Objetivo de la Unidad

Esta unidad deberá garantizar que el alumno tenga los

conocimientos necesarios para realizar auditorías de Sistemas
de Información (SI) en conformidad con las normas y las
directrices de auditoría de SI generalmente aceptados, para
garantizar que la tecnología utilizada así como los SI de la
organización, sean controlados, supervisados y determinados
de una manera adecuada.
 Contenidos

• Misión de la auditoría
• Normas y directrices de ISACA para la auditoría de IS
• Análisis del Riesgo
• Controles
• Realización de una auditoría de SI
• Método de Auditoría Continua
• Control Self Assesment
• Evaluación
 1. Misión De La Auditoría

Administración de riesgos

Al planificar una Auditoría, se debe tener una comprensión

suficiente del ambiente total que revisará, incluyendo las
diversas prácticas comerciales y funciones relacionadas con el
tema de la Auditoría, así como los Sistemas de Información que
se utilizan. También se debe conocer el ambiente normativo en
que el negocio opera.
• Visita a Instalaciones principales
• Lectura de material sobre la industria ( negocio)
• Revisión de planes estratégicos
• Entrevista con ejecutivos principales
• Documentación regulatoria
• Informes de auditorías anteriores
El proceso de Auditoría de Sistemas
de Información
 1. Misión De La Auditoría

LEYES Y REGULACIONES

El auditor debe identificar leyes más relevantes aplicables

a prácticas y controles informáticos.

Evaluar si la gerencia y la función de auditoria de sistemas

posee políticas, prácticas y procedimientos para cumplir
con los requerimientos externos.

Evaluar la adherencia a los procedimientos de control para

dar cumplimiento a los requerimientos legales
 2. Normas y Directrices para la Auditoría de
Sistemas de Información

NORMAS GENERALES DE SOBRE AUDITORIAS DE

SISTEMAS DE INFORMACION

No.1 ACTITUD Y APARIENCIA:

En todas las cuestiones relacionadas con la auditoría, el
Auditor de SI debe ser independiente de quién es
auditado en actitud y apariencia.

No.2 RELACION EN LA ORGANIZACION:

La función de Auditoría de SI ha de estar lo
suficientemente independiente del área que se audita
para permitir una realización objetiva de la auditoría.
 1. Misión De La Auditoría

PLANIFICACIÓN DE LA AUDITORÍA
Estatutos de Auditoría
• Objetivos de auditoría
• Alcance de la auditoría
• Autoridad general
• Responsabilidad de la función de auditoría

Los criterios de planificación a corto y largo plazo, deben

ser revisada anualmente.
• Nuevos puntos de control
• Cambios tecnológicos
• Técnicas de auditorías mejoradas
 2. Normas y Directrices para la Auditoría de
Sistemas de Información

No.3 CODIGO DE ETICA PROFESIONAL:

El Auditor de SI debe cumplir el Código de Ética
Profesional de la EDPAF.

No.4 DESTREZAS Y CONOCIMIENTOS:

El Auditor de SI ha de ser competente técnicamente, con
las destrezas y conocimiento necesarios para la
realización de las tareas de auditoría.

No.5 EDUCACION PROFESIONAL PERMANENTE:

El Auditor de SI ha de mantener su competencia técnica
por medio de la correspondiente capacitación
permanente.
 2. Normas y Directrices para la Auditoría de
Sistemas de Información

No.6 PLANIFICACION Y SUPERVISION:

Las auditorías de SI han de ser planificadas y supervisadas
para brindar seguridad de que se alcanzan los objetivos de
auditoría y se cumplen estas normas

No.7 EXIGENCIA DE EVIDENCIA:

Durante la realización de la auditoría, el Auditor de SI ha
de obtener evidencia que por su naturaleza y suficiencia
respalden los hallazgos y conclusiones informadas.
 2. Normas y Directrices para la Auditoría de
Sistemas de Información

No.8 DEBIDO CUIDADO PROFESIONAL:

Debe observarse el debido cuidado profesional en todos
los aspectos de la tarea del Auditor de SI, incluyendo el
cumplimiento de las normas de auditoría

