lógico
pensar que el conocimiento tecnológico del equipo auditor debe ser amplio, y a
la vez se debe comprender las interrelaciones entre los diferentes ámbitos de
su especialidad, pero no quiere decir que el conocimiento se exhaustivo en un
área específica.

1.10. Peritaje informático

El peritaje es importante en el campo de la auditoría porque constituye un medio más de
prueba para resolución de no conformidades. El perito informático posee conocimientos
técnicos especializados y su interpretación de los hechos bajo prueba pericial puede
solventar algún conflicto.

Es importante destacar que los tribunales no es la única demandante de pericias, las

organizaciones públicas o privadas pueden requerir pruebas periciales en sus equipos.

Existe cierta similitud entre la auditoría de sistemas de información y la prueba pericial

informática. Las dos disciplinas obtienen información mediante procesos de análisis
sistemático, lógico, repetible y objetivo. La diferencia radica en el objetivo de los procesos:

• La auditoría analiza la realidad para determinar si se ajusta a unas normas

determinadas.
• El peritaje analiza la realidad para explicarla y resolver cuestionamientos que un
neófito pueda tener de la interpretación.

Se debe tener claro que un dictamen pericial es una conclusión emitida por una sola persona
(el perito), en cambio las conclusiones de la auditoría son emitidas por el equipo auditor.

Finalmente existe una relación entre la informática forense y el peritaje informático. La

informática forense es una prueba que puede estar involucrada en una prueba pericial, por
lo tanto no todas las pruebas periciales involucran actividades forenses.

Página 20 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
 Auditoría de Sistemas de Información
Bibliografía:
De Quezada, R. “Introducción a la Auditoría Informática”, FUOC, 2014.

Davis ,C. Schiller, M. “IT Auditing: Using controls to protect information assets”, McGrawHill,
Second Edition, 2011.

ISACA, COBIT 5 “Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa”,
ISBN 978-1-60420-282-3; 2012.

ISO, ISO/IEC 27006 “Information technology -- Security techniques -- Requirements for bodies
providing audit and certification of information security management systems”

Página 21 de 21
Tutor: Ing. Rodolfo Bojorque MSc.