UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS

DEPARTAMENTO DE CONTADURIA PÚBLICA

AUDITORIA DE SISTEMAS DE INFORMACION I

LA FUNCION DE LA AUDITORIA DE SISTEMAS

2013

1
La funcion de la Auditoria en Sistemas
LA FUNCION DE LA AUDITORIA DE SISTEMAS

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

¿Qué es Auditoría?
La Auditoría es un proceso sistemático de obtención y evaluación objetiva de evidencias
respecto a afirmaciones o aseveraciones acerca de hechos y eventos económicos, para
determinar el grado de correspondencia entre tales aseveraciones y los criterios
establecidos, y comunicar los resultados a los usuarios interesados. Definición de
American Accounting Association (AAA) para varios tipos de auditoría incluyendo la
auditoría interna, auditoría externa y auditoría de computación.

¿QUÉ ES AUDITORIA EN INFORMATICA?

La auditoría en informática es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan en el procesamiento de la información, a fin
de que por medio del señalamiento de cursos alternativos se logre una utilización más
eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar

2
La funcion de la Auditoria en Sistemas
los sistemas de información en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtención de información.
La auditoría en informática es de vital importancia para el buen desempeño de los
sistemas de información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo
(informática, organización de centros de Información,  hardware y software).

¿Qué es la Auditoría de Sistemas de Información?

Toda la auditoría que comprenda la revisión y evaluación de todos los aspectos ( ó

cualquier porción ) de los sistemas automatizados de procesamiento de información,
incluyendo los procesos no automatizados relacionados y las interfaces entre ellos.
Definición de Information Systems Audit and control Association ( ISACA)

¿Qué hace la ASI?

Es una función de la auditoría que:

- Evalúa y verifica los controles establecidos en las actividades y recursos de

cómputo de las empresas.

- Asesora a la Administración en asuntos de cómputo.

- Promueve la automatización en las diferentes modalidades de la auditoría

Objetivos de la Auditoría de Sistemas

Evaluar y verificar el control interno en todos los aspectos de los sistemas automatizados
de procesamiento de datos de la empresa:

- Administrativos

- Técnicos y

- Operativos

Verificar que los sistemas de información automatizados satisfaga los siete criterios de la
información de negocios requeridos por COBIT.

- Efectividad - Eficiencia

- Confidencialidad - Integridad

3
La funcion de la Auditoria en Sistemas
 - Disponibilidad - Cumplimiento con leyes y Regulaciones

- Confiabilidad

Verificar que los controles utilizados en los sistemas de información protejan a las
organizaciones contra los riesgos que podrían afectarlas a través de sus recursos de
cómputo.

- Datos

- Aplicaciones del Computadora

- Tecnología
- Instalaciones de Cómputo
- Las personas

La Auditoría de Sistemas y los Riesgos en las Empresas

La Auditoría de Sistemas evalúa y verifica que existan controles apropiados para proteger
a las organizaciones contra eventos indeseados (RIESGOS) que podrían afectarlas a
través de sus recursos de cómputo

- Errores humanos - Actos mal intencionados

- Decisiones erróneas - Pérdidas de activo

- Encubrimientos de pasivos - Desventajas ante la competencia

- sanciones legales - Desastres naturales

- Pérdida de credibilidad e imagen

Cuales controles evalúa y verifica?

- LOS EXISTENTES.

Enfoque estático de la auditoría “detrás de lo conocido” . Tiempo de auditoría

posterior al tiempo de los eventos auditados.

- LOS QUE DEBERÍAN EXISTIR.

Enfoque dinámico de la auditoría: “prevención y asesoría”

Tiempo de auditoría menor o igual que el tiempo de los eventos.

4
La funcion de la Auditoria en Sistemas
 Enfoque Proactivo: Suscita acciones para prevenir errores, desviaciones e
irregularidades

Funciones de la Auditoría de Sistemas:

- Auditoría de Controles Generales de la Informática

- Auditoría de Aplicaciones en funcionamiento
- Auditoría en el Desarrollo de Sistemas
- Soporte a Grupos de Auditoría

Alcance del trabajo de la Auditoría de Sistemas:

- las actividades de TI de la empresa (administración de los recursos

de cómputo de la organización)
- Las aplicaciones en el computador en estado de producción o
funcionamiento
- El desarrollo de nuevas aplicaciones para el computador
- El soporte técnico a otras actividades de la auditoría (financiera,
operativa, etc.)