No.9 INFORME DE LA EXTENSION DE LA AUDITORIA:

Al preparar los informes, el Auditor de SI ha de expresar
los objetivos de la auditoría, el período que cubre y la
naturaleza y extensión de las tareas llevadas a cabo..
 2. Normas y Directrices para la Auditoría de
Sistemas de Información

No.10 INFORME DE LOS HALLAZGOS Y DE LAS

CONCLUSIONES:

Al preparar los informes, el Auditor de SI ha de expresar

las observaciones y conclusiones respecto de las tareas
de auditoría llevadas a cabo, y cualquier reserva o
salvedad que el auditor tenga respecto de la auditoría.
 2. Normas y Directrices para la Auditoría de
Sistemas de Información

Guías de la ISACA para la auditoría de sistemas de

información

Objetivo: Proveer más información sobre cómo cumplir las

Normas de la ISACA para la Auditoría de Sistemas de
Información.
1. Alcance Corporativo de IS
2. Planificación de la Auditoría
3. Utilizando el trabajo de otros auditores y expertos
4. Requerimientos de Evidencia de Auditoría
5. Contenido y Formato del Informe
6. Uso de Técnicas de Auditoría Asistidas por Computador –
CAAT’s
2. Normas y Directrices para la Auditoría de
Sistemas de Información

CODIGO DE ETICA PROFESIONAL

Apoyar el establecimiento y cumplimiento de normas,

procedimientos y controles para los Sistemas de Información.

Cumplir las Normas de Auditoría de Sistemas de Información.

Actuar en interés de sus empleadores, accionistas, clientes y

el público en general en forma diligente, leal y honesta y a
sabiendas no contribuir en actividades ilícitas o incorrectas.

Mantener la confidencialidad de la información obtenido en el

curso de sus deberes. La información no será utilizada para
propio beneficio o divulgada a terceros no legitimados.
2. Normas y Directrices para la Auditoría de
Sistemas de Información

Mantener su capacidad y conocimientos en los campos

interrelacionados de la auditoría y los sistemas de información
por medio de su participación en actividades de capacitación.
Ejercer sumo cuidado al obtener y documentar material
suficiente sobre el cual basar sus conclusiones y
recomendaciones.
Informar a las partes involucradas del resultado de las tareas
de auditoría llevadas a cabo.
Apoyar la educación de la gerencia, los clientes y al público en
general para mejorar la comprensión de la auditoría y los
sistemas de información.
Mantener altos estándares de conducta y carácter tanto en las
actividades profesionales como en las privadas.
 3. Análisis del Riesgo

Definición de Riesgo según las normas ISO:

“El potencial de que una determinada amenaza pueda explotar
las vulnerabilidades de un activo o grupo de activos y
causarles pérdidas o daños a los activos”
Elementos de los riesgos:
• Las amenazas y las vulnerabilidades de los procesos y/o
activos
• El impacto en los activos debido a amenazas y
vulnerabilidades.
• Probabilidades de las amenazas
 3. Análisis del Riesgo

Riesgos para el Auditor de sistemas de información:

• Confidencialidad
• Disponibilidad
• Integridad
 3. Análisis del Riesgo

Elementos de riesgos  Información

Activos:  Hardware/Software
 Bienes ( edificios, inventarios,
dinero)
Ejemplos:  Intangibles (Imagen/
reputación)
 Documentos
Amenazas:  RRHH

 Errores
 Daños intencionales
Clases más comunes:  Fraude
 Robo
 Falla del Hardware/Software
 3. Análisis del Riesgo
Elementos de riesgos Desconocimiento del
usuario
Vulnerabilidades: Falta de seguridad
Nuevos sistemas no
Ejemplos: comprobados
Transmisión por medios
inseguros
Impactos.
Pérdida de dinero
Ejemplos: Incumplimiento a la ley
Pérdida de reputación
Pérdida de oportunidad de
negocio
Reducción de eficiencia
Continuidad del negocio
 3. Análisis del Riesgo

