AUDITORÍA

DE SISTEMAS

Académico Rodrigo Cabrera Solís

Magíster en Educación Mención Política y Gestión Educativas - Magíster en Gestión de Tecnologías de la Información
Profesor Educación Técnico Profesional Mc. Informática - Técnico en Informática y Redes
Especialista en Entornos Virtuales de Aprendizaje

1
Sistemas de información

Visión Visión
técnica estratégica

Gestión de infraestructura Aporte de valor al negocio

2
Material preparado por Profesor Rodrigo Cabrera Solís
 [1]

SISTEMA DE
INFORMACIÓN DE LA SISTEMAS DE
EMPRESA DECISIÓN

SISTEMAS DE
INFORMACIÓN

TECNOLOGÍAS DE LA
INFORMACIÓN

INPUT SISTEMAS DE PRODUCCIÓN OUTPUT

3
Material preparado por Profesor Rodrigo Cabrera Solís
 [1]
Sistemas gerenciales, es decir, la
información que necesitan los directivos para
SISTEMAS DE tomar decisiones
DECISIÓN
El sistema de información proporciona soporte al sistema
de producción y, a la vez, extrae datos y conocimientos.
El sistema de información incluye las herramientas o
SISTEMAS DE infraestructura tecnológica (los sistemas informáticos).
INFORMACIÓN Información y tecnología constituyen un binomio, dos
caras de la misma moneda.
No se puede imaginar la información sin tecnología, ni a
TECNOLOGÍAS DE LA la inversa.
INFORMACIÓN

SISTEMAS DE PRODUCCIÓN

4
Material preparado por Profesor Rodrigo Cabrera Solís
 [1]
Avance del paradigma de sistemas de información
Etapa/ Mainframe Microordenadores Informática Ubicuidad
Características (1950-1970) (1970-1980) distribuida (1990-actual)
(1980-1990)

Organización Centralizado Descentralizado Cliente/servidor Ubicua

Enfoque Aplicaciones Datos Negocio Conocimiento

Tecnología Propietaria Propietaria Abierta Muy abierta

Comunicaciones Redes WAN Lenta Rápida Muy rápida

Avance Muy lenta Lenta Rápida Muy rápida

Profesionales Especialistas Soporte usuario Usuario final Híbridos

5
Material preparado por Profesor Rodrigo Cabrera Solís
 [1]

Necesidad de alineamiento estratégico

1. Crecimiento en la demanda de aplicaciones (en especial
por departamentos Producción, I+D, marketing, ventas…).
2. Gasto e inversión en informática ha aumentado.
3. Tecnologías nuevas, en particular internet abren nuevas
posibilidades de negocio.

6
Material preparado por Profesor Rodrigo Cabrera Solís
 [1]

Estrategia de SI/TI Visión estratégica

1. Qué aplicaciones se 1. A qué clientes servimos
necesitan para soportar 2. Qué productos
los procesos de negocio 3. Dónde va el negocio
2. Qué información se 4. ...
necesita para la toma de
desiciones
3. ...
ALINEAMIENTO ESTRATÉGICO
7
Material preparado por Profesor Rodrigo Cabrera Solís
 [1]

● Misión, visión, objetivos

Estrategia de negocio ● Productos, mercados, posicionamiento
● Decisiones y cambio

Estrategia de sistemas ● Procesos de negocio, relaciones

● Necesidades de información
de información
● Demanda de aplicaciones

Estrategia de ● Operaciones de apoyo

tecnología de la ● Arquitectura tecnológica
información ● Gestión de la oferta

Material preparado por Profesor Rodrigo Cabrera Solís 8

 Auditoría de sistemas
Revisión y evaluación de los controles y sistemas informáticos, así como su
utilización, eficiencia y seguridad en la empresa, la cual procesa la
información.

9
Material preparado por Profesor Rodrigo Cabrera Solís
¿En qué consiste?
● Verificación de controles en procesamiento de información e instalación de
sistemas, para evaluar su efectividad y presentar recomendación y consejo.

● Verificar y juzgar de manera objetiva la información.

● Examen y evaluación de procesos en cuanto a informatización y tratamiento

de datos.

● Evaluación de cantidad de recursos invertidos, rentabilidad de cada proceso

y su eficacia y eficiencia.

10
Material preparado por Profesor Rodrigo Cabrera Solís
Objetivos de la auditoría de sistemas
Auditoría
Más Sistemas
de
tecnología de control
sistemas

○ Mejorar relación coste-beneficio de sistemas de información.

○ Incrementar satisfacción y seguridad de los usuarios de los sistemas informatizados.

○ Garantizar confidencialidad e integridad a través de sistemas de seguridad y control profesionales.

○ Minimizar la existencia de riesgos, como virus o hackers, por ejemplo.

○ Optimizar y agilizar la toma de decisiones.

○ Educar sobre el control de sistemas de información, educar a los usuarios de estos procesos informatizados.