RESULTADOS DEL TRABAJO DE ASI

Tangibles:

Informes escritos con opiniones, observaciones y recomendaciones dirigidos a:

- Dirección de la Empresa
- La Gerencia de Sistemas (Organización y Métodos)
- Las Áreas de negocio y de soporte administrativo que manejan
operaciones críticas de las empresas que se soportan en
Tecnología de Información

Intangibles: (Valor Agregado)

- El mejoramiento de la Seguridad en Informática

- El mejoramiento de la Cultura de Control en las Organizaciones

BENEFICIOS DE LA AUDITORÍA DE SISTEMAS

Previene la ocurrencia de situaciones perjudiciales para la organización (es un

control preventivo)

- Actúa como médico de los sistemas de información.

- Revisa suficiencia de los controles existentes
5
La funcion de la Auditoria en Sistemas
 - Señala las áreas de riesgos críticas que requieren ser controladas
- Promueve le mejoramiento de la cultura de control en las
organizaciones
- Fomenta la conciencia de seguridad institucional
- Fomenta la definición de un lenguaje común de seguridad

Genera actitud positiva hacia los controles en los responsables del manejo de las
operaciones de la empresa para que asuman la responsabilidad de:

- Identificar a priori posibles riesgos innecesarios en las operaciones

del negocio
- Efectuar ajustes al sistema de control interno existente
- Establecer que los controles sean intrínsecos a los procedimientos
manuales y automatizados. (Autocontrol)

Promueve la calidad, seguridad y eficiencia en los sistemas de información

automatizados

- Efecto Psicológico de tener auditores de sistemas : el hecho de

tener auditoría de sistemas estimula mayor diligencia del personal
de sistemas y de las áreas de operación
- Formula recomendaciones constructivas : el auditor no se queda en
el ámbito de la crítica, también propone alternativas de solución a
los problemas que detecte.
- Complementa el control que ejerce la Gerencia de Sistemas
- Observa y detecta lo que el Gerente de Sistemas no puede
ver
- Ojos y oídos de la Gerencia
- Actúa con independencia orgánica, mental y de criterio
- Asesora a la Organización en asuntos de seguridad corporativa
- Complementa el efecto de los controles ejercidos por los usuarios
internos y externos de los sistemas:
- Actúa como un control sobre los controles establecidos en la
empresa
- Tiene el poder de influir (es el poder detrás del trono)
- Es parte integral del sistema de control interno de la empresa

Gestión de la función de Auditoria de SI

La función de auditoría debe ser gestionada y conducida en una forma que asegure que
las diversas tareas realizadas y logradas por el equipo de auditoría cumplirán los objetivos
de la función de auditoría, mientras se preserva la independencia y competencia de la
auditoría. Además, gestionar la función de auditoría debería asegurar a la alta dirección

6
La funcion de la Auditoria en Sistemas
las contribuciones al valor agregado respecto a la eficiente gestión de TI y al logro de los
objetivos del negocio.

ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA DE SI

Los servicios de auditoría de SI pueden ser provistos externamente o internamente.

El rol de la función interna de auditoría de SI debería establecerse en un estatuto de

auditoría aprobado por la alta dirección. La auditoría de SI puede ser parte de la auditoría
interna, funcionar como un grupo independiente, o estar integrada dentro de una auditoría
financiera y operacional (ver la figura 1.7) para proveer garantía de control relacionado
con TI a los auditores financieros o de la gerencia; por lo tanto, el estatuto de auditoría
puede incluir la auditoría de SI como una función de apoyo de auditoría.

Este estatuto debería establecer claramente la responsabilidad y los objetivos de la

gerencia para la función de auditoría de SI y la delegación de autoridad para la misma.
Este documento debería describir la autoridad, el alcance y las responsabilidades
generales de la función de auditoría. El nivel más alto de gestión y el comité de auditoría,
si existe alguno, deberían aprobar este estatuto.

Una vez establecido, este estatuto debería modificarse sólo si dicho cambio puede
realizarse y está completamente justificado.

