Auditoria Modulo 1

Introduccióna la auditoríainformática Rafael Estevan de Quesada PID_00143001

© FUOC • PID_00143001 Introducción a la auditoría informática

Ninguna parte de esta publicación, incluido el diseño general y la cubierta, puede ser copiada,reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste eléctrico,químico, mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la previa autorización escritade los titulares del copyright.

© FUOC • PID_00143001 Introducción a la auditoría informática

Índice

1. Definición de auditoría.................................................................... 5

1.1. Principios de auditoría ................................................................ 6

2. Componentes de una auditoría...................................................... 9

2.1. Tipos genéricos de auditorías ...................................................... 9

2.1.1. Auditorías internas o de primera parte ......................... 10

2.1.2. Auditorías de segunda parte .......................................... 10

2.1.3. Auditorías de tercera parte ............................................ 10

2.2. El objetivo de auditoría .............................................................. 12

2.3. Alcance de la auditoría ............................................................... 13

3. Proceso de auditoría......................................................................... 14

3.1. Tipos de pruebas ......................................................................... 16

3.2. Muestreo ...................................................................................... 16

3.3. Evidencias de auditoría ............................................................... 18

3.4. Hallazgo de auditoría .................................................................. 19

3.5. Riesgo de auditoría ...................................................................... 19

4. Programa de auditoría..................................................................... 21

4.1. Beneficios de implementar un programa de auditoría ............... 21

4.2. Implementación de un programa de auditoría .......................... 22

5. Estandarización de la labor de auditoría.................................... 28

5.1. AICPA (American Institute of Certified Public Accountants) ..... 28

5.2. ISO (International Organization for Standarization) .................. 30

5.3. ISACA (Information Systems Audit and Control Association) .... 35

6. Gobierno de las TIC........................................................................... 36

6.1. Auditoría de los sistemas de información .................................. 38

6.2. Certificación de seguridad .......................................................... 40

7. Equipo auditor.................................................................................... 41

7.1. Auditor jefe ................................................................................. 42

7.2. Auditor ......................................................................................... 43

7.3. Experto técnico ........................................................................... 44

7.4. Independencia de auditoría ........................................................ 45

7.5. Código de conducta del equipo auditor ..................................... 45

7.6. Distribución de funciones ........................................................... 46

7.7. Relación con el auditado ............................................................ 46

8. El peritaje informático..................................................................... 48

© FUOC • PID_00143001 5 Introducción a la auditoría informática

1. Definición de auditoría

De manera muy informal, cuando se habla de auditoría se piensa en una he-

rramienta a disposición de la gerencia para el control de algún proceso. Esta

actividad se entiende que debe involucrar una metodología para establecer los

criterios que ayudarán a medir la eficiencia, eficacia y posibles desviaciones de

los objetivos dados a un proceso concreto. Pero esta no es más que una idea

general y poco precisa. El objeto de este módulo es entrar en más detalle en la

definición y características que tiene el proceso de auditoría.

Definición de auditoría

Una auditoría, desde un punto de vista muy general, es un proceso eje-

cutado por un auditor, que tiene la característica de ser sistemático,

independiente�y�documentado,�y�que�busca�obtener registros, decla-

raciones de hechos u otra información conocida como evidencias�de

auditoría. Las evidencias de auditoría deben ser verificables,�pertinen-

tes�y�evaluables de manera objetiva para, en base a ellas, determinar

la medida en la cual el hecho auditado cumple unos criterios�de�audi-

toría. Estos criterios están determinados por un conjunto de políticas,

procedimientos o requisitos y son usados como referencia contra la que

se compara la realidad. Las pruebas de estas diferencias entre la realidad

y la referencia son lo que se entiende como evidencias de auditoría.

Por tanto, podemos concluir que el proceso de auditoría pretende poder

objetivizar lo que, de otro modo, sería más correcto calificar como la

opinión de un experto.

Se entiende por evidencia de auditoría el conjunto de registros, declaraciones

de un hecho u otra información que se recoja durante el proceso de audito-

ría que sea verificable y pertinente para ser contrastado contra los criterios de

auditoría. Por criterio de auditoría se entiende como el conjunto de políticas,

procedimientos o requisitos usados como referencia en la auditoría y que sue-

len tener como objetivo el control de algún aspecto de la actividad del audi-

tado. Es por ello que a veces son sinónimo de controles.

En función del ámbito de conocimiento o de organización se definen distintas

categorías de auditorías, aunque todas ellas tienen un patrón común. Podemos

destacar como las más comunes:

• Auditorías financieras, con muchas distinciones (auditorías de cuenta, va-

loración de empresas, etc.) y tradicionalmente el tipo más conocido, regu-


lado y ampliamente aplicado por las organizaciones por las obligaciones

legales e implicaciones de cara al mercado.

• Auditorías a procesos productivos o de calidad, no sólo relacionadas con

la ISO 9001 sino con otros esquemas de gestión de la calidad total como

Six Sigma.

• Auditorías al proceso de gestión de recursos humanos.

• Auditorías de cumplimiento legal.

Ejemplo

Auditorías del marco legal de protección de datos de carácter personal en España.

• Auditorías a la gestión medioambiental.

• Auditorías a los sistemas de información y en general a la forma en que

es tratada y gestionada la seguridad de la información digital de una or-

ganización.

• Etc.

Conviene destacar que nos ocuparemos de las auditorías a sistemas de gestión

de la seguridad de la información. En cualquier caso, las auditorías pretenden

comprobar si el auditado está ejerciendo suficiente control sobre alguno de los

aspectos de uno o varios de sus procesos de negocio. Desde este punto de vista

común, explicaremos en este módulo los aspectos que son independientes del

hecho que se esté auditando.

1.1. Principios de auditoría

Sea cual sea el tipo de auditoría y el hecho auditado, la auditoría siempre de-

bería guiarse por unos principios que garanticen que el trabajo realizado co-

rresponde a algo más que la opinión de un experto y que puede considerarse

como una auditoría, es decir, un análisis sistémico. La adhesión a estos prin-

cipios es necesaria para que las conclusiones de la auditoría sean pertinentes y

suficientes, y para asegurar que los auditores que trabajan independientemen-

te entre sí lleguen a conclusiones similares en circunstancias similares.

Podemos afirmar que si la auditoría se rige por los siguientes principios será

suficientemente objetiva.

Los principios de auditoría afectan tanto al comportamiento y características

del auditor como al proceso de auditoría en sí misma. Los siguientes están

relacionados con los propios auditores:

http://www.motorola.com/content.jsp?globalObjectId=3088


• Conducta ética. Fundamento del profesionalismo. En una asignación de

auditoría es esencial que se establezcan relaciones de confianza entre el

auditado y el auditor. Para ello, es necesario que el auditor actúe con un

elevado grado de integridad, confidencialidad y discreción. Se dice que el

auditor debe regirse por un estricto código de conducta. Este código puede

estar explicitado o no. Es habitual que diversas asociaciones o entidades

que emiten certificados de auditor publiquen sus propios códigos, aunque

todos ellos responden a las características que hemos enunciado.

• Presentación justa. La obligación de informar verazmente y con exactitud.

Los hallazgos realizados, las conclusiones extraídas y los reportes de la au-

ditoría que se emitan deben reflejar, con veracidad y exactitud, las activi-

dades de la auditoría. En todo momento, el auditor y el auditado deben te-

ner constancia de todos los obstáculos significativos encontrados durante

la auditoría, los aspectos no resueltos o no tratados, junto con las razones

que lo provocaron, o cualquier opinión divergente entre el auditor y el

auditado.

• Debido cuidado profesional. La aplicación de diligencia y juicio en la au-

ditoría. Los auditores proceden con todo el cuidado y la profesionalidad

requerida de acuerdo con la importancia de la tarea que realizan y la con-

fianza depositada en ellos por los clientes de la auditoría y las partes inte-

resadas. Un prerrequisito para gozar de tal reconocimiento, por parte del

auditado y del cliente, es poseer la competencia profesional y técnica ne-

cesaria, y quizá acreditarla mediante certificaciones profesionales, títulos

académicos, años de experiencia o similares.

Por otra parte, otros principios de auditoría se aplican al propio proceso de

la auditoría. Una auditoría es, por definición, independiente y sistemática, y

estas características están estrechamente relacionadas con los siguientes prin-

cipios de auditoría:

• Independencia. Es la base de la imparcialidad y objetividad de las conclu-

siones de la auditoría. Los auditores deberían ser, por definición de la au-

ditoría, independientes de la actividad auditada. Esto no implica que no

puedan pertenecer a la organización, sino que no deben estar influencia-

dos de algún modo por la actividad que van a auditar. Esto implica que,

por supuesto, un auditor que hubiese participado de algún modo en la im-

plantación de los controles que se van a auditar, directa o indirectamente

(por haber asesorado en alguna decisión, por ejemplo), no debería partici-

par en una auditoría ni emitir un juicio de auditoría, por estar influencia-

do. Esta influencia sobre el auditor es la que hace que, no sólo los casos

como el anterior sean los que inhabilitarían a un auditor, sino que también

los conflictos de intereses deberían tenerse en cuenta a la hora de aceptar

o no a un auditor en un equipo o en una asignación.


Los auditores tienen que mantener un estado mental objetivo durante to-

do el proceso de auditoría, para asegurar que los hallazgos y conclusiones

se basarán solamente en evidencias.

• Evidencia. La base racional para llegar a conclusiones de auditoría confia-

bles y reproducibles en un proceso de auditoría sistemático.

La auditoría se basa principalmente en un ciclo obtención de evidencias,

análisis de éstas y confrontación con los criterios de auditoría para deter-

minar la presencia o no de un hallazgo de auditoría, el cual será el sopor-

te para la conclusión. Por lo tanto, la obtención de la evidencia de la au-

ditoría es crucial, puesto que debe soportar su puesta en duda y, por lo

tanto, debe derivarse de hechos verificables. La evidencia se debe basar en

muestras de información disponible. El uso apropiado del muestreo está

muy relacionado con la confianza que se puede tener en las conclusiones

de las auditorías.

Si un auditor se ciñe a los principios descritos, el resultado de su trabajo

será sólido y podrá soportar su puesta en duda.


2. Componentes de una auditoría

Existen varios elementos que definen una auditoría. Del análisis de ellos po-

dremos ir profundizando en los detalles generales y comunes a todo tipo de

auditoría.

2.1. Tipos genéricos de auditorías

En el proceso de auditoría aparecen tres actores principales que están íntima-

mente relacionados entre ellos y que siempre aparecen en una auditoría:

Relaciones entre los actores de una auditoría

• El auditor, o mejor dicho, el equipo auditor: es el grupo de personas (o una

sola) que han sido designados para ejecutar la auditoría en el interés del

cliente de la auditoría.

• El auditado: es la organización (o podría también ser la persona, aunque

esto es menos común que se dé) responsable del hecho que se audita.

• El cliente de la auditoría: es la persona u organización interesada en cono-

cer la conclusión de la auditoría.

De la existencia o no de los tres actores de una auditoría, la relación que ten-

gan entre ellos, la organización a la que pertenezca el equipo auditor, y la mo-

tivación que exista en la asignación, se derivan los tres tipos genéricos tipos

de auditorías, que son las siguientes:

• Auditorías internas o de primera parte.

• Auditorías de segunda parte.


• Auditorías de tercera parte.

2.1.1. Auditorías internas o de primera parte

En este caso, las auditorías son ejecutadas por un equipo auditor que puede

ser propio de la organización responsable del hecho auditado, o bien externo,

pero designado por la organización auditada. En estas situaciones, el destina-

tario final de los resultados del trabajo es la propia organización.

Este trabajo, en ciertas ocasiones, es empleado por las organizaciones para rea-

lizar una autoevaluación previa a otros tipos de auditoría. También puede te-

ner otros objetivos más prácticos, como detectar puntos de mejora en el hecho

auditado. En cualquier caso, el interesado en la auditoría es directamente el

propio auditado.

