Auditoria Modulo 1

Introducción
a la auditoría
informática
Rafael Estevan de Quesada
PID_00143001
© FUOC • PID_00143001 Introducción a la auditoría informática
Ninguna parte de esta publicación, incluido el diseño general y la cubierta, puede ser copiada,
reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste eléctrico,
químico, mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la previa autorización escrita
de los titulares del copyright.
© FUOC • PID_00143001 Introducción a la auditoría informática
Índice
1. Definición de auditoría.................................................................... 5
1.1. Principios de auditoría ................................................................ 6
2. Componentes de una auditoría...................................................... 9

2.1. Tipos genéricos de auditorías ...................................................... 9
2.1.1. Auditorías internas o de primera parte ......................... 10
2.1.2. Auditorías de segunda parte .......................................... 10
2.1.3. Auditorías de tercera parte ............................................ 10
2.2. El objetivo de auditoría .............................................................. 12
2.3. Alcance de la auditoría ............................................................... 13
3. Proceso de auditoría......................................................................... 14
3.1. Tipos de pruebas ......................................................................... 16
3.2. Muestreo ...................................................................................... 16
3.3. Evidencias de auditoría ............................................................... 18
3.4. Hallazgo de auditoría .................................................................. 19
3.5. Riesgo de auditoría ...................................................................... 19
4. Programa de auditoría..................................................................... 21
4.1. Beneficios de implementar un programa de auditoría ............... 21
4.2. Implementación de un programa de auditoría .......................... 22
5. Estandarización de la labor de auditoría.................................... 28

5.1. AICPA (American Institute of Certified Public Accountants) ..... 28
5.2. ISO (International Organization for Standarization) .................. 30
5.3. ISACA (Information Systems Audit and Control Association) .... 35
6. Gobierno de las TIC........................................................................... 36

6.1. Auditoría de los sistemas de información .................................. 38
6.2. Certificación de seguridad .......................................................... 40
7. Equipo auditor.................................................................................... 41
7.1. Auditor jefe ................................................................................. 42
7.2. Auditor ......................................................................................... 43
7.3. Experto técnico ........................................................................... 44
7.4. Independencia de auditoría ........................................................ 45
7.5. Código de conducta del equipo auditor ..................................... 45
7.6. Distribución de funciones ........................................................... 46
7.7. Relación con el auditado ............................................................ 46
8. El peritaje informático..................................................................... 48
© FUOC • PID_00143001 5 Introducción a la auditoría informática
1. Definición de auditoría
De manera muy informal, cuando se habla de auditoría se piensa en una he-

rramienta a disposición de la gerencia para el control de algún proceso. Esta
actividad se entiende que debe involucrar una metodología para establecer los
criterios que ayudarán a medir la eficiencia, eficacia y posibles desviaciones de
los objetivos dados a un proceso concreto. Pero esta no es más que una idea
general y poco precisa. El objeto de este módulo es entrar en más detalle en la
definición y características que tiene el proceso de auditoría.
Definición de auditoría
Una auditoría, desde un punto de vista muy general, es un proceso eje-

cutado por un auditor, que tiene la característica de ser sistemático,
independiente�y�documentado,�y�que�busca�obtener registros, decla-
raciones de hechos u otra información conocida como evidencias�de
auditoría. Las evidencias de auditoría deben ser verificables,�pertinen-
tes�y�evaluables de manera objetiva para, en base a ellas, determinar
la medida en la cual el hecho auditado cumple unos criterios�de�audi-
toría. Estos criterios están determinados por un conjunto de políticas,
procedimientos o requisitos y son usados como referencia contra la que
se compara la realidad. Las pruebas de estas diferencias entre la realidad
y la referencia son lo que se entiende como evidencias de auditoría.
Por tanto, podemos concluir que el proceso de auditoría pretende poder

objetivizar lo que, de otro modo, sería más correcto calificar como la
opinión de un experto.
Se entiende por evidencia de auditoría el conjunto de registros, declaraciones

de un hecho u otra información que se recoja durante el proceso de audito-
ría que sea verificable y pertinente para ser contrastado contra los criterios de
auditoría. Por criterio de auditoría se entiende como el conjunto de políticas,
procedimientos o requisitos usados como referencia en la auditoría y que sue-
len tener como objetivo el control de algún aspecto de la actividad del audi-
tado. Es por ello que a veces son sinónimo de controles.
En función del ámbito de conocimiento o de organización se definen distintas

categorías de auditorías, aunque todas ellas tienen un patrón común. Podemos
destacar como las más comunes:
• Auditorías financieras, con muchas distinciones (auditorías de cuenta, va-

loración de empresas, etc.) y tradicionalmente el tipo más conocido, regu-
lado y ampliamente aplicado por las organizaciones por las obligaciones

legales e implicaciones de cara al mercado.
• Auditorías a procesos productivos o de calidad, no sólo relacionadas con

la ISO 9001 sino con otros esquemas de gestión de la calidad total como
Six Sigma.
• Auditorías al proceso de gestión de recursos humanos.
• Auditorías de cumplimiento legal.
Ejemplo
Auditorías del marco legal de protección de datos de carácter personal en España.
• Auditorías a la gestión medioambiental.
• Auditorías a los sistemas de información y en general a la forma en que

es tratada y gestionada la seguridad de la información digital de una or-
ganización.
• Etc.
Conviene destacar que nos ocuparemos de las auditorías a sistemas de gestión

de la seguridad de la información. En cualquier caso, las auditorías pretenden
comprobar si el auditado está ejerciendo suficiente control sobre alguno de los
aspectos de uno o varios de sus procesos de negocio. Desde este punto de vista
común, explicaremos en este módulo los aspectos que son independientes del
hecho que se esté auditando.
1.1. Principios de auditoría
Sea cual sea el tipo de auditoría y el hecho auditado, la auditoría siempre de-
bería guiarse por unos principios que garanticen que el trabajo realizado co-
rresponde a algo más que la opinión de un experto y que puede considerarse
como una auditoría, es decir, un análisis sistémico. La adhesión a estos prin-
cipios es necesaria para que las conclusiones de la auditoría sean pertinentes y
suficientes, y para asegurar que los auditores que trabajan independientemen-
te entre sí lleguen a conclusiones similares en circunstancias similares.
Podemos afirmar que si la auditoría se rige por los siguientes principios será
suficientemente objetiva.
Los principios de auditoría afectan tanto al comportamiento y características

del auditor como al proceso de auditoría en sí misma. Los siguientes están
relacionados con los propios auditores:
• Conducta ética. Fundamento del profesionalismo. En una asignación de

auditoría es esencial que se establezcan relaciones de confianza entre el
auditado y el auditor. Para ello, es necesario que el auditor actúe con un
elevado grado de integridad, confidencialidad y discreción. Se dice que el
auditor debe regirse por un estricto código de conducta. Este código puede
estar explicitado o no. Es habitual que diversas asociaciones o entidades
que emiten certificados de auditor publiquen sus propios códigos, aunque
todos ellos responden a las características que hemos enunciado.
• Presentación justa. La obligación de informar verazmente y con exactitud.

Los hallazgos realizados, las conclusiones extraídas y los reportes de la au-
ditoría que se emitan deben reflejar, con veracidad y exactitud, las activi-
dades de la auditoría. En todo momento, el auditor y el auditado deben te-
ner constancia de todos los obstáculos significativos encontrados durante
la auditoría, los aspectos no resueltos o no tratados, junto con las razones
que lo provocaron, o cualquier opinión divergente entre el auditor y el
auditado.
• Debido cuidado profesional. La aplicación de diligencia y juicio en la au-

ditoría. Los auditores proceden con todo el cuidado y la profesionalidad
requerida de acuerdo con la importancia de la tarea que realizan y la con-
fianza depositada en ellos por los clientes de la auditoría y las partes inte-
resadas. Un prerrequisito para gozar de tal reconocimiento, por parte del
auditado y del cliente, es poseer la competencia profesional y técnica ne-
cesaria, y quizá acreditarla mediante certificaciones profesionales, títulos
académicos, años de experiencia o similares.
Por otra parte, otros principios de auditoría se aplican al propio proceso de

la auditoría. Una auditoría es, por definición, independiente y sistemática, y
estas características están estrechamente relacionadas con los siguientes prin-
cipios de auditoría:
• Independencia. Es la base de la imparcialidad y objetividad de las conclu-

siones de la auditoría. Los auditores deberían ser, por definición de la au-
ditoría, independientes de la actividad auditada. Esto no implica que no
puedan pertenecer a la organización, sino que no deben estar influencia-
dos de algún modo por la actividad que van a auditar. Esto implica que,
por supuesto, un auditor que hubiese participado de algún modo en la im-
plantación de los controles que se van a auditar, directa o indirectamente
(por haber asesorado en alguna decisión, por ejemplo), no debería partici-
par en una auditoría ni emitir un juicio de auditoría, por estar influencia-
do. Esta influencia sobre el auditor es la que hace que, no sólo los casos
como el anterior sean los que inhabilitarían a un auditor, sino que también
los conflictos de intereses deberían tenerse en cuenta a la hora de aceptar
o no a un auditor en un equipo o en una asignación.
Los auditores tienen que mantener un estado mental objetivo durante to-
do el proceso de auditoría, para asegurar que los hallazgos y conclusiones
se basarán solamente en evidencias.
• Evidencia. La base racional para llegar a conclusiones de auditoría confia-

bles y reproducibles en un proceso de auditoría sistemático.
La auditoría se basa principalmente en un ciclo obtención de evidencias,
análisis de éstas y confrontación con los criterios de auditoría para deter-
minar la presencia o no de un hallazgo de auditoría, el cual será el sopor-
te para la conclusión. Por lo tanto, la obtención de la evidencia de la au-
ditoría es crucial, puesto que debe soportar su puesta en duda y, por lo
tanto, debe derivarse de hechos verificables. La evidencia se debe basar en
muestras de información disponible. El uso apropiado del muestreo está
muy relacionado con la confianza que se puede tener en las conclusiones
de las auditorías.
Si un auditor se ciñe a los principios descritos, el resultado de su trabajo
será sólido y podrá soportar su puesta en duda.
2. Componentes de una auditoría
Existen varios elementos que definen una auditoría. Del análisis de ellos po-
dremos ir profundizando en los detalles generales y comunes a todo tipo de
auditoría.
2.1. Tipos genéricos de auditorías
En el proceso de auditoría aparecen tres actores principales que están íntima-

mente relacionados entre ellos y que siempre aparecen en una auditoría:
Relaciones entre los actores de una auditoría
• El auditor, o mejor dicho, el equipo auditor: es el grupo de personas (o una

sola) que han sido designados para ejecutar la auditoría en el interés del
cliente de la auditoría.
• El auditado: es la organización (o podría también ser la persona, aunque

esto es menos común que se dé) responsable del hecho que se audita.
• El cliente de la auditoría: es la persona u organización interesada en cono-

cer la conclusión de la auditoría.
De la existencia o no de los tres actores de una auditoría, la relación que ten-

gan entre ellos, la organización a la que pertenezca el equipo auditor, y la mo-
tivación que exista en la asignación, se derivan los tres tipos genéricos tipos
de auditorías, que son las siguientes:
• Auditorías internas o de primera parte.

