UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS

DEPARTAMENTO DE CONTADURIA PBLICA

AUDITORIA DE SISTEMAS DE INFORMACION I

LA FUNCION DE LA AUDITORIA DE SISTEMAS

2013

1
La funcion de la Auditoria en Sistemas

LA FUNCION DE LA AUDITORIA DE SISTEMAS

AUDITORA DE SISTEMAS DE INFORMACIN
Qu es Auditora?
La Auditora es un proceso sistemtico de obtencin y evaluacin objetiva de evidencias
respecto a afirmaciones o aseveraciones acerca de hechos y eventos econmicos, para
determinar el grado de correspondencia entre tales aseveraciones y los criterios
establecidos, y comunicar los resultados a los usuarios interesados. Definicin de
American Accounting Association (AAA) para varios tipos de auditora incluyendo la
auditora interna, auditora externa y auditora de computacin.

QU ES AUDITORIA EN INFORMATICA?
La auditora en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y
seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin
de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms
eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

2
La funcion de la Auditoria en Sistemas

La auditoria en informtica deber comprender no slo la evaluacin de los equipos de

cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar
los sistemas de informacin en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtencin de informacin.
La auditora en informtica es de vital importancia para el buen desempeo de los
sistemas de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo
(informtica, organizacin de centros de Informacin, hardware y software).

Qu es la Auditora de un Sistemas de Informacin?

Toda la auditora que comprenda la revisin y evaluacin de todos los aspectos (
cualquier porcin ) de los sistemas automatizados de procesamiento de informacin,
incluyendo los procesos no automatizados relacionados y las interfaces entre ellos.
Definicin de Information Systems Audit and control Association ( ISACA)
Qu hace la ASI ?
Es una funcin de la auditora que:
-

Evala y verifica los controles establecidos en las actividades y recursos de

cmputo de las empresas.

Asesora a la Administracin en asuntos de cmputo.

Promueve la automatizacin en las diferentes modalidades de la auditora

Objetivos de la Auditora de Sistemas

Evaluar y verificar el control interno en todos los aspectos de los sistemas automatizados
de procesamiento de datos de la empresa:
-

Administrativos

Tcnicos y

Operativos

Verificar que los sistemas de informacin automatizados satisfaga los siete criterios de la
informacin de negocios requeridos por COBIT.
-

Efectividad

Eficiencia
3

La funcion de la Auditoria en Sistemas

Confidencialidad

Integridad

Disponibilidad

Cumplimiento con leyes y Regulaciones

Confiabilidad

Verificar que los controles utilizados en los sistemas de informacin protejan a las
organizaciones contra los riesgos que podran afectarlas a travs de sus recursos de
cmputo.
-

Datos

Aplicaciones del Computadora

Tecnologa
Instalaciones de Cmputo
Las personas

La Auditora de Sistemas y los Riesgos en las Empresas

La Auditora de Sistemas evala y verifica que existan controles apropiados para proteger
a las organizaciones contra eventos indeseados (RIESGOS) que podran afectarlas a
travs de sus recursos de cmputo
-

Errores humanos

Actos mal intencionados

Decisiones errneas

Prdidas de activo

Encubrimientos de pasivos

Desventajas ante la competencia

sanciones legales

Desastres naturales

Prdida de credibilidad e imagen

Cuales controles evala y verifica?

LOS EXISTENTES.
Enfoque esttico de la auditora detrs de lo conocido . Tiempo de auditora
posterior al tiempo de los eventos auditados.

LOS QUE DEBERAN EXISTIR.

Enfoque dinmico de la auditora : prevencin y asesora
4

La funcion de la Auditoria en Sistemas

Tiempo de auditora menor o igual que el tiempo de los eventos.

Enfoque Proactivo: Suscita acciones para prevenir errores, desviaciones e
irregularidades
Funciones de la Auditora de Sistemas:
-

Auditora de Controles Generales de la Informtica

Auditora de Aplicaciones en funcionamiento
Auditora en el Desarrollo de Sistemas
Soporte a Grupos de Auditora

Alcance del trabajo de la Auditora de Sistemas:

-

las actividades de TI de la empresa (administracin de los recursos

de cmputo de la organizacin)
Las aplicaciones en el computador en estado de produccin o
funcionamiento
El desarrollo de nuevas aplicaciones para el computador
El soporte tcnico a otras actividades de la auditora (financiera,
operativa, etc.)

