Ingeniera en Tecnologas de la

Informacin
Y Comunicaciones

Auditoria de TI

Investigacin:
Unidad 1
Introduccin a la auditoria

SEGURIDAD DE TI | Unidad 1

Contenido
Introduccin a la auditora .................................................................................................................. 3
1.1.

Caractersticas de un auditor .............................................................................................. 3

Competencias tcnicas y naturaleza de funciones ......................................................................... 4

a)

Las misiones de Auditoria de la funcin informtica .......................................................... 4

b)

Las misiones de Auditoria de aplicaciones informatizadas ................................................. 4

c)

La utilizacin del software de auditoria .............................................................................. 5

1.2.

Definicin de auditora y tipos de auditora........................................................................ 5

Auditoria interna ......................................................................................................................... 5

Auditoria externa ........................................................................................................................ 5
Control interno informtico ............................................................................................................ 6
1.3.

Fases de la auditora............................................................................................................ 8

Preparacin o inicio ..................................................................................................................... 9

Planificacion ................................................................................................................................ 9
Fase de Ejecucin ...................................................................................................................... 10
Fase de Revisin ........................................................................................................................ 10
Fase de Correccin .................................................................................................................... 10
Fin .............................................................................................................................................. 10
Elaboracin de reporte ..................................................................................................................... 10
Tipos de informes .......................................................................................................................... 10
1.

Favorable ........................................................................................................................... 11

2.

Desfavorable ..................................................................................................................... 11

3.

Con salvedades .................................................................................................................. 11

4.

Denegacin de opinin ..................................................................................................... 11

Recomendaciones ......................................................................................................................... 11
Ensayo ............................................................................................................................................... 13
Referencias ........................................................................................................................................ 14

Introduccin a la auditora
La informacin que es tratada en una organizacin es un recurso crtico que debera ser
protegido, ya que la misma es la base de la mayora de las decisiones que son adoptadas a
lo largo del tiempo. Para tener una seguridad razonable sobre si la informacin es exacta y
completa, estar disponible y confidencial es necesario la implementacin de controles
internos informticos, que adems ayudan a cumplir con las exigencias legales en materia
de Derecho Informtico y a asegurar que los sistemas automticos de procesamiento de la
informacin funcionan de acuerdo a lo que se espera de ellos.

1.1. Caractersticas de un auditor

Las Tecnologas de la informacin y las comunicaciones (TIC) estn creando nuevos canales
y herramientas para la gestin de negocios. El auditor tradicional no se encuentra
capacitado en trminos de formacin para afrontar los nuevos riesgos derivados de la
utilizacin de las tecnologas. De ah que se haga imprescindible la existencia de la Auditoria
de Sistemas de Informacin [1].
Las principales caractersticas de un auditor informtico son:
La independencia, podemos definirla como: la ausencia de intereses o influencias
que permite al auditor actuar con la libertad respecto a su juicio profesional, para lo
cual debe de estar libre de cualquier predisposicin que impida su imparcialidad en
la consideracin objetiva de los hecho. Los problemas pueden clasificarse en tres
grupos principalmente: la compatibilidad de la prctica de la auditoria con las
asesoras legales, el interlocutor del auditor dentro de la empresa auditada y la
rotacin del auditor [2].
Conocimientos especializados en Tecnologas de la Informacin.
Verificacin del cumplimiento de controles internos, normativa y procedimientos
establecidos por la Direccin de Informtica y la Direccin general para los sistemas
de informacin.
Anlisis de un momento informtico determinado.
Informar a la Direccin General de la Organizacin.
Tiene cobertura sobre todos los componentes de los sistemas de informacin de la
Organizacin (organizacional del departamento de SI, seguridad de accesos lgicos,
fsicos y controles medioambientales, actuaciones frente a desastres con los planes
de recuperacin, software de sistema en cuanto a poltica sobre su desarrollo,
adquisicin y mantenimiento, software de aplicaciones y de control de aplicaciones,
telecomunicaciones, bases de datos y usuarios).
El auditor evala y comprueba en determinados momentos del tiempo los controles y
procedimientos informticos, desarrollando y aplicando tcnicas mecanizadas de auditoria,
incluyendo el uso del software de auditoria y otras tcnicas por ordenador. Es responsable

de revisar e informar a la Direccin de la Organizacin sobre el diseo y el funcionamiento

de los controles implantados y sobre la fiabilidad de la informacin suministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor informtico:
Participar en las revisiones durante y despus del diseo, realizacin, implantacin
y explotacin de las aplicaciones informativas, as como en fases anlogas de
realizacin de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para
verificar su adecuacin a las rdenes e instrucciones de la Direccin, requisitos
legales, proteccin de confidencialidad y cobertura de errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos de
cmputo e informacin.