• Auditorías de segunda parte.
• Auditorías de tercera parte.
2.1.1. Auditorías internas o de primera parte
En este caso, las auditorías son ejecutadas por un equipo auditor que puede
ser propio de la organización responsable del hecho auditado, o bien externo,
pero designado por la organización auditada. En estas situaciones, el destina-
tario final de los resultados del trabajo es la propia organización.
Este trabajo, en ciertas ocasiones, es empleado por las organizaciones para rea-
lizar una autoevaluación previa a otros tipos de auditoría. También puede te-
ner otros objetivos más prácticos, como detectar puntos de mejora en el hecho
auditado. En cualquier caso, el interesado en la auditoría es directamente el
propio auditado.
2.1.2. Auditorías de segunda parte
En ciertas ocasiones, una segunda organización puede tener un interés legíti-

mo para realizar una auditoría a la organización. En este caso, esta "segunda
parte" es la que designa al personal que realiza la auditoría, y es ella la desti-
nataria final de los resultados del trabajo de auditoría.
Existen múltiples situaciones reales que exigen este tipo de auditoría. La más
habitual que se suele dar es la encargada por una organización cliente sobre su
proveedor. Cada vez más, las organizaciones externalizan partes de su activi-
dad, pero suelen reservarse el derecho de realizar auditorías para determinar el
grado de cumplimiento de los acuerdos de nivel de servicio. Otras situaciones
donde también se pueden dar auditorías de segunda parte son aquellas en las
que una empresa está en situación de absorber a otra. Aquí, es habitual encon-
trarnos con encargos de auditorías de cuentas o de valoración de la tomadora
de control sobre la absorbida. En caso de fusiones, al existir mayor equilibrio
de fuerzas, es posible que cada parte encargue una auditoría de segunda parte
de algún tipo sobre la otra empresa. Sin embargo, suele ser económicamente
más eficiente, y por tanto más común, que la auditoría la realice una tercera
parte acordada por ambas empresas, lo que nos introduce el siguiente tipo.
2.1.3. Auditorías de tercera parte
Las auditorías de tercera parte son las realizadas por organizaciones auditoras
externas e independientes de la parte auditada y del interesado en el resultado
de la auditoría. Dentro de este tipo de auditorías, encontraríamos las auditorías
de certificación de conformidad con los requisitos de una norma.
En estas auditorías, las tres partes (auditado, auditor, cliente) son absoluta-
mente independientes entre sí. En ocasiones, en el momento de realizar la
auditoría puede ser que ni siquiera esté definido quién es el cliente de ésta. El
auditor puede realizar la auditoría a petición del auditado porque este último
quiere que una parte independiente certifique/audite algún aspecto, en previ-

sión de que en un futuro pueda existir un cliente de auditoría interesado en
el resultado de la auditoría. También puede darse el caso de que el auditado
encargue la auditoría sencillamente porque existe un requerimiento (legal, re-
gulatorio del mercado o contractual) de que se disponga de una auditoría rea-
lizada por una parte independiente. Este tipo de auditorías también tienen lu-
gar en casos en los que el cliente de la auditoría es muy genérico, como puede
ser la Administración pública. En estos casos, el mercado marca los objetivos
de la auditoría mediante reglamentos, normas, contratos, etc. Las auditorías
de certificación contra una norma entran dentro de este tipo de auditorías de
terceras partes. Las auditorías de certificación permiten al auditado acreditar
el cumplimiento de los requisitos de la norma ante una comunidad amplia
y a priori indeterminada, pero potencialmente interesada, como podrían ser,
por ejemplo, sus clientes. Para ofrecer la máxima objetividad, se recurre a una
entidad externa a los interesados (el auditado y la comunidad). Por esto, esta
auditoría es clasificada como de tercera parte.
Finalmente, conviene destacar que las entidades que realizan este tipo de au-
ditorías deben tener reconocido su prestigio ante la comunidad, para que los
resultados de la auditoría sean considerados válidos. Esto conlleva la existen-
cia, en ciertas ocasiones y para determinados sectores, de requisitos que regu-
lan las actividades de los auditores. Este es el caso, por ejemplo, de los audito-
res de cuentas, los auditores de certificación contra normas, y cada vez más
también de los auditores de sistemas, aunque en este sector la regulación se
está realizando por el propio mercado.
Resumen de los tres tipos básicos de auditoría
Relación
Tipo Auditor�frente�a�auditado Cliente�auditoría�frente�a�auditado Cliente�auditoría�frente�a�auditor
De�prime- Pueden pertenecer a la misma orga- Pertenecen a la misma organización. Pueden pertenecer a la misma organiza-
ra�parte nización, siempre que haya suficiente ción siempre que haya suficiente inde-
independencia. pendencia.
Tampoco es extraño que sean dife- Tampoco es extraño que sean diferen-
rentes si en la organización cliente no tes si en la organización cliente no hay
hay el conocimiento técnico suficien- el conocimiento técnico suficiente o los
te o los recursos disponibles. recursos disponibles.
De�segun- Pertenecen claramente a dos organi- Existe una relación entre ellos que ha- Suelen pertenecer a la misma organiza-
da�parte zaciones distintas. ce que el cliente tenga un interés le- ción, aunque tampoco es extraño que
gítimo en exigir al auditado la realiza- sean diferentes si en la organización
ción de la auditoría. cliente no hay el conocimiento técnico
suficiente o los recursos disponibles.
De�terce- Pertenecen claramente a dos organi- El cliente no existe a priori o es, de Son diferentes.
ra�parte zaciones distintas. manera genérica, el mercado o una En estos casos, el auditor representa al
comunidad de interesados muy am- cliente de la auditoría.
plia. Los intereses del cliente están re-
presentados por el auditor.
Conviene destacar que sólo en entornos muy específicos y conocedores de la

terminología suele emplearse la distinción que hemos expuesto. Lo más co-
mún es que se haga mención al concepto de auditoría interna frente auditoría
externa. Con esta separación, se suele simplemente describir el hecho de que
el auditor pertenece o no a la organización auditada. Sin embargo, y como
hemos visto en la definición anterior de auditorías, esta visión es simplista y
sólo recoge los aspectos económicos. El aspecto más determinante no es si el
auditor es o no interno a la organización, sino más bien si la organización es la
principal "consumidora" del trabajo de auditoría, o bien si por el contrario lo es
una organización externa. Es decir, si es la propia organización quien ha defi-
nido el objetivo de la auditoría, o bien ha sido una externa quien ha decidido.
Los aspectos económicos son complejos y pueden darse todo tipo de situacio-
nes. Esta distinción es la que debería reflejarse, y no el aspecto económico.
''Plan, do, check/study, act''
De hecho, en los sistemas de gestión que implementan el ciclo de "Plan, Do, Check/
Study, Act", la auditoría interna es un elemento más para la mejora continua de al-
gún aspecto de la organización: la calidad, el impacto medioambiental de la organi-
zación, o la seguridad de la información. Cuando se determina que, en estos tipos
de sistemas de gestión, es necesario implementar la función de auditoría interna, se
pide exactamente que sea la propia organización quien defina los objetivos de la au-
ditoría y defina un plan de auditoría. Desde este punto de vista, es irrelevante si la
organización implementa la función de auditoría con recursos propios o si bien los
externaliza. Las razones para elegir una opción u otra son puramente económicas, y
no propias de la auditoría, salvo por el hecho de que la auditoría resultante debe ser
acorde a los principios de auditoría.
2.2. El objetivo de auditoría
Aparte de esta clasificación fundamental y absolutamente genérica de las audi-

torías, si nos fijamos en el hecho auditado, tenemos tantos tipos de auditorías
como temas auditables existen. En nuestro caso, nos es de especial relevancia
las auditorías informáticas, que serán aquellas en las que el hecho auditado
sean los sistemas de información. Este concepto es el "objetivo de auditoría".
El objetivo de auditoría se refiere a las metas específicas que deben cumplirse

por parte de la auditoría. Los objetivos de auditoría son determinados por el
cliente de la auditoría, y se centran a menudo en validar si se implementan
ciertos controles definidos por unas políticas, normas y/o procedimientos. Es-
tas políticas, normas y/o procedimientos constituyen los criterios de auditoría
contra los que se evaluarán las evidencias.
Los objetivos pueden incluir aspectos como comprobar el nivel de cumpli-

miento de ciertos requerimientos legales, regulatorios o contractuales (estas
auditorías son las que contempla el marco legal español de protección de datos
de carácter personal). También pueden incluir la evaluación de los controles
implantados en una organización para garantizar la seguridad (confidenciali-
dad, integridad y disponibilidad) de la información tratada por los sistemas de
información o, más genéricamente, por los procesos de negocio de la organi-

zación. Por tanto, los objetivos son variados y es necesario que el cliente de
la auditoría (auditorías) los defina.
Así pues, los objetivos de la auditoría definen qué es lo que se va a conseguir

durante la misma. Los objetivos de una auditoría pueden incluir uno o varios
de los siguientes aspectos:
• Determinar el grado de conformidad del sistema de gestión del auditado,

o parte de él, con los criterios de auditoría.
• Evaluar la capacidad de los sistemas de gestión para asegurar el cumpli-
miento con requerimientos legales o contractuales.
• Evaluar la eficacia del sistema de gestión para lograr los objetivos especi-
ficados.
• Identificar áreas potenciales de mejora del sistema de gestión.
Posteriormente, es tarea del auditor traducir estos objetivos de auditoría a pun-

tos específicos de control que se deberán verificar. A partir de estos puntos de
control, se irán desgranando las comprobaciones y pruebas que se planificarán
y ejecutarán.
2.3. Alcance de la auditoría
Las organizaciones auditadas pueden tener múltiples procesos asociados, eje-

cutados en un área geográfica que puede ser muy amplia, con unos medios
muy diversos y por personal también variado. Por lo tanto, no sólo se tendrá
que definir el objetivo de la auditoría, sino también qué parte de la organiza-
ción abarca, es decir, cuál será su alcance.
El alcance de la auditoría describe la extensión y los límites de la auditoría. Por

ejemplo, las localizaciones físicas, las unidades organizativas, las actividades o
los procesos a ser auditados en el período de tiempo cubierto por la auditoría.
Es decir, todos los parámetros que limitan física, temporal y lógicamente la
actividad del auditor dentro de la organización auditada.
3. Proceso de auditoría
Aunque cada proyecto de auditoría es específico en sí mismo, incluso cuando

se audita un mismo hecho, pero en distintos momentos, podemos afirmar
que todas las asignaciones de auditoría se rigen por un proceso en cuatro fases
genéricas:
Fases generales de una auditoría
• La fase de planificación debería incluir todas las actividades necesarias para

dotar a la auditoría de un marco de trabajo, los recursos necesarios y los
objetivos a cumplir. Por lo tanto, incluirá tareas como:
– Designar al equipo auditor.
– Definir el alcance y objetivos de la auditoría con el cliente, teniendo

en cuenta las directrices estratégicas de la organización en la que se
encuadre la función de auditoría.
– Recopilar el material necesario para el trabajo de campo y para el aná-

lisis posterior. Esto puede implicar la preparación de herramientas para
alguna tarea específica durante el trabajo de campo, o la identificación
y estudio previo de algún tipo de documentación.
– Reunirse con el auditado para la reunión de inicio de la auditoría.
– Identificación de los criterios de auditoría, y elaboración de un plan

de la auditoría que identifique el conjunto de pruebas que se van a
realizar, de modo que los criterios estén alineados con los objetivos
y alcance de la auditoría. Estos criterios serán la referencia contra la
que el auditor comparará los hechos que constate durante el trabajo

de campo.
• El trabajo de campo constituye la actividad principal de una auditoría.

