SEMANA 6 – AUDITORÍA DE SISTEMAS

AUDITORÍA DE SISTEMAS

SEMANA 6
Administración
Administración del procesodel proceso
de Auditoría de
Informática
auditoría informática

Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
IACC publicar, emitir, difundir, poner a disposición del público ni
permitido copiar, reproducir, reeditar, descargar,
utilizar los contenidos para fines comerciales de ninguna clase. 1
SEMANA 6 – AUDITORÍA DE SISTEMAS

APRENDIZAJES ESPERADOS
El estudiante será capaz de:

 Confeccionar un informe final de

auditoría informática.

IACC
2
SEMANA 6 – AUDITORÍA DE SISTEMAS

APRENDIZAJES ESPERADOS ............................................................................................................ 2

INTRODUCCIÓN ............................................................................................................................. 4
1. ETAPAS DE LA AUDITORÍA INFORMÁTICA ............................................................................... 5
SEGUIMIENTO................................................................................................................................ 5
1.1. PLANIFICACIÓN DE LA AUDITORÍA............................................................................... 5
1.1.1. PLANIFICACIÓN DE LA AUDITORÍA: INVESTIGACIÓN ................................................ 7
1.1.2. PLANIFICACIÓN DE LA AUDITORÍA: ALCANCE .......................................................... 7
1.1.3. PLANIFICACIÓN DE AUDITORÍA: ESTRATEGIA .......................................................... 7
1.1.4. LANIFICACIÓN DE AUDITORÍA: CREACIÓN DE CHECKLIST Y PROCEDIMIENTOS DE
AUDITORÍA ............................................................................................................................. 8
1.2. TRABAJO DE CAMPO Y DOCUMENTACIÓN ................................................................ 10
1.3. DESCUBRIMIENTO DE HALLAZGOS Y VALIDACIÓN ..................................................... 11
1.4. DESARROLLO DE SOLUCIONES .................................................................................. 12
1.5. COMUNICACIÓN DE RESULTADOS ............................................................................. 12
1.6. SEGUIMIENTO CONTÍNUO ........................................................................................ 14
COMENTARIO FINAL .................................................................................................................... 16
REFERENCIAS ............................................................................................................................... 17

IACC
3
SEMANA 6 – AUDITORÍA DE SISTEMAS
INTRODUCCIÓN
La auditoría, en todas sus tipologías, tiene
procesos, etapas y elementos.
A partir de esta sesión se comienzan a
caracterizar los elementos, etapas, procesos y
metodologías que constituyen una auditoría
informática.
Por ello, se revisarán algunos términos
generales que serán utilizados en el proceso
de auditoría, se comenzará a aplicar la teoría
estudiada en las unidades anteriores desde
un punto de vista más práctico, para entender
IACC
cómo se asocia cada concepto a los pasos que
se deben ejecutar al llevar a cabo una
auditoría, enfatizando en las características
tecnológicas.
Además, se revisarán recomendaciones
generales aplicables a cada etapa de una
auditoría y se plantearán recomendaciones
para que cada una de ellas sea efectiva y
cumpla con el proceso que se está llevando a
cabo, así como con el alcance definido
inicialmente.
4
SEMANA 6 – AUDITORÍA DE SISTEMAS

1. ETAPAS DE LA AUDITORÍA INFORMÁTICA

Como se sabe, todo proceso tiene etapas y la auditoría de sistemas también, ya que se realiza
siguiendo una metodología estricta de 6 pasos, de lo cuales la planificación es el más importante.

El auditor, en su búsqueda de evidencia, debe optimizar todos los recursos e información de la cual
dispone, estableciendo un equilibrio entre costo y beneficio de sus actividades. Por esto, la
planificación de la auditoría se sustenta en el análisis y evaluación de los sistemas de control de la
entidad en proceso de auditoría.

Esta evaluación se realiza para verificar su confiabilidad, ya que si se puede confiar en ellos, el
auditor ahorra tiempo y, por ende, baja el costo, puesto que no será necesario diseñar pruebas para
todo. Sin embargo, siempre existe el riesgo de que los errores no sean detectados, por lo cual la
prueba a aplicar siempre debe ser seleccionada muy pensadamente.