Los estándares de auditoría de SI de ISACA requieren que la responsabilidad, autoridad y

obligación de rendir cuentas de la función de auditoría de SI estén debidamente
documentadas en un estatuto de auditoría o en una carta de compromiso (SI Estatuto de
Auditoría). Se debe notar que un estatuto de auditoría es un documento de alcance
general que cubre toda la gama de actividades de auditoría en una entidad mientras que
una carta de compromiso está más centrada en un ejercicio particular de auditoría que se
busca que sea iniciado en una organización con un objetivo específico en mente.

Si los servicios de auditoría de SI son provistos por una firma externa, el alcance y los
objetivos de estos servicios deben ser documentados en un contrato formal o declaración
de trabajo entre la organización contratante y el proveedor del servicio.

En cualquier caso, la función de auditoría interna debe ser independiente, y reportar a un

comité de auditoría, si existe alguno, o al nivel más alto de la gerencia, como por ejemplo
el consejo de dirección.

GESTIÓN DE LOS RECURSOS DE AUDITORÍA DE SI

La tecnología de SI está cambiando constantemente. Por lo tanto, es importante que los

auditores de SI mantengan su competencia por medio de la actualización de sus
habilidades actuales y que obtengan capacitación sobre nuevas técnicas de auditoría y
áreas de tecnología. Los estándares de auditoría de SI de ISACA requieren que el auditor
de SI sea técnicamente competente (S4 Competencia técnica) y que posea las
habilidades y el conocimiento necesarios para realizar el trabajo de un auditor. Además, el
auditor de SI debe mantener su competencia técnica a través de una educación
profesional continua. Se deben tomar en consideración las habilidades y los

7
La funcion de la Auditoria en Sistemas
conocimientos cuando se planifiquen las auditorías y se asigne personal para tareas
específicas de auditoría.

Preferentemente, se debería diseñar un plan anual detallado de capacitación del personal

basado en la dirección de la organización, en términos de tecnología, y aspectos
relacionados con riesgos que necesiten considerarse. Éste debería revisarse
periódicamente para asegurar que las necesidades de capacitación estén alineadas con
la dirección que esté tomando la organización de auditoría. Adicionalmente, la gerencia de
auditoría de SI también debe proporcionar los recursos de TI necesarios para realizar
auditorías de SI apropiadamente de naturaleza altamente especializada (por ejemplo,
herramientas, metodología, programas de trabajo).

PLANEACION DE LA AUDITORÍA DE SI

 La planeación debe ser a corto plazo y a largo plazo

o Planeación Anual
o Asignaciones de Auditoria individual
 El análisis a problemas a corto largo plazo debe hacerse por lo menos una vez al
año
 Cada tarea individual de la auditoria debe ser planeada adecuadamente.
 Considerar: Evaluación de riesgos, privacidad y requerimientos regulatorios para el
enfoque general de la auditoria.
 Considerar fechas límites establecidas para la implementación/actualización de los
sistemas, las tecnologías actuales y futuras, requerimientos de los dueños del
proceso de negocios y de las limitaciones de recursos de SI.
 Al planear una auditoria, el auditor de SI debe tener un entendimiento general del
ambiente a revisar.
o Prácticas de negocio
o Funciones relativas al sujeto de la auditoria
o Tipos de sistemas de información y la tecnología que soportan la
actividad.
o

PASOS PARA LA PLANEACION DE LA AUDITORÍA DE SI

1. Lograr un entendimiento de la misión, los objeticos, el propósito y los procesos del

negocio, requerimientos de información y procesamiento.
2. Identificar contenidos específicos tales como políticas, estándares y directrices
requeridos, procedimientos y estructura de la organización.
3. Evaluar el análisis de riesgo y todo análisis de impacto sobre la privacidad llevado
a cabo por la organización.
4. Realizar un análisis de riesgos.
5. Llevar a cabo una revisión de control interno.

8
La funcion de la Auditoria en Sistemas
 6. Establecer el alcance y los objetivos de la auditoria.
7. Desarrollar el enfoque o la estrategia de auditoría.
8. Asignar recursos humanos a la auditoria
9. Considerar la logística del trabajo de la auditoria.

PASOS PARA LA COMPRENSION DEL NEGOCIO

1. Recorrido de las instalaciones clave de la organización

2. Lectura de antecedentes incluyendo publicaciones de la industria, informes
anuales e información de análisis financieros independientes.
3. Revisión de planes estratégicos a largo plazo
4. Entrevistas a los agentes clave para entender pormenores del negocio
5. Revisión de informes anteriores
6. Identificar las regulaciones especificables a TI
7. Identificar funciones de TI o actividades relacionadas que han sido contratadas de
forma externa.