11
Material preparado por Profesor Rodrigo Cabrera Solís
El análisis y evaluación auditoría
Debe ser:

objetivo, crítico, sistemático e imparcial.

_______________________________

El informe de auditoría final:

mostrar realidad de empresa en cuanto a procesos
e informatización, para tomar mejores decisiones y
mejorar en el negocio.
12
Material preparado por Profesor Rodrigo Cabrera Solís
 Organizaciones
Lineamientos para desarrollo de auditoría de sistemas

Establecidos bajo la recopilación de buenas prácticas que permiten identificar el cumplimientos, algunos: ISACA, OSSTMM,
ISO/IEC 17799, CIS ISO/IEC 27000.

13
Material preparado por Profesor Rodrigo Cabrera Solís
ISACA
Normas y Directrices para auditoría de Sistemas de Información

Marco general de normas ISACA para la auditoría de SI

Código ética profesional ISACA

Estándares de auditoría

14
Material preparado por Profesor Rodrigo Cabrera Solís
 Gobierno TI

The IT Governance Institute (ITGI) is an arm of ISACA that provides research, publications and
resources on IT governance and related topics.

15
Material preparado por Profesor Rodrigo Cabrera Solís
16
Delimitación establecida por
IT Governance Institute (2007, p.5)

“el Gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores

y consta de liderazgo, estructuras y procesos organizacionales que garantizan
que TI en la empresa sostiene y extiende las estrategias y objetivos
organizacionales”,

el Gobierno de TI no puede ser entregado o liderado por sus técnicos (que sin
duda son relevantes para el liderazgo de los procesos), sino que debe involucrar
los más altos ejecutivos de la empresa.

17
Material preparado por Profesor Rodrigo Cabrera Solís
 Gobierno TI
Supeditado, de buena forma, al Gobierno Corporativo
y su dirección está condicionada por las decisiones
Gobierno corporativo estratégicas que éste último tome.
Un sistema interno que incluye políticas,
procesos y personas, que sirve a las • Las oportunidades estratégicas de la empresa
necesidades de los inversores y otros muchas veces están determinadas por la forma como
agentes empresariales, mediante el control y el Gobierno de TI apoya a ese Gobierno Corporativo.
la dirección de las actividades de
• Quien gobierna las TI debe garantizar que su
administración con objetividad, integridad y
proceso de gestión esté alineado a las metas y
buena experiencia empresarial”
objetivos del negocio.

18
Material preparado por Profesor Rodrigo Cabrera Solís
Visiones organizacionales de TI

19
Material preparado por Profesor Rodrigo Cabrera Solís
Administración de TI / Gobierno TI

Decisiones tácticas Decisiones estratégicas

20
Material preparado por Profesor Rodrigo Cabrera Solís
Decisiones Nivel Estratégico
Decisiones estratégicas Decisiones tácticas

Generalmente decisiones tomadas a alto nivel, Generalmente decisiones de bajo nivel, con alto
generales y no específicas. detalle de ejecución

De ejecución en plazos de tiempo superiores a la Casi inmediata.

inmediatez.

Articuladas por las necesidades de negocio y Suelen afectar sólo a las áreas de TI.
orientadas por el plan estratégico de la empresa. Decisiones del ámbito propio de los especialistas
de TI.
Ejemplo: enfoques de desarrollo, diseño de interfaces,
herramientas a utilizar.

21
Material preparado por Profesor Rodrigo Cabrera Solís
Importancia de las TI para una organización
Las TI, según el tipo de empresa y nivel de competencia, pueden:

• Constituirse en una herramienta para reducir costos.

• Mejorar los procesos operativos.

• Apoyar el plan estratégico de la empresa.

• Proporcionar conocimiento según el ciclo de vida de la tecnología.

• Ser soporte de la estrategia de la empresa.

• Ser soporte de los procesos de negocio.

22
Material preparado por Profesor Rodrigo Cabrera Solís
Alineación TI con el negocio (IT Governance Institute, 2007)
● Asegura que la estrategia de las TI esté alineada con la estrategia del negocio.
● Asegura que las TI presten un servicio según lo establecido en la estrategia (producir a
tiempo y dentro del presupuesto, con la adecuada funcionalidad y los beneficios
esperados, es una cuestión fundamental de la alineación y la generación de valor) por
medio de evaluaciones y expectativas claras (por ejemplo, Cuadro de Mando Integral –
CMI- del negocio).
● Dirige la estrategia TI, para que las inversiones en sistemas que soporten el negocio la
transformen o creen una infraestructura que permita al negocio crecer y competir en
nuevos terrenos.
● Apoya toma decisiones meditadas acerca de los recursos de TI, al abrir nuevos
mercados, dirigir estrategias competitivas, aumentar la generación total de ingresos,
mejorar la satisfacción del consumidor, asegurar la retención del cliente.

23
Material preparado por Profesor Rodrigo Cabrera Solís
CEO Chief Executive Officer (director ejecutivo)

Director ejecutivo, director general, director gerente, ejecutivo delegado, jefe ejecutivo, presidente
ejecutivo, principal oficial ejecutivo, gerente general, consejero delegado o primer ejecutivo.
Persona de máxima autoridad en la gestión y dirección administrativa en una organización o
institución.