Este trabajo consistirá en la ejecución del plan de auditoría realizando las
diversas pruebas de auditoría que buscarán comprobar el modo en que se
cumplen los criterios de la misma.
• Todo trabajo de campo debe culminar en la transferencia al auditado ini-

cialmente, y al cliente de la auditoría finalmente, de los resultados obte-
nidos. Se deberán analizar las pruebas realizadas y determinar si los resul-
tados se pueden catalogar como evidencias de auditoría, es decir, si son
relevantes para determinar conclusiones alineadas con el objetivo de la
auditoría. Estos resultados son contrastados primeramente con el audita-
do, para que pueda dar su opinión y ésta sea reflejada en las conclusiones.
Estas conclusiones serán expuestas normalmente en un documento final
denominado informe de auditoría.
• Las conclusiones de la auditoría deberían llevar al auditado a actuar de

algún modo para corregir los defectos que fueron evidenciados durante la
auditoría. Es recomendable que la organización auditora ofrezca una revi-
sión de los puntos auditados y, llegado el caso, sugiriera de manera general
propuestas de solución al auditado. Sin embargo, deberá vigilar que estas
recomendaciones no comprometan su independencia de cara a la futura
relación con el auditado y otras organizaciones. Debe existir siempre una
clara separación entre el trabajo de auditoría y el de consultoría, especial-
mente en determinados tipos de auditoría que más adelante identificare-
mos.
Finalmente, si nos centramos en la fase principal del proceso de auditoría, la

realización práctica de una auditoría, se ha de tener siempre en cuenta que las
pruebas deberán ser relevantes para el objetivo de la auditoría. Tendrán que ser
seleccionadas de la manera más adecuada para proporcionar la información
necesaria a la hora de emitir una conclusión. La experiencia técnica permiti-
rá a un auditor escoger y realizar las pruebas más adecuadas, facilitando así
la interpretación de resultados y la obtención de evidencias. La elección de
pruebas útiles en este sentido es lo que marcará, en cierto modo, la pericia de
un auditor y lo distinguirá frente a otro. Este es el punto diferenciador que
permitirá a un auditor ser más eficiente en términos de costes y resultados,
puesto que no olvidemos que la función de auditoría también rinde cuentas
económicas en la organización en que se encuadre.
3.1. Tipos de pruebas
El auditor podrá realizar diferentes tipos de pruebas basándose en criterios

técnicos respecto de la materia que está auditando. Sin embargo, desde un
punto de vista más teórico, es interesante destacar que al auditor se le plantea
la posibilidad de realizar dos tipos de pruebas:
• Pruebas de cumplimiento. Tienen como finalidad comprobar el cumpli-

miento del auditado con la normativa que describe el control sobre el pro-
ceso que se está auditando. Es decir, buscan obtener evidencias de que los
controles internos están funcionando.
• Pruebas sustantivas. Tienen una finalidad más práctica y suelen ser necesa-
rias cuando no es suficiente con las pruebas de cumplimiento. Es decir, se
buscan evidencias de cómo el proceso que se quiere controlar es realizado,
de su integridad y del modo en que los controles consiguen realmente sus
objetivos. Con este tipo de pruebas más concretas, se obtienen no sólo las
evidencias del cumplimiento de los controles, sino también las evidencias
de su eficacia.
Es decir, la prueba de cumplimiento busca comprobar si se implementan los

controles tal y como se recoge en la normativa de referencia (puede ser interna
a la organización auditada, o bien externa, como una ley, un reglamento, etc.).
Si los resultados de este tipo de pruebas son satisfactorios, puede hacerse in-
necesaria la realización de pruebas sustantivas, las cuales son inherentemente
más costosas y complejas.
Debe tenerse en cuenta, sobre todo en las pruebas sustantivas, que puede re-
sultar poco práctico o directamente inabarcable realizar una comprobación
exhaustiva o completa. En muchos casos, se impone la necesidad de seleccio-
nar sólo unas cuantas comprobaciones. Esta selección es lo que se denomina
muestreo.
3.2. Muestreo
El muestreo se usa cuando las consideraciones de tiempo y de costo impiden la

verificación completa y total requerida por una prueba sustantiva. En algunas
circunstancias, en una prueba de cumplimiento puede imponerse también la
necesidad de realizar un muestreo. Éste resulta necesario cuando no se tienen
suficientes recursos para realizar las pruebas sobre todos los elementos que se
deberían analizar.
Cuando nos referimos a procesos de muestreo, denominamos población a la

totalidad de los elementos que se deben examinar para realizar las pruebas.
Cualquier subconjunto de esta población se denomina muestra. El muestreo
es un proceso estadístico conocido y usado para inferir características de una
población en base a la observación de un subconjunto representativo.
El muestreo se puede afrontar de dos modos:
• Muestreo estadístico. Es el enfoque más objetivo y más científico, y emplea

las técnicas de las matemáticas estadísticas para calcular el tamaño de las
muestras, seleccionar los objetos de la muestra, evaluar los resultados de
la muestra, y decidir cuantitativamente (con un porcentaje de error) el
grado en que los resultados de la muestra representan a la población total.
Para que un muestreo sea estadístico, cada uno de los elementos de la
población tiene que tener la misma probabilidad de ser seleccionado para
formar parte de la muestra. En los casos en los que se evalúen aspectos
cuantificables, el auditor deberá dominar conceptos estadísticos como:
– Coeficiente o nivel de confianza
– Precisión
– Tasa de error esperado
– Media de la muestra
– Desviación estándar de la muestra
– Tasa tolerable de error
– Desviación estándar de la población
En el entorno de las auditorías relacionadas con la informática, se dan con

relativa poca frecuencia este tipo de muestreos, debido a las características
de las pruebas a realizar o la dificultad extrema de aplicar técnicas estadís-
ticas.
• Muestreo no estadístico o también denominado basado en un criterio. En
este caso, el método de muestreo, el tamaño de la muestra y la selección
de la muestra queda a criterio del auditor, en base a su experiencia y punto
de vista subjetivo. A pesar de ser más subjetivo, resulta más práctico.
En cualquier caso, el proceso que tiene que desarrollar el auditor es:
• Determinar los objetivos de la prueba.

• Definir la población de la que se obtendrá la muestra.
• Determinar el método de muestreo.
• Calcular el tamaño de la muestra.
• Seleccionar la muestra.
• Evaluar la muestra desde la perspectiva de la auditoría.
Este proceso puede conllevar errores, puesto que se sacará una conclusión en
base a una muestra. Sin embargo, estos errores son conocidos por el auditor y,
si la muestra se ha realizado estadísticamente, pueden ser incluso medidos.
3.3. Evidencias de auditoría
La evidencia es cualquier información usada por el auditor para determinar si

algún aspecto del proceso auditado cumple con los criterios de auditoría. Asi-
mismo, la confrontación de las evidencias de auditoría con los criterios permi-
te al auditor concluir si se ha realizado un hallazgo de auditoría. Finalmente,
a la vista de la totalidad de los hallazgos realizados, el auditor podrá emitir un
juicio y dar una conclusión que dé respuesta al objetivo de auditoría.
Por tanto, la importancia de las evidencias es clara. Todo el proceso de audi-

toría se reduce a la realización de pruebas para la recogida de evidencias.
Las evidencias serán cuantitativas o cualitativas, y pueden ser de muchos tipos.

Todo ello dependerá, principalmente, de la naturaleza del tema auditado:
• Observaciones del auditor.
• Notas o actas de entrevistas.
• Documentación: contratos, registros, formularios, etc.
• Resultados de pruebas de auditoría que pueden tener a su vez formas muy

variadas, aunque cada vez más tendrán un soporte informatizado (archivos
informáticos).
Como hemos visto, la evidencia es la piedra angular del trabajo del auditor y,
por lo tanto, debe cumplir con ciertas características:
• Confiabilidad. La confianza en la información facilitada por una evidencia

dependerá de la forma en que ésta se obtenga. Por lo tanto, para que la
confiabilidad en la evidencia sea lo más elevada posible, se deberá evaluar:
– La independencia de la fuente que proporciona la evidencia. Puede
tratarse de una persona o bien de un sistema de información. En am-
bos casos, es lícito evaluar la independencia de la persona en base a
sus relaciones con el auditado o, si es interno, con el área auditada.
En cuanto a un sistema de información, el auditor deberá evaluar la
posibilidad de que haya sido adulterado.
– La objetividad de la evidencia. Cuanta menos interpretación requiera

una evidencia, mayor será su confiabilidad.
– Tiempo de disponibilidad de la evidencia. El auditor deberá asegurarse

de que la evidencia esté disponible para futuras comprobaciones y, en
caso de que pueda destruirse, realizará las copias de manera confiable.
• Relevancia. El auditor se encontrará frente a varias evidencias, pero no

todas serán igual de relevantes para cubrir los objetivos de la auditoría. El
auditor únicamente debería tener en cuenta aquellas que sean relevantes,

y descartar o no considerar de igual modo aquellas que sean relevantes de
manera tangencial.
• Suficiencia. En ciertas evidencias que se basan en la cantidad (por ejemplo,

número de registros no válidos en una base de datos después de haber rea-
lizado una determinada prueba), será necesario disponer de una cantidad
suficiente para poder determinar que se ha realizado un hallazgo. Además
de disponer de una cantidad suficiente, la evidencia deberá estar basada
en hechos objetivos y deberá permitir a un observador correctamente in-
formado llegar a la misma conclusión que el auditor. Sólo en este caso, la
evidencia podrá ser considerada como suficiente. Como se ve, la suficien-
cia no está exclusivamente relacionada con la cantidad, aunque puede ser
necesario que la cantidad esté presente para obtener la suficiencia.
• Competencia. Además de suficiencia, toda evidencia debe tener también

la característica de competencia. Se entiende por competencia la caracte-
rística de calidad de la evidencia, es decir, su capacidad para permitir al
auditor determinar si ha realizado o no un hallazgo de auditoría. A veces,
se decide que una evidencia es competente cuando es válida, relevante y
confiable.
3.4. Hallazgo de auditoría
Las evidencias que cumplan las características de suficiencia y competencia se

confrontarán contra los criterios de auditoría para determinar si se ha realizado
un hallazgo o no y de qué tipo.
Los hallazgos se pueden clasificar como:
• No conformidades (puede existir algún tipo de nivel de gradación).

• Posibilidades de mejora.
• Conformidades. Confirman que el criterio de auditoría se cumple.
3.5. Riesgo de auditoría
La tarea de determinar cuándo una o varias evidencias respaldan un hallazgo

(que llevará a unas conclusiones de auditoría) conlleva un riesgo inherente de
error. Es el riesgo de que el auditor concluya de manera errónea. El auditor
debe conocer este riesgo, denominado riesgo de auditoría.
Intervienen muchos factores que inciden en este riesgo de auditoría:
• El muestreo. Se trata de una actividad que se realizará prácticamente en

todas las asignaciones de auditoría a las que se enfrente un auditor en su
carrera profesional. El muestreo puede deberse a una planificación muy
ajustada, a una falta de recursos o sencillamente al hecho de enfrentarse a

un número total y potencial de pruebas a realizar totalmente desorbitado.
• Evaluación errónea de la/s evidencia/s. Ya sea por falta de experiencia, o

porque la evidencia resultó no ser confiable, existe la posibilidad de que
el auditor interprete incorrectamente la evidencia.
• Falta de suficientes evidencias.
En todos los casos, el auditor deberá ser consciente de los riesgos y reconocer
que existe un riesgo de error al emitir su juicio de auditoría. Pero, de todos mo-
dos, el hecho de realizar la auditoría ajustándose a planes de trabajo, siguiendo
metodologías reconocidas y respetando los códigos éticos de la profesión, da
garantías al auditor a la hora de valorar los hallazgos y emitir sus conclusiones.
4. Programa de auditoría
Hasta ahora, hemos estado hablando de auditoría como una actividad aislada
que se realiza una única vez, o quizá más veces, pero sin existir un objetivo
estratégico para la actividad general de auditoría ni unas relaciones entre varias
auditorías.
En muchas ocasiones, las organizaciones sólo se plantean esta actividad en

momentos puntuales, sobre todo cuando se trata de auditorías de segundas
o terceras partes. En estas situaciones, el cliente encarga la auditoría en un
momento dado y, una vez ejecutada, adopta las acciones que tenga previstas
y la relación con el auditor finaliza aquí.
Sin embargo, las mayores fortalezas y beneficios de la auditoría surgen cuando