EFECTO DE LEYES Y REGULACIONES SOBRE LA PLANIFICACION DE TI

 Toda organización debe cumplir con un numero de requerimientos externos

relacionados con las prácticas y los controles de SI
 Las regulaciones de negocio pueden impactar la forma en que los datos se
procesan, se transmiten y se almacenan.
 Hay industrias que históricamente han tenido un marco regulatorio muy estricto
(industria bancaria, por ejemplo).
 Existen dos áreas principales de interés
o Los requerimientos legales de la Auditoria de SI
o Los requerimientos legales aplicables al auditado y sus sistemas.
 Un ejemplo de prácticas solidas de control, es la Ley Sarbanes-Oxley (SOX) de
2002.
 Se espera que la organización tenga una función de cumplimiento legal en la que
el personal de Control de SI pueda confiar
 La calidad de la información suministrada a los inversionistas se ha convertido en
un asunto de interés primordial en todo el mundo.

PASOS QUE SEGUIRIÁ UN AUDITOR DE CONTROLES DE SI PARA DETERMINAR

UN NIVEL DE CUMPLIMIENTO DE UNA ORGANIZACIÓN CON LOS
REQUERIMIENTOS EXTERNOS:

9
La funcion de la Auditoria en Sistemas
 1. Identificar los requerimientos gubernamentales u otros externos relevantes que se
refieren a:
o Datos electrónicos, derechos de autor, comercio electrónico, firmas
digitales, etc.
o Prácticas y controles de sistemas computarizados
o La manera en que se almacenan las computadoras, los programas y los
datos
o La organización o las actividades de los servicios de información.
2. Documentar las leyes y regulaciones pertinentes
3. Determinar si la dirección de la organización y la función de SI han tomado en
consideración los requerimientos relevantes.
4. Revisar los documentos internos de la función del SI que se ocupan del
cumplimiento de las leyes aplicables a la industria.
5. Determinar el cumplimiento con los procedimientos establecidos que se ocupan de
estos requerimientos.

CLASIFICACIÓN DE LAS AUDITORÍAS

El auditor de SI debería entender los diversos tipos de auditorías que pueden efectuarse
interna o externamente, y los procedimientos de auditoría asociados con cada uno de
ellos:

• Auditorías financieras—El propósito de una auditoría financiera es determinar la

exactitud de los estados financieros de una organización. Una auditoría financiera a
menudo implicará pruebas sustantivas detalladas, aunque cada vez más, los auditores
están poniendo más énfasis en un enfoque de auditoría basado en riesgo y control. Este
tipo de auditoría se relaciona con la integridad y confiabilidad de la información financiera.

• Auditorías Operativas—Una auditoría operativa está diseñada para evaluar la estructura

del control interno en un proceso o área determinada. Las auditorías de SI sobre controles
de las aplicaciones o de sistemas de seguridad lógica son algunos ejemplos de auditorías
operativas.

• Auditorías integradas—Una auditoría integrada combina pasos de auditoría financiera y

operativa. También se realiza para evaluar los objetivos generales dentro de una
organización, relacionados con la información financiera y la salvaguarda de activos, la
eficiencia y el cumplimiento. Una auditoría integrada puede ser ejecutada por auditores
externos o internos e incluiría pruebas de cumplimiento a los controles internos y los
pasos de auditoría sustantiva.

• Auditorías administrativas—Estas están orientadas a evaluar aspectos relacionados con

la eficiencia de la productividad operativa dentro de una organización.

 Auditorías de SI—Este proceso recolecta y evalúa la evidencia para determinar si los

sistemas de información y los recursos relacionados protegen adecuadamente los
activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen
información relevante y confiable, logran de forma efectiva las metas organizacionales,
usan eficientemente los recursos y tienen en efecto controles internos que proveen
una certeza razonable de que los objetivos de negocio, operacionales y de control

10
La funcion de la Auditoria en Sistemas
 serán alcanzados y que los eventos no deseados serán evitados o detectados y
corregidos de forma oportuna.

