Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 8. El Proceso de Auditoría de Sistemas de La Información
Tema 8. El Proceso de Auditoría de Sistemas de La Información
Tema 8. El proceso de
auditoría de sistemas de la
información
Índice
Esquema
Ideas clave
8.7. Evidencia
A fondo
Ciberseguridad
Test
Esquema
Se requieren varios pasos para realizar una auditoría, lo que conlleva a que el
auditor de sistemas deba evaluar los riesgos a los que está sometida la compañía
esta manera, podrá formarse una imagen objetiva para la preparación del informe.
los riesgos, así como cualquier factor relevante sobre la organización y su contexto,
tanto interno como externo. Por este motivo, a continuación, se expresan algunas
▸ Comprensión del negocio. Comprensión del contexto, tanto interno como externo,
▸ Riesgo y materialidad de auditoría. Los riesgos de auditoría tienen que ver con
una información que pueda tener errores o un auditor de sistemas que no pueda
detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la
siguiente manera.
auditoría, el auditor debe evaluar los riesgos y determinar cuáles están dentro del
alcance y deben ser auditados. Para ello, existen cuatro motivos por los que se
eficazmente el departamento.
relaciona con la organización global de la empresa, así como los planes del
negocio.
internacionales de auditoría.
auditoría.
evidencias.
resultados de la auditoría.
repositorio para poder ver que otros estándares puedan resultar aplicables.
Informar a los auditores de sistemas del mínimo nivel aceptado para resolver las
ayuda a proveer información sobre cómo cumplir con los requerimientos que se
se muestran dos organismos; pero, al igual que con los estándares, se recomienda
que se realice una búsqueda para poder obtener más información sobre otros
Estados Unidos, fundada en 1941, con más de 200 000 miembros en más de 170
países. El IIA es reconocido mundialmente como una autoridad, pues es el principal
educador y líder en la certificación, la investigación y la guía tecnológica en la
▸ Norma ISA 401 sobre sistemas de información por computadora, SAS No. 94 (the
financial statement audit) dice que una organización que usa tecnologías de
información se puede ver afectada en uno de los siguientes cinco componentes del
control interno: el ambiente de control, la evaluación de riesgos, las actividades de
control, la información, la comunicación y el monitorio, además de la forma en que se
inicializan, registran, procesan y reportan las transacciones.
componentes son una declaración del alcance, de los objetivos y de los programas
de la auditoría.
auditoría que sea una guía para la ejecución y documentación de todos los pasos
Como observación, hay que comentar que dos auditores con la misma información y
se pretenda revisar o analizar; pero, como estándar, analizaremos las cuatro fases
Preparación de la auditoría
Las actividades que el auditor debe realizar con el objetivo de completar adecuadamente la etapa de preparación
de la auditoría y asegurar el correcto desarrollo del resto de etapas son, al menos, las siguientes:
posible:
se necesita.
• El alcance definido.
• El tiempo estimado.
▸ Plan de comunicación: uno de los aspectos clave que debe quedar acordado con
Realización de la auditoría
organización auditada.
desviaciones.
▸ Antecedentes.
▸ Metodología utilizada.
▸ Posibles limitaciones.
▸ Resumen de auditoría.
• Audiencia.
• Formato.
• Forma de envío.
aspectos para tener en cuenta a la hora de realizar una auditoría basada en riesgos.
Accede al vídeo:https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?
id=70aefa77-abd6-4dea-b7b3-adf700cfec21
Planificación anual
a largo plazo. La planificación a corto plazo toma en cuenta los aspectos relevantes
de auditoría que serán cubiertos durante el año, mientras que la planificación a largo
plazo se refiere a los planes de auditoría que tomarán en cuenta
idealmente, enumera todos los procesos que se pueden tener en cuenta para las
auditorías. Cada uno de estos procesos puede estar sujeto a una evaluación de
factor de la reputación, los criterios según los que se puede solicitar datos del
entender que otras consideraciones, tales como los resultados de las evaluaciones
comprensión general del contexto bajo revisión. Esto debería incluir una
comprensión general de las diversas prácticas y funciones de negocio relativas al
Los pasos que un auditor de sistemas de información podría dar para lograr la
regulatorias).