2.1.2. Auditorías de segunda parte

En ciertas ocasiones, una segunda organización puede tener un interés legíti-

mo para realizar una auditoría a la organización. En este caso, esta "segunda

parte" es la que designa al personal que realiza la auditoría, y es ella la desti-

nataria final de los resultados del trabajo de auditoría.

Existen múltiples situaciones reales que exigen este tipo de auditoría. La más

habitual que se suele dar es la encargada por una organización cliente sobre su

proveedor. Cada vez más, las organizaciones externalizan partes de su activi-

dad, pero suelen reservarse el derecho de realizar auditorías para determinar el

grado de cumplimiento de los acuerdos de nivel de servicio. Otras situaciones

donde también se pueden dar auditorías de segunda parte son aquellas en las

que una empresa está en situación de absorber a otra. Aquí, es habitual encon-

trarnos con encargos de auditorías de cuentas o de valoración de la tomadora

de control sobre la absorbida. En caso de fusiones, al existir mayor equilibrio

de fuerzas, es posible que cada parte encargue una auditoría de segunda parte

de algún tipo sobre la otra empresa. Sin embargo, suele ser económicamente

más eficiente, y por tanto más común, que la auditoría la realice una tercera

parte acordada por ambas empresas, lo que nos introduce el siguiente tipo.

2.1.3. Auditorías de tercera parte

Las auditorías de tercera parte son las realizadas por organizaciones auditoras

externas e independientes de la parte auditada y del interesado en el resultado

de la auditoría. Dentro de este tipo de auditorías, encontraríamos las auditorías

de certificación de conformidad con los requisitos de una norma.

En estas auditorías, las tres partes (auditado, auditor, cliente) son absoluta-

mente independientes entre sí. En ocasiones, en el momento de realizar la

auditoría puede ser que ni siquiera esté definido quién es el cliente de ésta. El

auditor puede realizar la auditoría a petición del auditado porque este último


quiere que una parte independiente certifique/audite algún aspecto, en previ-

sión de que en un futuro pueda existir un cliente de auditoría interesado en

el resultado de la auditoría. También puede darse el caso de que el auditado

encargue la auditoría sencillamente porque existe un requerimiento (legal, re-

gulatorio del mercado o contractual) de que se disponga de una auditoría rea-

lizada por una parte independiente. Este tipo de auditorías también tienen lu-

gar en casos en los que el cliente de la auditoría es muy genérico, como puede

ser la Administración pública. En estos casos, el mercado marca los objetivos

de la auditoría mediante reglamentos, normas, contratos, etc. Las auditorías

de certificación contra una norma entran dentro de este tipo de auditorías de

terceras partes. Las auditorías de certificación permiten al auditado acreditar

el cumplimiento de los requisitos de la norma ante una comunidad amplia

y a priori indeterminada, pero potencialmente interesada, como podrían ser,

por ejemplo, sus clientes. Para ofrecer la máxima objetividad, se recurre a una

entidad externa a los interesados (el auditado y la comunidad). Por esto, esta

auditoría es clasificada como de tercera parte.

Finalmente, conviene destacar que las entidades que realizan este tipo de au-

ditorías deben tener reconocido su prestigio ante la comunidad, para que los

resultados de la auditoría sean considerados válidos. Esto conlleva la existen-

cia, en ciertas ocasiones y para determinados sectores, de requisitos que regu-

lan las actividades de los auditores. Este es el caso, por ejemplo, de los audito-

res de cuentas, los auditores de certificación contra normas, y cada vez más

también de los auditores de sistemas, aunque en este sector la regulación se

está realizando por el propio mercado.

Resumen de los tres tipos básicos de auditoría

Relación

Tipo Auditor�frente�a�auditado Cliente�auditoría�frente�a�auditado Cliente�auditoría�frente�a�auditor

De�prime-ra�parte

Pueden pertenecer a la misma orga-nización, siempre que haya suficienteindependencia.Tampoco es extraño que sean dife-rentes si en la organización cliente nohay el conocimiento técnico suficien-te o los recursos disponibles.

Pertenecen a la misma organización. Pueden pertenecer a la misma organiza-ción siempre que haya suficiente inde-pendencia.Tampoco es extraño que sean diferen-tes si en la organización cliente no hayel conocimiento técnico suficiente o losrecursos disponibles.

De�segun-da�parte

Pertenecen claramente a dos organi-zaciones distintas.

Existe una relación entre ellos que ha-ce que el cliente tenga un interés le-gítimo en exigir al auditado la realiza-ción de la auditoría.

Suelen pertenecer a la misma organiza-ción, aunque tampoco es extraño quesean diferentes si en la organizacióncliente no hay el conocimiento técnicosuficiente o los recursos disponibles.

De�terce-ra�parte

Pertenecen claramente a dos organi-zaciones distintas.

El cliente no existe a priori o es, demanera genérica, el mercado o unacomunidad de interesados muy am-plia. Los intereses del cliente están re-presentados por el auditor.

Son diferentes.En estos casos, el auditor representa alcliente de la auditoría.


Conviene destacar que sólo en entornos muy específicos y conocedores de la

terminología suele emplearse la distinción que hemos expuesto. Lo más co-

mún es que se haga mención al concepto de auditoría interna frente auditoría

externa. Con esta separación, se suele simplemente describir el hecho de que

el auditor pertenece o no a la organización auditada. Sin embargo, y como

hemos visto en la definición anterior de auditorías, esta visión es simplista y

sólo recoge los aspectos económicos. El aspecto más determinante no es si el

auditor es o no interno a la organización, sino más bien si la organización es la

principal "consumidora" del trabajo de auditoría, o bien si por el contrario lo es

una organización externa. Es decir, si es la propia organización quien ha defi-

nido el objetivo de la auditoría, o bien ha sido una externa quien ha decidido.

Los aspectos económicos son complejos y pueden darse todo tipo de situacio-

nes. Esta distinción es la que debería reflejarse, y no el aspecto económico.

''Plan, do, check/study, act''

De hecho, en los sistemas de gestión que implementan el ciclo de "Plan, Do, Check/Study, Act", la auditoría interna es un elemento más para la mejora continua de al-gún aspecto de la organización: la calidad, el impacto medioambiental de la organi-zación, o la seguridad de la información. Cuando se determina que, en estos tiposde sistemas de gestión, es necesario implementar la función de auditoría interna, sepide exactamente que sea la propia organización quien defina los objetivos de la au-ditoría y defina un plan de auditoría. Desde este punto de vista, es irrelevante si laorganización implementa la función de auditoría con recursos propios o si bien losexternaliza. Las razones para elegir una opción u otra son puramente económicas, yno propias de la auditoría, salvo por el hecho de que la auditoría resultante debe seracorde a los principios de auditoría.

2.2. El objetivo de auditoría

Aparte de esta clasificación fundamental y absolutamente genérica de las audi-

torías, si nos fijamos en el hecho auditado, tenemos tantos tipos de auditorías

como temas auditables existen. En nuestro caso, nos es de especial relevancia

las auditorías informáticas, que serán aquellas en las que el hecho auditado

sean los sistemas de información. Este concepto es el "objetivo de auditoría".

El objetivo de auditoría se refiere a las metas específicas que deben cumplirse

por parte de la auditoría. Los objetivos de auditoría son determinados por el

cliente de la auditoría, y se centran a menudo en validar si se implementan

ciertos controles definidos por unas políticas, normas y/o procedimientos. Es-

tas políticas, normas y/o procedimientos constituyen los criterios de auditoría

contra los que se evaluarán las evidencias.

Los objetivos pueden incluir aspectos como comprobar el nivel de cumpli-

miento de ciertos requerimientos legales, regulatorios o contractuales (estas

auditorías son las que contempla el marco legal español de protección de datos

de carácter personal). También pueden incluir la evaluación de los controles

implantados en una organización para garantizar la seguridad (confidenciali-

dad, integridad y disponibilidad) de la información tratada por los sistemas de


información o, más genéricamente, por los procesos de negocio de la organi-

zación. Por tanto, los objetivos son variados y es necesario que el cliente de

la auditoría (auditorías) los defina.

Así pues, los objetivos de la auditoría definen qué es lo que se va a conseguir

durante la misma. Los objetivos de una auditoría pueden incluir uno o varios

de los siguientes aspectos:

• Determinar el grado de conformidad del sistema de gestión del auditado,

o parte de él, con los criterios de auditoría.

• Evaluar la capacidad de los sistemas de gestión para asegurar el cumpli-

miento con requerimientos legales o contractuales.

• Evaluar la eficacia del sistema de gestión para lograr los objetivos especi-

ficados.

• Identificar áreas potenciales de mejora del sistema de gestión.

Posteriormente, es tarea del auditor traducir estos objetivos de auditoría a pun-

tos específicos de control que se deberán verificar. A partir de estos puntos de

control, se irán desgranando las comprobaciones y pruebas que se planificarán

y ejecutarán.

2.3. Alcance de la auditoría

Las organizaciones auditadas pueden tener múltiples procesos asociados, eje-

cutados en un área geográfica que puede ser muy amplia, con unos medios

muy diversos y por personal también variado. Por lo tanto, no sólo se tendrá

que definir el objetivo de la auditoría, sino también qué parte de la organiza-

ción abarca, es decir, cuál será su alcance.

El alcance de la auditoría describe la extensión y los límites de la auditoría. Por

ejemplo, las localizaciones físicas, las unidades organizativas, las actividades o

los procesos a ser auditados en el período de tiempo cubierto por la auditoría.

Es decir, todos los parámetros que limitan física, temporal y lógicamente la

actividad del auditor dentro de la organización auditada.


3. Proceso de auditoría

Aunque cada proyecto de auditoría es específico en sí mismo, incluso cuando

se audita un mismo hecho, pero en distintos momentos, podemos afirmar

que todas las asignaciones de auditoría se rigen por un proceso en cuatro fases

genéricas:

Fases generales de una auditoría

• La fase de planificación debería incluir todas las actividades necesarias para

dotar a la auditoría de un marco de trabajo, los recursos necesarios y los

objetivos a cumplir. Por lo tanto, incluirá tareas como:

– Designar al equipo auditor.

– Definir el alcance y objetivos de la auditoría con el cliente, teniendo

en cuenta las directrices estratégicas de la organización en la que se

encuadre la función de auditoría.

– Recopilar el material necesario para el trabajo de campo y para el aná-

lisis posterior. Esto puede implicar la preparación de herramientas para

alguna tarea específica durante el trabajo de campo, o la identificación

y estudio previo de algún tipo de documentación.

– Reunirse con el auditado para la reunión de inicio de la auditoría.

– Identificación de los criterios de auditoría, y elaboración de un plan

de la auditoría que identifique el conjunto de pruebas que se van a

realizar, de modo que los criterios estén alineados con los objetivos

y alcance de la auditoría. Estos criterios serán la referencia contra la


que el auditor comparará los hechos que constate durante el trabajo

de campo.

• El trabajo de campo constituye la actividad principal de una auditoría.

Este trabajo consistirá en la ejecución del plan de auditoría realizando las

diversas pruebas de auditoría que buscarán comprobar el modo en que se

cumplen los criterios de la misma.

• Todo trabajo de campo debe culminar en la transferencia al auditado ini-

cialmente, y al cliente de la auditoría finalmente, de los resultados obte-

nidos. Se deberán analizar las pruebas realizadas y determinar si los resul-

tados se pueden catalogar como evidencias de auditoría, es decir, si son

relevantes para determinar conclusiones alineadas con el objetivo de la

auditoría. Estos resultados son contrastados primeramente con el audita-

do, para que pueda dar su opinión y ésta sea reflejada en las conclusiones.

Estas conclusiones serán expuestas normalmente en un documento final

denominado informe de auditoría.

