Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Unidad 1:
La función de
Auditoría
Rodolfo Bojorque, MSc.
Página 1 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
Índice
1. La Función de Auditoría ........................................................................................................ 3
1.1. Definición de auditoría ...................................................................................................... 3
1.2. Componentes de una auditoría......................................................................................... 5
1.2.1. Auditorías internas o de primera parte......................................................................... 6
1.2.2. Auditorías de segunda parte ......................................................................................... 6
1.2.3. Auditorías de tercera parte ........................................................................................... 6
1.3. Objetivo de auditoría “Sistemas de Información” ............................................................ 7
1.4. Alcance de auditoría.......................................................................................................... 7
1.5. Proceso de Auditoría ......................................................................................................... 8
1.5.1. Tipos de pruebas ........................................................................................................... 9
1.5.2. Muestreo ....................................................................................................................... 9
1.5.3. Evidencias de auditoría ............................................................................................... 10
1.5.4. Hallazgos de auditoría ................................................................................................. 11
1.5.5. Riesgo de Auditoría ..................................................................................................... 11
1.6. Programa de Auditoría .................................................................................................... 12
1.6.1. Implementación de un programa de auditoría ........................................................... 13
1.7. Estandarización de la labor de Auditoría ........................................................................ 14
1.7.1. AICPA ........................................................................................................................... 15
1.7.2. ISO ............................................................................................................................... 15
1.7.3. ISACA ........................................................................................................................... 16
1.8. Gobierno de la TI ............................................................................................................. 17
1.8.1. Auditoría de los sistemas de información ................................................................... 17
1.8.2. Certificación de seguridad ........................................................................................... 18
1.9. Equipo Auditor ................................................................................................................ 18
1.10. Peritaje informático .................................................................................................... 20
Bibliografía: ................................................................................................................................. 21
Página 2 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
1. La Función de Auditoría
Desde un punto de vista general podemos definir a la auditoría como un proceso ejecutado
por un auditor, que es sistemático, independiente y documentado; y que busca obtener
registros, declaraciones, hechos u otra información conocida como evidencias de auditoría.
Las evidencias de auditoría deben ser verificables y evaluables de manera objetiva, puesto
que en base a ellas, se determinará la medida en la cual el hecho auditado cumple unos
criterios de auditoría. Estos criterios están determinados por un conjunto de políticas,
procedimientos o requisitos y son usados como referencia contra la que se compara la
realidad. Las pruebas de estas diferencias entre la realidad y la referencia son lo que se
entiende como evidencias de auditoría.
Según el ámbito de las organizaciones se definen distintas categorías de auditoría, entre las
más comunes podemos mencionar:
• Auditorías financieras
• Auditorías a procesos productivos de calidad (no solo relacionados con la ISO sino
con otros esquemas de gestión de calidad total como Six Sigma1)
• Auditorías del proceso de gestión de RRHH
• Auditorías de cumplimiento legal
• Auditorías a la gestión ambiental
1
Six SIGMA es una metodología de mejora de procesos creada en Motorola por el ingeniero Bill Smith
en la década de los 80, esta metodología está centrada en la reducción de la variabilidad, consiguiendo
reducir o eliminar los defectos o fallos en la entrega de un producto o servicio al cliente. Fuente:
http://www.leansolutions.co/conceptos/que-es-six-sigma/
Página 3 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
• Auditorías a los sistemas de información y en general a la forma en que es tratada y
gestionada la seguridad de la información digital de una organización.
Si una auditoría se rige por los siguientes principios será suficientemente objetiva.
Página 4 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
organización, sino que no deben estar influenciados de algún modo por la
actividad que van a auditar.
o Evidencia: La base racional para llegar a conclusiones de auditoría confiables
y reproducibles en un proceso de auditoría sistemático. Toda auditoría se
basa en un ciclo de obtención de evidencias, el análisis de estas y
confrontación con los criterios de auditoría para determinar la presencia o
no de un hallazgo, el cual será soporte para la conclusión. Toda evidencia
debe basarse en muestras de información disponibles con un uso apropiado
del muestreo estadístico.
En el proceso genérico de auditoría aparecen tres actores principales que están íntimamente
relacionados entre ellos:
• Auditor: Es el equipo de auditoría, aunque puede ser una sola persona, que han sido
designados para ejecutar la auditoría en el interés del cliente.
• Auditado: Es la organización, también puede ser la persona (es menos común),
responsable del hecho que se audita.
• Cliente: Es la persona u organización interesada en conocer la conclusión de la
auditoría.