 Auditorías especializadas—Dentro de la categoría de las auditorías de SI, existe un

número de revisiones especializadas que examinan áreas tales como los servicios
realizados por terceros. En vista de que los negocios dependen cada vez más de
servicios prestados por terceros, es importante que se evalúen los controles internos
en estos ambientes. La declaración sobre Estándares de Auditoría (SAS) 70, titulada
"Informes sobre el Procesamiento de las Transacciones por Organizaciones de
Servicio" es un estándar de auditoría ampliamente conocido desarrollado por el
Instituto Americano de Contadores Públicos Certificados (AICPA). SAS 70, define los
estándares profesionales usados por un auditor de servicios para evaluar los controles
internos de una organización de servicios. Este tipo de auditoría se ha vuelto cada vez
más relevante debido a la actual tendencia a la externalización (outsourcing) de
procesos financieros y de negocios a terceros proveedores de servicios que, en
algunos casos, pueden operar en diferentes jurisdicciones o incluso en diferentes
países.

Se debe señalar que una revisión del tipo 2 SAS 70 es una variación más exhaustiva de
una revisión regular SAS 70, que a menudo se requiere en relación con revisiones
regulatorias.

Muchos otros países tienen su propio equivalente de este estándar. Una auditoría tipo
SAS 70 es importante porque significa que una organización de servicios ha pasado por
una auditoría profunda de sus actividades de control, que incluyen generalmente controles
de tecnología de información y procesos relacionados. Las revisiones de tipo SAS 70
proveen directrices que permiten a un auditor independiente (auditor de servicios) emitir
una opinión sobre la descripción de los controles de una organización de servicios a
través del informe de un auditor de servicios, en el que luego el auditor de SI de la entidad
que utiliza los servicios de la organización de servicios puede basarse.

 Auditorías forenses—La auditoría forense ha sido definida como una auditoría

especializada en descubrir, revelar y hacer seguimiento a fraudes y crímenes. El
propósito principal de dicha revisión era el desarrollo de evidencia para ser revisada
por autoridades policiales y judiciales. En años recientes, el profesional forense ha
sido llamado a participar en investigaciones relacionadas con fraude corporativo y
crimen cibernético. En los casos en que los recursos de computadora puedan haber
sido mal empleados, una investigación adicional es necesaria para recopilar evidencia
de posible actividad criminal que puede luego ser reportada a las autoridades
competentes.

Una investigación de cómputo forense incluye el análisis de dispositivos electrónicos,

tales como computadoras, teléfonos, PDAs, discos, switches, enrutadores (routers),
concentradores (hubs) y otros equipos electrónicos. El auditor de SI que posea las
habilidades necesarias puede asistir al gerente de seguridad de información en la
realización de las investigaciones forenses y llevar a cabo la auditoría de los sistemas
para asegurar que se cumplan los procedimientos de recolección de evidencia para la
investigación forense. La evidencia electrónica es vulnerable a alteraciones, por lo que
es necesario manejarla con extremo cuidado y se deben asegurar controles para
garantizar que no pueda ocurrir ninguna manipulación. Se debe establecer una

11
La funcion de la Auditoria en Sistemas
 cadena de custodia de evidencia electrónica para cumplir con los requerimientos
legales.

La evidencia de computadora manejada de manera inadecuada puede ser

considerada inadmisible por las autoridades judiciales. La consideración más
importante para un auditor forense es la de obtener una imagen completa (bit-stream)
del dispositivo objetivo y examinar esa imagen sin alterar los sellos de fecha u otra
información atribuible a los archivos examinados. Además, las herramientas y técnicas
de auditoría forense, tales como el mapeo (mapping) de datos para la evaluación de
riesgos de privacidad y seguridad y la búsqueda de propiedad intelectual para la
protección de datos, también se están usando para prevención, cumplimiento y
aseguramiento.

USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS

Debido a la poca disponibilidad de auditores de SI y a la necesidad de especialistas en

seguridad de TI y de otros expertos en el asunto objeto para llevar a cabo auditorías de
áreas altamente especializadas, el departamento de auditoría o los auditores a los que se
confió el proveer aseguramiento pueden requerir los servicios de otros auditores o
expertos. La externalización (outsourcing) de servicios de aseguramiento y seguridad de
SI se está convirtiendo en una práctica cada vez más común. Los expertos externos
podrían incluir expertos en tecnologías específicas, tales como redes, cajeros automáticos
(ATM), inalámbricos, integración de sistemas y conocimientos digitales forenses, o
expertos en la materia tales como especialistas en una industria o área de especialización
en particular, tales como banca, comercio de títulos-valores, seguros, expertos legales,
etc.