• Las conclusiones de la auditoría deberían llevar al auditado a actuar de

algún modo para corregir los defectos que fueron evidenciados durante la

auditoría. Es recomendable que la organización auditora ofrezca una revi-

sión de los puntos auditados y, llegado el caso, sugiriera de manera general

propuestas de solución al auditado. Sin embargo, deberá vigilar que estas

recomendaciones no comprometan su independencia de cara a la futura

relación con el auditado y otras organizaciones. Debe existir siempre una

clara separación entre el trabajo de auditoría y el de consultoría, especial-

mente en determinados tipos de auditoría que más adelante identificare-

mos.

Finalmente, si nos centramos en la fase principal del proceso de auditoría, la

realización práctica de una auditoría, se ha de tener siempre en cuenta que las

pruebas deberán ser relevantes para el objetivo de la auditoría. Tendrán que ser

seleccionadas de la manera más adecuada para proporcionar la información

necesaria a la hora de emitir una conclusión. La experiencia técnica permiti-

rá a un auditor escoger y realizar las pruebas más adecuadas, facilitando así

la interpretación de resultados y la obtención de evidencias. La elección de

pruebas útiles en este sentido es lo que marcará, en cierto modo, la pericia de

un auditor y lo distinguirá frente a otro. Este es el punto diferenciador que

permitirá a un auditor ser más eficiente en términos de costes y resultados,

puesto que no olvidemos que la función de auditoría también rinde cuentas

económicas en la organización en que se encuadre.


3.1. Tipos de pruebas

El auditor podrá realizar diferentes tipos de pruebas basándose en criterios

técnicos respecto de la materia que está auditando. Sin embargo, desde un

punto de vista más teórico, es interesante destacar que al auditor se le plantea

la posibilidad de realizar dos tipos de pruebas:

• Pruebas de cumplimiento. Tienen como finalidad comprobar el cumpli-

miento del auditado con la normativa que describe el control sobre el pro-

ceso que se está auditando. Es decir, buscan obtener evidencias de que los

controles internos están funcionando.

• Pruebas sustantivas. Tienen una finalidad más práctica y suelen ser necesa-

rias cuando no es suficiente con las pruebas de cumplimiento. Es decir, se

buscan evidencias de cómo el proceso que se quiere controlar es realizado,

de su integridad y del modo en que los controles consiguen realmente sus

objetivos. Con este tipo de pruebas más concretas, se obtienen no sólo las

evidencias del cumplimiento de los controles, sino también las evidencias

de su eficacia.

Es decir, la prueba de cumplimiento busca comprobar si se implementan los

controles tal y como se recoge en la normativa de referencia (puede ser interna

a la organización auditada, o bien externa, como una ley, un reglamento, etc.).

Si los resultados de este tipo de pruebas son satisfactorios, puede hacerse in-

necesaria la realización de pruebas sustantivas, las cuales son inherentemente

más costosas y complejas.

Debe tenerse en cuenta, sobre todo en las pruebas sustantivas, que puede re-

sultar poco práctico o directamente inabarcable realizar una comprobación

exhaustiva o completa. En muchos casos, se impone la necesidad de seleccio-

nar sólo unas cuantas comprobaciones. Esta selección es lo que se denomina

muestreo.

3.2. Muestreo

El muestreo se usa cuando las consideraciones de tiempo y de costo impiden la

verificación completa y total requerida por una prueba sustantiva. En algunas

circunstancias, en una prueba de cumplimiento puede imponerse también la

necesidad de realizar un muestreo. Éste resulta necesario cuando no se tienen

suficientes recursos para realizar las pruebas sobre todos los elementos que se

deberían analizar.


Cuando nos referimos a procesos de muestreo, denominamos población a la

totalidad de los elementos que se deben examinar para realizar las pruebas.

Cualquier subconjunto de esta población se denomina muestra. El muestreo

es un proceso estadístico conocido y usado para inferir características de una

población en base a la observación de un subconjunto representativo.

El muestreo se puede afrontar de dos modos:

• Muestreo estadístico. Es el enfoque más objetivo y más científico, y emplea

las técnicas de las matemáticas estadísticas para calcular el tamaño de las

muestras, seleccionar los objetos de la muestra, evaluar los resultados de

la muestra, y decidir cuantitativamente (con un porcentaje de error) el

grado en que los resultados de la muestra representan a la población total.

Para que un muestreo sea estadístico, cada uno de los elementos de la

población tiene que tener la misma probabilidad de ser seleccionado para

formar parte de la muestra. En los casos en los que se evalúen aspectos

cuantificables, el auditor deberá dominar conceptos estadísticos como:

– Coeficiente o nivel de confianza

– Precisión

– Tasa de error esperado

– Media de la muestra

– Desviación estándar de la muestra

– Tasa tolerable de error

– Desviación estándar de la población

En el entorno de las auditorías relacionadas con la informática, se dan con

relativa poca frecuencia este tipo de muestreos, debido a las características

de las pruebas a realizar o la dificultad extrema de aplicar técnicas estadís-

ticas.

• Muestreo no estadístico o también denominado basado en un criterio. En

este caso, el método de muestreo, el tamaño de la muestra y la selección

de la muestra queda a criterio del auditor, en base a su experiencia y punto

de vista subjetivo. A pesar de ser más subjetivo, resulta más práctico.

En cualquier caso, el proceso que tiene que desarrollar el auditor es:

• Determinar los objetivos de la prueba.

• Definir la población de la que se obtendrá la muestra.

• Determinar el método de muestreo.

• Calcular el tamaño de la muestra.

• Seleccionar la muestra.

• Evaluar la muestra desde la perspectiva de la auditoría.

Este proceso puede conllevar errores, puesto que se sacará una conclusión en

base a una muestra. Sin embargo, estos errores son conocidos por el auditor y,

si la muestra se ha realizado estadísticamente, pueden ser incluso medidos.


3.3. Evidencias de auditoría

La evidencia es cualquier información usada por el auditor para determinar si

algún aspecto del proceso auditado cumple con los criterios de auditoría. Asi-

mismo, la confrontación de las evidencias de auditoría con los criterios permi-

te al auditor concluir si se ha realizado un hallazgo de auditoría. Finalmente,

a la vista de la totalidad de los hallazgos realizados, el auditor podrá emitir un

juicio y dar una conclusión que dé respuesta al objetivo de auditoría.

Por tanto, la importancia de las evidencias es clara. Todo el proceso de audi-

toría se reduce a la realización de pruebas para la recogida de evidencias.

Las evidencias serán cuantitativas o cualitativas, y pueden ser de muchos tipos.

Todo ello dependerá, principalmente, de la naturaleza del tema auditado:

• Observaciones del auditor.

• Notas o actas de entrevistas.

• Documentación: contratos, registros, formularios, etc.

• Resultados de pruebas de auditoría que pueden tener a su vez formas muy

variadas, aunque cada vez más tendrán un soporte informatizado (archivos

informáticos).

Como hemos visto, la evidencia es la piedra angular del trabajo del auditor y,

por lo tanto, debe cumplir con ciertas características:

• Confiabilidad. La confianza en la información facilitada por una evidencia

dependerá de la forma en que ésta se obtenga. Por lo tanto, para que la

confiabilidad en la evidencia sea lo más elevada posible, se deberá evaluar:

– La independencia de la fuente que proporciona la evidencia. Puede

tratarse de una persona o bien de un sistema de información. En am-

bos casos, es lícito evaluar la independencia de la persona en base a

sus relaciones con el auditado o, si es interno, con el área auditada.

En cuanto a un sistema de información, el auditor deberá evaluar la

posibilidad de que haya sido adulterado.

– La objetividad de la evidencia. Cuanta menos interpretación requiera

una evidencia, mayor será su confiabilidad.

– Tiempo de disponibilidad de la evidencia. El auditor deberá asegurarse

de que la evidencia esté disponible para futuras comprobaciones y, en

caso de que pueda destruirse, realizará las copias de manera confiable.

• Relevancia. El auditor se encontrará frente a varias evidencias, pero no

todas serán igual de relevantes para cubrir los objetivos de la auditoría. El


auditor únicamente debería tener en cuenta aquellas que sean relevantes,

y descartar o no considerar de igual modo aquellas que sean relevantes de

manera tangencial.

• Suficiencia. En ciertas evidencias que se basan en la cantidad (por ejemplo,

número de registros no válidos en una base de datos después de haber rea-

lizado una determinada prueba), será necesario disponer de una cantidad

suficiente para poder determinar que se ha realizado un hallazgo. Además

de disponer de una cantidad suficiente, la evidencia deberá estar basada

en hechos objetivos y deberá permitir a un observador correctamente in-

formado llegar a la misma conclusión que el auditor. Sólo en este caso, la

evidencia podrá ser considerada como suficiente. Como se ve, la suficien-

cia no está exclusivamente relacionada con la cantidad, aunque puede ser

necesario que la cantidad esté presente para obtener la suficiencia.

• Competencia. Además de suficiencia, toda evidencia debe tener también

la característica de competencia. Se entiende por competencia la caracte-

rística de calidad de la evidencia, es decir, su capacidad para permitir al

auditor determinar si ha realizado o no un hallazgo de auditoría. A veces,

se decide que una evidencia es competente cuando es válida, relevante y

confiable.

3.4. Hallazgo de auditoría

Las evidencias que cumplan las características de suficiencia y competencia se

confrontarán contra los criterios de auditoría para determinar si se ha realizado

un hallazgo o no y de qué tipo.

Los hallazgos se pueden clasificar como:

• No conformidades (puede existir algún tipo de nivel de gradación).

• Posibilidades de mejora.

• Conformidades. Confirman que el criterio de auditoría se cumple.

3.5. Riesgo de auditoría

La tarea de determinar cuándo una o varias evidencias respaldan un hallazgo

(que llevará a unas conclusiones de auditoría) conlleva un riesgo inherente de

error. Es el riesgo de que el auditor concluya de manera errónea. El auditor

debe conocer este riesgo, denominado riesgo de auditoría.

Intervienen muchos factores que inciden en este riesgo de auditoría:

• El muestreo. Se trata de una actividad que se realizará prácticamente en

todas las asignaciones de auditoría a las que se enfrente un auditor en su

carrera profesional. El muestreo puede deberse a una planificación muy


ajustada, a una falta de recursos o sencillamente al hecho de enfrentarse a

un número total y potencial de pruebas a realizar totalmente desorbitado.

• Evaluación errónea de la/s evidencia/s. Ya sea por falta de experiencia, o

porque la evidencia resultó no ser confiable, existe la posibilidad de que

el auditor interprete incorrectamente la evidencia.

• Falta de suficientes evidencias.

En todos los casos, el auditor deberá ser consciente de los riesgos y reconocer

que existe un riesgo de error al emitir su juicio de auditoría. Pero, de todos mo-

dos, el hecho de realizar la auditoría ajustándose a planes de trabajo, siguiendo

metodologías reconocidas y respetando los códigos éticos de la profesión, da

garantías al auditor a la hora de valorar los hallazgos y emitir sus conclusiones.


4. Programa de auditoría

Hasta ahora, hemos estado hablando de auditoría como una actividad aislada

que se realiza una única vez, o quizá más veces, pero sin existir un objetivo

estratégico para la actividad general de auditoría ni unas relaciones entre varias

auditorías.

En muchas ocasiones, las organizaciones sólo se plantean esta actividad en

momentos puntuales, sobre todo cuando se trata de auditorías de segundas

o terceras partes. En estas situaciones, el cliente encarga la auditoría en un

momento dado y, una vez ejecutada, adopta las acciones que tenga previstas

y la relación con el auditor finaliza aquí.

Sin embargo, las mayores fortalezas y beneficios de la auditoría surgen cuando

éstas se suceden en el tiempo y se encuentran enmarcadas en lo que se deno-

mina programa de auditoría. Estos programas suelen surgir en organizaciones

en las que los sistemas de gestión están ampliamente implantados y entendi-

dos. Por lo tanto, es muy habitual encontrarnos con programas de auditorías

tanto de primera como de terceras partes en el contexto de sistemas de gestión

de la calidad, medioambiental, o también de seguridad de la información.