RIESGOS:

Se entiende como la contingencia o proximidad de un daño, como

la posibilidad de ocurrencia de un hecho o suceso no deseado o la
no ocurrencia de uno deseado.
Tipos de riesgos:
•Riesgo Inherente
•Riesgo de Control
•Riesgo de Auditoría
 3. Análisis del Riesgo

Riesgo inherente:

Es el riesgo propio de la naturaleza de las cosas, riesgo que puede ser

potenciado o debilitado por una serie de factores del entorno.
Riesgo de control:

Es la posibilidad de que el Sistema de Control Interno o controles existentes,

no logren minimizar, detectar o neutralizar aquellos riesgos inherentes.

Riesgo de detección:

Es la posibilidad de que el auditor, a través de la aplicación de procedimientos

de auditoría no detecte errores o irregularidades.
 3. Análisis del Riesgo

Objetivo de Control Interno:

Un sistema computacional bien diseñado debe tener controles
incorporados sobre todas sus funciones principales. Además, el Auditor de
Sistemas de Información debe comprender los objetivos básicos de control
que deben existir para todas las aplicaciones de un determinado tipo.

Los objetivos de control incluyen:

• Salvaguardar los activos

• Cumplir con las políticas de la empresa o exigencias legales
• Obtener la exactitud y completitud de las transacciones
• Obtener confiabilidad del proceso, y
• Lograr eficiencia y economía de las operaciones
 3. Análisis del Riesgo

EJEMPLOS DE OBJETIVOS DE CONTROL:

• El acceso a los sistemas de aplicación está resguardado
ante personal no autorizado.
• La información no se encuentra duplicada u omitida.
• Que se rechace el ingreso de información errónea.
• Todos los cambios de sistemas deben ser probados y
aprobados
• No se afecte la continuidad operacional frente a siniestros
 4. Controles
Tipos de control

Preventivos
• Evitan problemas antes de que aparezcan
• Monitorear operaciones y transacciones de entrada
• Tratar de predecir problemas antes de que ocurran y hacer ajustes
• Prevenir la ocurrencia de un error, omisión o acto delictivo

Detectivos
•Controles que detectan un error omisión o acto delictivo que haya
ocurrido y reporta la ocurrencia

Correctivos
• Reducir el impacto de la amenaza
• Remediar los problemas descubiertos por controles detectivos
• Identificar la causa de un problema
• Corregir los errores que surjan de un problema
• Modificar los sistemas para reducir la ocurrencia de problemas
 4. Controles

OBJETIVOS DE CONTROL DE SISTEMAS DE INFORMACIÓN

Los objetivos de control interno valen para todas las áreas, tanto de
sistemas manuales como computacionales. Por ende, los objetivos de
control para los sistemas de información se mantienen sin cambios.

Como ejemplo de objetivos de control de información pueden

mencionarse:
• La información en los sistemas automatizados está resguardada de accesos
incorrectos.
• Cada transacción es autorizada e ingresada sólo una vez.
• Se informa de todas las transacciones rechazadas
• Se informa de las transacciones duplicadas.
• Se hacen copias de respaldo (back-up) de los archivos para permitir su
correcta recuperación, y
• Todos los cambios al software operativo deben se aprobados y probados.
 4. Controles

Objetivos de control de sistemas de

información (COBIT)

“Resultado o propósito que se desea alcanzar

implementando procedimientos de control
específicos dentro de una actividad de TI en
particular”
 4. Controles

COBIT

Planeación Adquisición e Entrega y

Monitoreo
y Organización Implementación Soporte

DOMINIOS (4)
Objetivos de Control de Alto Nivel ( 34)

Objetivos de control detallados ( 302)

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

 5. Realización de una Auditoría de Sistemas

Una planificación adecuada es el primer paso

necesario para realizar auditorías de SI eficaces.
El Auditor de SI debe comprender el ambiente
del negocio en el que se ha de realizar la
auditoría así como los riesgos del negocio y los
controles asociados. Deben evaluarse los riesgos
de auditoría y establecerse los objetivos de
control
 5. Realización de una Auditoría de Sistemas