Es por ello entonces, que una auditoría de sistemas, consta de las etapas que se grafican a
continuación:

PLANIFICACIÓN
TRABAJO DE
CAMPO Y
DESCUBRIMIENTO
DE HALLAZGOS Y
DESARROLLO DE COMUNICACIÓN INFORME
SOLUCIONES DE RESULTADOS
DOCUMENTACIÓN VALIDACIÓN FINAL

SEGUIMIENTO

1.1. PLANIFICACIÓN DE LA AUDITORÍA

El término planificar indica que se debe elaborar un plan para hacer algo, para desarrollar algo, en
especial una actividad. Por su parte, el término auditoría se refiere al examen, la revisión de la
confiabilidad de la información que entrega la contabilidad. En este caso, como es auditoría de
sistemas, el examen se refiere a la verificación de la exactitud de la información que entregan los
sistemas.

Por lo tanto, la planificación de auditoría, que es la primera etapa de este proceso que se está
estudiando en esta sesión, consiste en elaborar el plan para realizar un examen a los sistemas, a fin

IACC
5
SEMANA 6 – AUDITORÍA DE SISTEMAS

de verificar la exactitud y confiabilidad que proporcionan al emitir los informes y entregar

información.

Esta etapa es muy importante, pues toda auditoría debe planearse antes de realizarse, donde se
debe detallar cada actividad para prever el trabajo, definir los objetivos, las pruebas a aplicar y
también para conocer a la empresa y los recursos con que cuenta el auditor para ejecutarla, así
como el alcance y las limitaciones. De esta manera logramos:

 Asegurar la atención a las áreas más importantes o complejas.

 Identificar problemas oportunamente.
 Hacer un plan de trabajo organizado en cuanto al tiempo, recursos y actividades que es
necesario realizar, lo que le permite desarrollar la auditoría de manera eficiente, eficaz y
concreta.
 Conocer la entidad que se auditará.
 Evitar o minimizar la improvisación,

Al planificar la auditoría es bueno tener en cuenta lo siguiente:

 Asuntos relacionados con el negocio.

 Confianza esperada de los controles.
 Políticas y procedimientos de la empresa.
 Estimaciones preliminares sobre lo que la entidad considera importancia relativa.
 Situaciones o partidas que pueden requerir ajustes.
 El tiempo disponible para realizarla.
 Otros como alcance y limitaciones.

En auditoría, los conceptos alcance y limitaciones son muy importantes: el primero se refiere a la
profundidad del examen a realizar, hasta dónde o hasta qué periodo, toda el área o solo una parte,
con qué nivel de acceso a la información; mientras que el segundo se refiere a las restricciones que
tiene el auditor para aplicar las pruebas que requiere para obtener la evidencia que sustente su
opinión.

Ya se trate de un auditor contratado para realizar una auditoría a una organización o si el auditor
es interno, lo primero que él hará es investigar. Durante la planificación, el auditor pasará tiempo
determinando el alcance, trabajando para la clarificación de este con el individuo o el encargado
de contratación o quizás trabajando con un agente de seguridad interno. Mientras se está
haciendo esta investigación, el auditor buscará una estrategia para auditar el proceso o el sistema
y formulará un checklist. Junto al checklist irá la creación de los procedimientos de auditoría
reales para el auditor.

IACC
6
SEMANA 6 – AUDITORÍA DE SISTEMAS

Entonces, en esta primera etapa, se tienen 4 áreas de trabajo:

1) Investigación
2) Determinación del alcance
3) Determinación de la estrategia de auditoría
4) Creación de una lista de chequeos y procedimientos de auditoría