Estos sistemas están basados en la implantación de un proceso continuo de

mejora que suele ser conocido como ciclo PDCA (o ciclo de Deming o Shew-

hart). El ciclo PDCA está formado por cuatro procesos que se van repitiendo

de forma iterativa para el control de un sistema: planificar, implementar (para

llevar a cabo lo planificado), comprobar (para analizar el funcionamiento de

lo implantado) y actuar (en base a la revisión realizada).

En este ciclo, es necesaria la realización de auditorías de primera parte en la

fase comprobar. Por otra parte, puesto que este ciclo PDCA se debe realizar

continuamente para garantizar el correcto control del proceso en cuestión, la

realización de auditorías es también continua. Estas auditorías no se realizan

de manera independiente unas de otras, sino que más bien son organizadas

por los responsables de gestionar la función de auditoría en la organización.

Es en este contexto donde se crean programas de auditoría, que no son más

que un conjunto de auditorías planificadas para un periodo de tiempo y con

un objetivo de auditoría de alto nivel común, aunque cada una de ellas tengo

uno más específico.

4.1. Beneficios de implementar un programa de auditoría

Dentro de este contexto, los responsables de auditoría tienen la posibilidad de

obtener ciertos beneficios de desarrollar este programa:


• Los programas de auditoría pueden asistir a los gestores de la función de

auditoría en la planificación del esfuerzo y la asignación de recursos. Por

ejemplo, la gerencia dispondrá de información previa para poder estimar

el esfuerzo requerido para realizar una auditoría basándose en la cantidad

de tiempo dedicado en anteriores auditorías.

• Se promueve la consistencia en la manera de actuar de los auditores y per-

mite ir refinando las técnicas e ir mejorando la capacitación del personal

auditor, lo que redunda en una mejor calidad del trabajo (menos errores

de auditoría). Durante la planificación y la preparación para una auditoría,

los materiales (guías, listas de comprobación, herramientas, equipos espe-

cíficos, etc.) usados durante anteriores asignaciones pueden ser empleados

generalmente como la base para los pasos que se realizarán durante la ac-

tual. Esto no se aplica, obviamente, en los casos en que se audite un pro-

ceso que nunca antes se ha revisado, o donde el proceso ha cambiado per-

ceptiblemente. En estos casos, los materiales deben ser creados desde cero.

• Se maximizan los recursos de auditoría y se permite obtener mejores re-

sultados. Distribuyendo en el tiempo distintas auditorías, se pueden pla-

nificar mejor los recursos.

Una organización que necesite realizar auditorías continuas para verificar los

controles aplicados a un proceso debería implementar y gestionar un progra-

ma de auditoría efectivo. El propósito de un programa es planear el tipo y nú-

mero de auditorías, e identificar y suministrar los recursos necesarios para rea-

lizarlas. El programa de auditoría puede incluir auditorías con una gran varie-

dad de objetivos, establecerse más de un programa de auditoría, y el número

de auditorías que contenga el programa dependerá mucho del tamaño, natu-

raleza y complejidad de la organización por auditar.

Programas de auditoría para mediana empresa

Por ejemplo, una organización de un tamaño medio (por encima de las 100 personas)que tuviera implantado un sistema para la gestión de la seguridad de la informaciónpodría plantearse los siguientes programas de auditoría, para revisar de manera continualos principales puntos de su sistema:

• Verificación anual de la conformidad del sistema con la Norma ISO27001:2005.• Auditorías trimestrales del funcionamiento de los controles de seguridad lógica.• Auditoría anual del estado de los controles de seguridad física.• Revisión anual del plan de continuidad y de sus pruebas.

4.2. Implementación de un programa de auditoría

La forma de implementar y gestionar un programa de auditoría que hemos

repasado no difiere de la implantación de cualquier otro sistema de gestión

que pretenda controlar una actividad. El sistema debe poner en valor tanto

las fases que se planifican y las que se ejecutan, como las posteriores fases

de revisión de la ejecución y extracción de conclusiones. Esto no es más que


aplicar un ciclo de gestión PDCA (Deming) a la función de auditoría de una

organización, lo cual nos permite ver el proceso de gestión del programa de

auditoría como un ciclo que se refleja en el siguiente diagrama.

Diagrama general de la gestión de un programa de auditoría

Tal y como puede verse, la gestión de un programa de auditoría es un proceso

que va más allá de simplemente planificar las auditorías que se van a realizar

a lo largo de una determinada ventana de tiempo. Se trata, más bien, de un

sistema de gestión que pretende controlar de manera continua el proceso de

auditoría. Por lo tanto, sería lógico que se integrara con los procesos que pre-

tende verificar y que siguen la misma filosofía de gestión, como podría ser la

gestión de la calidad, la gestión medioambiental, la gestión de los sistemas de

información, o de la seguridad de la información. Integrar la auditoría con

los distintos sistemas de gestión de una organización ayuda a incrementar su

eficacia y eficiencia, puesto que gran parte del conocimiento necesario (todo

lo relativo a las generalidad de la auditoría y de la gestión del programa) es co-

mún y controlado por unos mismos responsables. Esto conlleva la necesidad

de que estos sistemas de gestión implementen una nueva función organizati-

va: la de auditoría (también se suele denominar control interno). Esta función

tendrá como objetivo realizar todos los procesos que permitan comprobar que

se están aplicando los controles internos sobre el resto de los procesos de la

organización.

En el caso que se decida crear una función de auditoría para que gestione

un programa de auditoría, la dirección de la organización debería oficializar

esta función, y dotarla de autoridad para dirigir el programa de auditoría e

implementar un sistema que ejecute las fases descritas en el diagrama.


Los responsables del programa de auditoría tendrán que planificar y dirigir el

proceso de auditoría continua en la organización. Por lo tanto, deberán:

1) Establecer los objetivos y la extensión del programa de auditoría. Estos ob-

jetivos se pueden basar en:

• Estrategia y prioridades de la dirección.

• Requisitos del sistema de gestión (si los controles a auditar se encuentran

certificados).

• Requisitos reglamentarios o contractuales.

• Necesidad de evaluación de proveedores.

• Requisitos de los clientes.

• Necesidades de las partes interesadas.

• Riesgos potenciales para la organización.

La extensión o el alcance de un programa de auditoría puede variar, tal y como

hemos dicho, por varios factores:

• El alcance, el objetivo y la duración de cada auditoría.

• La frecuencia de las auditorías.

• El tamaño, la naturaleza y la complejidad de la organización auditada.

• El número, la importancia, la complejidad, la similitud y la ubicación de

las actividades por auditar.

• Normas, requisitos reglamentarios y contractuales, y otros criterios de au-

ditoría.

• Necesidad de acreditación o certificación/registro.

• Los resultados de las auditorías previas o la revisión del programa de au-

ditoría previo.

• Aspectos lingüísticos, culturales y sociales.

• Preocupaciones de las partes interesadas.

• Cambios significativos para una organización o sus operaciones.

Todos estos factores pueden variar incluso durante el periodo de tiempo en

que se está ejecutando un programa, por lo que es necesario que el programa

sea gestionado de manera continua. Más adelante, veremos algunos aspectos

relacionados con la gestión continua del mismo.

2) Establecer las responsabilidades. Las personas a quienes se asigne la respon-

sabilidad de dirigir el programa de auditoría habrán de definir, implementar,

hacer seguimiento, revisar y mejorar el programa de auditoría. Además, desde

el punto de vista del día a día, deberán identificar y suministrar los recursos

para el programa de auditoría.

Es por ello que la responsabilidad de la gestión de un programa de auditoría

debería asignarse a una o más personas con las siguientes características:


• Conocimientos generales de los principios de la auditoría.

• Conocimiento de la competencia de los auditores disponibles en los con-

ceptos generales de auditoría y en la aplicación de técnicas de auditoría,

así como en los aspectos técnicos que hayan de auditar.

• Habilidades para la gestión.

• Conocimientos técnicos y del negocio pertinentes para las actividades que

van a auditarse.

3) Estimar y planificar los recursos necesarios. A la hora de determinar los re-

cursos necesarios para la implementación del programa, los responsables de-

berían considerar aspectos como los siguientes:

• Los recursos financieros necesarios para el desarrollo, la implementación,

la gestión y la mejora de las actividades de auditoría. Para presupuestar

correctamente el programa, es necesario que dispongan de conocimientos

sobre gestión de recursos y toda información de pasados programas que

pudiera existir.

• Las técnicas de auditoría que se deberán aplicar, puesto que puede que los

auditores no dispongan de la capacitación necesaria y/o de las herramien-

tas o técnicas necesarias.

• Los procesos para lograr y mantener la competencia de los auditores, y

mejorar la calidad y rendimiento del trabajo de éstos.

• La disponibilidad de los auditores y expertos técnicos que posean la com-

petencia apropiada para los objetivos del programa de auditoría particular.

• La duración prevista de las auditorías.

• Los tiempos de desplazamiento, el alojamiento y otras necesidades logís-

ticas durante la realización de la auditoría.

4) Asegurar la implementación del programa de auditoría. La implementación

del programa de auditoría va más allá de la simple ejecución de las auditorías

que se han programado. Estas tareas implican gestionar y controlar la función

de auditoría realizando las siguientes tareas:

• Comunicar el programa de auditoría a las partes pertinentes. Existe una

labor necesaria de comunicación y divulgación a la dirección de los obje-

tivos generales del programa y de los específicos de cada una de las audi-

torías.


• Coordinar y programar las auditorías y otras actividades del programa de

auditoría. Es decir, controlar el proceso de ejecución de las distintas partes

del programa:

– Planificación y asignación de los recursos a los distintos equipos au-

ditores.

– Control de ejecución de acuerdo con los objetivos del programa.

– Evaluación de las auditorías. Este aspecto vendría a ser la "auditoría"

de la ejecución de la auditoría.

– Revisión de los informes de auditoría y comunicación a los clientes y

partes interesadas.

– Asegurar que se realizan las acciones complementarias de la auditoría,

en el caso de que sean aplicables (por ejemplo, revisiones o nuevas

auditorías después de periodos de corrección de no conformidades).

• Establecer y mantener un proceso para la evaluación inicial y progresiva de

los auditores. Este proceso evaluará sus necesidades de formación y desa-

rrollo profesional, de modo que sean competentes en la materia y se vaya

adecuando su capacitación a las circunstancias evolutivas de los mercados.

Durante la ejecución de un programa de auditoría, en una organización, exis-

te la posibilidad de que dos o más organizaciones auditoras puedan cooperar

en la realización de una auditoría conjunta. En este caso, se debería prestar

atención especial a la división de responsabilidades, el suministro de recursos

adicionales, la competencia adicional necesaria en el equipo de auditoría y los

procedimientos apropiados. Se debería llegar a un acuerdo sobre estos proce-

dimientos y otros aspectos de orden práctico antes de comenzar la auditoría.

5) Hacer seguimiento, revisar y mejorar el programa de auditoría. El programa

de auditoría necesita un mantenimiento continuo para adecuarlo a cambios

en la organización, las tecnologías o, simplemente, a las conclusiones que se

saquen respecto a cómo se está desarrollando. Por lo tanto, es recomendable

que, a intervalos apropiados, se realice una revisión del programa para evaluar

si sus objetivos se han cumplido, y para identificar oportunidades de mejora.


Ejemplos de seguimiento

Este seguimiento se puede realizar, por ejemplo, midiendo y revisando:

• La capacitación de los equipos auditores para implementar el plan de auditoría. Paraello, se deberá tener un control sobre el modo en que han desarrollado sus activida-des, su formación actual y los cambios en el entorno que no queden cubiertos porlas capacidades actuales de los auditores.

• La conformidad de la ejecución de las auditorías con las previsiones de los programasy cronogramas previstos para cada auditoría.

• La satisfacción de los clientes de la auditoría, de los auditados y de los auditores.

Estos indicadores deben servir para identificar los puntos de mejora del programa deauditoría y para diseñar las acciones correctivas que permitan alinear mejor el programade auditoría con las necesidades del cliente.


