Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
a la auditoría
informática
Rafael Estevan de Quesada
PID_00143001
© FUOC • PID_00143001 Introducción a la auditoría informática
Ninguna parte de esta publicación, incluido el diseño general y la cubierta, puede ser copiada,
reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste eléctrico,
químico, mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la previa autorización escrita
de los titulares del copyright.
© FUOC • PID_00143001 Introducción a la auditoría informática
Índice
1. Definición de auditoría.................................................................... 5
1.1. Principios de auditoría ................................................................ 6
3. Proceso de auditoría......................................................................... 14
3.1. Tipos de pruebas ......................................................................... 16
3.2. Muestreo ...................................................................................... 16
3.3. Evidencias de auditoría ............................................................... 18
3.4. Hallazgo de auditoría .................................................................. 19
3.5. Riesgo de auditoría ...................................................................... 19
4. Programa de auditoría..................................................................... 21
4.1. Beneficios de implementar un programa de auditoría ............... 21
4.2. Implementación de un programa de auditoría .......................... 22
7. Equipo auditor.................................................................................... 41
7.1. Auditor jefe ................................................................................. 42
7.2. Auditor ......................................................................................... 43
7.3. Experto técnico ........................................................................... 44
7.4. Independencia de auditoría ........................................................ 45
7.5. Código de conducta del equipo auditor ..................................... 45
7.6. Distribución de funciones ........................................................... 46
7.7. Relación con el auditado ............................................................ 46
8. El peritaje informático..................................................................... 48
© FUOC • PID_00143001 5 Introducción a la auditoría informática
1. Definición de auditoría
Definición de auditoría
Ejemplo
• Etc.
Sea cual sea el tipo de auditoría y el hecho auditado, la auditoría siempre de-
bería guiarse por unos principios que garanticen que el trabajo realizado co-
rresponde a algo más que la opinión de un experto y que puede considerarse
como una auditoría, es decir, un análisis sistémico. La adhesión a estos prin-
cipios es necesaria para que las conclusiones de la auditoría sean pertinentes y
suficientes, y para asegurar que los auditores que trabajan independientemen-
te entre sí lleguen a conclusiones similares en circunstancias similares.
Podemos afirmar que si la auditoría se rige por los siguientes principios será
suficientemente objetiva.
Los auditores tienen que mantener un estado mental objetivo durante to-
do el proceso de auditoría, para asegurar que los hallazgos y conclusiones
se basarán solamente en evidencias.
Existen varios elementos que definen una auditoría. Del análisis de ellos po-
dremos ir profundizando en los detalles generales y comunes a todo tipo de
auditoría.
En este caso, las auditorías son ejecutadas por un equipo auditor que puede
ser propio de la organización responsable del hecho auditado, o bien externo,
pero designado por la organización auditada. En estas situaciones, el destina-
tario final de los resultados del trabajo es la propia organización.
Este trabajo, en ciertas ocasiones, es empleado por las organizaciones para rea-
lizar una autoevaluación previa a otros tipos de auditoría. También puede te-
ner otros objetivos más prácticos, como detectar puntos de mejora en el hecho
auditado. En cualquier caso, el interesado en la auditoría es directamente el
propio auditado.
Existen múltiples situaciones reales que exigen este tipo de auditoría. La más
habitual que se suele dar es la encargada por una organización cliente sobre su
proveedor. Cada vez más, las organizaciones externalizan partes de su activi-
dad, pero suelen reservarse el derecho de realizar auditorías para determinar el
grado de cumplimiento de los acuerdos de nivel de servicio. Otras situaciones
donde también se pueden dar auditorías de segunda parte son aquellas en las
que una empresa está en situación de absorber a otra. Aquí, es habitual encon-
trarnos con encargos de auditorías de cuentas o de valoración de la tomadora
de control sobre la absorbida. En caso de fusiones, al existir mayor equilibrio
de fuerzas, es posible que cada parte encargue una auditoría de segunda parte
de algún tipo sobre la otra empresa. Sin embargo, suele ser económicamente
más eficiente, y por tanto más común, que la auditoría la realice una tercera
parte acordada por ambas empresas, lo que nos introduce el siguiente tipo.
Las auditorías de tercera parte son las realizadas por organizaciones auditoras
externas e independientes de la parte auditada y del interesado en el resultado
de la auditoría. Dentro de este tipo de auditorías, encontraríamos las auditorías
de certificación de conformidad con los requisitos de una norma.