éstas se suceden en el tiempo y se encuentran enmarcadas en lo que se deno-
mina programa de auditoría. Estos programas suelen surgir en organizaciones
en las que los sistemas de gestión están ampliamente implantados y entendi-
dos. Por lo tanto, es muy habitual encontrarnos con programas de auditorías
tanto de primera como de terceras partes en el contexto de sistemas de gestión
de la calidad, medioambiental, o también de seguridad de la información.
Estos sistemas están basados en la implantación de un proceso continuo de

mejora que suele ser conocido como ciclo PDCA (o ciclo de Deming o Shew-
hart). El ciclo PDCA está formado por cuatro procesos que se van repitiendo
de forma iterativa para el control de un sistema: planificar, implementar (para
llevar a cabo lo planificado), comprobar (para analizar el funcionamiento de
lo implantado) y actuar (en base a la revisión realizada).
En este ciclo, es necesaria la realización de auditorías de primera parte en la

fase comprobar. Por otra parte, puesto que este ciclo PDCA se debe realizar
continuamente para garantizar el correcto control del proceso en cuestión, la
realización de auditorías es también continua. Estas auditorías no se realizan
de manera independiente unas de otras, sino que más bien son organizadas
por los responsables de gestionar la función de auditoría en la organización.
Es en este contexto donde se crean programas de auditoría, que no son más
que un conjunto de auditorías planificadas para un periodo de tiempo y con
un objetivo de auditoría de alto nivel común, aunque cada una de ellas tengo
uno más específico.
4.1. Beneficios de implementar un programa de auditoría
Dentro de este contexto, los responsables de auditoría tienen la posibilidad de

obtener ciertos beneficios de desarrollar este programa:
• Los programas de auditoría pueden asistir a los gestores de la función de

auditoría en la planificación del esfuerzo y la asignación de recursos. Por
ejemplo, la gerencia dispondrá de información previa para poder estimar
el esfuerzo requerido para realizar una auditoría basándose en la cantidad
de tiempo dedicado en anteriores auditorías.
• Se promueve la consistencia en la manera de actuar de los auditores y per-

mite ir refinando las técnicas e ir mejorando la capacitación del personal
auditor, lo que redunda en una mejor calidad del trabajo (menos errores
de auditoría). Durante la planificación y la preparación para una auditoría,
los materiales (guías, listas de comprobación, herramientas, equipos espe-
cíficos, etc.) usados durante anteriores asignaciones pueden ser empleados
generalmente como la base para los pasos que se realizarán durante la ac-
tual. Esto no se aplica, obviamente, en los casos en que se audite un pro-
ceso que nunca antes se ha revisado, o donde el proceso ha cambiado per-
ceptiblemente. En estos casos, los materiales deben ser creados desde cero.
• Se maximizan los recursos de auditoría y se permite obtener mejores re-

sultados. Distribuyendo en el tiempo distintas auditorías, se pueden pla-
nificar mejor los recursos.
Una organización que necesite realizar auditorías continuas para verificar los
controles aplicados a un proceso debería implementar y gestionar un progra-
ma de auditoría efectivo. El propósito de un programa es planear el tipo y nú-
mero de auditorías, e identificar y suministrar los recursos necesarios para rea-
lizarlas. El programa de auditoría puede incluir auditorías con una gran varie-
dad de objetivos, establecerse más de un programa de auditoría, y el número
de auditorías que contenga el programa dependerá mucho del tamaño, natu-
raleza y complejidad de la organización por auditar.
Programas de auditoría para mediana empresa
Por ejemplo, una organización de un tamaño medio (por encima de las 100 personas)
que tuviera implantado un sistema para la gestión de la seguridad de la información
podría plantearse los siguientes programas de auditoría, para revisar de manera continua
los principales puntos de su sistema:
• Verificación anual de la conformidad del sistema con la Norma ISO27001:2005.

• Auditorías trimestrales del funcionamiento de los controles de seguridad lógica.
• Auditoría anual del estado de los controles de seguridad física.
• Revisión anual del plan de continuidad y de sus pruebas.
4.2. Implementación de un programa de auditoría
La forma de implementar y gestionar un programa de auditoría que hemos

repasado no difiere de la implantación de cualquier otro sistema de gestión
que pretenda controlar una actividad. El sistema debe poner en valor tanto
las fases que se planifican y las que se ejecutan, como las posteriores fases
de revisión de la ejecución y extracción de conclusiones. Esto no es más que
aplicar un ciclo de gestión PDCA (Deming) a la función de auditoría de una

organización, lo cual nos permite ver el proceso de gestión del programa de
auditoría como un ciclo que se refleja en el siguiente diagrama.
Diagrama general de la gestión de un programa de auditoría
Tal y como puede verse, la gestión de un programa de auditoría es un proceso

que va más allá de simplemente planificar las auditorías que se van a realizar
a lo largo de una determinada ventana de tiempo. Se trata, más bien, de un
sistema de gestión que pretende controlar de manera continua el proceso de
auditoría. Por lo tanto, sería lógico que se integrara con los procesos que pre-
tende verificar y que siguen la misma filosofía de gestión, como podría ser la
gestión de la calidad, la gestión medioambiental, la gestión de los sistemas de
información, o de la seguridad de la información. Integrar la auditoría con
los distintos sistemas de gestión de una organización ayuda a incrementar su
eficacia y eficiencia, puesto que gran parte del conocimiento necesario (todo
lo relativo a las generalidad de la auditoría y de la gestión del programa) es co-
mún y controlado por unos mismos responsables. Esto conlleva la necesidad
de que estos sistemas de gestión implementen una nueva función organizati-
va: la de auditoría (también se suele denominar control interno). Esta función
tendrá como objetivo realizar todos los procesos que permitan comprobar que
se están aplicando los controles internos sobre el resto de los procesos de la
organización.
En el caso que se decida crear una función de auditoría para que gestione
un programa de auditoría, la dirección de la organización debería oficializar
esta función, y dotarla de autoridad para dirigir el programa de auditoría e
implementar un sistema que ejecute las fases descritas en el diagrama.
Los responsables del programa de auditoría tendrán que planificar y dirigir el

proceso de auditoría continua en la organización. Por lo tanto, deberán:
1) Establecer los objetivos y la extensión del programa de auditoría. Estos ob-

jetivos se pueden basar en:
• Estrategia y prioridades de la dirección.

• Requisitos del sistema de gestión (si los controles a auditar se encuentran
certificados).
• Requisitos reglamentarios o contractuales.
• Necesidad de evaluación de proveedores.
• Requisitos de los clientes.
• Necesidades de las partes interesadas.
• Riesgos potenciales para la organización.
La extensión o el alcance de un programa de auditoría puede variar, tal y como

hemos dicho, por varios factores:
• El alcance, el objetivo y la duración de cada auditoría.

• La frecuencia de las auditorías.
• El tamaño, la naturaleza y la complejidad de la organización auditada.
• El número, la importancia, la complejidad, la similitud y la ubicación de
las actividades por auditar.
• Normas, requisitos reglamentarios y contractuales, y otros criterios de au-
ditoría.
• Necesidad de acreditación o certificación/registro.
• Los resultados de las auditorías previas o la revisión del programa de au-
ditoría previo.
• Aspectos lingüísticos, culturales y sociales.
• Preocupaciones de las partes interesadas.
• Cambios significativos para una organización o sus operaciones.
Todos estos factores pueden variar incluso durante el periodo de tiempo en

que se está ejecutando un programa, por lo que es necesario que el programa
sea gestionado de manera continua. Más adelante, veremos algunos aspectos
relacionados con la gestión continua del mismo.
2) Establecer las responsabilidades. Las personas a quienes se asigne la respon-

sabilidad de dirigir el programa de auditoría habrán de definir, implementar,
hacer seguimiento, revisar y mejorar el programa de auditoría. Además, desde
el punto de vista del día a día, deberán identificar y suministrar los recursos
para el programa de auditoría.
Es por ello que la responsabilidad de la gestión de un programa de auditoría

debería asignarse a una o más personas con las siguientes características:
• Conocimientos generales de los principios de la auditoría.
• Conocimiento de la competencia de los auditores disponibles en los con-

ceptos generales de auditoría y en la aplicación de técnicas de auditoría,
así como en los aspectos técnicos que hayan de auditar.
• Habilidades para la gestión.
• Conocimientos técnicos y del negocio pertinentes para las actividades que

van a auditarse.
3) Estimar y planificar los recursos necesarios. A la hora de determinar los re-

cursos necesarios para la implementación del programa, los responsables de-
berían considerar aspectos como los siguientes:
• Los recursos financieros necesarios para el desarrollo, la implementación,

la gestión y la mejora de las actividades de auditoría. Para presupuestar
correctamente el programa, es necesario que dispongan de conocimientos
sobre gestión de recursos y toda información de pasados programas que
pudiera existir.
• Las técnicas de auditoría que se deberán aplicar, puesto que puede que los
auditores no dispongan de la capacitación necesaria y/o de las herramien-
tas o técnicas necesarias.
• Los procesos para lograr y mantener la competencia de los auditores, y

mejorar la calidad y rendimiento del trabajo de éstos.
• La disponibilidad de los auditores y expertos técnicos que posean la com-

petencia apropiada para los objetivos del programa de auditoría particular.
• La duración prevista de las auditorías.
• Los tiempos de desplazamiento, el alojamiento y otras necesidades logís-

ticas durante la realización de la auditoría.
4) Asegurar la implementación del programa de auditoría. La implementación

del programa de auditoría va más allá de la simple ejecución de las auditorías
que se han programado. Estas tareas implican gestionar y controlar la función
de auditoría realizando las siguientes tareas:
• Comunicar el programa de auditoría a las partes pertinentes. Existe una

labor necesaria de comunicación y divulgación a la dirección de los obje-
tivos generales del programa y de los específicos de cada una de las audi-
torías.
• Coordinar y programar las auditorías y otras actividades del programa de

auditoría. Es decir, controlar el proceso de ejecución de las distintas partes
del programa:
– Planificación y asignación de los recursos a los distintos equipos au-
ditores.
– Control de ejecución de acuerdo con los objetivos del programa.
– Evaluación de las auditorías. Este aspecto vendría a ser la "auditoría"

de la ejecución de la auditoría.
– Revisión de los informes de auditoría y comunicación a los clientes y

partes interesadas.
– Asegurar que se realizan las acciones complementarias de la auditoría,

en el caso de que sean aplicables (por ejemplo, revisiones o nuevas
auditorías después de periodos de corrección de no conformidades).
• Establecer y mantener un proceso para la evaluación inicial y progresiva de

los auditores. Este proceso evaluará sus necesidades de formación y desa-
rrollo profesional, de modo que sean competentes en la materia y se vaya
adecuando su capacitación a las circunstancias evolutivas de los mercados.
Durante la ejecución de un programa de auditoría, en una organización, exis-

te la posibilidad de que dos o más organizaciones auditoras puedan cooperar
en la realización de una auditoría conjunta. En este caso, se debería prestar
atención especial a la división de responsabilidades, el suministro de recursos
adicionales, la competencia adicional necesaria en el equipo de auditoría y los
procedimientos apropiados. Se debería llegar a un acuerdo sobre estos proce-
dimientos y otros aspectos de orden práctico antes de comenzar la auditoría.
5) Hacer seguimiento, revisar y mejorar el programa de auditoría. El programa

de auditoría necesita un mantenimiento continuo para adecuarlo a cambios
en la organización, las tecnologías o, simplemente, a las conclusiones que se
saquen respecto a cómo se está desarrollando. Por lo tanto, es recomendable
que, a intervalos apropiados, se realice una revisión del programa para evaluar
si sus objetivos se han cumplido, y para identificar oportunidades de mejora.
Ejemplos de seguimiento
Este seguimiento se puede realizar, por ejemplo, midiendo y revisando:
• La capacitación de los equipos auditores para implementar el plan de auditoría. Para

ello, se deberá tener un control sobre el modo en que han desarrollado sus activida-
des, su formación actual y los cambios en el entorno que no queden cubiertos por
las capacidades actuales de los auditores.
• La conformidad de la ejecución de las auditorías con las previsiones de los programas

y cronogramas previstos para cada auditoría.
• La satisfacción de los clientes de la auditoría, de los auditados y de los auditores.
Estos indicadores deben servir para identificar los puntos de mejora del programa de
auditoría y para diseñar las acciones correctivas que permitan alinear mejor el programa
de auditoría con las necesidades del cliente.
5. Estandarización de la labor de auditoría
Ya hemos visto que una de las principales características del proceso de audi-
toría tiene que ser la objetividad y la sistematización del proceso. Esto permite
que las conclusiones de la auditoría sean independientes de la subjetividad del
auditor. Estas dos características hacen que sea posible plantearse describir la
tarea de auditoría desde un punto de vista teórico o independiente del ámbito
concreto auditado. Por lo tanto, es posible dar ciertos parámetros, aspectos y
elementos que son comunes a cualquier ámbito auditado, o al menos que lo
son dentro de un cierto ámbito muy general.
Esta posibilidad de uniformizar las características del proceso de auditoría se

encuentra reflejada en el hecho de que existen estándares cuyo objetivo es
dar las guías de cómo debe realizarse la labor de auditoría para preservar las
características de objetividad y sistematización del proceso.
La realidad es que el conjunto de estándares es muy amplio. La labor de audi-

toría en un sector ha conllevado casi siempre la publicación de estándares de
auditoría aplicables al menos en su sector, y a veces extensibles a otros. Estos
estándares son publicados por parte de entidades con más o menos prestigio
en su sector y con capacidad para imponer sus estándares.
Podemos destacar algunos de los organismos que más actividad normativa

han realizado en el tema de la auditoría.
5.1. AICPA (American Institute of Certified Public Accountants)
El AICPA es la asociación norteamericana de los auditores públicos de cuentas,

aunque no todos sus miembros son auditores públicos de cuentas.
Aunque el ámbito de la auditoría de cuentas no es el que nos ocupa, merece

la pena destacar la actividad del AICPA, tanto por la larga historia de labor de
estandarización que ha realizado como por ser la iniciadora, en parte, de la
auditoría de sistemas de información.
La función fundamental del AICPA es promover la profesión de la auditoría

de cuentas. Para lograr esto, tiene una variedad de funciones, entre las cuales
nos interesa la de elaboración de estándares profesionales para la auditoría
del estado de cuentas y otros tipos de auditorías financieras o relacionadas.
Existe un gran número de estos estándares. Se pueden obtener en la bibliote-
ca electrónica de la Universidad de Mississipi, buscando por el título "AICPA
Professional Standards: U. S. Auditing Standards–AICPA" e, individualmente,
buscando por "Statement on Auditing Standard". Entre los estándares que po-
demos encontrar aquí, es interesante destacar los siguientes por tener relación
con la auditoría de sistemas de información:
• SAS55 (enmendado por SAS78) "Consideration of Internal Control in a