Aunque en las empresas pequeñas es habitual que el puesto de presidente y de director ejecutivo
recaiga en la misma persona, no siempre es de esta manera, y suele ser el presidente quien
encabeza el gobierno corporativo (estrategias generales), y el director ejecutivo quien representa la
administración de la empresa —la fase operativa de las estrategias

CIO Chief Information Officer

Rol atribuido a la persona responsable de los sistemas de tecnologías de la información de la

empresa y suele recaer en perfiles profesionales diferentes según las estructura de la organización.

24
Material preparado por Profesor Rodrigo Cabrera Solís
Preocupaciones
de diferentes
grupos de interés
de la
organización en
relación con las
TI

25
Material preparado por Profesor Rodrigo Cabrera Solís
26
 Frameworks Marcos de referencia

Entorno de trabajo o marco de trabajo

Conjunto estandarizado de conceptos,

prácticas y criterios para enfocar un tipo de
problemática particular que sirve como
referencia, para enfrentar y resolver
nuevos problemas de índole similar.

27
Material preparado por Profesor Rodrigo Cabrera Solís
 28
Material preparado por Profesor Rodrigo Cabrera Solís
Modelo COBIT

Estándar de facto, consensuado por expertos en el logro de un gobierno efectivo.

Misión de COBIT: Investigar, desarrollar, hacer público y promover un marco de

control de gobierno de TI autorizado, actualizado, y aceptado internacionalmente
por las empresas, de acuerdo al uso diario que hacen gerentes de negocio,
profesionales de TI y profesionales de aseguramiento.

29
Material preparado por Profesor Rodrigo Cabrera Solís
Aportes COBIT
1. Agrupa actividades de trabajo en dominios y procesos, con una estructura manejable y lógica.

2. Enfoca más en control que ejecución (para la ejecución habrán hay herramientas o modelos que
facilitan la gestión de proyectos e iniciativas de TI).

3. Aporte en la optimización de las inversiones TI.

4. Prácticas que brindan una medida contra la cual juzgar las cosas, cuando no vayan bien.

5. Materializar objetivos de gobierno en la empresa, dando respuestas a necesidades de valor de TI.

6. Permite alineación de TI al negocio aportando valor.

7. Tener las TI como facilitador del negocio (apoyar procesos claves) y maximizar beneficios.

8. Uso responsable y eficiente de los recursos de la organización.

9. Gestión apropiada de riesgos presentes en proyectos y servicios de TI en la empresa.

30
 Riesgos de Necesidades de Aspectos
negocio control técnicos

Buenas Buenas
prácticas prácticas

Ayuda a reducir brechas entre riesgos de negocio, necesidades de control y aspectos técnicos.
31
Material preparado por Profesor Rodrigo Cabrera Solís
 2019
32
Material preparado por Profesor Rodrigo Cabrera Solís
¿Quién utiliza COBIT?

Responsables de
procesos de negocio y tecnología.

De quien depende la tecnología e

información confiable.

Quienes proveen calidad,

confiabilidad y control de TI.

33
Material preparado por Profesor Rodrigo Cabrera Solís
Beneficios clave para la organización

OPTIMIZAR RECURSOS RIESGOS

VALOR ¿La gestión empresarial ¿El riesgo, para activos IT y
¿La información y la asegura que las capacidades estrategias comerciales,
tecnología en la empresa apropiadas se coloquen con puede mitigarse, de manera
aporta a generar el recursos suficientes para que coincida con un perfil
máximo valor para las alcanzar objetivos de único de riesgo de la
partes interesadas? crecimiento, innovación y empresa?
transformación empresarial?

34
Material preparado por Profesor Rodrigo Cabrera Solís
 Las mejores prácticas de COBIT, aparte de representar un estándar de facto,
son el consenso de los expertos respecto al logro de un gobierno efectivo.

IMPLEMENTACIÓN Y
OPTIMIZACIÓN DE UNA
INTRODUCCIÓN Y OBJETIVOS DE DISEÑANDO UNA SOLUCIÓN DE
METODOLOGÍA GOBIERNO Y SOLUCIÓN DE GOBIERNO GOBIERNO DE
GESTIÓN DE INFORMACIÓN Y INFORMACIÓN Y
TECNOLOGÍA TECNOLOGÍA 35
Material preparado por Profesor Rodrigo Cabrera Solís
36
 37
Material preparado por Profesor Rodrigo Cabrera Solís
Procesos de gobierno y gestión según COBIT
Procesos de gobierno Procesos de gestión
Tratan con objetivos de partes Prácticas y actividades de los procesos
interesadas respecto a entrega de de gestión de TI de la empresa que
valor, minimización del riesgo y proporcionan cobertura de sus
optimización de recursos. operaciones, de extremo a extremo, por
Prácticas y actividades orientadas a lo que cubren la planificación,
evaluar y determinar mejores opciones construcción, ejecución o supervisión
estratégicas, la dirección de TI respecto (PBRM).
a los objetivos del negocio y del
gobierno corporativo.