Cuando se propone que una parte o la totalidad de los servicios de auditoría de SI se

externalice a otro proveedor externo de servicios o de auditoría, se debería considerar lo
siguiente respecto al uso de servicios de otros auditores y expertos:

• Restricciones sobre la externalización (outsourcing) de servicios de auditoría/seguridad

dispuestas por las leyes y regulaciones

• Estatuto de auditoría o estipulaciones contractuales

• Impacto sobre los objetivos generales y específicos de auditoría de SI

• Impacto sobre riesgo de auditoría de SI y responsabilidad profesional

• Independencia y objetividad de otros auditores y expertos

• Competencia profesional, calificaciones y experiencia

• Alcance del trabajo que se propone que se externalice y método

• Controles de supervisión y de gestión de auditoría

12
La funcion de la Auditoria en Sistemas
• Método y modalidades de comunicación de los resultados del trabajo de auditoría

• Cumplimiento de las estipulaciones legales y regulatorias

• Cumplimiento de los estándares profesionales aplicables

Basado en la naturaleza de la asignación, lo siguiente también puede requerir

consideración especial:

• Verificaciones de testimonios/referencias y antecedentes

• Acceso a sistemas, premisas y registros
• Restricciones de confidencialidad para proteger la información relacionada con el cliente
• El uso de CAATs y otras herramientas que deban ser usadas por el proveedor de
servicios de auditoría externos
• Estándares y metodologías para el desempeño de trabajo y documentación
• Acuerdos de no divulgación

El auditor de SI o la entidad que externaliza los servicios deberían monitorear la relación

para asegurar la objetividad e independencia durante toda la vigencia del acuerdo.

Es importante entender que a menudo, a pesar que una parte o la totalidad del trabajo de
auditoría pudiera delegarse a un proveedor externo de servicios, la responsabilidad
profesional relacionada no es necesariamente delegada. Por consiguiente, es
responsabilidad del auditor de SI o de la entidad que emplea los servicios de proveedores
externos de servicios:

• Comunicar claramente los objetivos, el alcance y la metodología de la auditoría a través

de una carta de compromiso

• Establecer un proceso de monitoreo para revisión regular del trabajo del proveedor
externo de servicios con respecto a planificación, supervisión, revisión y documentación.

Por ejemplo, la revisión de los papeles de trabajo de otros auditores o expertos de SI para
confirmar que el trabajo se planificó, supervisó, documentó y revisó apropiadamente y
para considerar la conveniencia y suficiencia de la evidencia de auditoría proporcionada; o
la revisión del informe de otros auditores o expertos de SI para confirmar que se hayan
cumplido el alcance especificado en el estatuto de auditoría, los términos de referencia o
la carta de compromiso, que se hayan identificado los supuestos significativos utilizados
por otros auditores o expertos de SI y que la gestión haya aceptado las conclusiones y los
hallazgos reportados.

• Determinar la utilidad y lo apropiado de los informes de dichos proveedores externos y

evaluar el impacto de los hallazgos significativos sobre los objetivos generales de
auditoría.

Nota: El Alumno debe estar familiarizado con el Estándar de Auditoría de ISACA sobre
"Realización del Trabajo de Auditoría" (S6) y la Directriz de Auditoría de SI "Usando el
Trabajo de Otros Auditores" (G1) que se concentra en los Derechos de Acceso al Trabajo
de Otros Auditores o Expertos.

13
La funcion de la Auditoria en Sistemas
AUDITORIA A LOS SISTEMAS DE INFORMACION COMPUTARIZADOS Y A LOS
RECURSOS INFORMATICOS DE LA ORGANIZACION

La auditoría no es una especialidad exclusiva de los contadores. Resulta obvio que si

debemos auditar el cálculo de un edificio, necesitamos un ingeniero auditor y no un
contador. Con igual concepto existen médicos auditores, auditores militares, etc.
Dependiendo de la naturaleza de la actividad a auditar, resultará el tipo de especialista
que puede evaluarla.