Competencias tcnicas y naturaleza de funciones

No es necesario repetir las cualidades humanas que se exige del auditor informtico, que
debe ser al mismo tiempo diplomtico, buen comercial y pedagogo. La dualidad entre
conocimiento de tcnicas de auditoria y competencia en materia informtica explica por si
sola la diversidad de perfiles de los auditores informticos. Algunos sern profesionales de
auditoria, a los cuales se les ha dado una formacin en informtica, otros sern informticos
a los cuales se les habr dado una formacin en auditoria. Las competencias tcnicas
exigidas a los auditores dependen fundamentalmente de la naturaleza de las misiones que
se les son confiadas.
a) Las misiones de Auditoria de la funcin informtica
Requieren de los auditores una amplia competencia tcnica en el campo de la informtica;
mtodos de desarrollo, mtodos de explotacin, caractersticas de los principales equipos
y software bsicos. A priori es un diplomado superior (Ingenieros, MBA, etc.) que haya
ejercido durante algunos aos las funcione operativas en el seno de un servicio de
informtica. Manejar intervenciones de alto nivel tcnico (pruebas de penetracin,
auditoria de las actuaciones, auditoria de la actividad del sistema, auditoria de las bases de
datos, auditoria de la red, etc.).
b) Las misiones de Auditoria de aplicaciones informatizadas
Estas no necesitan grandes competencias tcnicas en materia informtica. Implican buenos
conocimientos en los campos auditados: la auditoria de una cadena de control de
produccin requiere el dominio de esta actividad, la auditoria de la <<cadena especial>> en
un establecimiento financiero requiere una competencia en materia bancaria, la auditoria
de una cadena de control de las inmovilizaciones requiere conocimientos contables, etc.
Los responsables de estas misiones deberan tambin al mismo tiempo:

Ser profesionales de la auditoria, capaces de adaptar su tcnica a exigencias

operativas variadas.
Pertenecer a la plantilla fija de la empresa y tener un buen conocimiento de la
organizacin de la empresa y de sus funciones principales.
Disponer en conocimientos bsicos en materia informtica.

c) La utilizacin del software de auditoria

Se trata esta vez de una funcin asistencial a los equipos de auditora contable, financiera
u operativa, para la realizacin de test informatizados. Una formacin bsica en informtica,
completa con una formacin de algunos das en el software utilizado parece ser suficiente.
El auditor deber estas capacitado en pazos muy cortos para adaptarse a varios entornos.
Tales trabajos deben ser confiados, por lo general, a los nuevos colaboradores, que
encontraran en ellos una formacin concreta y practica:

En los sistemas de explotacin y en los lenguajes de programacin informtica.

En las tcnicas de auditoria.

1.2. Definicin de auditora y tipos de auditora
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de
los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los
recursos. De este modo sustenta y confirma la consecucin de los objetivos tradicionales
de la auditoria:
Objetivos de proteccin de activos e integridad de datos.
Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino
tambin los de eficiencia y eficacia.

Auditoria interna
Es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad
econmica realizado por un profesional que tiene vnculos laborales con la misma,
utilizando sus propios recursos, con el objeto de emitir informes y generar sugerencias para
el mejoramiento de la misma y se recomienda hacerla mnimo cada dos aos.

Auditoria externa
Debe hacerse por una persona o firma independiente de capacidad profesional reconocida
que ofrezca una opinin imparcial y profesionalmente externa, el dictamen un opinin
independiente tiene trascendencia a terceros, pues da plena validez a la informacin

generada por el sistema ya que se produce bajo la figura de la fe pblica, que obliga a los
mismos a tener plena credibilidad en la informacin examinada.