ASPECTOS A CONSIDERAR EN LA
PLANIFICACIÓN DE AUDITORÍA :
• Comprensión del negocio y de su ambiente
• Riesgo y materialidad de auditoría
• Riesgo del negocio
• Técnicas de evaluación de riesgos
• Objetivos de Control Interno
• Objetivos de Control de Sistemas de Información
• Objetivos generales de auditoría
• Objetivos de auditoría de Sistemas de Información
 5. Realización de una Auditoría de Sistemas

• Procedimientos generales de control

• Procedimientos de control de Sistemas de
Información
• Procedimientos de auditoría de Sistemas de
Información
• Programa de Auditoría
• Criterios de planificación
• Delitos informáticos
• Documentación de la planificación
 5. Realización de una Auditoría de
Sistemas
Comprender el entorno de control y el flujo de transacciones

Revisar el sistema para identificar controles

Pruebas de cumplimiento para determinar si los controles están

funcionando

Evaluación de los controles para determinar la base de fiabilidad y la

naturaleza, alcance y término de tiempo de la pruebas sustantivas

Dos tipos de pruebas sustantivas para evaluar la validez de los datos

Prueba de saldos y Procedimientos de revision

transacciones analítica
 5. Realización de una Auditoría de Sistemas

OBJETIVOS GENERALES DE AUDITORÍA:

Existe una diferencia entre un objetivo de control y un
objetivo de auditoría.

Un objetivo de control se refiere a cómo debe funcionar

el control interno, en tanto el objetivo de auditoría se
refiere a la meta específica de la auditoría.

La comprensión de los objetivos generales de auditoría

constituyen un paso importante en la planificación de
una auditoría de sistemas de información
 5. Realización de una Auditoría de Sistemas

OBJETIVOS DE AUDITORÍA DE SISTEMAS DE

INFORMACIÓN:
Un elemento clave para planificar una auditoría de sistemas es
traducir los objetivos básicos de auditoría a objetivos específicos
de auditoría de sistemas.

Por ejemplo: En la auditoría contable/operativa, un objetivo de

control interno podría ser garantizar que las transacciones están
imputadas correctamente en las cuentas del mayor general.

Sin embargo, en la auditoría de sistemas de información, el

objetivo sería extendido para incluir una seguridad de que las
funciones de edición detectarán eventuales errores en la
codificación de las transacciones que pueden afectar las
actividades de imputación.
 5. Realización de una Auditoría de Sistemas

Estructura y fases del programa de Auditoría

Un programa de auditoría es un conjunto documentado de

procedimientos de auditoría diseñados para alcanzar los
objetivos de auditoría planificados. Un programa de auditoría
típico incluye al menos, lo siguiente:

• Tema de auditoría
• Objetivo de auditoría
• Alcance de la auditoría
• Planificación previa a la auditoría
 5. Realización de una Auditoría de Sistemas

Procedimientos de auditoría y pasos para:

• Recopilación de datos
• Identificación y selección del enfoque de auditoría
para verificar y probar los controles.
• Identificación de una lista de personas a ser
entrevistadas en la auditoría.
• Identificación y obtención de políticas, normas y
directivas del departamento para su revisión, y
• Desarrollo de herramientas y metodología de
auditoría para probar y verificar los controles.
 5. Realización de una Auditoría de Sistemas

• Procedimientos para evaluar los resultados de

pruebas y revisiones
• Procedimientos de comunicación con la gerencia
• Preparación del informe de auditoría
• Procedimientos de seguimiento
 5. Realización de una Auditoría de Sistemas

Pruebas de Cumplimiento versus Pruebas Sustantivas

La diferencia entre pruebas de cumplimiento y sustantivas es

un concepto esencial para el Auditor de SI

Pruebas de Cumplimiento

Los controles se aplican tal como se describe en la

documentación del programa o según lo describe personal
del ente auditado, y determina si los controles se aplican en
una manera que “cumple” las políticas y procedimientos de la
gerencia.
 5. Realización de una Auditoría de Sistemas

Pruebas Sustantivas

“Sustenta” la adecuación de los controles existentes para

proteger a la organización de la actividad fraudulenta.