En estas auditorías, las tres partes (auditado, auditor, cliente) son absoluta-
mente independientes entre sí. En ocasiones, en el momento de realizar la
auditoría puede ser que ni siquiera esté definido quién es el cliente de ésta. El
auditor puede realizar la auditoría a petición del auditado porque este último
© FUOC • PID_00143001 11 Introducción a la auditoría informática
Finalmente, conviene destacar que las entidades que realizan este tipo de au-
ditorías deben tener reconocido su prestigio ante la comunidad, para que los
resultados de la auditoría sean considerados válidos. Esto conlleva la existen-
cia, en ciertas ocasiones y para determinados sectores, de requisitos que regu-
lan las actividades de los auditores. Este es el caso, por ejemplo, de los audito-
res de cuentas, los auditores de certificación contra normas, y cada vez más
también de los auditores de sistemas, aunque en este sector la regulación se
está realizando por el propio mercado.
Relación
De�prime- Pueden pertenecer a la misma orga- Pertenecen a la misma organización. Pueden pertenecer a la misma organiza-
ra�parte nización, siempre que haya suficiente ción siempre que haya suficiente inde-
independencia. pendencia.
Tampoco es extraño que sean dife- Tampoco es extraño que sean diferen-
rentes si en la organización cliente no tes si en la organización cliente no hay
hay el conocimiento técnico suficien- el conocimiento técnico suficiente o los
te o los recursos disponibles. recursos disponibles.
De�segun- Pertenecen claramente a dos organi- Existe una relación entre ellos que ha- Suelen pertenecer a la misma organiza-
da�parte zaciones distintas. ce que el cliente tenga un interés le- ción, aunque tampoco es extraño que
gítimo en exigir al auditado la realiza- sean diferentes si en la organización
ción de la auditoría. cliente no hay el conocimiento técnico
suficiente o los recursos disponibles.
De�terce- Pertenecen claramente a dos organi- El cliente no existe a priori o es, de Son diferentes.
ra�parte zaciones distintas. manera genérica, el mercado o una En estos casos, el auditor representa al
comunidad de interesados muy am- cliente de la auditoría.
plia. Los intereses del cliente están re-
presentados por el auditor.
© FUOC • PID_00143001 12 Introducción a la auditoría informática
De hecho, en los sistemas de gestión que implementan el ciclo de "Plan, Do, Check/
Study, Act", la auditoría interna es un elemento más para la mejora continua de al-
gún aspecto de la organización: la calidad, el impacto medioambiental de la organi-
zación, o la seguridad de la información. Cuando se determina que, en estos tipos
de sistemas de gestión, es necesario implementar la función de auditoría interna, se
pide exactamente que sea la propia organización quien defina los objetivos de la au-
ditoría y defina un plan de auditoría. Desde este punto de vista, es irrelevante si la
organización implementa la función de auditoría con recursos propios o si bien los
externaliza. Las razones para elegir una opción u otra son puramente económicas, y
no propias de la auditoría, salvo por el hecho de que la auditoría resultante debe ser
acorde a los principios de auditoría.
3. Proceso de auditoría
• Pruebas sustantivas. Tienen una finalidad más práctica y suelen ser necesa-
rias cuando no es suficiente con las pruebas de cumplimiento. Es decir, se
buscan evidencias de cómo el proceso que se quiere controlar es realizado,
de su integridad y del modo en que los controles consiguen realmente sus
objetivos. Con este tipo de pruebas más concretas, se obtienen no sólo las
evidencias del cumplimiento de los controles, sino también las evidencias
de su eficacia.
Debe tenerse en cuenta, sobre todo en las pruebas sustantivas, que puede re-
sultar poco práctico o directamente inabarcable realizar una comprobación
exhaustiva o completa. En muchos casos, se impone la necesidad de seleccio-
nar sólo unas cuantas comprobaciones. Esta selección es lo que se denomina
muestreo.
3.2. Muestreo
Este proceso puede conllevar errores, puesto que se sacará una conclusión en
base a una muestra. Sin embargo, estos errores son conocidos por el auditor y,
si la muestra se ha realizado estadísticamente, pueden ser incluso medidos.