Control interno informtico

El control interno informtico controla diariamente que todas las actividades de sistemas
de informacin sean realizadas cumpliendo los procedimientos, estndares y normas
fijados por la Direccin de la Organizacin y/o la Direccin informtica, as como los
requerimientos legales. Control interno informtico suele ser un rgano staff de la Direccin
del Departamento de Informtica y est dotado de las personas y medios materiales
proporcionados a los cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
Controlas que todas las actividades se realizan cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria Informtica, as como de las auditoras
externas al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informtico, lo cual no debe considerarse como que
la implantacin de los mecanismos de medida y la responsabilidad del logro de esos
niveles se ubique exclusivamente en el Control Interno, si no que cada responsable
de los objetivos y recursos es responsable de esos niveles, as como de la
implantacin de los medios de medida adecuados.
Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC, etc.) y
entornos informticos (produccin, desarrollo o pruebas) el control de las diferentes
actividades operativas sobre:
o El cumplimiento de los procedimientos, normas y controles dictados. Merece
resaltarse la vigilancia sobre el control de cambios y versiones del software.
o Controles sobre la produccin diaria.
o Controles sobre la calidad y eficiencia del desarrollo y mantenimientos del software
y del servicio informtico.
o Controles en la redes de comunicaciones.
o Controles sobre el software de base.
o Controles en los sistemas microinformticos.
o La seguridad informtica (su responsabilidad puede estar asignada a control interno
o bien puede asignrsele la responsabilidad de control dual de la misma cuando est
encargada a otro rgano):
Usuarios, responsables y perfiles de uso de archivos y bases de datos.

Normas de seguridad.
Control de informacin clasificada.
Control dual de la seguridad informtica.
Licencias y relaciones contractuales con terceros.
Asesorar y transmitir cultura sobre el riesgo informtico.

La evolucin de ambas funciones ha sido espectacular durante la ltima dcada. Muchos

controles internos fueron una vez auditores. De hecho, muchos de los actuales
responsables de Control Interno Informtico recibieron formacin en la seguridad
informtica tras su paso por la formacin en auditoria. Numerosos auditores se pasan al
campo de control interno informtico debido a la similitud de los objetivos profesionales de
control y auditoria, campos anlogos que propician una transicin natural. Aunque ambas
funciones tiene objetivos comunes, existen diferencias que conviene matizar (vase tabla
1).

Control interno informtico

Similitudes

Diferencias

Auditor informtico

Personal interno.
Conocimientos especializados en Tecnologas de la Informacin.
Verificacin del cumplimiento de controles internos, normativas y procedimientos
establecidos por la Direccin de Informtica y la Direccin General para los sistemas
de informacin.

Anlisis de los controles en el da a da.

Informa a la Direccin del
Departamento de Informtica.
Solo personal interno.
El alcance de las funciones es
nicamente sobre el Departamento
de informtica.

Anlisis de un momento informtico

determinado.
Informa a las Direccin General de la
Organizacin.
Personal interno y/o externo.
Tiene cobertura sobre todos los
componentes de los sistemas de
informacin de la Organizacin.

Tabla 1 Diferencias y similitudes entre el control interno y la auditoria informticos

1.3. Fases de la auditora

Implica diversas etapas en las que el auditor ha de seguir cumpliendo las normas de
auditora para que este pueda emitir una opinin profesional sobre el sistema que audite.
Para realizar este trabajo se utiliza una serie de mtodos y herramientas. En los mtodos se
indica la secuencia en la que se debe realizar los distintos pasos de la auditoria. A esta
secuencia de pasos se le llama ciclo de vida o metodologa. Utilizar un determinado ciclo de
vida para auditar un sistema permite definir las actividades necesarias, evaluadas riesgos,
determinar los recursos que se vayan ha asignar, especificar las secuencias en las que deben
tratarse en esas actividades, establecer puntos de control para detectar y resolver los
problemas que surjan, indicar las correcciones que hay que introducir en el programa de
auditora y reflejar los resultados parciales y finales que se alcancen.

Entrevista Inicial, inventario

de recursos, contrato o
carta de encargo

Inicio

Planificacin estratgica,
planificacin
administrativa,
planificacin tcnica

Planificar

Ejecutar
el
trabajo

Corregir

Revisar

Realizar pruebas de

cumplimiento, pruebas
sustantivas, elaborar informes
y distribuir informes

Revisar los papeles de

trabajo

Reorganizar y archivar

Fin

papeles de trabajo

Ilustracin 1 Ciclo de vida de una Auditoria

Preparacin o inicio
Se concreta en la primera entrevista con los responsables del sistema de informacin o de
la empresa. Se debe solicitar un inventario de los recursos del sistema que se va a auditar
para hacerse una idea de la extensin del sistema de informacin y, as, poder presupuestar
el trabajo de auditoria.

Planificacion
Esta fase se utiliza para asegurarse de que el alcance y el contexto de la auditoria sea
establecido correctamente, que todos los riesgos del sistema de informacin se han
identificado y cuantificado, que se asignen los recursos necesarios para que se pueda
realizar la auditoria y que se ha desarrollado un plan para tratar adecuadamente los riesgos
identificados. La actividad del plan se documenta para facilitar la gestin y la trazabilidad
de la auditoria.