Financial Statement Audit". Este estándar requiere al auditor obtener un
conocimiento y comprensión de los mecanismos de control interno de
una entidad que le permita, primero, planificar una auditoría y, segundo,
identificar los controles más relevantes y evaluarlos posteriormente. En
este contexto, debe tenerse en cuenta que la normativa financiera exige
que se realicen ciertas provisiones para prever riesgos operacionales, en-
tre los que se incluyen los riesgos que introduce el tratamiento de datos
financieros mediante sistemas de información. Por lo tanto, la evaluación
de los controles internos, para garantizar la corrección de las cuentas y la
inexistencia de errores o fraudes, debe por fuerza incluir la auditoría de los
sistemas de información.
• SAS70 (enmendado por SAS78) "Reports on the Processing of Transactions

by Service Organizations" o también conocido como "Service Organiza-
tions". Se entiende como "Service Organizations" organizaciones que pres-
tan un servicio al auditado relevante para su sistema de control interno. Es
decir, se trata de organizaciones que ofrecen servicios (muy habitualmen-
te, los sistemas de información) externalizados por otras organizaciones,
los cuales son relevantes para la exactitud de las cuentas. Por lo tanto, el
SAS70 será aplicable en escenarios como: proveedores de comunicaciones,
proveedores de aplicaciones como un servicio totalmente externalizado
(se le conoce como modo ASP: Application Service Provider, o también
como SaaS: Software as a Service), servicios de seguridad gestionada (tanto
lógica como física), etc.
El SAS70 define los estándares que debe seguir un auditor para la compro-
bación de los controles internos en una organización que presta servicios
externalizados por otras. Asimismo, define la forma que debe cumplir el
informe de auditoría que se genere para que pueda ser utilizado en otra
auditoría en la organización que ha externalizado el servicio.
La relevancia de este estándar proviene de la necesidad de cumplir con el
SAS55 (y SAS78), que obliga a que cada auditoría en una organización in-
cluya también una auditoría en las organizaciones donde se ha externali-
zado un servicio. El cumplimiento de este estándar implicaría innumera-
bles auditorías en las organizaciones proveedoras de servicios. Para evitar
esto y reducir los costes de las auditorías, el SAS70 da las directrices sobre
la realización y el reporte de las auditorías en organizaciones de servicios,
para que sus resultados puedan ser comunicados y utilizados por las orga-
nizaciones que externalizan el servicio.
• SAS94 "The effect of Information Technology on the Auditor's Conside-

ration of Internal Control in a Financial Statement Audit". Este estándar
obliga al auditor a poner especial atención en el papel que juegan los sis-
temas de información en el proceso de control del estado financiero de

una entidad.
Como se puede observar, el grado de detalle que ofrecen los estándares del
AICPA es muy elevado. Llega incluso a puntos tan concretos como indicar qué
tipo de contenido debe estar incluido y en qué apartados específicos de un
tipo de informe particular (por ejemplo, uno de SAS70).
Debido a su exhaustividad y complejidad, estos estándares sólo han sido apli-

cados en Estados Unidos. Más concretamente, se han aplicado en el ámbito
de auditorías financieras y de cumplimiento con normativa legal también del
sector, como por ejemplo la Sarbanes-Oxley Act. Su uso no se ha extendido
a España.
5.2. ISO (International Organization for Standarization)
Como ya hemos comprobado en el apartado anterior, existen organizaciones

que tienen un gran control sobre el trabajo que se realiza con arreglo a sus
estándares. En el otro extremo, se encuentran organizaciones que dan guías,
buenas prácticas y estándares relevantes para el proceso de auditoría, pero con
un afán de ser más universales. Entre ellas, se encuentra la ISO (Internacional
Organization for Standarization), que ha desarrollado al respecto ciertas nor-
mas que son de nuestro interés.
Dentro del ámbito de la certificación de sistemas de gestión de calidad (ISO

9001) y medio ambiental (ISO 14001), ISO ha realizado un esfuerzo extra para
sistemizar la auditoría de los mismos. Por ello, se ha definido un estándar que
da las directrices para la auditoría de los sistemas de gestión de la calidad y
ambiental, la Norma ISO 19011. Aunque esta norma se ha desarrollado ini-
cialmente para la auditoría de esos tipos de sistemas de gestión, sus directrices
se pueden ampliar a las auditorías de otros tipos de sistemas de gestión y otros
ámbitos.
Por una parte, el estándar es fácilmente aplicable para la auditoría de cualquier

tipo de sistema de gestión basado en el ciclo PDCA en los términos que ISO
ha definido. En particular, el estándar es fácilmente aplicable a los sistemas
de gestión de la seguridad de la información sin grandes modificaciones. Ade-
más, los términos que ISO ha definido se repiten en las Normas ISO 9001,
ISO 14001, ISO 27001, y futuras relacionadas con la continuidad de negocio
ISO25999, gestión de servicios IT, y familia ISO20000. Esta es la razón por la
que la ISO 19011 está siendo empleada para la elaboración del estándar ISO/
IEC 27007 (Information Technology - Security techniques - Guidelines for In-
formation Security Management Systems Auditing), el cual se encuentra to-
davía (a fecha del 2009) en fase de borrador. Este estándar se engloba en la
familia de normas dedicadas a la seguridad de la información, y tendrá como

objeto definir y dar guías para la auditoría de los sistemas de gestión de la se-
guridad de la información.
Por otra parte, si se observa la Norma ISO 19011 desde el punto de vista de un
auditor con experiencia, se detectan elementos generales y comunes a otros
estándares y códigos profesionales, lo que nos confirma su capacidad de servir
como guía para asuntos como la auditoría de sistemas de información.
Respecto a la auditoría de sistemas de información y de sistemas de gestión

de la seguridad de la información, conviene destacar que tanto la Norma ISO
19011 como la futura Norma más específica ISO/IEC 27007, en desarrollo, son
completamente aplicables a cualquiera de los tipos de auditoría descritos ini-
cialmente. Es decir, son aplicables a auditorías de primera, segunda y tercera
parte. Sin embargo, se tiene que destacar que las auditorías de tercera parte
tienen un tratamiento especial por parte de ISO. Cuando se habla de audito-
rías de tercera parte de un sistema de gestión, se entiende que los criterios de
auditoría son los que están reflejados en algún tipo de norma o legislación. En
lo que corresponde a los sistemas de gestión que están normalizados por ISO,
en cada una de las familias de Normas (ISO9000, 14000 o 27000) existe una
norma específica para definir los requerimientos de un sistema de gestión (las
ISO 9001, ISO 14001, y ISO/IEC 27001). Las auditorías que buscan comprobar
el sistema de gestión implantado en una organización, para controlar una de-
terminada actividad, son denominadas auditorías de certificación, y son rea-
lizadas por organizaciones que están fuertemente reguladas: las entidades de
certificación.
Estas entidades de certificación tienen que demostrar su verdadera indepen-

dencia para que los dictámenes que realicen (auditorías de certificación) sean
tomados en consideración por el mercado. Es decir, tienen que demostrar su
independencia para que los resultados de sus auditorías sean reconocidos por
una organización distinta del auditado y el auditor. Por lo tanto, estas entida-
des deberán gestionar sus propios procesos de auditoría de acuerdo con, no ya
unas directrices o guías (que es lo que son las Normas ISO 19011 e ISO/IEC
27007), sino con una norma o conjunto de requisitos definidos por un cuerpo
normativo superior. Este cuerpo normativo superior puede ser, por ejemplo
ISO, internacional, o también de ámbito nacional, como AENOR en España.
Se habla entonces de que la entidad de certificación tiene que estar acreditada
por otra entidad, que se denomina entidad de acreditación, para realizar au-
ditorías de certificación contra una norma.
Esta relación entidad de certificación / entidad de acreditación viene a cubrir

una necesidad obvia, que es: ¿quién audita al auditor? Tal y como acabamos de
decir, este problema sólo está correctamente resuelto para unos cuantos tipos
de auditorías, como las auditorías de cuentas o auditorías de certificación. Es-
tas auditorías de certificación son realizadas por entidades de certificación que
no son más que empresas (pocas son organismos públicos, aunque también
podrían serlo) que han pasado un proceso de auditoría por parte de una enti-
dad de acreditación. La entidad de acreditación certifica que la empresa realiza
las asignaciones de auditoría con arreglo a ciertos estándares, como la Norma
ISO 17021, que especifica los requisitos (en el ámbito de las normas de la fa-
milia ISO 27001, le complementaría la Norma ISO/IEC 27006). Este proceso
se denomina de acreditación, porque acredita a la entidad de certificación a
realizar un cierto trabajo y que sus conclusiones de auditoría sean reconocidas
dentro del ámbito de reconocimiento que tenga la entidad de acreditación.
Es interesante constatar que la Norma ISO 17021 es más estricta que la ISO
19011, y da los requisitos para que tanto el auditado como los potenciales
interesados en los resultados de la auditoría puedan confiar en la entidad de
certificación. Esta confianza se garantiza mediante el aseguramiento de los
principios de:
• Imparcialidad.
• Competencia a la hora de realizar las auditorías.
• Responsabilidad.
• Publicidad. Publicidad
En el sentido de hacer pública

• Confidencialidad. la información que se pueda
revelar a los interesados, como
por ejemplo el estatus de un
• Capacidad para resolución de los conflictos con los auditados. certificado emitido por ella.
Los requerimientos que impone son variados y amplios como:

Aspectos organizativos
• Legales. Se refiere a estructuras y dota-

ción en cuanto a recursos hu-
manos.
• Organizativos.
• Gestión de la documentación (formatos, registros, etc.) e información (ti-

po de información que debe ser revelada y tipo que debe ser confidencial)
relacionada con la auditoría de certificación.
• Forma en la que se debe realizar la auditoría de certificación y el programa

de auditoría que se debe implantar.
Gracias a estos puntos, el trabajo de la entidad de certificación puede gozar

de un reconocimiento dentro de un ámbito que dependerá, en cierta medida,
de la entidad de acreditación. Habitualmente, las entidades de acreditación
son entidades públicas, por lo que este reconocimiento suele tener siempre un
carácter nacional. Posteriormente, las entidades de acreditación se reconocen
mutuamente y, de este modo, la acreditación obtenida por una entidad de

certificación tendrá un alcance más amplio y, consecuentemente, también los
resultados de auditoría que obtenga.
Normalmente, cada país tiene sus propias entidades de acreditación, y éstas se

reconocen mutuamente o se agrupan en entidades supranacionales que "vigi-
lan" a estas entidades nacionales. En definitiva, es una cadena de confianza
que, en la práctica, tampoco aporta mucha certeza sobre la calidad puntual de
un trabajo de auditoría, pero sí de manera general sobre el comportamiento y
tratamiento profesional de todos los elementos de la cadena: entidad de acre-
ditación - entidades de certificación - auditado.
En otro tipo de auditorías no relacionadas con certificaciones, como auditorías

de primera parte realizadas por una organización externa (por falta de recursos
o conocimientos en la organización auditada), no existen estas entidades de
control. En este caso, para garantizar la calidad del trabajo de auditoría, no hay
más recursos que confiar en las certificaciones profesionales de terceros. Estas
certificaciones profesionales permiten tener una opinión sobre la calidad del
trabajo que es capaz de realizar un auditor a título individual. Por el momento,
no existe un esquema como la acreditación que sea aplicable en el sector de
las auditorías de primera parte realizadas por un externo.
En este último caso, la fiabilidad y el grado de confianza que da una certifica-

ción profesional lo da el mercado. Actualmente, en el ámbito de la seguridad
de la información, hay dos certificaciones destacables:
• CISA de ISACA
• CISSP de ISCC (Information Systems Security Certification Consortium,
Inc.)
Estas certificaciones se obtienen en un momento dado, y luego la persona

certificada tiene que mantener la certificación acreditando que se continúa
formando. Pero estas entidades no responden de ningún modo sobre el trabajo
que realiza un auditor, y no realizan controles sobre los trabajos que estos
profesionales realicen.
A continuación, se facilita un listado de las entidades de acreditación más

relevantes en nuestro entorno:
Argentina Luxemburgo
Organismo Argentino de Acreditacion (OAA) Luxembourg Office of Accreditation (OLAS)
Austria Malasia
Federal Ministry for Economic Affairs and Labor (BMWA) Department of Standards Malaysia (DSM)
Australia�y�Nueva�Zelanda Mauricio
Joint Accreditation System of Australia and New Zealand (JAS-ANZ) Mauritias Accreditation Service (MAURITAS)
Bélgica México
Belgian Accreditation System for Bodies Operating Certification of Pro- Mexican Accreditation Entity (EMA)
ducts, Quality Systems or Persons (BELCERT)
Brasil Países�Bajos
General Coordination for Accreditation - Cgcre, of National Institute of Dutch Accreditation Council (RvA)
Metrology, Standardization and Industrial Quality (INMETRO)
Canadá Noruega
Standards Council of Canada (SCC) Norwegian Accreditation (NA)
Chile Pakistán
Instituto Nacional de Normalizacion (INN) Pakistan National Accreditation Council (PNAC)
República�Checa Filipinas
Czech Accreditation Institute (CAI) Bureau of Product Standards Accreditation Scheme
China Polonia
China National Accreditation Board for Certifiers (CNAB) Polish Centre for Accreditation (PCA)
Dinamarca Rumania
Danish Accreditation (DANAK) Romanian Accreditation Association (Asociatia de Acreditare
din Romania (RENAR)
Finlandia Singapur
The Finnish Accreditation Service (FINAS) Singapore Accreditation Council (SAC)
Francia Eslovaquia
Comite Francais d'Accreditation (COFRAC) Slovak National Accreditation Service (SNAS)
Grecia Eslovenia
Hellenic Accreditation System S. A. (ESYD) Slovenska Akreditacija (S. A.)
Alemania Sudáfrica
German Accreditation Council (DAR) South African National Accreditation System (SANAS)
Hong�Kong,�China Corea�del�Sur
Hong Kong Accreditation Service (HKAS) Republic of Korea Accreditation System (KAS)
India España
National Accreditation Board for Certification Bodies (NABCB) Entidad Nacional de Acreditacion (ENAC)
Indonesia Suecia
Komite Akreditasi Nasional (KAN) Swedish Board for Accreditation and Conformity Assessment
(SWEDAC)
Irán Suiza
Iran Accreditation System (IAS) Swiss Accreditation Service (SAS)
Irlanda Taipei
The Irish National Accreditation Board (INAB) Taiwan Accreditation Foundation (TAF)
Italia Tailandia
Sistema Nazionale di Accreditamento degli Organsimi di Certificazione National Accreditation Council of Thailand (NAC)
e Ispezione - Italian Federation for Accreditation (SINCERT-FIDEA)
Japón Reino�Unido
The Japan Accreditation Board for Conformity Assessment (JAB) United Kingdom Accreditation Service (UKAS)
Estados�Unidos
ANSI-ASQ National Accreditation Board (ANAB)
5.3. ISACA (Information Systems Audit and Control Association)
Otro de los esfuerzos que merecen ser destacados es la labor de la ISACA (In-
formation Systems Audit and Control Association), aunque no se tratará en
este apartado por encontrarse más desarrollado en otro módulo de este curso.
6. Gobierno de las TIC
La Organización para la Cooperación y el Desarrollo Económicos (OCDE),

cuando emitió sus "Principios del Gobierno Corporativo" (1999), definió el
gobierno corporativo como "el sistema por el cual las corporaciones de negocio
son dirigidas y controladas". Cada país en la OCDE está desarrollando, a dife-
rentes velocidades, sus propios esquemas para el control del gobierno corpo-
rativo, reflejando su propia cultura y requisitos. Dentro de su acercamiento al
gobierno corporativo, cada organización tiene que determinar cómo maneja-
rá su información. Aquí, la información es entendida como la combinación
tanto de los activos de la información base de su modelo de negocio, como
de la tecnología de información que los trata. Esta necesidad ha conducido
a la aparición del gobierno de las TIC (tecnologías de la información y comu-
nicaciones) como componente específico, y cada vez más importante, de la
cultura de gobierno de una organización.
Habitualmente, se define gobierno como "el marco para la dirección (estruc-

turas organizativas, y procesos del negocio, estándares y la conformidad con
respecto a estos estándares) que se asegura de que los sistemas de información
y comunicaciones de la organización apoyen y permitan el logro de sus estra-
tegias y objetivos".
Una organización puede estar interesada en implantar estrategias para el go-

bierno TIC por distintos motivos:
• Requerimientos legales, regulatorios o sectoriales.
Ejemplo
La Ley Sarbanes-Oxley para las empresas cotizadas en Estados Unidos, o los acuerdos de
Basilea II en el marco europeo.
• Aumento creciente del valor del capital intelectual de una organización.
• Necesidad de alinear la evolución de los sistemas de información con los

objetivos estratégicos del negocio, y asegurar que proporcionan los bene-
ficios planificados.
• Proliferación y progresiva complicación de las amenazas a la información,

con el consecuente impacto en la reputación, beneficio y rentabilidad del
negocio.
Hay dos factores fundamentales en la gestión efectiva de los riesgos relacio-

nados con las TIC. El primero está relacionado con el despliegue de las TIC
de forma alineada con los objetivos de negocio. Los proyectos TIC represen-
tan, a menudo, una importante inversión de recursos financieros y humanos.

Por tanto, los intereses de los propietarios del negocio deberían defenderse
mediante mecanismos de control interno que garanticen, de manera transpa-
rente y eficaz, que las TIC son planificadas, gestionadas, y monitorizadas ade-
cuadamente. Esto implica que los administradores del negocio deben tener en
cuenta los riesgos que les puedan afectar y que puedan tener impacto en el ne-
gocio. El segundo factor es, en sí mismo, cómo estos riesgos son gestionados.
Es evidente que la seguridad de la información es un componente dominante

del gobierno TIC. Cuando las TIC y la información en sí misma se convierten
en el factor determinante de la estrategia de negocio, y en determinados casos
en la misma piedra angular del modelo de negocio, la seguridad de las mismas
se convierte en una de las preocupaciones básicas de las juntas de dirección
de las organizaciones.
Se tiene que destacar que la auditoría de sistemas de información nació antes

de que se definiera el concepto de gobierno de las TIC. Surgió como una ne-
cesidad durante el proceso de auditoría financiera. Con el progresivo auge de
los sistemas de información, los auditores de cuentas tenían que confiar cada
vez más en la exactitud de los datos proporcionados por los sistemas, y cada
vez menos en lo que se encontraban en soportes tangibles (libros de cuentas,
extractos, facturas, albaranes, etc.). Esto era así sobre todo por el enorme volu-
men de datos, y también por su progresiva desaparición debido al incremento
de las transacciones puramente electrónicas. Por lo tanto, resultó necesario
desde el primer momento comprobar si la información de estos sistemas era
correcta, y si no había podido ser manipulada. Es en este contexto, por tan-
to, que se inició la disciplina de la auditoría de los sistemas de información
(y seguridad de éstos), y fue evolucionando y adquiriendo más protagonismo
al mismo ritmo que fueron haciéndolo los propios sistemas de información.
Actualmente, en toda auditoría financiera existe un componente de auditoría
de los sistemas de información, pero ha transcendido a ellas y existe por sí
misma en diferentes contextos.
Por tanto, desde este punto de vista, para garantizar un buen gobierno TIC
es esencial que exista una revisión del gobierno TIC. Más específicamente,
es esencial que esta función de auditoría de los sistemas de información esté
integrada en los mecanismos de gobierno TIC. La función de auditoría debe
comprobar cómo se están gestionando los mecanismos de control implanta-
dos en las TIC para garantizar la seguridad.
De manera general, los objetivos de auditoría que persigue una auditoría de

sistemas de información son:
• Validar los aspectos organizativos y administrativos relativos al proceso de

gestión de los sistemas de seguridad, con el objetivo de garantizar que no
suponen un riesgo para la seguridad de la información.
• Validar los controles aplicados a la gestión del ciclo de vida de un sistema

de información, especialmente en sus fases iniciales de diseño, implemen-
tación y puesta en producción.
• Validar del control de acceso físico a instalaciones, terminales, bibliotecas

de cintas, etc.
• Automatizar los controles de auditoría integrados en los sistemas de infor-

mación.
• Formar, capacitar y sensibilizar de los usuarios en general y, específicamen-

te, del personal dedicado a la gestión, operación, y mantenimiento de los
sistemas de información.
• Controlar el proceso de auditoría de los Sistemas de Información.
Estos objetivos que hemos expuesto corresponden tanto a la auditoría de sis-

temas de información como también, en general, al proceso de gestión de se-
guridad de la información. Esta coincidencia de objetivos es más destacable
si el sistema de gestión de la seguridad de la información (SGSI) está alineado
con la Norma ISO/IEC 27002, antes denominada ISO/IEC 17799, y más aún si
el SGSI está implementado cumpliendo con los requerimientos de la Norma
ISO/IEC 27001. Es decir, los objetivos de una auditoría de sistemas de infor-
mación (SSII) son los mismos que busca un SGSI. Por tanto, existe la posibili-
dad de realizar dos tipos de auditoría a los sistemas de información:
• Auditoría de seguridad a los sistemas de información.