Página 5 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
De la existencia o no de estos tres actores, la relación que tengan entre ellos, la organización a
la que pertenece el equipo auditor, y la motivación que exista en la asignación, se derivan los
tres tipos genéricos de auditoría:
En estas auditorías, las tres partes (auditado, auditor, cliente) son absolutamente
independientes entre sí. En ocasiones, en el momento de realizar la auditoría puede ser
que ni siquiera esté definido quién es el cliente de ésta. El auditor puede realizar la
auditoría a petición del auditado porque este último desea que una parte independiente
certifique/audite algún aspecto, en previsión de que en un futuro pueda existir un
cliente de auditoría interesado en el resultado de la auditoría. También puede darse el
caso de que el auditado encargue la auditoría sencillamente porque existe un
requerimiento (legal, regulatorio del mercado o contractual) de que se disponga de una
auditoría realizada por una parte independiente. Este tipo de auditorías también tienen
lugar en casos en los que el cliente de la auditoría es muy genérico, como puede ser el
Gobierno. En estos casos, el mercado marca los objetivos de la auditoría mediante
reglamentos, normas, contratos, etc. Las auditorías de certificación contra una norma
entran dentro de este tipo de auditorías de terceras partes. Las auditorías de
certificación permiten al auditado acreditar el cumplimiento de los requisitos de la
norma ante una comunidad amplia y a priori indeterminada, pero potencialmente
interesada, como podrían ser, por ejemplo, sus clientes. Para ofrecer la máxima
Página 6 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
objetividad, se recurre a una entidad externa a los interesados (el auditado y la
comunidad). Por esto, esta auditoría es clasificada como de tercera parte.
Según la clasificación genérica de los tipos de auditorías y el hecho auditado, tenemos tantos
tipos de auditorías como temas auditables existen. Para nosotros es de especial relevancia las
auditorías informáticas, que serán aquellas en las que el hecho auditado sean los sistemas de
información. Este concepto es el "objetivo de auditoría".
Los objetivos de una auditoría pueden incluir uno o varios de los siguientes aspectos:
Página 7 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
Los parámetros a considerar en la definición de un alcance son físicos, temporales y la
actividad del auditor dentro de la organización auditada:
• Localizaciones físicas
• Unidades organizativas
• Procesos o actividades a ser auditados
• Tiempo de duración de la auditoría
Para nosotros la fase principal del proceso constituye la realización práctica de la misma, por
ello la correcta selección de las pruebas es relevante para el objetivo de la auditoría. Las
pruebas proporcionarán la información necesaria para emitir una conclusión. Aquí es
fundamental la experiencia técnica del auditor puesto que él debe seleccionar las pruebas
Página 8 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
que faciliten la interpretación de resultados y la obtención de evidencias. Esta selección de
pruebas son la diferencia entre un auditor experimentado y uno novato, en las pruebas se
conoce la pericia del auditor y es el punto de inflexión para ser más eficiente en términos de
costos y resultados.
Se debe considerar, especialmente en las pruebas sustantivas, que puede resultar poco
práctico o directamente inabarcable realizar una comprobación exhaustiva o completa.
En muchos casos, se impone la necesidad de seleccionar sólo unas cuantas
comprobaciones. Esta selección es lo que se denomina muestreo.
1.5.2. Muestreo
Si el tiempo y costo impiden la verificación completa y total requerida por una prueba
sustantiva, es necesario verificar una muestra. En algunas circunstancias, en una prueba
de cumplimiento puede imponerse también la necesidad de realizar un muestreo. Éste
resulta necesario cuando no se tienen suficientes recursos para realizar las pruebas
sobre todos los elementos que se deberían analizar.
Página 9 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
• Muestreo probabilístico: Su principal ventaja radica en que es un enfoque
objetivo y científico.
El enfoque más utilizado es el muestreo aleatorio simple: Las muestras tienen la
misma probabilidad de ser seleccionadas, si se confinan o sesgan los datos a una
parte de la población, las inferencias también se sesgan solo a esa parte de la
población.
Generalmente el muestro simple no siempre es el adecuado. Existen grupos o
estratos que permiten un muestreo aleatorio estratificado (stratified sampling).
Es evidente que al trabajar con una muestra el proceso puede tener un margen de error,
por ello es fundamental que el auditor siempre mida y proporcione el margen de error.
A la luz de la totalidad de los hallazgos, el auditor podrá emitir un juicio y dar una
conclusión que dé respuesta al objetivo de auditoría. Ahí radica la importancia de las
evidencias.