10

Fase de Ejecucin
En esta fase se llevan a cabo las decisiones adoptadas, se ejecutan los procedimientos
diseados en la fase de planificacin. No es necesario que esta fase este determinada para
que se active la fase de revisin.

Fase de Revisin
El trabajo de auditoria se debe revisar, hay que asegurarse que las actividades que se hayan
detectado, se debe informar al auditor de las debilidades y de las mejoras necesarias para
prevenir o eliminar estas debilidades. En muchas ocasiones estas debilidades no permiten
alcanzar los objetivos de auditoria por lo que hay que auditar ciertos aspectos del sistema
de informacin con ms detalle, lo que conduce a la fase de correccin.

Fase de Correccin
Para que la auditoria sea efectiva, el programa de auditoria se debe ir mejorando teniendo
en cuenta los resultados obtenidos en la fase de revisin. Esto supone volver a la fase de
planificacin para redisear los programas de trabajo y continuar el ciclo de vida de
auditoria.

Fin
En un momento determinado se termina el trabajo y el ciclo se interrumpe. Es el momento
de organizar y archivar los papeles de trabajo de tal forma que se pueda reutilizar y localizar
en el futuro, si fuera necesario.

Elaboracin de reporte
Una vez realizadas todas estas fases, el auditor est en condiciones de emitir un informe en
el que exprese su opinin sobre el sistema auditado.

Tipos de informes
Por el tipo de trabajo las opiniones pueden expresarse de forma negativa o positiva. Segn
los resultados del trabajo los tipos de opiniones bsicas generalmente aceptadas en la
auditoria son cuatro.
Uno: si se concluye que el sistema es satisfactorio, el auditor dara una opinin
favorable.
Dos: si al auditor considera que es un desastre, su opinin seria desfavorable.
Tres: el sistema es satisfactorio, aunque contiene ciertas debilidades o
incumplimientos que no lo invalidan, opinin con salvedades.
Cuatro: tambin podra ocurrir que el auditor no tenga suficientes elementos de
juicio para poder opinar; en este caso no opinara y al tipo de opinin se le denomina
denegacin de opinin.

11

A continuacin se muestra como podra redactarse en prrafo de opinin en cada uno de

los casos:

1. Favorable
En nuestra opinin el servicio de explotacin y las funciones que sirven de apoyo a las
Tecnologas de la Informacin se realizan con regularidad de forma ordenada y satisfacen
los requisitos empresariales.

2. Desfavorable
En nuestra opinin. Dada la importancia de los efectos de las salvedades comentadas en los
puntos X, X1 de este informe el servicio de explotacin y las funciones que sirven de apoyo
a las Tecnologas de la Informacin NO se realizan con regularidad, NI de forma ordenada
y NO satisfacen los requisitos empresariales.

3. Con salvedades
En nuestra opinin, excepto por los efectos de las salvedades que se comentan en el punto
X de este informe (En una parte del informe se indicaran cules son las salvedades y en
este mismo documento o en documento o en documento aparte se haran las
recomendaciones oportunas para mejorar el sistema; en la siguiente auditoria el auditor
comprobara la implementacin de las recomendaciones). El servicio de explotacin y las
funciones que sirven de apoyo a las Tecnologas de la Informacin se realizan con
regularidad, de forma ordenada y satisfacen los requisitos empresariales.

4. Denegacin de opinin
En el caso de que las salvedades impidan al auditor formarse una opinin del servicio de
explotacin, ya sea por falta de informacin o por no haber tenido acceso a ella por los
motivos que fueren, pero siempre ajeno a la voluntad del auditor, y no obstante, haber
intentado hacer pruebas alternativas, el auditor denegara su opinin.

Recomendaciones
Cuando el auditor, durante la realizacin de la auditoria, detecte debilidades, debe
comunicarlas al auditorio con la mayor prontitud posible. Un esquema generalmente
aceptado de como presentar las debilidades es el siguiente:

Describir la debilidad
Indicar el criterio o instrumento de medida que se ha utilizado
Indicar los efectos que puede tener en el sistema de informacin
Describir la recomendacin con la que esa debilidad se podra alimentar
Respuesta de los directivos

La elaboracin y el contenido de los informes de auditora deben ajustarse a las Normas de