© FUOC • PID_00143001 18 Introducción a la auditoría informática
Como hemos visto, la evidencia es la piedra angular del trabajo del auditor y,
por lo tanto, debe cumplir con ciertas características:
En todos los casos, el auditor deberá ser consciente de los riesgos y reconocer
que existe un riesgo de error al emitir su juicio de auditoría. Pero, de todos mo-
dos, el hecho de realizar la auditoría ajustándose a planes de trabajo, siguiendo
metodologías reconocidas y respetando los códigos éticos de la profesión, da
garantías al auditor a la hora de valorar los hallazgos y emitir sus conclusiones.
© FUOC • PID_00143001 21 Introducción a la auditoría informática
4. Programa de auditoría
Hasta ahora, hemos estado hablando de auditoría como una actividad aislada
que se realiza una única vez, o quizá más veces, pero sin existir un objetivo
estratégico para la actividad general de auditoría ni unas relaciones entre varias
auditorías.
Una organización que necesite realizar auditorías continuas para verificar los
controles aplicados a un proceso debería implementar y gestionar un progra-
ma de auditoría efectivo. El propósito de un programa es planear el tipo y nú-
mero de auditorías, e identificar y suministrar los recursos necesarios para rea-
lizarlas. El programa de auditoría puede incluir auditorías con una gran varie-
dad de objetivos, establecerse más de un programa de auditoría, y el número
de auditorías que contenga el programa dependerá mucho del tamaño, natu-
raleza y complejidad de la organización por auditar.
Por ejemplo, una organización de un tamaño medio (por encima de las 100 personas)
que tuviera implantado un sistema para la gestión de la seguridad de la información
podría plantearse los siguientes programas de auditoría, para revisar de manera continua
los principales puntos de su sistema:
En el caso que se decida crear una función de auditoría para que gestione
un programa de auditoría, la dirección de la organización debería oficializar
esta función, y dotarla de autoridad para dirigir el programa de auditoría e
implementar un sistema que ejecute las fases descritas en el diagrama.
© FUOC • PID_00143001 24 Introducción a la auditoría informática
• Las técnicas de auditoría que se deberán aplicar, puesto que puede que los
auditores no dispongan de la capacitación necesaria y/o de las herramien-
tas o técnicas necesarias.
Ejemplos de seguimiento
Estos indicadores deben servir para identificar los puntos de mejora del programa de
auditoría y para diseñar las acciones correctivas que permitan alinear mejor el programa
de auditoría con las necesidades del cliente.
© FUOC • PID_00143001 28 Introducción a la auditoría informática
Ya hemos visto que una de las principales características del proceso de audi-
toría tiene que ser la objetividad y la sistematización del proceso. Esto permite
que las conclusiones de la auditoría sean independientes de la subjetividad del
auditor. Estas dos características hacen que sea posible plantearse describir la
tarea de auditoría desde un punto de vista teórico o independiente del ámbito
concreto auditado. Por lo tanto, es posible dar ciertos parámetros, aspectos y
elementos que son comunes a cualquier ámbito auditado, o al menos que lo
son dentro de un cierto ámbito muy general.
buscando por "Statement on Auditing Standard". Entre los estándares que po-
demos encontrar aquí, es interesante destacar los siguientes por tener relación
con la auditoría de sistemas de información:
Como se puede observar, el grado de detalle que ofrecen los estándares del
AICPA es muy elevado. Llega incluso a puntos tan concretos como indicar qué
tipo de contenido debe estar incluido y en qué apartados específicos de un
tipo de informe particular (por ejemplo, uno de SAS70).
Por otra parte, si se observa la Norma ISO 19011 desde el punto de vista de un
auditor con experiencia, se detectan elementos generales y comunes a otros
estándares y códigos profesionales, lo que nos confirma su capacidad de servir
como guía para asuntos como la auditoría de sistemas de información.
podrían serlo) que han pasado un proceso de auditoría por parte de una enti-
dad de acreditación. La entidad de acreditación certifica que la empresa realiza
las asignaciones de auditoría con arreglo a ciertos estándares, como la Norma
ISO 17021, que especifica los requisitos (en el ámbito de las normas de la fa-
milia ISO 27001, le complementaría la Norma ISO/IEC 27006). Este proceso
se denomina de acreditación, porque acredita a la entidad de certificación a
realizar un cierto trabajo y que sus conclusiones de auditoría sean reconocidas
dentro del ámbito de reconocimiento que tenga la entidad de acreditación.
Es interesante constatar que la Norma ISO 17021 es más estricta que la ISO
19011, y da los requisitos para que tanto el auditado como los potenciales
interesados en los resultados de la auditoría puedan confiar en la entidad de
certificación. Esta confianza se garantiza mediante el aseguramiento de los
principios de:
• Imparcialidad.