RESULTADOS DEL TRABAJO DE ASI

Tangibles:
Informes escritos con opiniones, observaciones y recomendaciones dirigidos a:
-

Direccin de la Empresa
La Gerencia de Sistemas (Organizacin y Mtodos)
Las reas de negocio y de soporte administrativo que manejan
operaciones crticas de las empresas que se soportan en Tecnologa
de Informacin

Intangibles: (Valor Agregado)

-

El mejoramiento de la Seguridad en Informtica

El mejoramiento de la Cultura de Control en las Organizaciones

BENEFICIOS DE LA AUDITORA DE SISTEMAS

Previene la ocurrencia de situaciones perjudiciales para la organizacin (es un
control preventivo)
5
La funcion de la Auditoria en Sistemas

Acta como mdico de los sistemas de informacin.

Revisa suficiencia de los controles existentes
Seala las reas de riesgos crticas que requieren ser controladas
Promueve le mejoramiento de la cultura de control en las
organizaciones
Fomenta la conciencia de seguridad institucional
Fomenta la definicin de un lenguaje comn de seguridad

Genera actitud positiva hacia los controles en los responsables del manejo de las
operaciones de la empresa para que asuman la responsabilidad de:
-

Identificar a priori posibles riesgos innecesarios en las operaciones

del negocio
Efectuar ajustes al sistema de control interno existente
Establecer que los controles sean intrnsecos a los procedimientos
manuales y automatizados. (Autocontrol)

Promueve la calidad, seguridad y eficiencia en los sistemas de informacin

automatizados
-

Efecto Psicolgico de tener auditores de sistemas : el hecho de

tener auditora de sistemas estimula mayor diligencia del personal
de sistemas y de las reas de operacin
Formula recomendaciones constructivas : el auditor no se queda en
el mbito de la crtica, tambin propone alternativas de solucin a
los problemas que detecte.
Complementa el control que ejerce la Gerencia de Sistemas
Observa y detecta lo que el Gerente de Sistemas no puede
ver
Ojos y odos de la Gerencia
Acta con independencia orgnica, mental y de criterio
Asesora a la Organizacin en asuntos de seguridad corporativa
Complementa el efecto de los controles ejercidos por los usuarios
internos y externos de los sistemas:
Acta como un control sobre los controles establecidos en la
empresa
Tiene el poder de influir (es el poder detrs del trono)
Es parte integral del sistema de control interno de la empresa

Gestin de la funcin de Auditoria de SI

La funcin de auditora debe ser gestionada y conducida en una forma que asegure que
las diversas tareas realizadas y logradas por el equipo de auditora cumplirn los objetivos
de la funcin de auditora, mientras se preserva la independencia y competencia de la
6
La funcion de la Auditoria en Sistemas

auditora. Adems, gestionar la funcin de auditora debera asegurar a la alta direccin

las contribuciones al valor agregado respecto a la eficiente gestin de TI y al logro de los
objetivos del negocio.
ORGANIZACIN DE LA FUNCIN DE AUDITORA DE SI
Los servicios de auditora de SI pueden ser provistos externamente o internamente.
El rol de la funcin interna de auditora de SI debera establecerse en un estatuto de
auditora aprobado por la alta direccin. La auditora de SI puede ser parte de la auditora
interna, funcionar como un grupo independiente, o estar integrada dentro de una auditora
financiera y operacional (ver la figura 1.7) para proveer garanta de control relacionado
con TI a los auditores financieros o de la gerencia; por lo tanto, el estatuto de auditora
puede incluir la auditora de SI como una funcin de apoyo de auditora.
Este estatuto debera establecer claramente la responsabilidad y los objetivos de la
gerencia para la funcin de auditora de SI y la delegacin de autoridad para la misma.
Este documento debera describir la autoridad, el alcance y las responsabilidades
generales de la funcin de auditora. El nivel ms alto de gestin y el comit de auditora,
si existe alguno, deberan aprobar este estatuto.
Una vez establecido, este estatuto debera modificarse slo si dicho cambio puede
realizarse y est completamente justificado.
Los estndares de auditora de SI de ISACA requieren que la responsabilidad, autoridad y
obligacin de rendir cuentas de la funcin de auditora de SI estn debidamente
documentadas en un estatuto de auditora o en una carta de compromiso (SI Estatuto de
Auditora). Se debe notar que un estatuto de auditora es un documento de alcance
general que cubre toda la gama de actividades de auditora en una entidad mientras que
una carta de compromiso est ms centrada en un ejercicio particular de auditora que se
busca que sea iniciado en una organizacin con un objetivo especfico en mente.
Si los servicios de auditora de SI son provistos por una firma externa, el alcance y los
objetivos de estos servicios deben ser documentados en un contrato formal o declaracin
de trabajo entre la organizacin contratante y el proveedor del servicio.
En cualquier caso, la funcin de auditora interna debe ser independiente, y reportar a un
comit de auditora, si existe alguno, o al nivel ms alto de la gerencia, como por ejemplo
el consejo de direccin.
GESTIN DE LOS RECURSOS DE AUDITORA DE SI
La tecnologa de SI est cambiando constantemente. Por lo tanto, es importante que los
auditores de SI mantengan su competencia por medio de la actualizacin de sus
habilidades actuales y que obtengan capacitacin sobre nuevas tcnicas de auditora y
reas de tecnologa. Los estndares de auditora de SI de ISACA requieren que el auditor
de SI sea tcnicamente competente (S4 Competencia tcnica) y que posea las
habilidades y el conocimiento necesarios para realizar el trabajo de un auditor. Adems, el
auditor de SI debe mantener su competencia tcnica a travs de una educacin
7
La funcion de la Auditoria en Sistemas