1.1.1. PLANIFICACIÓN DE LA AUDITORÍA: INVESTIGACIÓN

La primera interrogante que se podría plantear es “¿dónde investigar para obtener una estrategia
de auditoría?”. La respuesta es simple: en los documentos de la política interna junto con las
mejores prácticas de la industria. Un recurso excelente para esto, en lo referente a seguridad
informática, es el Centro para la Seguridad de Internet (CIS, www.cisecurity.org), sitio donde se
encuentran publicados los documentos de mejores prácticas y las guías paso a paso para asegurar
ciertos sistemas. Estos documentos fácilmente se pueden convertir en la lista de chequeo de
auditoría y procedimientos. Además, tampoco deben ser pasados por alto en una auditoría real,
puesto que recomiendan una gran variedad de herramientas que se puedan utilizar para medir
todos los aspectos de los sistemas en cuestión. Es también recomendable revisar los marcos de
trabajo de auditoría que están disponibles (FISCAM, COBIT, ISO 27001, etc.).

1.1.2. PLANIFICACIÓN DE LA AUDITORÍA: ALCANCE

Existe un cierto grado de información solapada durante la fase de planificación de la auditoría, sobre
todo al momento de solicitarla, por lo que habrá probablemente una declaración inicial del
propósito o una definición inicial del alcance de la auditoría. Sin embargo, muy a menudo, cuando
el auditor comienza a hacer la investigación necesaria para realizar la auditoría, descubre que el
alcance y/o el propósito no están bien definidos como se pudo haber pensado al principio.
Consecuentemente, el auditor en esta fase puede necesitar comunicarse con el solicitante de la
auditoría para clarificar el alcance, el que ya fue definido en párrafos anteriores.

1.1.3. PLANIFICACIÓN DE AUDITORÍA: ESTRATEGIA

Una vez que se hace toda la investigación o, a veces, mientras todavía se está investigando, surge la
cuestión sobre qué estrategia funcionará bien para la auditoría que se está intentando realizar.

¿Qué se busca en una estrategia de auditoría? No necesariamente la más fácil; lo que se está
buscando realmente es la estrategia que mejor alcance el propósito de la auditoría del sistema. Si

IACC
7
SEMANA 6 – AUDITORÍA DE SISTEMAS

se está auditando qué tan bien un sistema se ajusta a la política corporativa, una opción es que se
use una línea base como estrategia. Si se está tratando de determinar qué tan eficaz es el firewall1
corporativo, una línea base de este, a pesar de ser interesante, realmente no dirá qué tan eficaz es.
En este caso, quizás se deba utilizar una herramienta de evaluación. Quizás se deba medir el firewall
basado en sus políticas y cómo estas se ajustan a las mejores prácticas. El punto es que se podría
necesitar la incorporación de un número de estrategias en la auditoría y, en cierto modo, se podría
trasladar desde la auditoría hacia la evaluación (assessment2), ya que (y esto puede ser discutible)
una gran parte de la auditoría es evaluación.

1.1.4. PLANIFICACIÓN DE AUDITORÍA: CREACIÓN DE CHECKLIST Y

PROCEDIMIENTOS DE AUDITORÍA

Con toda la información recopilada, el auditor estará en condiciones de crear las listas de chequeo
que se ajusten mejor al alcance y objetivos de la auditoría y, consecuentemente, determinar y
generar cuál será el procedimiento en base a la estrategia a utilizar.

Técnicas de
Auditoría

Ocular Oral Escrita Documental Física

Comparación Indagación Análisis Comprobación Inspección

Observacion Entrevista Confimación Cómputo

Encuesta Tabulación Rastreo

Revisión Selectiva
Conciliación
Analítica

1
En español quiere decir cortafuego, y es un programa automático que controla el acceso de una
computadora a una red y de elementos de la red a la computadora, por motivos de seguridad.
2
En español quiere decir entrevista de evaluación situacional, la cual se aplica a diferentes personas en una
empresa.

IACC
8
SEMANA 6 – AUDITORÍA DE SISTEMAS

PRUEBAS DE AUDITORÍA

DE
SUSTANTIVAS
CUMPLIMIENTO
Son las que se aplican para asegurar que los
procedimientos se ejecutan según lo que la Son las que se aplican para evidenciar la
empresa o entidad ha definido, así como existencia, exactitud, integridad, propiedad,
tambien, con las prácticas de la industria a la evaluación y presentación de la información.
que pertenece, las políticas, etc.