38
Material preparado por Profesor Rodrigo Cabrera Solís
Principios
COBIT

39
Material preparado por Profesor Rodrigo Cabrera Solís
 40
Material preparado por Profesor Rodrigo Cabrera Solís
41
GUÍA DE
REFERENCIA DE
LOS PROCESOS
COBIT

42
Representación del modelo de madurez SEI

43
Material preparado por Profesor Rodrigo Cabrera Solís
 44
Material preparado por Profesor Rodrigo Cabrera Solís
Ejercicios
1. Verifique el nivel de madurez de la empresa propuesta

45
Material preparado por Profesor Rodrigo Cabrera Solís
Val IT
Aunque puede aplicarse a todas las decisiones de inversión, este marco de
buenas prácticas está dirigido principalmente a inversiones de negocio
posibilitadas por TI
● Extensión y complemento de COBIT.

● Proporciona un marco de control global para el gobierno de TI.

● Se centra en la decisión de invertir (¿estamos haciendo lo correcto?) y la realización de

beneficios (¿estamos obteniendo beneficios?).

● COBIT en tanto, se enfoca en la ejecución (¿lo estamos haciendo correctamente, y lo

estamos logrando?).

46
Material preparado por Profesor Rodrigo Cabrera Solís
Val IT
Complemento para COBIT desde el punto de vista financiero y de negocio.

Su principal aporte es determinar el valor del negocio a partir de las inversiones

relacionadas con TI.

47
Material preparado por Profesor Rodrigo Cabrera Solís
Val IT

48
 Val IT

Gobierno de valor Gestión de la cartera Gestión de inversiones

● Creación de mecanismos de ● Establecer y gestionar los perfiles ● Organización individualizada de
Gobierno de recursos programas
● Pautas para orientar inversiones ● Definir límites de inversión ● Identificar requisitos de negocio
● Características de la cartera de ● Evaluar y priorizar las inversiones ● Desarrollar sistemas de selección
inversiones. ● Gestionar la cartera de inversiones de inversiones
● Contiene 11 best practices. ● Monitorizar el rendimiento de la ● Analizar alternativas
VG1...VG11 cartera de inversiones. ● Sistemas para la definición de
● Contiene 14 best practices. documentación y programas.
PM1...PM14 ● Contiene 15 best practices.
IM1...IM15
El marco de trabajo se
divide en 3 procesos

49
 Mejores prácticas
Value Governance Portfolio Management Investment Management
VG1: Garantizar liderazgo informado y comprometido. PM1: Gestionar un relación de recursos humanos. IM 1: Desarrollar una definición de alto nivel del
VG2: Definir e implantar procesos. PM2: Identificar los requerimientos de recursos. concepto oportunidad de inversión.
VG3: Definir roles y responsabilidades. PM3: Analizar las necesidades no cubiertas. IM 2: Desarrollar una situación de negocio para el
VG 4: Asegurar responsabilización adecuada y PM4: Planificar la incorporación de recursos. concepto de programa inicial.
aceptada. PM5: Monitorizar requisitos y uso de recursos. IM 3: Seleccionar programas candidatos.
VG5: Definir requisitos de información. PM6: Establecer un umbral de inversión. IM 4: Analizar alternativas.
VG6: Establecer requisitos de rendición de cuentas. PM7: Evalúa la situación de negocio para el concepto IM 5: Planificar el programa.
VG7: Establecer estructuras organizativas. de programa inicial. IM 6: Desarrollar un plan de realización de beneficios.
VG8: Establecer una dirección estratégica. PM8: Evaluación y puntuación relativa a la situación IM 7: Identificar costes y beneficios del ciclo de vida
VG9: Definir categorías de inversión. de negocio del programa. completo.
VG10: Determinar una composición objetiva de la PM9: Crear una visión general de la cartera. IM 8: Desarrollar una situación de negocio detallada
cartera. PM10: Decidir la inversión y comunicarla. del programa.
VG11: Definir criterios de evaluación por categoría. PM11: Poner a punto los programas seleccionados y IM 9: Asignar claramente responsabilidades.
financiarlos. IM10: Iniciar, planificar y lanzar el programa.
PM12: Optimizar el rendimiento de la cartera. IM 11: Gestionar el programa.
PM13: Reconsiderar las prioridades en la cartera. IM 12: Gestionar y buscar beneficios.
PM14: Monitorizar y reportar el rendimiento de la IM 13: Actualizar la situación de negocio.
cartera. IM 14: Monitorizar e informar sobre el rendimiento del
programa.
IM 15: Dar de baja el programa.
[Link]
50
Risk IT
COBIT establece las mejores prácticas para la gestión de riesgos proporcionando
un conjunto de controles para mitigar los riesgos de TI.