Página 10 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
• Resultados de pruebas de auditoría que pueden tener a su vez formas muy
variadas, aunque cada vez más tendrán un soporte informatizado (archivos
informáticos).
• El muestreo
• Evaluación errónea de las evidencias, se da generalmente por falta de
experiencia o porque se utilizan evidencias no confiables.
• La evidencia carece de suficiencia
Página 11 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
1.6. Programa de Auditoría
En los apartados anteriores hemos hablado de la auditoría como una actividad aislada que
se realiza por una única vez (tal vez más veces), pero sin existir un objetivo estratégico para
la actividad general de auditoría, o sin establecer relaciones entre varias auditorías.
Los programas de auditoría se basan en el ciclo de mejora continua PDCA (ciclo de Deming
o Shewhart, se abordará este tema con mayor profundidad en la Unidad 2) que se compone
de cuatro procesos:
• Plan (Planear)
• Do (Implementar lo planificado)
• Check (Comprobar lo implementado)
• Act (Mejorar según lo analizado)
En este ciclo son necesarias las auditorías de primera parte en la fase Check y puesto que el
ciclo es repetitivo la realización de estas auditorías también es continua. Las auditorías
continuas no se realizan independientemente unas de otras, requieren una organización por
parte de los responsables de gestionar la función auditora de la organización, y es en este
contexto donde intervienen los programas de auditoría.
Página 12 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
1.6.1. Implementación de un programa de auditoría
La gestión de un programa de auditoría es un proceso que va más allá de simplemente
planificar las auditorías que se van a realizar a lo largo de una determinado periodo de
tiempo, se trata de un sistema de gestión que pretende controlar de manera continua
el proceso de auditoría, por lo tanto es lógico que se integre en el proceso que pretende
verificar (gestión de la calidad, gestión medioambiental, gestión de los sistemas de
información).
Integrar la auditoría con los distintos procesos de gestión de una organización facilita el
incremento de su eficacia y eficiencia, puesto que gran parte del conocimiento necesario
es común y controlado por unos mismos responsables. Esta situación conlleva la
necesidad de implementar una nueva función organizativa de auditoría (dependiendo
de los autores se lo suele llamar control interno).
En caso que se decida crear la función de auditoría para que gestione un programa de
auditoría la dirección de la organización debe oficializar esta función y asignarle
autoridad para dirigir el programa de auditoría.
Página 13 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
los recursos para el programa de auditoría. Para cumplir lo mencionado el perfil
del personal debe garantizar:
o Conocimientos generales de los principios de la auditoría.
o Conocimiento de las competencias generales y técnicas de otros
auditores disponibles para los diferentes aspectos a auditar.
o Habilidades para la gestión y trabajo en equipo.
o Conocimientos técnicos y del negocio pertinentes para las actividades
que van a auditarse.
• Estimar y planificar los recursos necesarios
o Las técnicas de auditoría que se deberán aplicar, en ocaciones los
auditores no disponen de la capacitación necesaria y/o de las
herramientas o técnicas necesarias (El software de auditoría es
costoso).
o Los procesos de capacitación para mantener la competencia de los
auditores, y mejorar la calidad del trabajo de éstos.
o La disponibilidad de los auditores y expertos técnicos que posean la
competencia apropiada para los objetivos del programa de auditoría
particular.
o La duración prevista de las auditorías.
o Todo lo implicado a movilización de personal como tiempos de
desplazamiento, hospedaje y otras necesidades logísticas durante la
realización de la auditoría.
• Asegurar la implementación del programa de auditoría
o Comunicar y divulgar a la dirección acerca de los objetivos generales del
programa y de los específicos de cada una de las auditorías.
o Controlar el proceso de ejecución de las distintas partes del programa:
Planificación y asignación de los recursos a los distintos equipos
auditores.
Control del avance de acuerdo con los objetivos del programa.
Revisión de los informes de auditoría y comunicación a los
clientes y partes interesadas.
Asegurar que se realizan las acciones complementarias de la
auditoría, en el caso de que sean aplicables (por ejemplo,
revisiones o nuevas auditorías después de periodos de
corrección de no conformidades).
• Hacer seguimiento, revisar y mejorar el programa de auditoría
Página 14 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
teórico sin relaciones a la actividad o ámbito auditado. De ahí se derivan diferentes
estándares que tratan de marcar un ruta o camino sobre cómo debe realizarse la labor de
auditoría.