VERIFICACIÓN

Ahora, lo importante es verificar los controles y en debe enfatizarse al momento de elaborar las
pruebas de auditoría.

Los controles más importantes son:

 De autenticidad
 De exactitud
 De totalidad
 De redundancia
 De privacidad
 De existencia
 De protección de activos
 De efectividad
 De eficiencia
 De tipo automáticos o lógicos
 De combinación alfanumérica en claves de acceso

IACC
9
SEMANA 6 – AUDITORÍA DE SISTEMAS

 Las técnicas y pruebas de auditoría, así como los procedimientos,

son temas revisados en Auditoría y Control Interno y otras asignaturas
previas a esta.

1.2. TRABAJO DE CAMPO Y DOCUMENTACIÓN

Ahora que todo el trabajo preliminar está terminado, es posible realizar la auditoría propiamente
tal.

Al realizar el trabajo en terreno, hay algunas cosas que se deben tener presentes:

1) Si se ha hecho la planificación de la auditoría apropiada, el trabajo en terreno debe ser

relativamente simple de hacer. Mientras se conducen todos los aspectos de la auditoría,
y quizás especialmente el trabajo en terreno, se debe mantener la integridad como
auditor. ¿Qué significa esto? Significa que se deben señalar los hechos como los
encuentra. Si durante el curso de la auditoría se descubre, por ejemplo, que hay una
cuenta existente para un individuo que se ha despedido, se debe señalar incluso si el
administrador que le asiste para auditar remueve la cuenta. El trabajo del auditor es
señalar los hechos como los encuentra.

2) Mantener un comportamiento profesional. Aunque las personas a las que se está

auditando parezcan pares de negocio, se debe mantener una cierta distancia profesional.
Por ejemplo, tal vez pueda sentir que mantiene la distancia apropiada y de separación
profesional, incluso si comparte con los administradores de sistema el almuerzo, pero salir
a comer o tomar algo después del trabajo probablemente no sea la mejor idea.

3) Otras cosas para recordar mientras se realiza el trabajo en terreno es esforzarse en

mantener el foco e intentar ser razonable. No se puede permitir distracciones por
resultados extraños o distintos a lo que se espera de la auditoría. Aquí es donde el alcance
es importante. Mientras que algunos “extras” pueden ser reportados, no es
recomendable quedar empantanado en detalles que están claramente más allá del

IACC
10
SEMANA 6 – AUDITORÍA DE SISTEMAS

alcance. Increíblemente, entregar más información de la que fue pedida no es siempre

bienvenido.

En cuanto a la documentación, se refiere a la recopilación de la evidencia, la cual como ya se ha

dicho debe ser suficiente y competente.

Durante el trabajo de campo, el auditor elaborará los papeles de trabajo que son la base de su
informe, pues en ellos tendrá toda la evidencia del trabajo realizado, además de las anotaciones de
los hallazgos y resultados de las pruebas aplicadas. Junto a esto deberá adjuntar los documentos
pertinentes a sus observaciones, como los checklist, cuestionarios, informes, etc.

En este punto, de vez en cuando los auditores incurren en algunas equivocaciones. A veces sienten
que pueden comprometer la integridad de la auditoría si otras personas los asisten. ¿Qué significa
esto? Significa que un auditor sentirá a veces que pedir al administrador de un sistema Unix, por
ejemplo, imprimir una lista de los usuarios actuales en un sistema compromete la integridad de la
auditoría solo porque el auditor no lo hizo por sí mismo.

Por ello, es importante entender que no todos en el mundo son administradores de firewalls, y
tampoco cada administrador de firewalls es también un analista de IDS. Y probablemente haya
pocas personas que sean administradores de firewalls y analistas de IDS y que también sean
administradores eficaces de bases de datos Oracle. Mientras que el auditor debe ciertamente tener
un cuadro claro respecto de qué es lo que él o ella está auditando, no hay nada que diga que necesita
saber hacerlo todo.