RISK IT establece las mejores prácticas con el fin de identificar, gobernar y

administrar los riesgos asociados a su negocio. (ISACA, 2006, p.7).

COBIT proporciona un conjunto de controles para mitigar el riesgo de TI, Risk IT

proporciona un marco para que las empresas identifiquen, gobiernen y
administren el riesgo de TI.

51
Material preparado por Profesor Rodrigo Cabrera Solís
Risk IT

Es un marco de referencia basado en un conjunto de principios y guías, procesos

de negocio y directivas de gestión.

Reúne las mejores prácticas para identificar, gobernar y administrar los riesgos
asociados al negocio en la organización.

En términos prácticos, Risk IT permite entender cuáles son los riesgos de TI, a
partir del reconocimiento de los eventos internos y externos que hacen parte de
los procesos y actividades.

52
Material preparado por Profesor Rodrigo Cabrera Solís
Risk IT
3 Dominios
9 Proceso de negocio

53
Material preparado por Profesor Rodrigo Cabrera Solís
 54
Material preparado por Profesor Rodrigo Cabrera Solís
 55
Material preparado por Profesor Rodrigo Cabrera Solís
 [1]

El acrónimo CISA viene de Certified Information Systems Auditor o Certificado de Auditor de

Sistemas de la Información.

No es una certificación fácil, hay que contar con preparación y experiencia sólida dentro del
ámbito de la seguridad de la información y auditorías.

● Dominio 1. Proceso de auditoría de sistemas de información

● Dominio 2. Gobierno y gestión de las Tecnologías de la Información (TI)

● Dominio 3. Adquisición, desarrollo e implementación de sistemas de la información.

● Dominio 4. Operaciones, mantenimiento, y soporte de Sistemas de Información.

● Dominio 5. Protección de los activos de la información.

56
Material preparado por Profesor Rodrigo Cabrera Solís
 [1]

Pasos para conseguir la certificación CISA de

ISACA
● Aprobar examen CISA.

● Acreditar experiencia laboral de al menos 5 años dentro del mundo de las auditorías,
control y seguridad de TI.

● Pasar por el proceso de solicitud

● Adherir al «Código de Ética Profesional» de ISACA.

● Cumplir estándar adoptados por ISACA.

● Seguir un plan de educación continua que acredite actualización.

57
Material preparado por Profesor Rodrigo Cabrera Solís
 Seguridad de la
Información
1 Fase Análisis de riesgos
Gestión de riesgos
2 Fase Planificación de la seguridad
3 Monitorización y de gestión de cambios de la seguridad

58
Material preparado por Profesor Rodrigo Cabrera Solís
Análisis del Riesgo
Sirve para descubrir qué necesidades de seguridad tiene la organización tras
detectar cuáles son los agujeros en seguridad así como las amenazas a las que
se encuentra expuesta.

Las organizaciones hacen cambios e Relacionada con los objetivos de la

inversiones en seguridad sin auténtica organización.
convicción.
Nunca una medida de seguridad deberá
Si se analizan cuáles son las necesidades ser obstáculo para la realización de las
de la organización, la posterior inversión en actividades propias de la organización.
seguridad será mucho menor y más
ajustada a la realidad de la organización.

59
Material preparado por Profesor Rodrigo Cabrera Solís
Preguntas sobre la seguridad de la información
Análisis del Riesgo
¿Qué hay que proteger?
Se identifican los elementos que la organización debe tratar de asegurar.

¿De qué o de quién nos tenemos que proteger, y por qué?

Se identifican los peligros que pueden afectar a la organización y el motivo por el
que podría producirse una incidencia.

¿Cómo nos queremos proteger?

Después de un análisis exhaustivo, se opta por la mejor protección para que los
peligros no lleguen a materializarse.
60
Material preparado por Profesor Rodrigo Cabrera Solís
Ciclo de vida de la seguridad

Una organización necesita un antivirus para evitar posibles

infecciones de sus sistemas informáticos. Decide implantarlo,
pero, una vez hecho, se olvida de su actualización, porque
considera que con la instalación del antivirus es más que
suficiente para evitar los incidentes de seguridad.
Con el tiempo, la aparición de nuevos virus y la falta de
actualizaciones de su sistema antivirus suponen que la
organización no dispone un sistema antivirus realmente operativo;
de hecho, es como si no lo tuviese instalado. En resumen, no hay
que olvidar el punto de monitorización y actualización de todas las
medidas de seguridad que tiene una organización.

61
Material preparado por Profesor Rodrigo Cabrera Solís
Elementos del análisis de riesgos
Activos: elementos que deben protegerse

Amenazas: situaciones de las que deben protegerse los activos

Vulnerabilidades: aspectos que facilitan la materialización de las amenazas

62
Material preparado por Profesor Rodrigo Cabrera Solís
Gestión de riesgos
• Coste de protección: coste que
supone a la organización protegerse de
una situación detectada previamente.
Coste Coste
• Coste de exposición: coste que de de
representaría que la situación protección exposición
analizada llegara a darse y la
organización careciese de protección.