Un Auditor contable utilizará una prueba sustantiva para probar

los errores monetarios que afectan en forma directa los saldos de
los estados contables.

Un Auditor de SI puede desarrollar una prueba sustantiva para

determinar si los registros de inventario de la biblioteca de cintas
están expresados correctamente.
 5. Realización de una Auditoría de Sistemas

Evidencia de Auditoría

La recopilación de material de evidencia es un paso

clave en el proceso de la auditoría. El Auditor de SI
debe conocer las diversas formas de evidencia de
auditoría y cómo puede ser recopilada y examinada.
El Auditor de Sistemas de Información debe
comprender la Norma General No.7. Recopilación de
Evidencia, y debe obtener evidencia de naturaleza tal
y suficiente como para respaldar los hallazgos de
auditoría.
 5. Realización de una Auditoría de Sistemas

• Revisión de estructuras organizacionales de Sistemas

de Información
• Revisión de Normas de Documentación de Sistemas de
Información
• Revisión de Documentación de Sistemas
• Entrevistas del personal apropiado
• Observación de operaciones y actuación de los
empleados
 5. Realización de una Auditoría de Sistemas

Técnicas de documentación de auditoría

• Flujogramas adecuados y comprensibles

• Narrativas
• Cuestionarios de entrevistas

• Selección y prueba de controles claves

• Aplicación de técnicas de muestreo
 5. Realización de una Auditoría de Sistemas

Evaluación de los puntos débiles y de los puntos fuertes

de la auditoría
Luego de desarrollar un programa de auditoría y recopilar evidencia
de auditoría, el siguiente paso es evaluar la información recopilada a
fin de desarrollar una opinión de auditoría. Esto le exige del Auditor
de SI que tenga en cuenta una serie de fortalezas y debilidades y
que luego desarrolle opiniones y recomendaciones de auditoría.
Estos pasos exigen de los Auditores de SI un buen juicio que surge
de la experiencia más que de material de referencia.

Si bien se aplica durante todo el proceso de auditoría de sistemas de

información, la Norma General No.8, debido cuidado profesional,
es especialmente importante para el Auditor de SI al evaluar
fortalezas y debilidades.
 5. Realización de una Auditoría de Sistemas

Controles Compensatorios o Alternativos

El auditor debe tener en cuenta la existencia de

controles compensatorios en áreas cuyos
controles se han identificado como débiles.
 5. Realización de una Auditoría de Sistemas

Materialidad de los hallazgos

La materialidad de los hallazgos va a depender de los

diferentes niveles gerenciales.

El Auditor de SI debe usar el juicio para decidir cuáles

observaciones va a presentar a los diferentes niveles
gerenciales.
 5. Realización de una Auditoría de Sistemas

Informes de Auditoría

Los informes de auditoría son el producto final del

Auditor de SI, para informar sus observaciones y
recomendaciones a la gerencia. El formato exacto
del informe de auditoría variará según la
organización.
 5. Realización de una Auditoría de Sistemas

Estructura y contenido del informe

No existe un formato específico para un informe de

auditoría de sistemas de información. Sin embargo, los
informes de auditoría, por lo general, tienen la siguiente
estructura y contenido:

Introducción, (objetivos, alcance de la auditoría, período

cubierto y resumen sobre la naturaleza y extensión de los
procedimientos de auditoría).

Conclusión global del Auditor de SI expresando una

opinión sobre la adecuación de los controles
 5. Realización de una Auditoría de Sistemas

Observaciones y recomendaciones detalladas de

auditoría.

Respuestas de la gerencia a las observaciones con las

acciones correctivas a llevar a cabo y la oportunidad de
implementación.
 5. Realización de una Auditoría de
Sistemas

Seguimiento al informe de auditoría:

La auditoría no será efectiva, si ha concluido con un

buen informe y no se le efectúa un seguimiento para
verificar si se han tomado las acciones correctivas
comprometidas por la gerencia auditada.