• Responsabilidad.
• Publicidad. Publicidad
• CISA de ISACA
• CISSP de ISCC (Information Systems Security Certification Consortium,
Inc.)
Argentina Luxemburgo
Organismo Argentino de Acreditacion (OAA) Luxembourg Office of Accreditation (OLAS)
Austria Malasia
Federal Ministry for Economic Affairs and Labor (BMWA) Department of Standards Malaysia (DSM)
Australia�y�Nueva�Zelanda Mauricio
Joint Accreditation System of Australia and New Zealand (JAS-ANZ) Mauritias Accreditation Service (MAURITAS)
© FUOC • PID_00143001 34 Introducción a la auditoría informática
Bélgica México
Belgian Accreditation System for Bodies Operating Certification of Pro- Mexican Accreditation Entity (EMA)
ducts, Quality Systems or Persons (BELCERT)
Brasil Países�Bajos
General Coordination for Accreditation - Cgcre, of National Institute of Dutch Accreditation Council (RvA)
Metrology, Standardization and Industrial Quality (INMETRO)
Canadá Noruega
Standards Council of Canada (SCC) Norwegian Accreditation (NA)
Chile Pakistán
Instituto Nacional de Normalizacion (INN) Pakistan National Accreditation Council (PNAC)
República�Checa Filipinas
Czech Accreditation Institute (CAI) Bureau of Product Standards Accreditation Scheme
China Polonia
China National Accreditation Board for Certifiers (CNAB) Polish Centre for Accreditation (PCA)
Dinamarca Rumania
Danish Accreditation (DANAK) Romanian Accreditation Association (Asociatia de Acreditare
din Romania (RENAR)
Finlandia Singapur
The Finnish Accreditation Service (FINAS) Singapore Accreditation Council (SAC)
Francia Eslovaquia
Comite Francais d'Accreditation (COFRAC) Slovak National Accreditation Service (SNAS)
Grecia Eslovenia
Hellenic Accreditation System S. A. (ESYD) Slovenska Akreditacija (S. A.)
Alemania Sudáfrica
German Accreditation Council (DAR) South African National Accreditation System (SANAS)
Hong�Kong,�China Corea�del�Sur
Hong Kong Accreditation Service (HKAS) Republic of Korea Accreditation System (KAS)
India España
National Accreditation Board for Certification Bodies (NABCB) Entidad Nacional de Acreditacion (ENAC)
Indonesia Suecia
Komite Akreditasi Nasional (KAN) Swedish Board for Accreditation and Conformity Assessment
(SWEDAC)
Irán Suiza
Iran Accreditation System (IAS) Swiss Accreditation Service (SAS)
Irlanda Taipei
The Irish National Accreditation Board (INAB) Taiwan Accreditation Foundation (TAF)
Italia Tailandia
Sistema Nazionale di Accreditamento degli Organsimi di Certificazione National Accreditation Council of Thailand (NAC)
e Ispezione - Italian Federation for Accreditation (SINCERT-FIDEA)
Japón Reino�Unido
The Japan Accreditation Board for Conformity Assessment (JAB) United Kingdom Accreditation Service (UKAS)
Estados�Unidos
ANSI-ASQ National Accreditation Board (ANAB)
© FUOC • PID_00143001 35 Introducción a la auditoría informática
Otro de los esfuerzos que merecen ser destacados es la labor de la ISACA (In-
formation Systems Audit and Control Association), aunque no se tratará en
este apartado por encontrarse más desarrollado en otro módulo de este curso.
© FUOC • PID_00143001 36 Introducción a la auditoría informática
Ejemplo
La Ley Sarbanes-Oxley para las empresas cotizadas en Estados Unidos, o los acuerdos de
Basilea II en el marco europeo.
Por tanto, desde este punto de vista, para garantizar un buen gobierno TIC
es esencial que exista una revisión del gobierno TIC. Más específicamente,
es esencial que esta función de auditoría de los sistemas de información esté
integrada en los mecanismos de gobierno TIC. La función de auditoría debe
comprobar cómo se están gestionando los mecanismos de control implanta-
dos en las TIC para garantizar la seguridad.
seguridad se hace frente a una referencia dada, que puede ser la propia política
de seguridad de la organización, o una norma de referencia como la ISO/IEC
27002:2005 o COBIT.