1.3. DESCUBRIMIENTO DE HALLAZGOS Y VALIDACIÓN

En el desarrollo del trabajo de campo, el auditor va encontrando la evidencia que sustentará su
informe, transformándose en el periodo en el que se descubren hallazgos.

Los hallazgos ya han sido vistos en asignaturas de auditoría anteriores a esta, por lo que solo se
recordará su definición, a fin de contextualizar y mencionar la forma de redacción y presentación
del informe.

Se denomina hallazgo de auditoría al resultado de la comparación que se realiza entre un criterio y

la situación encontrada durante el examen, que corresponden a hechos o circunstancias
importantes que inciden en la gestión y merecen ser comunicados en el informe.

Como es una situación especial, no debe olvidarse revisar sus elementos:

 Condición, es decir, lo que es.

 Criterio, que es la norma o unidad de medida (lo que debe ser).

IACC
11
SEMANA 6 – AUDITORÍA DE SISTEMAS

 Causa: quién o qué lo originó.

 Efecto: consecuencia o impacto pasado y futuro

Para que un hallazgo sea válido, es importante que tenga una base, una evidencia sustentadora. No
basta con decir, por ejemplo, ¡Yo vi un fantasma!, sino que también debe comprobarse, puesto que
cuando no se conocen las causas o razones y no hay documentación que sirva de respaldo, no se va
a considerar el descubrimiento de un hallazgo. Ejemplo de esto sería señalar que en la contabilidad
hay pagos sin respaldo, debe comprobarse eso de manera fehaciente y ahí será considerado como
un hallazgo a informar.

1.4. DESARROLLO DE SOLUCIONES

El auditor en este punto deberá entregar en forma separada, y siempre y cuando se le solicite, un
informe con indicaciones para solucionar cualquier deficiencia de control encontrada.

1.5. COMUNICACIÓN DE RESULTADOS

La única forma de que un auditor comunique los resultados de su trabajo es por escrito, a través de
lo que se conoce como Informe de Auditoría, tema que también se abordó en asignaturas previas.

Una de las cosas más importantes del Informe de Auditoría son los conocimientos lingüísticos. En
este punto, es necesario ser honesto consigo mismo: si se piensa que somos buenos para la
escritura, estamos siendo muy buenos jueces de nuestro propio trabajo, especialmente del trabajo
creativo.

Aquí hay algunos consejos para preparar el informe:

1) No comenzar con el resumen ejecutivo. Si se organiza de esta forma, se está condicionando

a escribir un informe de auditoría subjetivo basado más en las impresiones personales que
en lo que realmente encontró el auditor. En su lugar, es recomendable comenzar con la
parte técnica de la auditoría, presentar las áreas en las cuales la organización se comportó
bien con relación a los parámetros de la auditoría y después presentar con detalle dónde la
organización falló.
2) Es fundamental ser específico y explicar claramente los criterios de auditoría que fallaron
(o que fueron deficientes en el momento de la entrevista) porque son riesgos potenciales;
además, indicar cuál es el impacto que podrían tener y cómo corregir el problema.
3) También debe señalarse si el problema fue corregido durante la auditoría.

IACC
12
SEMANA 6 – AUDITORÍA DE SISTEMAS

4) Se debe estar seguro de incluir y de explicar completamente las áreas en las cuales la
organización no pudo cumplir los criterios esperados, especialmente en aquellas en las
que los responsables dieron buenas razones (creíbles) para el no cumplimiento de los
requisitos.

5) Intentar ordenar el informe con cierta estructura lógica. Por ejemplo, si se está auditando
el perímetro, no saltar del router al firewall y del firewall al router, sino que agrupar todos
los routers juntos.

En general, el informe final debe contener los siguientes elementos:

  Resumen ejecutivo.

  Describir el propósito.

  Describir el alcance.

  Punteo de los resultados.

 Describir el riesgo y el impacto.