profesional continua. Se deben tomar en consideracin las habilidades y los

conocimientos cuando se planifiquen las auditoras y se asigne personal para tareas
especficas de auditora.
Preferentemente, se debera disear un plan anual detallado de capacitacin del personal
basado en la direccin de la organizacin, en trminos de tecnologa, y aspectos
relacionados con riesgos que necesiten considerarse. ste debera revisarse
peridicamente para asegurar que las necesidades de capacitacin estn alineadas con
la direccin que est tomando la organizacin de auditora. Adicionalmente, la gerencia de
auditora de SI tambin debe proporcionar los recursos de TI necesarios para realizar
auditoras de SI apropiadamente de naturaleza altamente especializada (por ejemplo,
herramientas, metodologa, programas de trabajo).
PLANEACION DE LA AUDITORA DE SI

La planeacin debe ser a corto plazo y a largo plazo

o Planeacin Anual
o Asignaciones de Auditoria individual
El anlisis a problemas a corto largo plazo debe hacerse por lo menos una vez al
ao
Cada tarea individual de la auditoria debe ser planeada adecuadamente.
Considerar: Evaluacin de riesgos, privacidad y requerimientos regulatorios para el
enfoque general de la auditoria.
Considerar fechas lmites establecidas para la implementacin/actualizacin de los
sistemas, las tecnologas actuales y futuras, requerimientos de los dueos del
proceso de negocios y de las limitaciones de recursos de SI.
Al planear una auditoria, el auditor de SI debe tener un entendimiento general del
ambiente a revisar.
o Practicas de negocio
o Funciones relativas al sujeto de la auditoria
o Tipos de sistemas de informacin y la tecnologa que soportan la
actividad.
o

PASOS PARA LA PLANEACION DE LA AUDITORA DE SI

1. Lograr un entendimiento de la misin, los objeticos, el propsito y los procesos del
negocio, requerimientos de informacin y procesamiento.
2. Identificar contenidos especficos tales como polticas, estndares y directrices
requeridos, procedimientos y estructura de la organizacin.
3. Evaluar el anlisis de riesgo y todo anlisis de impacto sobre la privacidad llevado
a cabo por la organizacin.
4. Realizar un anlisis de riesgos.
5. Llevar a cabo una revisin de control interno.
6. Establecer el alcance y los objetivos de la auditoria.
8
La funcion de la Auditoria en Sistemas

7. Desarrollar el enfoque o la estrategia de auditora.

8. Asignar recursos humanos a la auditoria
9. Considerar la logstica del trabajo de la auditoria.
PASOS PARA LA COMPRENSION DEL NEGOCIO
1. Recorrido de las instalaciones clave de la organizacin
2. Lectura de antecedentes incluyendo publicaciones de la industria, informes
anuales e informacin de anlisis financieros independientes.
3. Revisin de planes estratgicos a largo plazo
4. Entrevistas a los agentes clave para entender pormenores del negocio
5. Revisin de informes anteriores
6. Identificar las regulaciones especificables a TI
7. Identificar funciones de TI o actividades relacionadas que han sido contratadas de
forma externa.