Programas de auditoría
instrucciones paso a paso de auditoría que debe realizarse para completarla y que
Tabla 1. Aspectos que incluye un esquema típico de un programa de auditoría. Fuente: elaboración propia.
▸ Pruebas de cumplimiento.
▸ Pruebas sustantivas.
archivos de datos.
operativos o de aplicación.
▸ Revisión de la documentación.
▸ Observación y consultas.
▸ Inspección y verificación.
desarrolladores. Por otra parte, podemos decir que son elementos físicos utilizados
¿Para qué se utilizan? Las herramientas se utilizan para valorar registros, planes,
¿Para qué se aplican? Las herramientas se aplican para investigar algún hecho,
Tipos de herramientas
interpretar por medio de su tabulación y análisis para evaluar lo que está auditando y
forma.
tradicionales es muy utilizada. Como norma general, existen dos tipos de entrevistas:
▸ Entrevistas libres: son las entrevistas en las que se sigue un guion básico para
ninguna atadura.
de antemano las fechas y horas más adecuadas para su empleo. Son programas
valor agregado, que todos los papeles de trabajo sean estandarizados, optimización
centralizado, seguimiento.
que estas herramientas son muy especializadas, por lo que el volumen que
objetivo concreto.
Auditoría continua
and compliance) pasaron de ser planillas donde se registran los riesgos de distintos
aplicaciones, dando una visión en tiempo real de los riesgos en los sistemas. Estas
herramientas se enfocan en los riesgos que puedan surgir del privilegio de usuarios,
controles generales, controles de aplicación y patrones de fraude.
Los objetivos de la auditoría son las metas específicas que deben cumplirse por
controles internos para minimizar los riesgos del negocio y que estos
objetivo podría ampliarse para asegurar que existen funciones de edición para
8.7. Evidencia
información para determinar si la entidad o los datos que están siendo auditados
incluyen:
seguir un patrón fijo y ser documentadas por medio de notas de entrevista. Un buen
método es un formulario de entrevista o lista de verificación preparada por un auditor
de sistemas de información.
clave que, generalmente, proporciona una mejor evidencia que las otras técnicas y
es, por consiguiente, utilizada cuando al combinar la investigación, observación y
Muestreo
previamente. La población está constituida por la totalidad de los elementos que son
estadístico:
muestra) son determinados con base en el juicio del auditor. Estas decisiones están
basadas en el criterio subjetivo respecto a qué ítems o transacciones tienen mayor
importancia y mayor riesgo.
evidencias durante la auditoría no tienen que ser tan severas como esas, es muy
▸ Capturar una imagen del sistema tan precisa como sea posible.
local o UTC.
se deben recopilar datos de lugares a los que normalmente no hay razón para
acceder, como ficheros personales, a menos que haya suficientes indicios.
Procedimiento de recolección
El procedimiento de recolección debe ser lo más detallado posible; además, hay que
El procedimiento de almacenamiento
Cadena de custodia
siguientes puntos:
ellos son los responsables frente a la alta dirección y el comité de auditoría del
auditoría.
Accede al vídeo:https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?
id=7bf4466c-09b8-42cf-b2ae-adf700cfec86
Ciberseguridad
descargas/category/3-libros
INCIBE. (s. f.). Auditoría de sistemas. Políticas de seguridad para la pyme. [Archivo
PDF].
https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/auditoria-
sistemas.pdf
PDF]. https://auditoresinternos.es/uploads/media_items/f%C3%A1bricati-
web.original.pdf
Publicación del IAI muy recomendable para metodologías y paper. Un ejemplo muy
constructivo.
saber auditarlo hay que comprender cómo implantarlo; este documento es muy
B. Posibles riesgos.
D. Ninguna de anteriores.
A. Sí.
B. No.
de seguridad?
A. Sí.
B. No.
C. Depende de la herramienta.
C. La gerencia de auditoría.
aprobada.
negocio.
A. Un documento Word.
B. Un registro de un sistema.