5. Estandarización de la labor de auditoría

Ya hemos visto que una de las principales características del proceso de audi-

toría tiene que ser la objetividad y la sistematización del proceso. Esto permite

que las conclusiones de la auditoría sean independientes de la subjetividad del

auditor. Estas dos características hacen que sea posible plantearse describir la

tarea de auditoría desde un punto de vista teórico o independiente del ámbito

concreto auditado. Por lo tanto, es posible dar ciertos parámetros, aspectos y

elementos que son comunes a cualquier ámbito auditado, o al menos que lo

son dentro de un cierto ámbito muy general.

Esta posibilidad de uniformizar las características del proceso de auditoría se

encuentra reflejada en el hecho de que existen estándares cuyo objetivo es

dar las guías de cómo debe realizarse la labor de auditoría para preservar las

características de objetividad y sistematización del proceso.

La realidad es que el conjunto de estándares es muy amplio. La labor de audi-

toría en un sector ha conllevado casi siempre la publicación de estándares de

auditoría aplicables al menos en su sector, y a veces extensibles a otros. Estos

estándares son publicados por parte de entidades con más o menos prestigio

en su sector y con capacidad para imponer sus estándares.

Podemos destacar algunos de los organismos que más actividad normativa

han realizado en el tema de la auditoría.

5.1. AICPA (American Institute of Certified Public Accountants)

El AICPA es la asociación norteamericana de los auditores públicos de cuentas,

aunque no todos sus miembros son auditores públicos de cuentas.

Aunque el ámbito de la auditoría de cuentas no es el que nos ocupa, merece

la pena destacar la actividad del AICPA, tanto por la larga historia de labor de

estandarización que ha realizado como por ser la iniciadora, en parte, de la

auditoría de sistemas de información.

La función fundamental del AICPA es promover la profesión de la auditoría

de cuentas. Para lograr esto, tiene una variedad de funciones, entre las cuales

nos interesa la de elaboración de estándares profesionales para la auditoría

del estado de cuentas y otros tipos de auditorías financieras o relacionadas.

Existe un gran número de estos estándares. Se pueden obtener en la bibliote-

ca electrónica de la Universidad de Mississipi, buscando por el título "AICPA

Professional Standards: U. S. Auditing Standards–AICPA" e, individualmente,

http://umiss.lib.olemiss.edu:82/


buscando por "Statement on Auditing Standard". Entre los estándares que po-

demos encontrar aquí, es interesante destacar los siguientes por tener relación

con la auditoría de sistemas de información:

• SAS55 (enmendado por SAS78) "Consideration of Internal Control in a

Financial Statement Audit". Este estándar requiere al auditor obtener un

conocimiento y comprensión de los mecanismos de control interno de

una entidad que le permita, primero, planificar una auditoría y, segundo,

identificar los controles más relevantes y evaluarlos posteriormente. En

este contexto, debe tenerse en cuenta que la normativa financiera exige

que se realicen ciertas provisiones para prever riesgos operacionales, en-

tre los que se incluyen los riesgos que introduce el tratamiento de datos

financieros mediante sistemas de información. Por lo tanto, la evaluación

de los controles internos, para garantizar la corrección de las cuentas y la

inexistencia de errores o fraudes, debe por fuerza incluir la auditoría de los

sistemas de información.

• SAS70 (enmendado por SAS78) "Reports on the Processing of Transactions

by Service Organizations" o también conocido como "Service Organiza-

tions". Se entiende como "Service Organizations" organizaciones que pres-

tan un servicio al auditado relevante para su sistema de control interno. Es

decir, se trata de organizaciones que ofrecen servicios (muy habitualmen-

te, los sistemas de información) externalizados por otras organizaciones,

los cuales son relevantes para la exactitud de las cuentas. Por lo tanto, el

SAS70 será aplicable en escenarios como: proveedores de comunicaciones,

proveedores de aplicaciones como un servicio totalmente externalizado

(se le conoce como modo ASP: Application Service Provider, o también

como SaaS: Software as a Service), servicios de seguridad gestionada (tanto

lógica como física), etc.

El SAS70 define los estándares que debe seguir un auditor para la compro-

bación de los controles internos en una organización que presta servicios

externalizados por otras. Asimismo, define la forma que debe cumplir el

informe de auditoría que se genere para que pueda ser utilizado en otra

auditoría en la organización que ha externalizado el servicio.

La relevancia de este estándar proviene de la necesidad de cumplir con el

SAS55 (y SAS78), que obliga a que cada auditoría en una organización in-

cluya también una auditoría en las organizaciones donde se ha externali-

zado un servicio. El cumplimiento de este estándar implicaría innumera-

bles auditorías en las organizaciones proveedoras de servicios. Para evitar

esto y reducir los costes de las auditorías, el SAS70 da las directrices sobre

la realización y el reporte de las auditorías en organizaciones de servicios,

para que sus resultados puedan ser comunicados y utilizados por las orga-

nizaciones que externalizan el servicio.

• SAS94 "The effect of Information Technology on the Auditor's Conside-

ration of Internal Control in a Financial Statement Audit". Este estándar

obliga al auditor a poner especial atención en el papel que juegan los sis-


temas de información en el proceso de control del estado financiero de

una entidad.

Como se puede observar, el grado de detalle que ofrecen los estándares del

AICPA es muy elevado. Llega incluso a puntos tan concretos como indicar qué

tipo de contenido debe estar incluido y en qué apartados específicos de un

tipo de informe particular (por ejemplo, uno de SAS70).

Debido a su exhaustividad y complejidad, estos estándares sólo han sido apli-

cados en Estados Unidos. Más concretamente, se han aplicado en el ámbito

de auditorías financieras y de cumplimiento con normativa legal también del

sector, como por ejemplo la Sarbanes-Oxley Act. Su uso no se ha extendido

a España.

5.2. ISO (International Organization for Standarization)

Como ya hemos comprobado en el apartado anterior, existen organizaciones

que tienen un gran control sobre el trabajo que se realiza con arreglo a sus

estándares. En el otro extremo, se encuentran organizaciones que dan guías,

buenas prácticas y estándares relevantes para el proceso de auditoría, pero con

un afán de ser más universales. Entre ellas, se encuentra la ISO (Internacional

Organization for Standarization), que ha desarrollado al respecto ciertas nor-

mas que son de nuestro interés.

Dentro del ámbito de la certificación de sistemas de gestión de calidad (ISO

9001) y medio ambiental (ISO 14001), ISO ha realizado un esfuerzo extra para

sistemizar la auditoría de los mismos. Por ello, se ha definido un estándar que

da las directrices para la auditoría de los sistemas de gestión de la calidad y

ambiental, la Norma ISO 19011. Aunque esta norma se ha desarrollado ini-

cialmente para la auditoría de esos tipos de sistemas de gestión, sus directrices

se pueden ampliar a las auditorías de otros tipos de sistemas de gestión y otros

ámbitos.

Por una parte, el estándar es fácilmente aplicable para la auditoría de cualquier

tipo de sistema de gestión basado en el ciclo PDCA en los términos que ISO

ha definido. En particular, el estándar es fácilmente aplicable a los sistemas

de gestión de la seguridad de la información sin grandes modificaciones. Ade-

más, los términos que ISO ha definido se repiten en las Normas ISO 9001,

ISO 14001, ISO 27001, y futuras relacionadas con la continuidad de negocio

ISO25999, gestión de servicios IT, y familia ISO20000. Esta es la razón por la

que la ISO 19011 está siendo empleada para la elaboración del estándar ISO/

IEC 27007 (Information Technology - Security techniques - Guidelines for In-

formation Security Management Systems Auditing), el cual se encuentra to-

davía (a fecha del 2009) en fase de borrador. Este estándar se engloba en la


familia de normas dedicadas a la seguridad de la información, y tendrá como

objeto definir y dar guías para la auditoría de los sistemas de gestión de la se-

guridad de la información.

Por otra parte, si se observa la Norma ISO 19011 desde el punto de vista de un

auditor con experiencia, se detectan elementos generales y comunes a otros

estándares y códigos profesionales, lo que nos confirma su capacidad de servir

como guía para asuntos como la auditoría de sistemas de información.

Respecto a la auditoría de sistemas de información y de sistemas de gestión

de la seguridad de la información, conviene destacar que tanto la Norma ISO

19011 como la futura Norma más específica ISO/IEC 27007, en desarrollo, son

completamente aplicables a cualquiera de los tipos de auditoría descritos ini-

cialmente. Es decir, son aplicables a auditorías de primera, segunda y tercera

parte. Sin embargo, se tiene que destacar que las auditorías de tercera parte

tienen un tratamiento especial por parte de ISO. Cuando se habla de audito-

rías de tercera parte de un sistema de gestión, se entiende que los criterios de

auditoría son los que están reflejados en algún tipo de norma o legislación. En

lo que corresponde a los sistemas de gestión que están normalizados por ISO,

en cada una de las familias de Normas (ISO9000, 14000 o 27000) existe una

norma específica para definir los requerimientos de un sistema de gestión (las

ISO 9001, ISO 14001, y ISO/IEC 27001). Las auditorías que buscan comprobar

el sistema de gestión implantado en una organización, para controlar una de-

terminada actividad, son denominadas auditorías de certificación, y son rea-

lizadas por organizaciones que están fuertemente reguladas: las entidades de

certificación.

Estas entidades de certificación tienen que demostrar su verdadera indepen-

dencia para que los dictámenes que realicen (auditorías de certificación) sean

tomados en consideración por el mercado. Es decir, tienen que demostrar su

independencia para que los resultados de sus auditorías sean reconocidos por

una organización distinta del auditado y el auditor. Por lo tanto, estas entida-

des deberán gestionar sus propios procesos de auditoría de acuerdo con, no ya

unas directrices o guías (que es lo que son las Normas ISO 19011 e ISO/IEC

27007), sino con una norma o conjunto de requisitos definidos por un cuerpo

normativo superior. Este cuerpo normativo superior puede ser, por ejemplo

ISO, internacional, o también de ámbito nacional, como AENOR en España.

Se habla entonces de que la entidad de certificación tiene que estar acreditada

por otra entidad, que se denomina entidad de acreditación, para realizar au-

ditorías de certificación contra una norma.

Esta relación entidad de certificación / entidad de acreditación viene a cubrir

una necesidad obvia, que es: ¿quién audita al auditor? Tal y como acabamos de

decir, este problema sólo está correctamente resuelto para unos cuantos tipos

de auditorías, como las auditorías de cuentas o auditorías de certificación. Es-

tas auditorías de certificación son realizadas por entidades de certificación que

no son más que empresas (pocas son organismos públicos, aunque también


podrían serlo) que han pasado un proceso de auditoría por parte de una enti-

dad de acreditación. La entidad de acreditación certifica que la empresa realiza

las asignaciones de auditoría con arreglo a ciertos estándares, como la Norma

ISO 17021, que especifica los requisitos (en el ámbito de las normas de la fa-

milia ISO 27001, le complementaría la Norma ISO/IEC 27006). Este proceso

se denomina de acreditación, porque acredita a la entidad de certificación a

realizar un cierto trabajo y que sus conclusiones de auditoría sean reconocidas

dentro del ámbito de reconocimiento que tenga la entidad de acreditación.

Es interesante constatar que la Norma ISO 17021 es más estricta que la ISO

19011, y da los requisitos para que tanto el auditado como los potenciales

interesados en los resultados de la auditoría puedan confiar en la entidad de

certificación. Esta confianza se garantiza mediante el aseguramiento de los

principios de:

• Imparcialidad.

• Competencia a la hora de realizar las auditorías.

• Responsabilidad.

• Publicidad.

• Confidencialidad.

• Capacidad para resolución de los conflictos con los auditados.

Los requerimientos que impone son variados y amplios como:

• Legales.

• Organizativos.

• Gestión de la documentación (formatos, registros, etc.) e información (ti-

po de información que debe ser revelada y tipo que debe ser confidencial)

relacionada con la auditoría de certificación.