EFECTO DE LEYES Y REGULACIONES SOBRE LA PLANIFICACION DE TI

Toda organizacin debe cumplir con un numero de requerimientos externos

relacionados con las practicas y los controles de SI
Las regulaciones de negocio pueden impactar la forma en que los datos se
procesan, se transmiten y se almacenan.
Hay industrias que histricamente han tenido un marco regulatorio muy estricto
(industria bancaria, por ejemplo).
Existen dos reas principales de inters
o Los requerimientos legales de la Auditoria de SI
o Los requerimientos legales aplicables al auditado y sus sistemas.
Un ejemplo de prcticas solidas de control, es la Ley Sarbanes-Oxley (SOX) de
2002.
Se espera que la organizacin tenga una funcin de cumplimiento legal en la que
el personal de Control de SI pueda confiar
La calidad de la informacin suministrada a los inversionistas se ha convertido en
un asunto de inters primordial en todo el mundo.

PASOS QUE SEGUIRI UN AUDITOR DE CONTROLES DE SI PARA DETERMINAR

UN NIVEL DE CUMPLIMIENTO DE UNA ORGANIZACIN CON LOS
REQUERIMIENTOS EXTERNOS:
1. Identificar los requerimientos gubernamentales u otros externos relevantes que se
refieren a:
o Datos electrnicos, derechos de autor, comercio electrnico, firmas
digitales, etc.
9
La funcion de la Auditoria en Sistemas

Practicas y controles de sistemas computarizados

La manera en que se almacenan las computadoras, los programas y los
datos
o La organizacin o las actividades de los servicios de informacin.
Documentar las leyes y regulaciones pertinentes
Determinar si la direccin de la organizacin y la funcin de SI han tomado en
consideracin los requerimientos relevantes.
Revisar los documentos internos de la funcin del SI que se ocupan del
cumplimiento de las leyes aplicables a la industria.
Determinar el cumplimiento con los procedimientos establecidos que se ocupan de
estos requerimientos.
o
o

2.
3.
4.
5.

CLASIFICACIN DE LAS AUDITORAS

El auditor de SI debera entender los diversos tipos de auditoras que pueden efectuarse
interna o externamente, y los procedimientos de auditora asociados con cada uno de
ellos:
Auditoras financierasEl propsito de una auditora financiera es determinar la
exactitud de los estados financieros de una organizacin. Una auditora financiera a
menudo implicar pruebas sustantivas detalladas, aunque cada vez ms, los auditores
estn poniendo ms nfasis en un enfoque de auditora basado en riesgo y control. Este
tipo de auditora se relaciona con la integridad y confiabilidad de la informacin financiera.
Auditoras OperativasUna auditora operativa est diseada para evaluar la estructura
del control interno en un proceso o rea determinada. Las auditoras de SI sobre controles
de las aplicaciones o de sistemas de seguridad lgica son algunos ejemplos de auditoras
operativas.
Auditoras integradasUna auditora integrada combina pasos de auditora financiera y
operativa. Tambin se realiza para evaluar los objetivos generales dentro de una
organizacin, relacionados con la informacin financiera y la salvaguarda de activos, la
eficiencia y el cumplimiento. Una auditora integrada puede ser ejecutada por auditores
externos o internos e incluira pruebas de cumplimiento a los controles internos y los
pasos de auditora sustantiva.
Auditoras administrativasEstas estn orientadas a evaluar aspectos relacionados con
la eficiencia de la productividad operativa dentro de una organizacin.

Auditoras de SIEste proceso recolecta y evala la evidencia para determinar si los

sistemas de informacin y los recursos relacionados protegen adecuadamente los
activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen
informacin relevante y confiable, logran de forma efectiva las metas organizacionales,
usan eficientemente los recursos y tienen en efecto controles internos que proveen
una certeza razonable de que los objetivos de negocio, operacionales y de control
sern alcanzados y que los eventos no deseados sern evitados o detectados y
corregidos de forma oportuna.