• Auditoría de certificación del sistema de gestión de la seguridad de la in-
formación.
Se tiene que destacar que la certificación de un SGSI asegura que la entidad

auditada gestiona con arreglo al estándar y, por lo tanto, deberá realizar au-
ditorías internas de seguridad a los sistemas de información. Este es el nexo
común entre ambos tipos.
6.1. Auditoría de los sistemas de información
Este tipo de auditoría se incorpora directamente al proceso interno de gestión

de la seguridad de la información. Su función es comprobar que la implanta-
ción de los controles de seguridad cumple con lo establecido en las diferentes
políticas dictadas por la organización, y que estos controles han sido implan-
tados de forma técnicamente correcta. La auditoría consiste, por tanto, en la
revisión de las medidas de seguridad, sin más objetivo que el de dictaminar si
la seguridad es correcta o si presenta deficiencias. La revisión de las medidas de
seguridad se hace frente a una referencia dada, que puede ser la propia política
de seguridad de la organización, o una norma de referencia como la ISO/IEC
27002:2005 o COBIT.
Es importante destacar que, al tratarse de un proceso interno del SGSI, la au-

ditoría tendrá un alcance que, como máximo, será el del propio SGSI. Sin em-
bargo, la auditoría también podrá centrarse en un alcance más reducido co-
mo, por ejemplo, un tipo concreto de infraestructura, aplicación o proceso del
SGSI.
Ejemplo
La auditoría puede centrarse en el cumplimiento de algún aspecto legal relativo a la pri-

vacidad, la protección de datos personales, o los procesos relacionados con la gestión del
personal (procesos de selección, entrenamiento, terminación de contratos, etc.).
En cualquier caso, antes de abordar un proceso de auditoría, es esencial definir

tanto el alcance como la referencia contra la que se quiere auditar. En este
sentido, tenemos que destacar que, más adelante, trataremos en mayor detalle
los aspectos que intervienen en una auditoría de revisión de implantación de
controles. Por lo tanto, nos interesaremos en las revisiones a realizar en los
controles técnicos de seguridad implantados en la infraestructura de red, o los
servicios que se ofrecen sobre estas infraestructuras.
Estas auditorías tienen consideración de auditoría de primera parte y, por tan-

to, pueden ser realizadas por un grupo interno o por una entidad externa. Sin
embargo, en cualquiera de los dos casos, es importante una independencia
suficiente entre el equipo auditor y el equipo implantador y de operaciones,
para poder garantizar la calidad del resultado.
Las auditorías internas podrán realizarse siempre que las organizaciones po-
sean un grupo de auditoría independiente del área a analizar. Este grupo inde-
pendiente deberá tener los conocimientos de seguridad suficientes para dicta-
minar si las medidas de seguridad son suficientes y si, a la vez, están correcta-
mente configuradas.
Las auditorías externas son las que se realizan por empresas externas que se
encargan de revisar las diferentes medidas de seguridad. Estas empresas deben
ser totalmente independientes de la organización y tener conocimientos acre-
ditados de seguridad.
En los dos casos, el resultado de estos procesos de auditoría consiste en la ela-

boración de un informe en el que se dictaminan las deficiencias de seguridad
que se hayan podido detectar, siempre dentro del alcance que se haya deter-
minado para la auditoría. Es importante destacar que este informe debe ser
lo más objetivo, claro, conciso y directo posible. Muy posiblemente, tendrá
como público objetivo tanto a personal directivo de alto nivel como mandos
intermedios y operativos, por lo que deberá organizarse teniendo en cuenta
esta circunstancia.
Más adelante, detallaremos los aspectos más importantes acerca de las audito-
rías de seguridad.
6.2. Certificación de seguridad
Para la materia que nos ocupa, el proceso de certificación de seguridad lo lleva

a cabo una organización que ha implantado un sistema de gestión de la segu-
ridad de la información. Esta implantación se ha hecho con arreglo a la nor-
mativa ISO/IEC 27001 (o en su defecto UNE 71502, aunque este estándar está
en vías de extinción). Para obtener la certificación de seguridad, la organiza-
ción consulta con una entidad externa que está acreditada y que se encargará
de ver la correcta implantación de esta normativa. El objetivo de la entidad
externa es dictaminar si la implantación es correcta y, una vez finalizada su
revisión, elaborará un informe. En el caso de que el informe sea favorable, se
le entrega a la organización un sello que certifica el cumplimiento y correcta
implantación de la normativa.
Estas certificaciones de seguridad únicamente pueden ser realizadas por orga-

nizaciones debidamente acreditadas por organizaciones superiores, denomi-
nadas organismos de acreditación, como por ejemplo ENAC en España. Es de-
cir, la certificación únicamente la pueden otorgar aquellas organizaciones que
cumplen con una serie de requisitos comprobados (auditados) por un tercero
de confianza (el organismo de acreditación). Otro aspecto importante a desta-
car es que estas organizaciones de certificación son independientes, es decir,
no ofrecen servicios de consultoría sino que son expresamente auditoras.
Ejemplo
Algunas de esas empresas son: AENOR, APPLUS, BSi (British Standard Institute), TüV, etc.
En cuanto a la realización de la auditoría y la certificación, siempre que sea en

base a la normativa anterior, se realizan de la misma forma y la única diferencia
es el resultado final, que en el segundo caso es únicamente un informe de
certificación.
7. Equipo auditor
En esta sección, veremos los diferentes aspectos que tienen relación con los
equipos de auditorías que realizan revisiones de los sistemas de gestión de la
seguridad de la información. La descripción de los equipos de auditorías que
se proporcionará es válida tanto para revisiones de cara a la certificación como
para revisiones de cara únicamente a la auditoría de sistemas de información.
Los aspectos descritos en esta sección se corresponden con los requisitos im-
puestos a las entidades de certificación (ISO 17021, ISO 27006 y también en
parte la ISO 19011), por lo que tienen que ser vistos como un ejercicio de
máximos. Es decir, estos requisitos son completamente aplicables a entidades
de certificación. Aquellas organizaciones que, no siendo entidades de certifi-
cación, se dediquen a la auditoría no estarán obligadas a cumplir con la tota-
lidad de los aspectos que aquí se describen. Sin embargo, es recomendable que
las organizaciones auditoras tengan en cuentas estos requisitos y los tomen
como una recomendación.
El equipo auditor es el equipo de personas que estará encargado de ejecutar

el proyecto de auditoría, tanto para la revisión de las medidas de seguridad
(auditoría de seguridad), como para la revisión de la correcta implantación de
la normativa ISO/IEC 27001 (en caso de búsqueda de la obtención de la certi-
ficación). Este equipo estará idealmente compuesto por un grupo de auditores
organizado idealmente del siguiente modo:
Estructura básica de un equipo de auditoría
El equipo auditor está compuesto, como mínimo, por un auditor jefe, que
es el responsable final de la asignación de auditoría. Podrán asistirle uno o
varios auditores y/o expertos técnicos para la ejecución de las pruebas. Los
expertos técnicos trabajarán en aquellas pruebas en las que los conocimientos
y la experiencia del auditor jefe o el equipo de auditores sean insuficientes.
El número final de personas incluido dependerá de las limitaciones de tiem-

po/coste y el alcance de la auditoría. Por otra parte, no es necesaria la partici-
pación de todos los auditores y expertos durante todo el marco temporal en el
que se desarrolle la auditoría. Sin embargo, este no es el caso del auditor jefe,
que participará en todo momento puesto que es el punto de contacto entre
la organización auditada y la auditora, y es también el responsable último del
trabajo desarrollado.
Los requisitos recomendables que se necesitan para poder pertenecer a un

equipo de auditoría, así como sus responsabilidades, se describen a continua-
ción. Estos requisitos son impuestos de forma estricta cuando el equipo debe
certificar un SGSI contra la Norma ISO/IEC 27001. En este caso, estos requi-
sitos son impuestos por el organismo de acreditación. En otras situaciones,
deben ser tomados como recomendaciones.
7.1. Auditor jefe
El auditor jefe es designado por la dirección del programa de auditoría en que

se encuadre la auditoría o por la dirección de la organización auditora. En caso
de que se realicen auditorías conjuntas (varias entidades auditoras), se deberá
aclarar quién posee la dirección de la labor de auditoría.
Junto con esta dirección, el auditor jefe tendrá la responsabilidad de determi-

nar la composición del equipo en base a:
• Los objetivos de auditoría, el alcance, los criterios y la duración estimada

de la auditoría.
• La competencia general del equipo auditor necesaria para conseguir los

objetivos de la auditoría.
• Los requisitos necesarios de los organismos de acreditación/certificación,

si es de aplicación.
• La necesidad de asegurar la independencia del equipo auditor de las acti-

vidades a ser auditadas, y evitar conflictos de intereses.
• La capacidad de los miembros del equipo auditor para interactuar eficaz-

mente con el auditado y trabajar conjuntamente.
• El idioma de la auditoría y la comprensión de las características sociales y

culturales del auditado, bien a través de las propias capacidades del auditor
o a través del apoyo de un experto técnico.
Desde el punto de vista de sus características, es recomendable que los audi-

tores jefe tengan conocimientos y habilidades adicionales a las del resto de
los auditores del equipo. Estas habilidades adicionales son las de liderazgo de
la auditoría, para permitir al equipo auditor llevar a cabo la auditoría de ma-

nera eficiente y eficaz. Los conocimientos y habilidades en esta área deben
contemplar:
• Planificación y gestión de recursos.
• Capacidad de comunicación con el cliente de la auditoría y el auditado,

para representar y defender al equipo auditor.
• Capacidad de liderazgo de personas.
• Conocimientos técnicos suficientes para conducir al equipo auditor y al-

canzar conclusiones de la auditoría. Para ello, se le exigirá la formación
académica que sea relevante en el área a auditar.
• Capacidad de previsión y resolución de conflictos.
• Finalmente, es recomendable (y necesario en auditoría de certificación)

que el auditor haya participado, como mínimo, en tres auditorías como
miembro de un equipo auditor realizando labores de auditor jefe bajo la
supervisión del auditor jefe.
7.2. Auditor
El auditor (y también, por extensión, el auditor jefe) debe acreditar la forma-

ción adecuada que demuestre los siguientes conocimientos y habilidades:
• Conocimientos sobre los principios de auditoría, procedimientos y técni-

cas que le permitan asegurarse de que las auditorías se llevan a cabo de
manera coherente y sistemática. En entornos de auditorías de certificación
de SGSI, este conocimiento es recomendable que se acredite mediante for-
mación específica en auditoría, y también mediante experiencia.
– Revisión de la documentación del SGSI.
– Revisión del análisis de riesgos de una organización.
– Haber auditado la implantación de un SGSI.
– Haber desarrollado los informes relativos a la auditoría en la que par-
ticipó.
Ejemplo
Esta experiencia puede ser, por ejemplo, haber participado en cuatro auditorías y al menos
en veinte jornadas completas desarrollando las siguientes actividades:
• Conocimientos específicos en el ámbito de la actividad auditada. Esto in-

cluye: conocer documentos de referencia y características de los sistemas
de gestión y de control, conocer aspectos técnicos que le permitan enten-
der el alcance de la auditoría y aplicar los criterios de auditoría. Este re-
quisito está muy relacionado con la formación académica que haya reci-
bido el auditor. Respecto a la formación académica, puede ser suficiente
acreditar la experiencia profesional equivalente. En el caso de la auditoría
de sistemas de información, se suele considerar suficiente una experiencia
de cuatro años en el ámbito de las tecnologías de la información, y por
lo menos de dos años en seguridad de las tecnologías de la información.
También es necesario haber realizado un curso de cinco días de auditoría.
• Capacidad para entender las situaciones particulares e idiosincrasia de la

organización auditada, que le permita entender el contexto de las opera-
ciones de la organización. Esto incluye entender el modelo de negocio del
auditado, su sector y las características sociales del mismo.
• Conocimiento de la legislación aplicable, reglamentos y otros requisitos

relevantes a la disciplina, que le permita trabajar con ellos y ser consciente
de los requisitos aplicables a la organización que se está auditando.
A estos requisitos de conocimientos y habilidades, de orden profesional, hay

que añadir ciertas capacidades y habilidades personales que garanticen el éxi-
to de su trabajo. Las cualidades personales que contribuyen al rendimiento
exitoso de un auditor son:
• Ser ético, imparcial, sincero, honesto y discreto.

• Tener una actitud abierta y estar dispuesto a considerar ideas o puntos de
vista alternativos.
• Mostrarse diplomático y hábil en las relaciones con la gente.
• Ser observador, constante y activamente consciente de los entornos físicos
y las actividades.
• Ser perspicaz, instintivamente consciente y capaz de entender y adaptarse
a las situaciones.
• Ser versátil, capaz de adaptarse a diferentes situaciones.
• Ser tenaz, persistente y orientado sobre la consecución de los objetivos.
• Tener poder de decisión, siendo capaz de alcanzar conclusiones oportunas
basadas en el razonamiento lógico y el análisis.
• Mostrarse independiente en las actuaciones, relacionándose al mismo
tiempo con otros de manera eficaz.
Por supuesto, todas las características exigibles al auditor valen también para
el auditor jefe.
7.3. Experto técnico
Las habilidades técnicas requeridas por el equipo auditor dependerán, exclu-

sivamente, del entorno a auditar. Si estos conocimientos y habilidades nece-
sarias para ejecutar ciertas pruebas de auditoría no se encuentran cubiertos
por el equipo auditor, se pueden satisfacer incluyendo expertos técnicos. Los
expertos técnicos deben actuar bajo la dirección de un auditor. El equipo au-
ditor necesita, por tanto, tener un nivel de conocimiento tecnológico amplio

y, sobre todo, debe conocer las interrelaciones de los diferentes ámbitos de su
especialidad, pero no necesariamente este conocimiento debe ser exhaustivo
en un área en particular.
7.4. Independencia de auditoría
El equipo auditor, con el fin de garantizar su imparcialidad, no puede parti-

cipar en la elaboración de manuales, políticas o procedimientos de una orga-
nización. Tampoco puede formar parte del grupo que toma decisiones sobre
el estado del sistema de gestión de la seguridad de la información, y tampo-
co puede dar recomendaciones específicas para el desarrollo del SGSI. Sí po-
drá, una vez finalizada la auditoría, emitir las recomendaciones que considere
oportunas.
Por el contrario, el equipo auditor sí puede, y de hecho tiene la obligación, No conformidad

de auditar, detectar las no conformidades, y realizar el seguimiento de las no
Es un error, en la creación del
conformidades que se hayan detectado. SGSI al respecto de la Norma-
tiva ISO/IEC 27001, o cual-
quier otro marco que se tome
Por otra parte, un miembro del equipo auditor también tiene capacidad de como referencia, contra el que
se está auditando.
impartir formación genérica sobre normativas o aspectos de seguridad, realizar
publicaciones sobre interpretaciones relativas a la normativa y, por último,
hacer realizar auditorías previas a la certificación, para verificar el estado del
sistema de gestión de la seguridad de la información.
7.5. Código de conducta del equipo auditor
Especialmente cuando se trata de auditorías de certificación, los miembros del

equipo auditor tienen un código de conducta que seguir, el cual asegura la
correcta realización de sus tareas. En este sentido, su código de conducta es:
• Actuar de forma veraz e imparcial.