1.7.1. AICPA
Fundada en 1887, es la asociación estadounidense de contadores públicos certificados
(Certified Public Accountant [CPA]). Se destaca a AICPA por ser la promotora de la
profesión de la auditoría y ser la iniciadora (solo en parte) de la auditoría de sistemas
de información, esto debido a que los sistemas informáticos mediante la digitalización
fueron sustituyendo todas las formas analógicas de llevar las cuentas (libros contables,
cuadernos de movimientos, etc).
1.7.2. ISO
ISO (Internacional Organization for Standarization) se enfoca en la universalización de la
provisión de guías, buenas prácticas y estándares para el proceso de auditoría.
Dentro del ámbito de los sistemas de información podemos destacar la norma ISO/IEC
27007:2011 “Information technology -- Security techniques -- Guidelines for information
security management systems auditing” que es aplicable a todos los tipos de auditorías
(primera, segunda y tercera parte).
Además, la ISO considera auditorías de tercera parte para sistemas de gestión mediante
familias determinadas (ISO 9000, ISO 14000 o ISO 27000) que pueden ser certificables
(ISO 9001, ISO 14001 o ISO 27001) por entidades de certificación.
Página 15 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
TIPO NUMERO REV. TITULO
Donde NTE significa Norma Técnica Ecuatoriana e ITE significa Informe Técnico
Ecuatoriano.
1.7.3. ISACA
La Information Systems Audit and Control Association (ISACA) posee una de las
certificaciones con más confianza y fiabilidad en el mercado que es la denominada CISA.
En el caso de la certificación CISA es una certificación profesional de terceros y que
acreditan la labor sobre todo para auditorías de primera parte.
Página 16 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
1.8. Gobierno de la TI
El Gobierno de TI o también llamado Gobierno de las TIC consiste en asegurar que los
sistemas de información y comunicaciones de una organización apoyen y permitan el logro
de sus estrategias y objetivos.
El gobierno de las TIC es correcto cuando su gestión se encuentra alineada con los objetivos
de negocio, se conocen los riesgos que afectan a los sistemas de información, y se gestionan
adecuadamente.
La necesidad de implantar estrategias de gobierno de las TIC puede estar motivada por:
• Requerimientos legales.
• Aumento del capital intelectual de una organización (conocimiento que mucha de
las veces radica en sus activos de información).
• Evolucionar el negocio alineando los objetivos estratégicos con las TIC
• Imagen corporativa
Existen dos factores fundamentales en los riesgos relacionados con las TIC.
• El despliegue de TIC alineadas con los objetivos del negocio, puesto que
representan una inversión cuantiosa de recursos financieros y humanos.
• La gestión de los riesgos de las TIC.
Las auditorías internas son una herramienta para el gobierno de las TIC, y sirven para que la
dirección de una organización conozca el modo en que se gestionan los riesgos, y para
demostrar a otras organizaciones su postura frente a los riesgos que afectan a la
información.
Página 17 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
dictadas por la organización y están funcionando correctamente desde el punto de vista
técnico.
La revisión de las medidas de seguridad se realiza frente a una norma de referencia como
COBIT o ISO/IEC 27002.
AUDITOR JEFE
Página 18 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
o Competencias requeridas en el equipo para alcanzar los objetivos
o Requisitos de las entidades de certificación (Si es necesario)
o Establecer el mecanismo que garantice la independencia del equipo.
o Habilidades blandas necesarias para trabajar en equipo y en relación con el
auditado
o El ambiente corporativo como la idiosincrasia establecida.
Página 19 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
Revisión o ejecución de análisis de riesgos de una organización.
Desarrollo de informes de auditoría en las cuales haya participado
Haber auditado un SGSI.
Se debe tener claro que un dictamen pericial es una conclusión emitida por una sola persona
(el perito), en cambio las conclusiones de la auditoría son emitidas por el equipo auditor.
Página 20 de 21
Tutor: Ing. Rodolfo Bojorque MSc.
Auditoría de Sistemas de Información
Bibliografía:
De Quezada, R. “Introducción a la Auditoría Informática”, FUOC, 2014.
Davis ,C. Schiller, M. “IT Auditing: Using controls to protect information assets”, McGrawHill,
Second Edition, 2011.
ISACA, COBIT 5 “Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa”,
ISBN 978-1-60420-282-3; 2012.
ISO, ISO/IEC 27006 “Information technology -- Security techniques -- Requirements for bodies
providing audit and certification of information security management systems”
Página 21 de 21
Tutor: Ing. Rodolfo Bojorque MSc.