Auditoras especializadasDentro de la categora de las auditoras de SI, existe un

nmero de revisiones especializadas que examinan reas tales como los servicios
10

La funcion de la Auditoria en Sistemas

realizados por terceros. En vista de que los negocios dependen cada vez ms de
servicios prestados por terceros, es importante que se evalen los controles internos
en estos ambientes. La declaracin sobre Estndares de Auditora (SAS) 70, titulada
"Informes sobre el Procesamiento de las Transacciones por Organizaciones de
Servicio" es un estndar de auditora ampliamente conocido desarrollado por el
Instituto Americano de Contadores Pblicos Certificados (AICPA). SAS 70, define los
estndares profesionales usados por un auditor de servicios para evaluar los controles
internos de una organizacin de servicios. Este tipo de auditora se ha vuelto cada vez
ms relevante debido a la actual tendencia a la externalizacin (outsourcing) de
procesos financieros y de negocios a terceros proveedores de servicios que, en
algunos casos, pueden operar en diferentes jurisdicciones o incluso en diferentes
pases.
Se debe sealar que una revisin del tipo 2 SAS 70 es una variacin ms exhaustiva de
una revisin regular SAS 70, que a menudo se requiere en relacin con revisiones
regulatorias.
Muchos otros pases tienen su propio equivalente de este estndar. Una auditora tipo
SAS 70 es importante porque significa que una organizacin de servicios ha pasado por
una auditora profunda de sus actividades de control, que incluyen generalmente controles
de tecnologa de informacin y procesos relacionados. Las revisiones de tipo SAS 70
proveen directrices que permiten a un auditor independiente (auditor de servicios) emitir
una opinin sobre la descripcin de los controles de una organizacin de servicios a
travs del informe de un auditor de servicios, en el que luego el auditor de SI de la entidad
que utiliza los servicios de la organizacin de servicios puede basarse.

Auditoras forensesLa auditora forense ha sido definida como una auditora

especializada en descubrir, revelar y hacer seguimiento a fraudes y crmenes. El
propsito principal de dicha revisin era el desarrollo de evidencia para ser revisada
por autoridades policiales y judiciales. En aos recientes, el profesional forense ha
sido llamado a participar en investigaciones relacionadas con fraude corporativo y
crimen ciberntico. En los casos en que los recursos de computadora puedan haber
sido mal empleados, una investigacin adicional es necesaria para recopilar evidencia
de posible actividad criminal que puede luego ser reportada a las autoridades
competentes.
Una investigacin de cmputo forense incluye el anlisis de dispositivos electrnicos,
tales como computadoras, telfonos, PDAs, discos, switches, enrutadores (routers),
concentradores (hubs) y otros equipos electrnicos. El auditor de SI que posea las
habilidades necesarias puede asistir al gerente de seguridad de informacin en la
realizacin de las investigaciones forenses y llevar a cabo la auditora de los sistemas
para asegurar que se cumplan los procedimientos de recoleccin de evidencia para la
investigacin forense. La evidencia electrnica es vulnerable a alteraciones, por lo que
es necesario manejarla con extremo cuidado y se deben asegurar controles para
garantizar que no pueda ocurrir ninguna manipulacin. Se debe establecer una
cadena de custodia de evidencia electrnica para cumplir con los requerimientos
legales.

11
La funcion de la Auditoria en Sistemas

La evidencia de computadora manejada de manera inadecuada puede ser

considerada inadmisible por las autoridades judiciales. La consideracin ms
importante para un auditor forense es la de obtener una imagen completa (bit-stream)
del dispositivo objetivo y examinar esa imagen sin alterar los sellos de fecha u otra
informacin atribuible a los archivos examinados. Adems, las herramientas y tcnicas
de auditora forense, tales como el mapeo (mapping) de datos para la evaluacin de
riesgos de privacidad y seguridad y la bsqueda de propiedad intelectual para la
proteccin de datos, tambin se estn usando para prevencin, cumplimiento y
aseguramiento.

USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS

Debido a la poca disponibilidad de auditores de SI y a la necesidad de especialistas en
seguridad de TI y de otros expertos en el asunto objeto para llevar a cabo auditoras de
reas altamente especializadas, el departamento de auditora o los auditores a los que se
confi el proveer aseguramiento pueden requerir los servicios de otros auditores o
expertos. La externalizacin (outsourcing) de servicios de aseguramiento y seguridad de
SI se est convirtiendo en una prctica cada vez ms comn. Los expertos externos
podran incluir expertos en tecnologas especficas, tales como redes, cajeros automticos
(ATM), inalmbricos, integracin de sistemas y conocimientos digitales forenses, o
expertos en la materia tales como especialistas en una industria o rea de especializacin
en particular, tales como banca, comercio de ttulos-valores, seguros, expertos legales,
etc.
Cuando se propone que una parte o la totalidad de los servicios de auditora de SI se
externalice a otro proveedor externo de servicios o de auditora, se debera considerar lo
siguiente respecto al uso de servicios de otros auditores y expertos:
Restricciones sobre la externalizacin (outsourcing) de servicios de auditora/seguridad
dispuestas por las leyes y regulaciones
Estatuto de auditora o estipulaciones contractuales
Impacto sobre los objetivos generales y especficos de auditora de SI
Impacto sobre riesgo de auditora de SI y responsabilidad profesional
Independencia y objetividad de otros auditores y expertos
Competencia profesional, calificaciones y experiencia
Alcance del trabajo que se propone que se externalice y mtodo
Controles de supervisin y de gestin de auditora
Mtodo y modalidades de comunicacin de los resultados del trabajo de auditora
Cumplimiento de las estipulaciones legales y regulatorias

12
La funcion de la Auditoria en Sistemas

 Cumplimiento de los estndares profesionales aplicables

Basado en la naturaleza de la asignacin, lo siguiente tambin puede requerir
consideracin especial:
Verificaciones de testimonios/referencias y antecedentes
Acceso a sistemas, premisas y registros
Restricciones de confidencialidad para proteger la informacin relacionada con el cliente
El uso de CAATs y otras herramientas que deban ser usadas por el proveedor de
servicios de auditora externos
Estndares y metodologas para el desempeo de trabajo y documentacin
Acuerdos de no divulgacin
El auditor de SI o la entidad que externaliza los servicios debera monitorear la relacin
para asegurar la objetividad e independencia durante toda la vigencia del acuerdo.
Es importante entender que a menudo, a pesar que una parte o la totalidad del trabajo de
auditora pudiera delegarse a un proveedor externo de servicios, la responsabilidad
profesional relacionada no es necesariamente delegada. Por consiguiente, es
responsabilidad del auditor de SI o de la entidad que emplea los servicios de proveedores
externos de servicios:
Comunicar claramente los objetivos, el alcance y la metodologa de la auditora a travs
de una carta de compromiso
Establecer un proceso de monitoreo para revisin regular del trabajo del proveedor
externo de servicios con respecto a planificacin, supervisin, revisin y documentacin.
Por ejemplo, la revisin de los papeles de trabajo de otros auditores o expertos de SI para
confirmar que el trabajo se planific, supervis, document y revis apropiadamente y
para considerar la conveniencia y suficiencia de la evidencia de auditora proporcionada; o
la revisin del informe de otros auditores o expertos de SI para confirmar que se hayan
cumplido el alcance especificado en el estatuto de auditora, los trminos de referencia o
la carta de compromiso, que se hayan identificado los supuestos significativos utilizados
por otros auditores o expertos de SI y que la gestin haya aceptado las conclusiones y los
hallazgos reportados.
Determinar la utilidad y lo apropiado de los informes de dichos proveedores externos y
evaluar el impacto de los hallazgos significativos sobre los objetivos generales de
auditora.
Nota: El Alumno debe estar familiarizado con el Estndar de Auditora de ISACA sobre
"Realizacin del Trabajo de Auditora" (S6) y la Directriz de Auditora de SI "Usando el
Trabajo de Otros Auditores" (G1) que se concentra en los Derechos de Acceso al Trabajo
de Otros Auditores o Expertos.