El resumen ejecutivo será probablemente la última cosa que se escriba en el informe de auditoría,
aunque después sean las primeras páginas del informe ejecutivo. Mientras se escribe el resumen,
se debe tener presente la audiencia prevista; es decir, considerando como objetivo a un ejecutivo.
Todos sabemos qué tan no-técnicos tienden a ser los ejecutivos, sin embargo, se debe recordar que
sus trabajos no requieren, generalmente, ser técnicos. Su posición necesita que sean capaces de
tomar buenas decisiones de negocio para proteger activos y alcanzar sus objetivos de negocio.
Como auditor, se pasa a ser una herramienta ejecutiva que se utiliza para medir conformidad
respecto a un estándar y para evaluar cómo la organización puede mejorar.

Elementos que debe contener el informe:

EL informe debe contener información muy importante sobre el desarrollo de la auditoría, los
resultados obtenidos y las recomendaciones y sugerencias del auditor.

EL documento en sí incluye:

1) Fecha de emisión.
2) Alcance, limitaciones y objetivos de la auditoría establecidos.
3) Descripción de la metodología aplicada en la ejecución del proceso.
4) Documentación revisada y también la elaborada por el auditor.

IACC
13
SEMANA 6 – AUDITORÍA DE SISTEMAS

5) Pruebas realizadas.
6) Fechas en que se realizó el trabajo de campo, entrevistas, reuniones, etc.
7) Limitaciones detectadas al realizar las pruebas que impiden la emisión de un juicio sobre
ciertos aspectos de la seguridad del sistema informático.
8) Informe ejecutivo que incluya aspectos destacables y el cumplimiento de los objetivos de
auditoría.
9) Sección de recomendaciones, las que deben ser abiertas (presentar varias alternativas de
solución) e indicar los riesgos si es que existen.
10) Anexos, que son el detalle y los resultados de las pruebas.
11) Opinión del auditor (la cual podría omitirse en el caso que el auditor se abstenga),
incluyendo las no conformidades.
12) Firma del auditor

 En el siguiente enlace se podrán revisar distintos modelos de

informes de auditoría.
https://ebookcentral.proquest.com

1.6. SEGUIMIENTO CONTÍNUO

El seguimiento consiste en realizar controles regulares a los sistemas que dieron origen a la
auditoría, así como a los procedimientos validados y a todo lo que se implementó a partir de los
resultados de la auditoría efectuada.

El auditor debe realizar un continuo monitoreo a las recomendaciones, con el objeto de aplicar las
correcciones que se requieran y validar aquellas operaciones que dieron un buen resultado y no
presentan errores.

IACC
14
SEMANA 6 – AUDITORÍA DE SISTEMAS

IACC
15
SEMANA 6 – AUDITORÍA DE SISTEMAS

COMENTARIO FINAL
En el presente contenido se revisó el proceso de auditoría informática desde una perspectiva
práctica, proporcionando una guía simple de cómo llevar este proceso en 6 pasos, entregando
recomendaciones e identificando qué elementos deben componer cada uno de ellos.

También se proporcionaron lineamientos y características de los aspectos a cubrir en cada uno de

los pasos propuestos, dando énfasis especial a los alcances, objetivos, roles e informes que se deben
definir o generar.

El material entregado incluye una revisión del informe de auditoría y los reportes que se deben
generar, proporcionado una pauta del contenido y la información que se debe incluir en cada uno
de ellos.

Los temas abordados tendrán una importancia significativa si se desea llevar a cabo una auditoría
de sistemas informáticos o de seguridad de la información, o si se es parte de una auditoría como
entidad auditada o siendo el solicitante, ya que permitirá conocer en mayor profundidad el proceso
en sí, sus características y, de esta manera, participar en forma colaborativa o conducir una auditoría
en forma exitosa.

IACC
16
SEMANA 6 – AUDITORÍA DE SISTEMAS

REFERENCIAS
Echeñique, J. (2001). Auditoría en informática. Capítulo 2, 2 .ª edición. México:

Interamericana.McGraw-Hill.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2019). Administración del proceso de auditoría informática. Auditoría de

Sistemas. Semana 6.

IACC
17
SEMANA 6 – AUDITORÍA DE SISTEMAS

IACC
18