• Forma en la que se debe realizar la auditoría de certificación y el programa

de auditoría que se debe implantar.

Gracias a estos puntos, el trabajo de la entidad de certificación puede gozar

de un reconocimiento dentro de un ámbito que dependerá, en cierta medida,

de la entidad de acreditación. Habitualmente, las entidades de acreditación

son entidades públicas, por lo que este reconocimiento suele tener siempre un

carácter nacional. Posteriormente, las entidades de acreditación se reconocen

Publicidad

En el sentido de hacer públicala información que se puedarevelar a los interesados, comopor ejemplo el estatus de uncertificado emitido por ella.

Aspectos organizativos

Se refiere a estructuras y dota-ción en cuanto a recursos hu-manos.


mutuamente y, de este modo, la acreditación obtenida por una entidad de

certificación tendrá un alcance más amplio y, consecuentemente, también los

resultados de auditoría que obtenga.

Normalmente, cada país tiene sus propias entidades de acreditación, y éstas se

reconocen mutuamente o se agrupan en entidades supranacionales que "vigi-

lan" a estas entidades nacionales. En definitiva, es una cadena de confianza

que, en la práctica, tampoco aporta mucha certeza sobre la calidad puntual de

un trabajo de auditoría, pero sí de manera general sobre el comportamiento y

tratamiento profesional de todos los elementos de la cadena: entidad de acre-

ditación - entidades de certificación - auditado.

En otro tipo de auditorías no relacionadas con certificaciones, como auditorías

de primera parte realizadas por una organización externa (por falta de recursos

o conocimientos en la organización auditada), no existen estas entidades de

control. En este caso, para garantizar la calidad del trabajo de auditoría, no hay

más recursos que confiar en las certificaciones profesionales de terceros. Estas

certificaciones profesionales permiten tener una opinión sobre la calidad del

trabajo que es capaz de realizar un auditor a título individual. Por el momento,

no existe un esquema como la acreditación que sea aplicable en el sector de

las auditorías de primera parte realizadas por un externo.

En este último caso, la fiabilidad y el grado de confianza que da una certifica-

ción profesional lo da el mercado. Actualmente, en el ámbito de la seguridad

de la información, hay dos certificaciones destacables:

• CISA de ISACA

• CISSP de ISCC (Information Systems Security Certification Consortium,

Inc.)

Estas certificaciones se obtienen en un momento dado, y luego la persona

certificada tiene que mantener la certificación acreditando que se continúa

formando. Pero estas entidades no responden de ningún modo sobre el trabajo

que realiza un auditor, y no realizan controles sobre los trabajos que estos

profesionales realicen.

A continuación, se facilita un listado de las entidades de acreditación más

relevantes en nuestro entorno:

ArgentinaOrganismo Argentino de Acreditacion (OAA)

LuxemburgoLuxembourg Office of Accreditation (OLAS)

AustriaFederal Ministry for Economic Affairs and Labor (BMWA)

MalasiaDepartment of Standards Malaysia (DSM)

Australia�y�Nueva�ZelandaJoint Accreditation System of Australia and New Zealand (JAS-ANZ)

MauricioMauritias Accreditation Service (MAURITAS)

http://www.oaa.org.ar

http://www.olas.public.lu

http://www.bmwa.gv.at

http://www.dsm.gov.my

http://www.jas-anz.com.au

http://ncb.intnet.mu/indcom


BélgicaBelgian Accreditation System for Bodies Operating Certification of Pro-ducts, Quality Systems or Persons (BELCERT)

MéxicoMexican Accreditation Entity (EMA)

BrasilGeneral Coordination for Accreditation - Cgcre, of National Institute ofMetrology, Standardization and Industrial Quality (INMETRO)

Países�BajosDutch Accreditation Council (RvA)

CanadáStandards Council of Canada (SCC)

NoruegaNorwegian Accreditation (NA)

ChileInstituto Nacional de Normalizacion (INN)

PakistánPakistan National Accreditation Council (PNAC)

República�ChecaCzech Accreditation Institute (CAI)

FilipinasBureau of Product Standards Accreditation Scheme

ChinaChina National Accreditation Board for Certifiers (CNAB)

PoloniaPolish Centre for Accreditation (PCA)

DinamarcaDanish Accreditation (DANAK)

RumaniaRomanian Accreditation Association (Asociatia de Acreditaredin Romania (RENAR)

FinlandiaThe Finnish Accreditation Service (FINAS)

SingapurSingapore Accreditation Council (SAC)

FranciaComite Francais d'Accreditation (COFRAC)

EslovaquiaSlovak National Accreditation Service (SNAS)

GreciaHellenic Accreditation System S. A. (ESYD)

EsloveniaSlovenska Akreditacija (S. A.)

AlemaniaGerman Accreditation Council (DAR)

SudáfricaSouth African National Accreditation System (SANAS)

Hong�Kong,�ChinaHong Kong Accreditation Service (HKAS)

Corea�del�SurRepublic of Korea Accreditation System (KAS)

IndiaNational Accreditation Board for Certification Bodies (NABCB)

EspañaEntidad Nacional de Acreditacion (ENAC)

IndonesiaKomite Akreditasi Nasional (KAN)

SueciaSwedish Board for Accreditation and Conformity Assessment(SWEDAC)

IránIran Accreditation System (IAS)

SuizaSwiss Accreditation Service (SAS)

IrlandaThe Irish National Accreditation Board (INAB)

TaipeiTaiwan Accreditation Foundation (TAF)

ItaliaSistema Nazionale di Accreditamento degli Organsimi di Certificazionee Ispezione - Italian Federation for Accreditation (SINCERT-FIDEA)

TailandiaNational Accreditation Council of Thailand (NAC)

JapónThe Japan Accreditation Board for Conformity Assessment (JAB)

Reino�UnidoUnited Kingdom Accreditation Service (UKAS)

Estados�UnidosANSI-ASQ National Accreditation Board (ANAB)

http://mineco.fgov.be/organization_market/accreditation/belcert/home_en.htm

http://mineco.fgov.be/organization_market/accreditation/belcert/home_en.htm

http://www.ema.org.mx

http://inmetro.gov.br

http://inmetro.gov.br

http://www.rva.nl/

http://www.scc.ca

http://www.akkrediter.no/

http://www.inn.cl

http://www.pnac.org.pk/

http://www.cai.cz/

http://www.dti.gov.ph/bbs/

http://www.cnab.org.cn/

http://www.pca.gov.pl/

http://www.danak.org/

http://www.renar.ro/

http://www.renar.ro/

http://www.finas.fl/

http://www.sac-accreditation.org.sg/

http://cofrac.fr/

http://www.snas.sk/

http://www.esyd.gr/

http://www.gov.si/sa

http://www.dar.bam.de/

http://www.sanas.co.za/

http://www.info.gov.hk/itc/hkas

http://www.ats.go.kr/

http://www.qcin.org/

http://www.enac.es/

http://www.bsn.or.idn/

http://www.swedac.se/sdd/SwInternet.nsf

http://www.swedac.se/sdd/SwInternet.nsf

http://www.ias.or.ir

http://www.sas.ch/

http://www.inab.ie/

http://www.taftw.org.tw/

http://www.sincert.it/

http://www.sincert.it/

http://www.tisi.go.th/

http://www.jab.or.jp/

http://www.ukas.com/

http://www.anab.org/


5.3. ISACA (Information Systems Audit and Control Association)

Otro de los esfuerzos que merecen ser destacados es la labor de la ISACA (In-

formation Systems Audit and Control Association), aunque no se tratará en

este apartado por encontrarse más desarrollado en otro módulo de este curso.


6. Gobierno de las TIC

La Organización para la Cooperación y el Desarrollo Económicos (OCDE),

cuando emitió sus "Principios del Gobierno Corporativo" (1999), definió el

gobierno corporativo como "el sistema por el cual las corporaciones de negocio

son dirigidas y controladas". Cada país en la OCDE está desarrollando, a dife-

rentes velocidades, sus propios esquemas para el control del gobierno corpo-

rativo, reflejando su propia cultura y requisitos. Dentro de su acercamiento al

gobierno corporativo, cada organización tiene que determinar cómo maneja-

rá su información. Aquí, la información es entendida como la combinación

tanto de los activos de la información base de su modelo de negocio, como

de la tecnología de información que los trata. Esta necesidad ha conducido

a la aparición del gobierno de las TIC (tecnologías de la información y comu-

nicaciones) como componente específico, y cada vez más importante, de la

cultura de gobierno de una organización.

Habitualmente, se define gobierno como "el marco para la dirección (estruc-

turas organizativas, y procesos del negocio, estándares y la conformidad con

respecto a estos estándares) que se asegura de que los sistemas de información

y comunicaciones de la organización apoyen y permitan el logro de sus estra-

tegias y objetivos".

Una organización puede estar interesada en implantar estrategias para el go-

bierno TIC por distintos motivos:

• Requerimientos legales, regulatorios o sectoriales.

Ejemplo

La Ley Sarbanes-Oxley para las empresas cotizadas en Estados Unidos, o los acuerdos deBasilea II en el marco europeo.

• Aumento creciente del valor del capital intelectual de una organización.

• Necesidad de alinear la evolución de los sistemas de información con los

objetivos estratégicos del negocio, y asegurar que proporcionan los bene-

ficios planificados.

• Proliferación y progresiva complicación de las amenazas a la información,

con el consecuente impacto en la reputación, beneficio y rentabilidad del

negocio.

Hay dos factores fundamentales en la gestión efectiva de los riesgos relacio-

nados con las TIC. El primero está relacionado con el despliegue de las TIC

de forma alineada con los objetivos de negocio. Los proyectos TIC represen-


tan, a menudo, una importante inversión de recursos financieros y humanos.

Por tanto, los intereses de los propietarios del negocio deberían defenderse

mediante mecanismos de control interno que garanticen, de manera transpa-

rente y eficaz, que las TIC son planificadas, gestionadas, y monitorizadas ade-

cuadamente. Esto implica que los administradores del negocio deben tener en

cuenta los riesgos que les puedan afectar y que puedan tener impacto en el ne-

gocio. El segundo factor es, en sí mismo, cómo estos riesgos son gestionados.

Es evidente que la seguridad de la información es un componente dominante

del gobierno TIC. Cuando las TIC y la información en sí misma se convierten

en el factor determinante de la estrategia de negocio, y en determinados casos

en la misma piedra angular del modelo de negocio, la seguridad de las mismas

se convierte en una de las preocupaciones básicas de las juntas de dirección

de las organizaciones.

Se tiene que destacar que la auditoría de sistemas de información nació antes

de que se definiera el concepto de gobierno de las TIC. Surgió como una ne-

cesidad durante el proceso de auditoría financiera. Con el progresivo auge de

los sistemas de información, los auditores de cuentas tenían que confiar cada

vez más en la exactitud de los datos proporcionados por los sistemas, y cada

vez menos en lo que se encontraban en soportes tangibles (libros de cuentas,

extractos, facturas, albaranes, etc.). Esto era así sobre todo por el enorme volu-

men de datos, y también por su progresiva desaparición debido al incremento

de las transacciones puramente electrónicas. Por lo tanto, resultó necesario

desde el primer momento comprobar si la información de estos sistemas era

correcta, y si no había podido ser manipulada. Es en este contexto, por tan-

to, que se inició la disciplina de la auditoría de los sistemas de información

(y seguridad de éstos), y fue evolucionando y adquiriendo más protagonismo

al mismo ritmo que fueron haciéndolo los propios sistemas de información.

Actualmente, en toda auditoría financiera existe un componente de auditoría

de los sistemas de información, pero ha transcendido a ellas y existe por sí

misma en diferentes contextos.

Por tanto, desde este punto de vista, para garantizar un buen gobierno TIC

es esencial que exista una revisión del gobierno TIC. Más específicamente,

es esencial que esta función de auditoría de los sistemas de información esté

integrada en los mecanismos de gobierno TIC. La función de auditoría debe

comprobar cómo se están gestionando los mecanismos de control implanta-

dos en las TIC para garantizar la seguridad.