13
La funcion de la Auditoria en Sistemas

AUDITORIA A LOS SISTEMAS DE INFORMACION COMPUTARIZADOS Y A LOS

RECURSOS INFORMATICOS DE LA ORGANIZACION
La auditora no es una especialidad exclusiva de los contadores. Resulta obvio que si
debemos auditar el clculo de un edificio, necesitamos un ingeniero auditor y no un
contador. Con igual concepto existen mdicos auditores, auditores militares, etc.
Dependiendo de la naturaleza de la actividad a auditar, resultar el tipo de especialista
que puede evaluarla.
En el desarrollo de este material hemos identificado bsicamente dos tipos de trabajos de
auditora en un entorno informtico: al sistema de informacin computarizado y a los
recursos informticos de la organizacin. En el primer caso, prima el objetivo de
evaluar la calidad de la informacin; en el segundo, la evaluacin de los recursos
informticos. Ambos requieren, entonces, de equipos de auditores con distinta
preparacin y habilidades.
En el caso de trabajos de auditora a sistemas de informacin econmicos financieros,
deben ser dirigidos y ejecutados por profesionales en ciencias econmicas. En este tipo
de trabajos se requiere ms de conocimientos sobre el sistema de informacin que sobre
el medio en donde se procesan y/o residen los datos. En caso de ser necesarios los
conocimientos tcnicos especiales
sobre el equipamiento, los programas y el funcionamiento del sistema computacional, el
equipo de auditores puede solicitar la colaboracin de especialistas en tecnologas de
informacin.
Por el contrario, creemos que los trabajos de auditora informtica (a los recursos
informticos de una empresa) son competencia de los profesionales en sistemas. En
estos casos, los contadores-auditores deben abstenerse de efectuar recomendaciones en
un campo que no es su especialidad e incumbencia. Recordemos que el objetivo de una
auditora informtica consiste en medir la eficiencia con que se utilizan los recursos
informticos disponibles en una entidad: equipos, redes de comunicacin de datos,
aplicaciones y desempeo del personal de sistemas.
Sin embargo, en la prctica no es fcil determinar qu actividades pertenecen a una clase
de trabajos de auditora y cules a otra. Las zonas grises aparecen cuando se trata de
precisar el alcance de las tareas a realizar. Estas zonas grises pueden explicarse cuando
analizamos los mtodos que se siguen para efectuar una auditora al sistema de
informacin contable; en ellas, se privilegia la etapa de revisin del sistema de control
interno, base para las afirmaciones posteriores respecto a la exactitud, integridad y
correspondencia de los registros recuperados del sistema informtico. Para efectuar la
etapa de revisin del sistema de control interno es necesario contar con conocimientos en
tecnologas de informacin ya que, entre otras cosas, se valida la efectividad de controles
propios del ambiente computacional: control de acceso al sistema, mtodos de respaldos,
procedimientos para modificar los sistemas, funcionamiento de los controles
programados, etc. Para evaluar estos aspectos es necesario contar con la ayuda de
expertos informticos.
En los ltimos aos ha comenzado a ofrecerse en nuestro pas capacitacin especfica en
Auditora de Sistemas de Informacin:

14
La funcion de la Auditoria en Sistemas

 Isaca (www.isaca.org) propone certificar Auditores en Sistemas de Informacin

(certificacin CISA), para ello se debe rendir un examen que habilita al profesional para
efectuar este tipo de trabajos.
ISACA comenz en 1967, cuando un pequeo grupo de personas con trabajos similares
-controles de auditora en los sistemas computarizados que se estaban haciendo cada
vez ms crticos para las operaciones de sus organizaciones
respectivas- se sentaron a discutir la necesidad de tener una fuente centralizada de
informacin y gua en dicho campo. En 1969, el grupo se formaliz, incorporndose bajo
el nombre de EDP Auditors Association (Asociacin de Auditores de
Procesamiento Electrnico de Datos). En 1976 la asociacin form una fundacin de
educacin para llevar a cabo proyectos de investigacin de gran escala para expandir los
conocimientos y el valor del campo de gobernacin y control de TI.
....
En las tres dcadas transcurridas desde su creacin, ISACA se ha convertido en una
organizacin global que establece las pautas para los profesionales de gobernacin,
control, seguridad y auditora de informacin. Sus normas de auditora
y control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones
resaltan temas profesionales que desafan a sus constituyentes. Su certificacin Certified
Information Systems Auditor (Auditor Certificado de Sistemas
de Informacin, o CISA) es reconocida en forma global y ha sido obtenida por ms de
44.000 profesionales. Su nueva certificacin Certified Information Security Manager
(Gerente Certificado de Seguridad de Informacin, o CISM) se concentra exclusivamente
en el sector de gerencia de seguridad de la informacin. Publica un peridico tcnico lder
en el campo de control de la informacin, el Information Systems Control Journal
(Peridico de Control de Sistemas de Informacin).
Organiza una serie de conferencias internacionales que se concentran en tpicos tcnicos
y administrativos pertinentes a las profesiones de gobernacin de TI y aseguracin,
control, seguridad de SI. Juntos, ISACA y su Instituto de Gobernacin
de TI (IT Governance Institute) asociado lideran la comunidad de control de tecnologa de
la informacin y sirven a sus practicantes brindando los elementos que necesitan los
profesionales de TI en un entorno mundial en cambio permanente.
Honduras posee un Captulo Local.

15
La funcion de la Auditoria en Sistemas