El método para efectuar el seguimiento, dependerá del

tipo de observación y también de la importancia y
materialidad de las observaciones.
 5. Realización de una Auditoría de Sistemas

Dentro de la profesión de contador independiente

(auditor de estados financieros), existen cuatro tipos de
informes:

• Informe sin salvedades (Limpia)

• Informe con salvedades
• Opinión adversa
• Renuncia de opinión (Abstención)
 6. Método de Auditoría Contínua

Provee un método para que el auditor de sistemas

recoja evidencias sobre la confiabilidad del sistema
mientras ocurre el procesamiento normal.

Permite el monitoreo continuo de la operación de un

sistema y reunir evidencia selectiva de auditoría a
través de un computador.
 6. Método de Auditoría Contínua

Existen 5 tipos de técnicas de auditoría contínua:

1. Archivo de revisión de auditoría de los sistemas de
control y módulos integrados de auditoría (SCARF /
EAM)
2. Instantáneas
3. “Hooks” o llamadas de auditoría
4. Prueba integrada
5. Simulacro continuo e Intermitentes (CIS)
 6. Método de Auditoría Contínua

1.Archivo de revisión de auditoría de los sistemas de

control y módulos integrados de auditoría (SCARF /
EAM)

Esta técnica consiste en integrar software de auditoría creado

especialmente en el sistema de aplicación que utiliza la
empresa, de modo que los sistemas de aplicación de la
organización sean monitoreados de manera selectiva.
 6. Método de Auditoría Contínua

2. Instantáneas

Realiza un seguimiento de una transacción en el proceso desde

la introducción de los datos hasta la etapa de resultados.

3. “Hooks”

Son flags o banderas de advertencias (warning) que inducen al

auditor a que actúen ante un error o cuando una irregularidad
se sale de control.
 6. Método de Auditoría Contínua

4. Prueba Integrada

Consiste en hacer una simulación con alguna entidad (o depto)

ficticio, ingresando transacciones relacionadas con esta entidad.
Dichas transacciones deberán ser procesadas por los sistemas
igual que las válidas, lo que permitirá que el auditor compruebe
los resultados de los procesos y verificará el correcto
funcionamiento de los sistemas.
 6. Método de Auditoría Contínua

5. CIS

El sistema simula que se ejecuta la instrucción de la aplicación.

A medida que se registra cada transacción, el simulador decide
si reúne los criterios predefinidos y, de reunirlos, audita la
transacción, de lo contrario, espera hasta que aparezca una
transacción que cumpla con dichos criterios.
 6. Método de Auditoría Contínua

Análisis de las técnicas

Herramientas concurrentes de Auditoría - Ventajas y Desventajas

Scarf/Eam Instantáneas
Complejidad Muy alto ITF Alto Medianas CIS Medianas Hooks
Es necesario Sólo las
El
No es examinar las transacciones
procesamiento Se requiere
beneficioso transacciones o los procesos
Útil Cuando regular no una pista de
usar datos que reúnen seleccionados
puede ser auditoría
de prueba ciertos necesitan ser
interrumpido
criterios examinados
 7. Control Self Assesment

CSA es un proceso en el cual la gerencia y/o los

equipos de trabajo están directamente involucrados
en juzgar y en monitorear la eficacia de los controles
existentes.

Se puede llevar a cabo de muchos métodos

diferentes, desde simples cuestionarios completarlos
por la gerencia y el personal de línea, hasta talleres
prácticos que envuelven, inclusive, a personal de
auditoría interna
 7. Control Self Assesment

Objetivos

Ampliación de las responsabilidades de auditoría (no

un reemplazo).

Educación para la gerencia de línea en control,

reponsabilidad y monitoreo.

Concentración por parte de todos en las áreas de alto

riesgo.
 Lectura Complementaria COBIT

PO9 “Riesgos de los Activos”

M3 “Obtener Garantía Independiente”

M4 “ Proveer Auditoría Independiente”