Se debería llegar al coste de equilibrio: no se debe

gastar más de lo que representaría recuperarse de la
situación analizada.
63
Material preparado por Profesor Rodrigo Cabrera Solís
Opciones Gestión de Riesgos
Aceptarlo Asignarlo a terceros Reducirlos o evitarlos

Esta decisión consiste en que la Corresponde a la situación en la que una Corresponde a la situación en la que una
organización ha detectado que se organización determina que tiene algún organización ha detectado un riesgo
encuentra expuesta a un riesgo importante riesgo por encima de su umbral de riesgo. elevado, por encima de su umbral de
que debería ser reducido por debajo del riesgo, y decide implantar algún control o
umbral de riesgo marcado. Además, considera que no puede asumirlo, salvaguarda para reducirlo; al menos,
por su gravedad, pero que a su vez no hasta situarlo por debajo del umbral de
Para ello debería invertir una serie de puede reducirlo, ya sea porque no tiene la riesgo determinado.
recursos, pero la protección frente al riesgo capacidad de hacerlo o porque no tiene los
detectado representa un coste tan elevado, recursos necesarios. Sin ningún género de dudas, lo ideal
y su probabilidad de que llegue a suceder siempre es tratar de evitar o reducir un
es tan improbable, que no resulta posible En estos casos, se decide contratar a un riesgo, ya que supone que la propia
la inversión para protegerse ante esta tercero que sí posea esa capacidad para organización controla y dispone de las
situación. reducir y gestionar el riesgo de tal modo medidas de seguridad adecuadas que le
que quede por debajo del umbral de permitan tratar de evitar dichos riesgos.
La decisión es que la organización trabaje riesgo.
aceptando que está expuesta al riesgo y,
llegado el caso de que se produzca un
incidente, improvisando una respuesta.

64
Material preparado por Profesor Rodrigo Cabrera Solís
Tipos de análisis de riesgos
Análisis de riesgos intrínseco
Es el estudio que se realiza sin tener en consideración las diferentes medidas
de seguridad que ya están implantadas en una organización. Este proceso
da como resultado un riesgo intrínseco.

Análisis de riesgos residual

Es el estudio que se realiza teniendo en consideración las medidas de
seguridad que la organización ya tiene implantadas. Como resultado de este
proceso se obtiene un riesgo real.

65
Material preparado por Profesor Rodrigo Cabrera Solís
Elementos procesos de análisis de riesgos
● Activos: son todos aquellos elementos que posee la organización y que serán analizados durante
el proceso. Cabe destacar que por activo se entiende todo tipo de elemento que requiere la
organización para poder realizar las actividades de negocio que le son propias.

● Amenazas: son todas aquellas situaciones que podrían llegar a suceder en una organización y que
podrían dañar a los activos, provocando que éstos no funcionen correctamente o que no puedan
utilizarse del modo correcto para poder llevar a cabo la actividad de negocio de la organización.

● Vulnerabilidades: son las diferentes debilidades que presentan los activos anteriormente
identificados y que son aprovechados por las amenazas para provocar un daño.

● Impactos: son las consecuencias que se producen en la organización cuando una amenaza
aprovecha una vulnerabilidad para dañar a un activo.

66
Material preparado por Profesor Rodrigo Cabrera Solís
 67
Material preparado por Profesor Rodrigo Cabrera Solís
Metodologías

Metodologías

MAGERIT NIST CRAMM OCTAVE

68
Material preparado por Profesor Rodrigo Cabrera Solís
 Realización de una auditoría

69
U1
 [3]

Clasificación de las auditorías

70
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [3]

Clasificación de las auditorías

71
Material preparado por Profesor Rodrigo Cabrera Solís
 [3]

Clasificación auditorías según objeto de

investigación

72
Material preparado por Profesor Rodrigo Cabrera Solís
 [3]

Clasificación auditorías según naturaleza

73
Material preparado por Profesor Rodrigo Cabrera Solís
 [3]

Clasificación auditorías según tipo auditor

74
 [2]

Auditoría

Proceso sistemático, independiente y

documentado para obtener evidencias y
evaluarlas de manera objetiva con el fin de
determinar el grado en que se cumplen los
criterios de auditoría.

75
Material preparado por Profesor Rodrigo Cabrera Solís
 [2]

Auditoría interna

● Herramienta eficaz y fiable en apoyo de políticas y controles de gestión,

proporcionando información sobre la cual una organización puede actuar
para mejorar su desempeño.
● Se realizan por la propia organización, o en su nombre, para la revisión por la
dirección o para otros propósitos internos.
○ Por ejemplo, para confirmar la eficacia del sistema de gestión o para obtener información para
la mejora del sistema de gestión.

76
Material preparado por Profesor Rodrigo Cabrera Solís
 [2]

Principios de un equipo auditor

● Integridad profesional durante todo el proceso.

● Informar con veracidad y exactitud de resultados obtenidos.