Auditoria de Sistemas de Informacin Generalmente Aceptadas (NASIGA). Entre otros

12

motivos porque facilita la comparacin de los informes realizados por distintos auditores.
Por tanto, siguiendo el documento G20 de las directivas de auditoria de sistemas de
informacin de ISACA (Information Systems Audit and Control Association), adems del
prrafo de opinin antes indicado, el informe de auditora deber contener informacin
adicional, los objetivos de la auditoria, el alcance que valla atener, las debilidades que se
detecten y las conclusiones a las que se lleguen. A la hora de preparar el informe, el auditor
debe tener en cuenta las necesidades y caractersticas de los que se suponen sern sus
destinatarios. El informe debe contener un prrafo en el que se indiquen los objetivos que
se deben cumplir. Si, segn la opinin del auditor, alguno de estos objetivos no se pudiera
alcanzar, se debe indicar en el informe.
En el informe de auditora de debe hacer mencin de cules son las NASIGA que se han
seguido para realizar el trabajo de auditoria. Tambin se deben indicar: las excepciones en
el seguimiento de estas normas tcnicas, motivo de no seguirlas, y cuando proceda,
tambin se deben indicar los efectos potenciales que pudieran tener en los resultados de la
auditoria.

13

Ensayo
Actualmente nadie duda que la informacin se ha convertido en uno de los activos
principales de las empresas, as las tecnologas y sistemas relacionados con la informacin
es la principal ventaja estratgica, las organizaciones invierten enormes cantidades de
dinero y tiempo en la creacin de sistemas de informacin y en la adquisicin y desarrollo
de las tecnologas que les ofrezca la mayor productividad y calidad posibles. Gracias a esto
los temas relativos a la auditoria de tecnologas y sistemas de informacin cobran cada vez
ms relevancia a nivel mundial. La Auditora de TI es una herramienta importante que sirve
para revisar que todos los controles, normas, leyes, reglamentos etc. Diseados he
implantados que hagan de manera eficaz y eficiente el funcionamiento de los procesos,
servicios y utileras que ofrecen los sistemas de informacin y comunicaciones, tambin es
til para la preparacin de una certificacin, es un hecho que ninguna auditoria es igual,
cada metodologa utilizada vara dependiendo de la unidad que se est auditando, en lo
que son similares es en los estndares que se deben seguir incluso para la elaboracin de
reportes y formatos de documentos que exponen los resultados de una actividad o
actividades de auditoria, principalmente se busca encontrar debilidades, amenazas y
riesgos de la seguridad de la informacin, uso de las tecnologas y aprovechamiento de los
recursos de una unidad econmica. Los auditores debe ser personas con un alto grado de
moralidad que apliquen su trabajo ntegramente sin ningn tipo de restricciones que
perturben los resultados reales sobre las evaluaciones echas a nivel de tecnologas de la
informacin, desde un punto de vista profesional, comprometido he imparcial, apoya las
decisiones futuras o inmediatas que ayudan a el mejoramiento del aprovechamiento de los
sistemas, redes, bases de datos, comunicaciones y tecnologas, en el momento en el que las
organizaciones adquieren conciencia sobre la necesidad de aumentar el nivel de control
sobre la gestin de sus sistemas informacin, si bien an queda la pregunta sobre que es
realmente una auditoria y como ayudar, se puede decir que los departamentos de control
interno o auditoria interna estn compuestos por perfiles muy cercanos al negocio,
principalmente financiero y operativo, as en el momento en el que el auditor informtico
comienza a plantearse objetivos de control sobre quin debe acceder a que informacin,
que puede hacer con ella, o cuestionarse la integridad de la misma, comienza a necesitar y
a obtener un conocimiento profundo sobre los procesos de negocio de la compaa, por
otra parte aumentan la confianza que se deposita en los sistemas y tecnologas de la
informacin. Es necesario tener en cuenta el objetivo de la auditoria, si es dentro del marco
de la certificacin de una norma o como un dictamen independiente con un alcance y un
objetivo determinado que sirve para informar a la direccin de una entidad o por
requerimientos externos, si existen deficiencias en la gestin de las tecnologas ya sea en el
presente o futuro.

14

Referencias
[1] Mur Bohigas, Alfonso, Los servicios de auditora interna de sistemas de informacin,
Seminario Auditoria de los Sistemas de Informacin y Control Interno(AUDISI2000),
organizado por Informticos Europeos Expertos, Madrid, febrero 2000.
[2] Lora Lara, B. y Serrano, F., La auditora a debate: presente y futuro, en Partida Doble,
n 65, marzo 1996, pginas 55 y ss.
[3] Piattini, Mario, Del Peso; Emilio y del peso Mar (2008). Auditoria de tecnologas y
sistemas de informacin. Mxico: Alfaomega Grupo Editor.
[4] Derrier, Yann (1995). Tcnicas de la auditoria informtica. Mxico: Alfaomega grupo
Editor.