Ejemplo
Las auditorías internas podrán realizarse siempre que las organizaciones po-
sean un grupo de auditoría independiente del área a analizar. Este grupo inde-
pendiente deberá tener los conocimientos de seguridad suficientes para dicta-
minar si las medidas de seguridad son suficientes y si, a la vez, están correcta-
mente configuradas.
Las auditorías externas son las que se realizan por empresas externas que se
encargan de revisar las diferentes medidas de seguridad. Estas empresas deben
ser totalmente independientes de la organización y tener conocimientos acre-
ditados de seguridad.
como público objetivo tanto a personal directivo de alto nivel como mandos
intermedios y operativos, por lo que deberá organizarse teniendo en cuenta
esta circunstancia.
Más adelante, detallaremos los aspectos más importantes acerca de las audito-
rías de seguridad.
Ejemplo
Algunas de esas empresas son: AENOR, APPLUS, BSi (British Standard Institute), TüV, etc.
7. Equipo auditor
En esta sección, veremos los diferentes aspectos que tienen relación con los
equipos de auditorías que realizan revisiones de los sistemas de gestión de la
seguridad de la información. La descripción de los equipos de auditorías que
se proporcionará es válida tanto para revisiones de cara a la certificación como
para revisiones de cara únicamente a la auditoría de sistemas de información.
Los aspectos descritos en esta sección se corresponden con los requisitos im-
puestos a las entidades de certificación (ISO 17021, ISO 27006 y también en
parte la ISO 19011), por lo que tienen que ser vistos como un ejercicio de
máximos. Es decir, estos requisitos son completamente aplicables a entidades
de certificación. Aquellas organizaciones que, no siendo entidades de certifi-
cación, se dediquen a la auditoría no estarán obligadas a cumplir con la tota-
lidad de los aspectos que aquí se describen. Sin embargo, es recomendable que
las organizaciones auditoras tengan en cuentas estos requisitos y los tomen
como una recomendación.
El equipo auditor está compuesto, como mínimo, por un auditor jefe, que
es el responsable final de la asignación de auditoría. Podrán asistirle uno o
varios auditores y/o expertos técnicos para la ejecución de las pruebas. Los
expertos técnicos trabajarán en aquellas pruebas en las que los conocimientos
y la experiencia del auditor jefe o el equipo de auditores sean insuficientes.
© FUOC • PID_00143001 42 Introducción a la auditoría informática
7.2. Auditor
Ejemplo
Esta experiencia puede ser, por ejemplo, haber participado en cuatro auditorías y al menos
en veinte jornadas completas desarrollando las siguientes actividades:
quisito está muy relacionado con la formación académica que haya reci-
bido el auditor. Respecto a la formación académica, puede ser suficiente
acreditar la experiencia profesional equivalente. En el caso de la auditoría
de sistemas de información, se suele considerar suficiente una experiencia
de cuatro años en el ámbito de las tecnologías de la información, y por
lo menos de dos años en seguridad de las tecnologías de la información.
También es necesario haber realizado un curso de cinco días de auditoría.
Por supuesto, todas las características exigibles al auditor valen también para
el auditor jefe.
Dentro del proceso de auditoría, el auditor jefe tiene las siguientes funciones:
Las funciones que pertenecen a los auditores del equipo de auditoría son:
• Equipo�auditor
– Jefe�y�miembros�del�equipo. Normalmente, se trata de una o dos per-
sonas.
– Auditores�en�formación. Personal en formación para convertirse en
auditor.
– Observadores,�auditor�provisional. Puede ser un observador del or-
ganismo de acreditación (por ejemplo, ENAC) que supervise la audi-
toría.
– Expertos,�personal�asesor. Personal que asesora al auditor sobre temas
técnicos o concretos del negocio o las tecnologías a auditar.
– Testigos�e�invitados.
• Equipo�del�auditado
– Guía. Persona de la empresa que acompaña al equipo auditor y le fa-
cilita la información solicitada. Normalmente, será el responsable del
sistema de gestión de la seguridad de la información.
8. El peritaje informático
Los tipos de peritajes son múltiples y casi tantos como áreas del conocimien-
to, aunque los más frecuentes suelen ser: caligráfico, grafológico, documen-
toscópico, inmobiliario (tasación), falsificación de marcas, reconstrucción de
accidentes (laborales, de tráfico), peritaje de incendios (valoración de daños,
reconstrucciones), sociolaborales, peritaje de joyas, análisis de voces, medici-
na pericial, plagio textual, etc.