En el desarrollo de este material hemos identificado básicamente dos tipos de trabajos de

auditoría en un entorno informático: al sistema de información computarizado y a los
recursos informáticos de la organización. En el primer caso, prima el objetivo de
evaluar la calidad de la información; en el segundo, la evaluación de los recursos
informáticos. Ambos requieren, entonces, de equipos de auditores con distinta
preparación y habilidades.

En el caso de trabajos de auditoría a sistemas de información económicos financieros,

deben ser dirigidos y ejecutados por profesionales en ciencias económicas. En este tipo
de trabajos se requiere más de conocimientos sobre el sistema de información que sobre
el medio en donde se procesan y/o residen los datos. En caso de ser necesarios los
conocimientos técnicos especiales sobre el equipamiento, los programas y el
funcionamiento del sistema computacional, el equipo de auditores puede solicitar la
colaboración de especialistas en tecnologías de información.

Por el contrario, creemos que los trabajos de auditoría informática (a los recursos
informáticos de una empresa) son competencia de los profesionales en sistemas. En
estos casos, los contadores-auditores deben abstenerse de efectuar recomendaciones en
un campo que no es su especialidad e incumbencia. Recordemos que el objetivo de una
auditoría informática consiste en medir la eficiencia con que se utilizan los recursos
informáticos disponibles en una entidad: equipos, redes de comunicación de datos,
aplicaciones y desempeño del personal de sistemas.

Sin embargo, en la práctica no es fácil determinar qué actividades pertenecen a una clase
de trabajos de auditoría y cuáles a otra. Las zonas grises aparecen cuando se trata de
precisar el alcance de las tareas a realizar. Estas zonas grises pueden explicarse cuando
analizamos los métodos que se siguen para efectuar una auditoría al sistema de
información contable; en ellas, se privilegia la etapa de revisión del sistema de control
interno, base para las afirmaciones posteriores respecto a la exactitud, integridad y
correspondencia de los registros recuperados del sistema informático. Para efectuar la
etapa de revisión del sistema de control interno es necesario contar con conocimientos en
tecnologías de información ya que, entre otras cosas, se valida la efectividad de controles
propios del ambiente computacional: control de acceso al sistema, métodos de respaldos,
procedimientos para modificar los sistemas, funcionamiento de los controles
programados, etc. Para evaluar estos aspectos es necesario contar con la ayuda de
expertos informáticos.

14
La funcion de la Auditoria en Sistemas
En los últimos años ha comenzado a ofrecerse en nuestro país capacitación específica en
Auditoría de Sistemas de Información:

• Isaca (www.isaca.org) propone certificar Auditores en Sistemas de Información

(“certificación CISA”), para ello se debe rendir un examen que habilita al profesional para
efectuar este tipo de trabajos.

ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares -
controles de auditoría en los sistemas computarizados que se estaban haciendo cada vez
más críticos para las operaciones de sus organizaciones
respectivas- se sentaron a discutir la necesidad de tener una fuente centralizada de
información y guía en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo
el nombre de EDP Auditors Association (Asociación de Auditores de
Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de
educación para llevar a cabo proyectos de investigación de gran escala para expandir los
conocimientos y el valor del campo de gobernación y control de TI.
....
En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una
organización global que establece las pautas para los profesionales de gobernación,
control, seguridad y auditoría de información. Sus normas de auditoría
y control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones
resaltan temas profesionales que desafían a sus constituyentes. Su certificación Certified
Information Systems Auditor (Auditor Certificado de Sistemas
de Información, o CISA) es reconocida en forma global y ha sido obtenida por más de
44.000 profesionales. Su nueva certificación Certified Information Security Manager
(Gerente Certificado de Seguridad de Información, o CISM) se concentra exclusivamente
en el sector de gerencia de seguridad de la información. Publica un periódico técnico líder
en el campo de control de la información, el Information Systems Control Journal
(Periódico de Control de Sistemas de Información).

Organiza una serie de conferencias internacionales que se concentran en tópicos técnicos

y administrativos pertinentes a las profesiones de gobernación de TI y aseguración,
control, seguridad de SI. Juntos, ISACA y su Instituto de Gobernación
de TI (IT Governance Institute) asociado lideran la comunidad de control de tecnología de
la información y sirven a sus practicantes brindando los elementos que necesitan los
profesionales de TI en un entorno mundial en cambio permanente.

Honduras posee un Capítulo Local.

15
La funcion de la Auditoria en Sistemas