• Evitar cualquier tipo de asignación que pueda causar un conflicto de in-
tereses.
• No aceptar ningún tipo de incentivo, comisión, descuento u otro tipo de
provecho por parte de la organización auditada.
• No revelar las observaciones de las auditorías a terceros.
• No actuar de forma que pueda perjudicar a ninguna de las partes implica-
das en la auditoría.
En caso de incumplimiento de este código, se procederá a una investi-

gación en la que el equipo auditor colaborará para su esclarecimiento.
7.6. Distribución de funciones
Dentro del proceso de auditoría, el auditor jefe tiene las siguientes funciones:
• Planifica y gestiona todas las fases de la auditoría.

• Dirige la primera fase.
• Colabora en la selección del equipo de auditores.
• Controla los conflictos y maneja las situaciones difíciles.
• Dirige las reuniones con el equipo auditor y el personal auditado.
• Toma decisiones en materia de la auditoría y el SGSI.
Las funciones que pertenecen a los auditores del equipo de auditoría son:
• Apoyar al auditor jefe.

• Documentar y apoyar todos los hallazgos.
• Realizar el seguimiento de las acciones correctoras para corregir las no con-
formidades encontradas.
7.7. Relación con el auditado
Durante la realización de las auditorías, pueden participar más personas de las

que se han nombrado hasta ahora (auditor jefe, auditores y auditado).
El personal que puede intervenir en un proceso de auditoría es:
• Equipo�auditor
– Jefe�y�miembros�del�equipo. Normalmente, se trata de una o dos per-
sonas.
– Auditores�en�formación. Personal en formación para convertirse en
auditor.
– Observadores,�auditor�provisional. Puede ser un observador del or-
ganismo de acreditación (por ejemplo, ENAC) que supervise la audi-
toría.
– Expertos,�personal�asesor. Personal que asesora al auditor sobre temas
técnicos o concretos del negocio o las tecnologías a auditar.
– Testigos�e�invitados.
• Equipo�del�auditado
– Guía. Persona de la empresa que acompaña al equipo auditor y le fa-
cilita la información solicitada. Normalmente, será el responsable del
sistema de gestión de la seguridad de la información.
– Representante�de�la�dirección. persona con autorización suficiente

en la empresa para confirmar la implicación y compromiso de la di-
rección con las políticas de seguridad aprobadas.
– Observadores,�personal�en�formación. Normalmente, personal de la

empresa en formación para auditor interno.
– Consultores. Cuando la empresa contrata un consultor externo para

asesorarle en el desarrollo del SGSI, éste puede observar la auditoría,
pero no debe intervenir en ella en ningún momento.
8. El peritaje informático
De manera general, el peritaje, o más exactamente la prueba pericial, es un

medio más de prueba para la resolución de conflictos. Esta prueba la aporta
una persona con conocimientos técnicos especializados en el tema para ayudar
a interpretar los hechos bajo prueba pericial y dirimir el conflicto.
Los tipos de peritajes son múltiples y casi tantos como áreas del conocimien-
to, aunque los más frecuentes suelen ser: caligráfico, grafológico, documen-
toscópico, inmobiliario (tasación), falsificación de marcas, reconstrucción de
accidentes (laborales, de tráfico), peritaje de incendios (valoración de daños,
reconstrucciones), sociolaborales, peritaje de joyas, análisis de voces, medici-
na pericial, plagio textual, etc.
Con la creciente penetración de los sistemas de información en la práctica

totalidad de los ámbitos de la sociedad y de la actividad humana desarrolla-
da, los sistemas de información se encuentran cada vez más involucrados en
situaciones de conflicto que necesitan ser resueltas. Por lo tanto, cada vez es
más frecuente que, en los conflictos entre personas u organizaciones, existan
elementos relacionados o contenidos en los sistemas de información. En es-
te contexto, se ha vuelto cada vez más frecuente la necesidad de contar con
un peritaje informático, que sea capaz de analizar una realidad con todas las
garantías legales, y que pueda dar una explicación basada en los hechos y la
lógica, siguiendo además unas ciertas reglas.
Los casos a peritar abarcan un amplio abanico de posibilidades, y van desde

despidos de personal por uso improcedente del equipamiento informático,
demandas por incumplimientos de contrato en la creación de aplicaciones
informáticas, tasación de bienes materiales e inmateriales, etc. Por lo tanto,
se tiene que comprender y romper con la idea de que el peritaje informático
está relacionado directamente con delitos informáticos. No es así. El peritaje
informático tiene un campo de aplicación mucho más amplio, y puede estar
presente en prácticamente cualquier conflicto en el que los sistemas de infor-
mación tengan alguna función.
Conviene indicar que un tribunal no es la única demandante de pericias. Tam-

bién empresas y particulares pueden necesitar, por diversos motivos, una prue-
ba pericial informática en sus equipos. Por ejemplo: determinar dónde está la
pérdida de correos internos, análisis de los sistemas de seguridad para detectar
usos indebidos, etc.
Es interesante destacar que existe cierta similitud entre la auditoría de sistemas

de información y la prueba pericial informática.
En los peritajes, al igual que en las auditorías, la información se obtiene me-

diante un proceso de análisis sistemático, lógico, repetible y objetivo al estar
absolutamente basado en los hechos y la realidad observable. Sin embargo,
existen diferencias muy notables, la principal de las cuales es que el objetivo
de ambos procesos es distinto. La auditoría tiene por objetivo analizar la reali-
dad para determinar si se ajusta a unas normativas determinadas (los criterios
de auditoría), mientras que el peritaje simplemente analiza la realidad para
poder explicarla y responder a las dudas que un neófito pueda tener de la in-
terpretación.
Otra diferencia importante que se ha de tener siempre en cuenta es que el

dictamen pericial (resultado de efectuar la prueba pericial) es una conclusión
emitida por una persona individual, el perito, mientras que las conclusiones
de auditoría son emitidas por la organización auditora. La diferencia es sutil,
puesto que se puede pensar que es el auditor jefe quien responde del resultado
de la auditoría, pero esto sólo es cierto de manera interna a la organización
encargada de realizar la auditoría. La auditoría es un proceso en el que se re-
lacionan organizaciones, el auditor y el auditado. Obviamente, puede ser que
la auditoría esté realizada por una única persona, y que en el contrato de au-
ditoría asuma las responsabilidades de manera personal. Sin embargo, en la
prueba pericial es el perito quien se expone y podría llegar a ser sancionado.
Por último, es interesante destacar la relación existente entre la informática

forense y el peritaje informático. La informática forense es una de las activi-
dades que pueden estar involucradas en una prueba pericial. Es decir, no todas
las pruebas periciales comportan necesariamente la realización de actividades
forenses. La informática forense consiste en una serie de técnicas y procedi-
mientos metodológicos que permiten capturar evidencias contenidas en equi-
pamientos computacionales y dispositivos digitales, las cuales pueden presen-
tarse como evidencia en una prueba.

Auditoria Modulo 1

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria Modulo 1

Caricato da

Copyright:

Formati disponibili

Introducción

2. Componentes de una auditoría...................................................... 9

5. Estandarización de la labor de auditoría.................................... 28

6. Gobierno de las TIC........................................................................... 36

De manera muy informal, cuando se habla de auditoría se piensa en una he-

Una auditoría, desde un punto de vista muy general, es un proceso eje-

Por tanto, podemos concluir que el proceso de auditoría pretende poder

Se entiende por evidencia de auditoría el conjunto de registros, declaraciones

En función del ámbito de conocimiento o de organización se definen distintas

• Auditorías financieras, con muchas distinciones (auditorías de cuenta, va-

lado y ampliamente aplicado por las organizaciones por las obligaciones

• Auditorías a procesos productivos o de calidad, no sólo relacionadas con

• Auditorías al proceso de gestión de recursos humanos.

• Auditorías de cumplimiento legal.

Auditorías del marco legal de protección de datos de carácter personal en España.

• Auditorías a la gestión medioambiental.

• Auditorías a los sistemas de información y en general a la forma en que

Conviene destacar que nos ocuparemos de las auditorías a sistemas de gestión

1.1. Principios de auditoría

Los principios de auditoría afectan tanto al comportamiento y características

• Conducta ética. Fundamento del profesionalismo. En una asignación de

• Presentación justa. La obligación de informar verazmente y con exactitud.

• Debido cuidado profesional. La aplicación de diligencia y juicio en la au-

Por otra parte, otros principios de auditoría se aplican al propio proceso de

• Independencia. Es la base de la imparcialidad y objetividad de las conclu-

• Evidencia. La base racional para llegar a conclusiones de auditoría confia-

2. Componentes de una auditoría

2.1. Tipos genéricos de auditorías

En el proceso de auditoría aparecen tres actores principales que están íntima-

Relaciones entre los actores de una auditoría

• El auditor, o mejor dicho, el equipo auditor: es el grupo de personas (o una

• El auditado: es la organización (o podría también ser la persona, aunque

• El cliente de la auditoría: es la persona u organización interesada en cono-

De la existencia o no de los tres actores de una auditoría, la relación que ten-

• Auditorías internas o de primera parte.

• Auditorías de tercera parte.

2.1.1. Auditorías internas o de primera parte

2.1.2. Auditorías de segunda parte

En ciertas ocasiones, una segunda organización puede tener un interés legíti-

2.1.3. Auditorías de tercera parte

quiere que una parte independiente certifique/audite algún aspecto, en previ-

Resumen de los tres tipos básicos de auditoría

Tipo Auditor�frente�a�auditado Cliente�auditoría�frente�a�auditado Cliente�auditoría�frente�a�auditor

Conviene destacar que sólo en entornos muy específicos y conocedores de la

''Plan, do, check/study, act''

2.2. El objetivo de auditoría

Aparte de esta clasificación fundamental y absolutamente genérica de las audi-

El objetivo de auditoría se refiere a las metas específicas que deben cumplirse

Los objetivos pueden incluir aspectos como comprobar el nivel de cumpli-

información o, más genéricamente, por los procesos de negocio de la organi-

Así pues, los objetivos de la auditoría definen qué es lo que se va a conseguir

• Determinar el grado de conformidad del sistema de gestión del auditado,

Posteriormente, es tarea del auditor traducir estos objetivos de auditoría a pun-

2.3. Alcance de la auditoría

Las organizaciones auditadas pueden tener múltiples procesos asociados, eje-

El alcance de la auditoría describe la extensión y los límites de la auditoría. Por

Aunque cada proyecto de auditoría es específico en sí mismo, incluso cuando

Fases generales de una auditoría

• La fase de planificación debería incluir todas las actividades necesarias para

– Definir el alcance y objetivos de la auditoría con el cliente, teniendo

– Recopilar el material necesario para el trabajo de campo y para el aná-

– Reunirse con el auditado para la reunión de inicio de la auditoría.

– Identificación de los criterios de auditoría, y elaboración de un plan

que el auditor comparará los hechos que constate durante el trabajo