● Cuidado profesional en emisión juicios correspondientes.

● Confidencialidad de la información a la que se tiene acceso.

● Independencia de las áreas auditadas.

77
Material preparado por Profesor Rodrigo Cabrera Solís
 [2]

Proceso de un equipo auditor

1. Elaborar plan de auditoría.

2. Establecer objetivos de auditoría.
3. Realizar comprobaciones necesarias en departamentos correspondientes de
la empresa y con interlocutores precisos de las mismas.
4. Generar un informe con las conclusiones obtenidas.

78
Material preparado por Profesor Rodrigo Cabrera Solís
 [2]

Objetivos en la auditoría interna

● Determinar grado de conformidad del sistema de gestión que se va auditar.

● Determinar grado de conformidad de actividades, procesos y productos con

requisitos y procedimientos del sistema de gestión.

● Evaluar capacidad del sistema de gestión para asegurar cumplimiento de

requisitos legales y contractuales y de otros requisitos con los que la
organización está comprometida.

● Evaluar eficacia del sistema de gestión para lograr sus objetivos

especificados.

● Identificar áreas de mejora potencial del sistema de gestión.

79
Material preparado por Profesor Rodrigo Cabrera Solís
 [2]

Informe de auditoría interna

Se presenta a la empresa con el objeto de comunicar los resultados obtenidos en

base al cumplimiento de los requisitos establecidos en la Norma que corresponda
al sistema de gestión auditado.

Resultados, tratan aspectos positivos como negativos detectados durante el

proceso de la auditoría interna.

Se informa a la empresa de sus puntos fuertes o aquellos que deben ser

sometidos a mejora o corrección.

80
Material preparado por Profesor Rodrigo Cabrera Solís
 81
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Metodología de Auditoría

82
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 83
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

84
Material preparado por Profesor Rodrigo Cabrera Solís
Análisis de las necesidades de información. Proceso mediante el cual se le pregunta a los usuarios qué recursos de información necesitan para
llevar a cabo sus labores... cómo estos son actualmente utilizados... y si se relacionan con los objetivos relevantes de la organización (Henczel,
2000). Análisis del inventario de recursos de información. Los recursos de información, son todas las herramientas, equipos, suministros,
facilidades físicas, personas y otros recursos utilizados por una organización, así como el capital, la inversión y los gastos involucrados en proveer
los mencionados recursos de apoyo. (Ponjuán-Dante, 1998). Están formados por datos, conocimiento, información en bruto, flujos de información,
documentos, información documental e información evaluada, producidos, reunidos o adquiridos por la organización, así como las tecnologías y las
personas que participan en su elaboración, gestión, almacenamiento, análisis y difusión (Davenport y Prusak, 2000). Inventariar los recursos de
información incluye localizar y describir sus características y estructura; analizar su disponibilidad, dinámica y uso; y evaluar su empleo y valorar su
capacidad para generar conocimiento. Análisis del flujo de información. Los flujos de información, brindan una perspectiva interna de la información
generada en la organización, quiénes la producen, quiénes la usan, y cómo lo hacen. Pueden revelar fallas en la provisión de información y
pérdidas de vínculos en la cadena de información (Orna, 1990). Expresan la representación gráfica de los diferentes procesos por los que transita la
información en una organización, proporcionando una mejor comprensión de las interrelaciones entre sus sistemas y subsistemas. Este análisis
permite examinar del ciclo de vida de la información según los procesos; conocer qué información se intercambia; determinar hacia dónde se envía,
o se recibe dentro de la organización; y detectar quién la modifica, cómo y cuándo. Análisis del mapa de información. Los mapas de información,
son herramientas de representación visual que describen los recursos de acuerdo con las funciones de negocio que apoyan y determinan el papel
de éstos en la organización. Según las características de la información, su registro, ubicación y tratamiento, pueden ser documentales, de registros
o datos, de documentos electrónicos, de conocimiento, y de información externa (García-Morales, 2000). Este tipo de análisis pone de manifiesto la
relación entre los recursos, los procesos y las áreas claves que necesitan o carecen de información y aquellas con información redundante. Sirve
además de base, para la planificación estratégica de la información. Análisis mediante encuestas y entrevistas. Se utilizan los cuestionarios y las
entrevistas y se observa el uso de preguntas cerradas, para indagar en aspectos como:

a) El acceso a los datos y la información en función de las necesidades de cada proceso o tarea. b) El comportamiento de los flujos. c) La gestión
de los RI clave para la organización. d) La valoración y el costo que se le atribuye a la información.

85
Clasificación auditorías información según enfoque

86
Material preparado por Profesor Rodrigo Cabrera Solís
 [4]

Metodología de Auditoría
● Fase I: Lineamientos de Auditoría Interna

● Fase II: Planificación de la Auditoría Interna

● Fase III: Ejecución del Plan de Auditoría Interna

● Fase IV: Emisión de Informes y seguimiento

● Fase V: Control de Calidad

87
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Introducción
● Requiere una serie ordenada de acciones
y procedimientos específicos.
○ Deben ser diseñados de manera previa,
secuencial, cronológica y ordenada.