De manera general, los objetivos de auditoría que persigue una auditoría de

sistemas de información son:

• Validar los aspectos organizativos y administrativos relativos al proceso de

gestión de los sistemas de seguridad, con el objetivo de garantizar que no

suponen un riesgo para la seguridad de la información.


• Validar los controles aplicados a la gestión del ciclo de vida de un sistema

de información, especialmente en sus fases iniciales de diseño, implemen-

tación y puesta en producción.

• Validar del control de acceso físico a instalaciones, terminales, bibliotecas

de cintas, etc.

• Automatizar los controles de auditoría integrados en los sistemas de infor-

mación.

• Formar, capacitar y sensibilizar de los usuarios en general y, específicamen-

te, del personal dedicado a la gestión, operación, y mantenimiento de los

sistemas de información.

• Controlar el proceso de auditoría de los Sistemas de Información.

Estos objetivos que hemos expuesto corresponden tanto a la auditoría de sis-

temas de información como también, en general, al proceso de gestión de se-

guridad de la información. Esta coincidencia de objetivos es más destacable

si el sistema de gestión de la seguridad de la información (SGSI) está alineado

con la Norma ISO/IEC 27002, antes denominada ISO/IEC 17799, y más aún si

el SGSI está implementado cumpliendo con los requerimientos de la Norma

ISO/IEC 27001. Es decir, los objetivos de una auditoría de sistemas de infor-

mación (SSII) son los mismos que busca un SGSI. Por tanto, existe la posibili-

dad de realizar dos tipos de auditoría a los sistemas de información:

• Auditoría de seguridad a los sistemas de información.

• Auditoría de certificación del sistema de gestión de la seguridad de la in-

formación.

Se tiene que destacar que la certificación de un SGSI asegura que la entidad

auditada gestiona con arreglo al estándar y, por lo tanto, deberá realizar au-

ditorías internas de seguridad a los sistemas de información. Este es el nexo

común entre ambos tipos.

6.1. Auditoría de los sistemas de información

Este tipo de auditoría se incorpora directamente al proceso interno de gestión

de la seguridad de la información. Su función es comprobar que la implanta-

ción de los controles de seguridad cumple con lo establecido en las diferentes

políticas dictadas por la organización, y que estos controles han sido implan-

tados de forma técnicamente correcta. La auditoría consiste, por tanto, en la

revisión de las medidas de seguridad, sin más objetivo que el de dictaminar si

la seguridad es correcta o si presenta deficiencias. La revisión de las medidas de


seguridad se hace frente a una referencia dada, que puede ser la propia política

de seguridad de la organización, o una norma de referencia como la ISO/IEC

27002:2005 o COBIT.

Es importante destacar que, al tratarse de un proceso interno del SGSI, la au-

ditoría tendrá un alcance que, como máximo, será el del propio SGSI. Sin em-

bargo, la auditoría también podrá centrarse en un alcance más reducido co-

mo, por ejemplo, un tipo concreto de infraestructura, aplicación o proceso del

SGSI.

Ejemplo

La auditoría puede centrarse en el cumplimiento de algún aspecto legal relativo a la pri-vacidad, la protección de datos personales, o los procesos relacionados con la gestión delpersonal (procesos de selección, entrenamiento, terminación de contratos, etc.).

En cualquier caso, antes de abordar un proceso de auditoría, es esencial definir

tanto el alcance como la referencia contra la que se quiere auditar. En este

sentido, tenemos que destacar que, más adelante, trataremos en mayor detalle

los aspectos que intervienen en una auditoría de revisión de implantación de

controles. Por lo tanto, nos interesaremos en las revisiones a realizar en los

controles técnicos de seguridad implantados en la infraestructura de red, o los

servicios que se ofrecen sobre estas infraestructuras.

Estas auditorías tienen consideración de auditoría de primera parte y, por tan-

to, pueden ser realizadas por un grupo interno o por una entidad externa. Sin

embargo, en cualquiera de los dos casos, es importante una independencia

suficiente entre el equipo auditor y el equipo implantador y de operaciones,

para poder garantizar la calidad del resultado.

Las auditorías internas podrán realizarse siempre que las organizaciones po-

sean un grupo de auditoría independiente del área a analizar. Este grupo inde-

pendiente deberá tener los conocimientos de seguridad suficientes para dicta-

minar si las medidas de seguridad son suficientes y si, a la vez, están correcta-

mente configuradas.

Las auditorías externas son las que se realizan por empresas externas que se

encargan de revisar las diferentes medidas de seguridad. Estas empresas deben

ser totalmente independientes de la organización y tener conocimientos acre-

ditados de seguridad.

En los dos casos, el resultado de estos procesos de auditoría consiste en la ela-

boración de un informe en el que se dictaminan las deficiencias de seguridad

que se hayan podido detectar, siempre dentro del alcance que se haya deter-

minado para la auditoría. Es importante destacar que este informe debe ser

lo más objetivo, claro, conciso y directo posible. Muy posiblemente, tendrá


como público objetivo tanto a personal directivo de alto nivel como mandos

intermedios y operativos, por lo que deberá organizarse teniendo en cuenta

esta circunstancia.

Más adelante, detallaremos los aspectos más importantes acerca de las audito-

rías de seguridad.

6.2. Certificación de seguridad

Para la materia que nos ocupa, el proceso de certificación de seguridad lo lleva

a cabo una organización que ha implantado un sistema de gestión de la segu-

ridad de la información. Esta implantación se ha hecho con arreglo a la nor-

mativa ISO/IEC 27001 (o en su defecto UNE 71502, aunque este estándar está

en vías de extinción). Para obtener la certificación de seguridad, la organiza-

ción consulta con una entidad externa que está acreditada y que se encargará

de ver la correcta implantación de esta normativa. El objetivo de la entidad

externa es dictaminar si la implantación es correcta y, una vez finalizada su

revisión, elaborará un informe. En el caso de que el informe sea favorable, se

le entrega a la organización un sello que certifica el cumplimiento y correcta

implantación de la normativa.

Estas certificaciones de seguridad únicamente pueden ser realizadas por orga-

nizaciones debidamente acreditadas por organizaciones superiores, denomi-

nadas organismos de acreditación, como por ejemplo ENAC en España. Es de-

cir, la certificación únicamente la pueden otorgar aquellas organizaciones que

cumplen con una serie de requisitos comprobados (auditados) por un tercero

de confianza (el organismo de acreditación). Otro aspecto importante a desta-

car es que estas organizaciones de certificación son independientes, es decir,

no ofrecen servicios de consultoría sino que son expresamente auditoras.

Ejemplo

Algunas de esas empresas son: AENOR, APPLUS, BSi (British Standard Institute), TüV, etc.

En cuanto a la realización de la auditoría y la certificación, siempre que sea en

base a la normativa anterior, se realizan de la misma forma y la única diferencia

es el resultado final, que en el segundo caso es únicamente un informe de

certificación.


7. Equipo auditor

En esta sección, veremos los diferentes aspectos que tienen relación con los

equipos de auditorías que realizan revisiones de los sistemas de gestión de la

seguridad de la información. La descripción de los equipos de auditorías que

se proporcionará es válida tanto para revisiones de cara a la certificación como

para revisiones de cara únicamente a la auditoría de sistemas de información.

Los aspectos descritos en esta sección se corresponden con los requisitos im-

puestos a las entidades de certificación (ISO 17021, ISO 27006 y también en

parte la ISO 19011), por lo que tienen que ser vistos como un ejercicio de

máximos. Es decir, estos requisitos son completamente aplicables a entidades

de certificación. Aquellas organizaciones que, no siendo entidades de certifi-

cación, se dediquen a la auditoría no estarán obligadas a cumplir con la tota-

lidad de los aspectos que aquí se describen. Sin embargo, es recomendable que

las organizaciones auditoras tengan en cuentas estos requisitos y los tomen

como una recomendación.

El equipo auditor es el equipo de personas que estará encargado de ejecutar

el proyecto de auditoría, tanto para la revisión de las medidas de seguridad

(auditoría de seguridad), como para la revisión de la correcta implantación de

la normativa ISO/IEC 27001 (en caso de búsqueda de la obtención de la certi-

ficación). Este equipo estará idealmente compuesto por un grupo de auditores

organizado idealmente del siguiente modo:

Estructura básica de un equipo de auditoría

El equipo auditor está compuesto, como mínimo, por un auditor jefe, que

es el responsable final de la asignación de auditoría. Podrán asistirle uno o

varios auditores y/o expertos técnicos para la ejecución de las pruebas. Los

expertos técnicos trabajarán en aquellas pruebas en las que los conocimientos

y la experiencia del auditor jefe o el equipo de auditores sean insuficientes.


El número final de personas incluido dependerá de las limitaciones de tiem-

po/coste y el alcance de la auditoría. Por otra parte, no es necesaria la partici-

pación de todos los auditores y expertos durante todo el marco temporal en el

que se desarrolle la auditoría. Sin embargo, este no es el caso del auditor jefe,

que participará en todo momento puesto que es el punto de contacto entre

la organización auditada y la auditora, y es también el responsable último del

trabajo desarrollado.

Los requisitos recomendables que se necesitan para poder pertenecer a un

equipo de auditoría, así como sus responsabilidades, se describen a continua-

ción. Estos requisitos son impuestos de forma estricta cuando el equipo debe

certificar un SGSI contra la Norma ISO/IEC 27001. En este caso, estos requi-

sitos son impuestos por el organismo de acreditación. En otras situaciones,

deben ser tomados como recomendaciones.

7.1. Auditor jefe

El auditor jefe es designado por la dirección del programa de auditoría en que

se encuadre la auditoría o por la dirección de la organización auditora. En caso

de que se realicen auditorías conjuntas (varias entidades auditoras), se deberá

aclarar quién posee la dirección de la labor de auditoría.

Junto con esta dirección, el auditor jefe tendrá la responsabilidad de determi-

nar la composición del equipo en base a:

• Los objetivos de auditoría, el alcance, los criterios y la duración estimada

de la auditoría.

• La competencia general del equipo auditor necesaria para conseguir los

objetivos de la auditoría.

• Los requisitos necesarios de los organismos de acreditación/certificación,

si es de aplicación.

• La necesidad de asegurar la independencia del equipo auditor de las acti-

vidades a ser auditadas, y evitar conflictos de intereses.

• La capacidad de los miembros del equipo auditor para interactuar eficaz-

mente con el auditado y trabajar conjuntamente.

• El idioma de la auditoría y la comprensión de las características sociales y

culturales del auditado, bien a través de las propias capacidades del auditor

o a través del apoyo de un experto técnico.

Desde el punto de vista de sus características, es recomendable que los audi-

tores jefe tengan conocimientos y habilidades adicionales a las del resto de

los auditores del equipo. Estas habilidades adicionales son las de liderazgo de


la auditoría, para permitir al equipo auditor llevar a cabo la auditoría de ma-

nera eficiente y eficaz. Los conocimientos y habilidades en esta área deben

contemplar:

• Planificación y gestión de recursos.

• Capacidad de comunicación con el cliente de la auditoría y el auditado,

para representar y defender al equipo auditor.

• Capacidad de liderazgo de personas.

• Conocimientos técnicos suficientes para conducir al equipo auditor y al-

canzar conclusiones de la auditoría. Para ello, se le exigirá la formación

académica que sea relevante en el área a auditar.

• Capacidad de previsión y resolución de conflictos.

• Finalmente, es recomendable (y necesario en auditoría de certificación)

que el auditor haya participado, como mínimo, en tres auditorías como

miembro de un equipo auditor realizando labores de auditor jefe bajo la

supervisión del auditor jefe.

7.2. Auditor

El auditor (y también, por extensión, el auditor jefe) debe acreditar la forma-

ción adecuada que demuestre los siguientes conocimientos y habilidades:

• Conocimientos sobre los principios de auditoría, procedimientos y técni-

cas que le permitan asegurarse de que las auditorías se llevan a cabo de

manera coherente y sistemática. En entornos de auditorías de certificación

de SGSI, este conocimiento es recomendable que se acredite mediante for-

mación específica en auditoría, y también mediante experiencia.

– Revisión de la documentación del SGSI.

– Revisión del análisis de riesgos de una organización.

– Haber auditado la implantación de un SGSI.

– Haber desarrollado los informes relativos a la auditoría en la que par-

ticipó.

Ejemplo

Esta experiencia puede ser, por ejemplo, haber participado en cuatro auditorías y al menosen veinte jornadas completas desarrollando las siguientes actividades:

• Conocimientos específicos en el ámbito de la actividad auditada. Esto in-

cluye: conocer documentos de referencia y características de los sistemas

de gestión y de control, conocer aspectos técnicos que le permitan enten-

der el alcance de la auditoría y aplicar los criterios de auditoría. Este re-


quisito está muy relacionado con la formación académica que haya reci-

bido el auditor. Respecto a la formación académica, puede ser suficiente

acreditar la experiencia profesional equivalente. En el caso de la auditoría

de sistemas de información, se suele considerar suficiente una experiencia

de cuatro años en el ámbito de las tecnologías de la información, y por

lo menos de dos años en seguridad de las tecnologías de la información.

También es necesario haber realizado un curso de cinco días de auditoría.

• Capacidad para entender las situaciones particulares e idiosincrasia de la

organización auditada, que le permita entender el contexto de las opera-

ciones de la organización. Esto incluye entender el modelo de negocio del

auditado, su sector y las características sociales del mismo.

• Conocimiento de la legislación aplicable, reglamentos y otros requisitos

relevantes a la disciplina, que le permita trabajar con ellos y ser consciente

de los requisitos aplicables a la organización que se está auditando.

A estos requisitos de conocimientos y habilidades, de orden profesional, hay

que añadir ciertas capacidades y habilidades personales que garanticen el éxi-

to de su trabajo. Las cualidades personales que contribuyen al rendimiento

exitoso de un auditor son:

• Ser ético, imparcial, sincero, honesto y discreto.

• Tener una actitud abierta y estar dispuesto a considerar ideas o puntos de

vista alternativos.

• Mostrarse diplomático y hábil en las relaciones con la gente.

• Ser observador, constante y activamente consciente de los entornos físicos

y las actividades.

• Ser perspicaz, instintivamente consciente y capaz de entender y adaptarse

a las situaciones.

• Ser versátil, capaz de adaptarse a diferentes situaciones.

• Ser tenaz, persistente y orientado sobre la consecución de los objetivos.

• Tener poder de decisión, siendo capaz de alcanzar conclusiones oportunas

basadas en el razonamiento lógico y el análisis.

• Mostrarse independiente en las actuaciones, relacionándose al mismo

tiempo con otros de manera eficaz.

Por supuesto, todas las características exigibles al auditor valen también para

el auditor jefe.

7.3. Experto técnico

Las habilidades técnicas requeridas por el equipo auditor dependerán, exclu-

sivamente, del entorno a auditar. Si estos conocimientos y habilidades nece-

sarias para ejecutar ciertas pruebas de auditoría no se encuentran cubiertos

por el equipo auditor, se pueden satisfacer incluyendo expertos técnicos. Los

expertos técnicos deben actuar bajo la dirección de un auditor. El equipo au-


ditor necesita, por tanto, tener un nivel de conocimiento tecnológico amplio

y, sobre todo, debe conocer las interrelaciones de los diferentes ámbitos de su

especialidad, pero no necesariamente este conocimiento debe ser exhaustivo

en un área en particular.

7.4. Independencia de auditoría

El equipo auditor, con el fin de garantizar su imparcialidad, no puede parti-

cipar en la elaboración de manuales, políticas o procedimientos de una orga-

nización. Tampoco puede formar parte del grupo que toma decisiones sobre

el estado del sistema de gestión de la seguridad de la información, y tampo-

co puede dar recomendaciones específicas para el desarrollo del SGSI. Sí po-

drá, una vez finalizada la auditoría, emitir las recomendaciones que considere

oportunas.

Por el contrario, el equipo auditor sí puede, y de hecho tiene la obligación,

de auditar, detectar las no conformidades, y realizar el seguimiento de las no

conformidades que se hayan detectado.

Por otra parte, un miembro del equipo auditor también tiene capacidad de

impartir formación genérica sobre normativas o aspectos de seguridad, realizar

publicaciones sobre interpretaciones relativas a la normativa y, por último,

hacer realizar auditorías previas a la certificación, para verificar el estado del

sistema de gestión de la seguridad de la información.

7.5. Código de conducta del equipo auditor

Especialmente cuando se trata de auditorías de certificación, los miembros del

equipo auditor tienen un código de conducta que seguir, el cual asegura la

correcta realización de sus tareas. En este sentido, su código de conducta es:

• Actuar de forma veraz e imparcial.

• Evitar cualquier tipo de asignación que pueda causar un conflicto de in-

tereses.

• No aceptar ningún tipo de incentivo, comisión, descuento u otro tipo de

provecho por parte de la organización auditada.

• No revelar las observaciones de las auditorías a terceros.

• No actuar de forma que pueda perjudicar a ninguna de las partes implica-

das en la auditoría.

En caso de incumplimiento de este código, se procederá a una investi-

gación en la que el equipo auditor colaborará para su esclarecimiento.

No conformidad

Es un error, en la creación delSGSI al respecto de la Norma-tiva ISO/IEC 27001, o cual-quier otro marco que se tomecomo referencia, contra el quese está auditando.


7.6. Distribución de funciones

Dentro del proceso de auditoría, el auditor jefe tiene las siguientes funciones:

• Planifica y gestiona todas las fases de la auditoría.

• Dirige la primera fase.

• Colabora en la selección del equipo de auditores.

• Controla los conflictos y maneja las situaciones difíciles.

• Dirige las reuniones con el equipo auditor y el personal auditado.

• Toma decisiones en materia de la auditoría y el SGSI.

Las funciones que pertenecen a los auditores del equipo de auditoría son:

• Apoyar al auditor jefe.

• Documentar y apoyar todos los hallazgos.

• Realizar el seguimiento de las acciones correctoras para corregir las no con-

formidades encontradas.

7.7. Relación con el auditado

Durante la realización de las auditorías, pueden participar más personas de las

que se han nombrado hasta ahora (auditor jefe, auditores y auditado).

El personal que puede intervenir en un proceso de auditoría es:

• Equipo�auditor

– Jefe�y�miembros�del�equipo. Normalmente, se trata de una o dos per-

sonas.

– Auditores�en�formación. Personal en formación para convertirse en

auditor.

– Observadores,�auditor�provisional. Puede ser un observador del or-

ganismo de acreditación (por ejemplo, ENAC) que supervise la audi-

toría.

– Expertos,�personal�asesor. Personal que asesora al auditor sobre temas

técnicos o concretos del negocio o las tecnologías a auditar.

– Testigos�e�invitados.

• Equipo�del�auditado

– Guía. Persona de la empresa que acompaña al equipo auditor y le fa-

cilita la información solicitada. Normalmente, será el responsable del

sistema de gestión de la seguridad de la información.

– Representante�de�la�dirección. persona con autorización suficiente

en la empresa para confirmar la implicación y compromiso de la di-

rección con las políticas de seguridad aprobadas.


– Observadores,�personal�en�formación. Normalmente, personal de la

empresa en formación para auditor interno.

– Consultores. Cuando la empresa contrata un consultor externo para

asesorarle en el desarrollo del SGSI, éste puede observar la auditoría,

pero no debe intervenir en ella en ningún momento.


8. El peritaje informático

De manera general, el peritaje, o más exactamente la prueba pericial, es un

medio más de prueba para la resolución de conflictos. Esta prueba la aporta

una persona con conocimientos técnicos especializados en el tema para ayudar

a interpretar los hechos bajo prueba pericial y dirimir el conflicto.

Los tipos de peritajes son múltiples y casi tantos como áreas del conocimien-

to, aunque los más frecuentes suelen ser: caligráfico, grafológico, documen-

toscópico, inmobiliario (tasación), falsificación de marcas, reconstrucción de

accidentes (laborales, de tráfico), peritaje de incendios (valoración de daños,

reconstrucciones), sociolaborales, peritaje de joyas, análisis de voces, medici-

na pericial, plagio textual, etc.

Con la creciente penetración de los sistemas de información en la práctica

totalidad de los ámbitos de la sociedad y de la actividad humana desarrolla-

da, los sistemas de información se encuentran cada vez más involucrados en

situaciones de conflicto que necesitan ser resueltas. Por lo tanto, cada vez es

más frecuente que, en los conflictos entre personas u organizaciones, existan

elementos relacionados o contenidos en los sistemas de información. En es-

te contexto, se ha vuelto cada vez más frecuente la necesidad de contar con

un peritaje informático, que sea capaz de analizar una realidad con todas las

garantías legales, y que pueda dar una explicación basada en los hechos y la

lógica, siguiendo además unas ciertas reglas.

Los casos a peritar abarcan un amplio abanico de posibilidades, y van desde

despidos de personal por uso improcedente del equipamiento informático,

demandas por incumplimientos de contrato en la creación de aplicaciones

informáticas, tasación de bienes materiales e inmateriales, etc. Por lo tanto,

se tiene que comprender y romper con la idea de que el peritaje informático

está relacionado directamente con delitos informáticos. No es así. El peritaje

informático tiene un campo de aplicación mucho más amplio, y puede estar

presente en prácticamente cualquier conflicto en el que los sistemas de infor-

mación tengan alguna función.

Conviene indicar que un tribunal no es la única demandante de pericias. Tam-

bién empresas y particulares pueden necesitar, por diversos motivos, una prue-

ba pericial informática en sus equipos. Por ejemplo: determinar dónde está la

pérdida de correos internos, análisis de los sistemas de seguridad para detectar

usos indebidos, etc.

Es interesante destacar que existe cierta similitud entre la auditoría de sistemas

de información y la prueba pericial informática.


En los peritajes, al igual que en las auditorías, la información se obtiene me-

diante un proceso de análisis sistemático, lógico, repetible y objetivo al estar

absolutamente basado en los hechos y la realidad observable. Sin embargo,

existen diferencias muy notables, la principal de las cuales es que el objetivo

de ambos procesos es distinto. La auditoría tiene por objetivo analizar la reali-

dad para determinar si se ajusta a unas normativas determinadas (los criterios

de auditoría), mientras que el peritaje simplemente analiza la realidad para

poder explicarla y responder a las dudas que un neófito pueda tener de la in-

terpretación.

Otra diferencia importante que se ha de tener siempre en cuenta es que el

dictamen pericial (resultado de efectuar la prueba pericial) es una conclusión

emitida por una persona individual, el perito, mientras que las conclusiones

de auditoría son emitidas por la organización auditora. La diferencia es sutil,

puesto que se puede pensar que es el auditor jefe quien responde del resultado

de la auditoría, pero esto sólo es cierto de manera interna a la organización

encargada de realizar la auditoría. La auditoría es un proceso en el que se re-

lacionan organizaciones, el auditor y el auditado. Obviamente, puede ser que

la auditoría esté realizada por una única persona, y que en el contrato de au-

ditoría asuma las responsabilidades de manera personal. Sin embargo, en la

prueba pericial es el perito quien se expone y podría llegar a ser sancionado.

Por último, es interesante destacar la relación existente entre la informática

forense y el peritaje informático. La informática forense es una de las activi-

dades que pueden estar involucradas en una prueba pericial. Es decir, no todas

las pruebas periciales comportan necesariamente la realización de actividades

forenses. La informática forense consiste en una serie de técnicas y procedi-

mientos metodológicos que permiten capturar evidencias contenidas en equi-

pamientos computacionales y dispositivos digitales, las cuales pueden presen-

tarse como evidencia en una prueba.

Auditoria Modulo 1

Documents

Transcript of Auditoria Modulo 1