○ En etapas, eventos y actividades que se

requieran para su ejecución.

○ Son establecidos conforme a las necesidades

especiales de la institución.

88
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Metodología de auditoría

● Procedimientos documentados de
auditoría, diseñados para alcanzar
objetivos de la auditoría.
● Debe ser aprobada por la gerencia de
auditoría y ser comunicada a todo el
personal de auditoría.

89
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Metodologías Auditorías de Sistemas Fases Básicas

Dependen de que se pretenda revisar o
analizar.
Estandarizado, cuatro fases básicas de
un proceso de revisión:
1. Estudio preliminar.

2. Revisión, evaluación de controles y

seguridades.

3. Examen detallado de áreas críticas.

4. Comunicación de resultados.

90
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

1. Estudio preliminar ● Definir el grupo de trabajo.

● Definir programa de auditoría.
● Efectuar visitas a unidad
informática para conocer sus
detalles.
● Elaborar cuestionario para
obtener información de
evaluación preliminar del control
interno; solicitud de plan de
actividades; manuales de
políticas; reglamentos; entrevistas
con principales funcionarios. del
PAD.
91
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

2. Revisión y evaluación de controles y seguridad

● Revisión diagramas de flujo de procesos.

● Realización pruebas de cumplimiento de
seguridades.
● Revisión de aplicaciones de áreas críticas.
● Revisión procesos históricos (backups).
● Revisión de documentación y archivos,
entre otras actividades.

92
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

3. Examen detallado de áreas críticas

La auditoría de sistemas de
información se define como:

Cualquier auditoría que abarca la

revisión y evaluación de todos los
aspectos (o de cualquier porción de
ellos) de sistemas automáticos de
procesamiento de la información,
incluidos procedimientos no
automáticos relacionados con ellos e
interfaces correspondientes.

93
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

4. Comunicación de resultados

Se discute borrador de informe con

ejecutivos de empresa hasta llegar a
informe definitivo.

Se presenta esquemáticamente en forma

de matriz, cuadros o redacción simple y
concisa.

Se destacan problemas encontrados, los

efectos y recomendaciones de Auditoría.

94
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Metodologías Auditorías de Sistemas Fases Básicas

95
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Procedimientos generales de auditoría

1. Entendimiento de área u objeto a auditar.
2. Valoración de riesgos y plan general de auditoría.
3. Planeación detallada de la auditoría.
4. Revisión preliminar de área u objeto a auditar.
5. Evaluación del área u objeto a auditar.
6. Pruebas de cumplimiento.
7. Pruebas sustantivas.
8. Reporte (comunicación de resultados).
9. Seguimiento.

96
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Pasos
Varios pasos para realizar una auditoría.

• Auditor de sistemas debe evaluar riesgos globales y luego desarrollar un

programa de auditoría que consta de objetivos de control y procedimientos de
auditoría.

• El proceso de auditoría exige que el auditor de sistemas reúna evidencia,

evalúe fortalezas y debilidades de los controles existentes.

• Gerencia de auditoría debe garantizar disponibilidad y asignación de

recursos para trabajo de auditoría, además de revisiones de seguimiento
sobre acciones correctivas emprendidas por la gerencia.

97
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Planificación de la auditoría

Planificación adecuada, primer paso

para auditorías de sistema eficaces.

● Auditor de sistemas debe

comprender el ambiente del
negocio en que se ha de realizar
la auditoría, así como los riesgos
del negocio y control asociado.

98
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Áreas a cubrir en planificación de auditoría

Auditor de sistemas debe comprender ambiente normativo en que opera el
negocio.
Pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión
del negocio son:

● Recorrer las instalaciones del ente.

● Lectura de material sobre antecedentes.
● Entrevistas a gerentes claves para comprender los temas esenciales.
● Estudio de los informes sobre normas o reglamentos.
● Revisión de planes estratégicos a largo plazo.
● Revisión de informes de auditorías anteriores.

99
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Objetivos de controles y objetivos de auditoría

El objetivo de un control es anular un

riesgo siguiendo alguna metodología.

El objetivo de auditoría es verificar la

existencia de estos controles y que
estén funcionando de manera eficaz,
respetando políticas de la empresa y
objetivos de la empresa.

100
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Procedimientos de auditoría
Algunos ejemplos de procedimientos:

• Revisión de documentación de sistemas e identificación de controles existentes.

• Entrevistas con especialistas técnicos a fin de conocer técnicas y controles

aplicados.

• Utilización de software de manejo de base de datos para examinar el contenido

de archivos de datos.

• Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.

101
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Metodología para
realizar Auditorías de
Sistemas

102
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Identificar Origen de Auditoría

Por solicitud expresa de procedencia interna. Por riesgos y contingencias informáticas.
• A petición de accionistas, socios y dueños. • Riesgos y contingencias del personal informático.
• Por orden de la dirección general. • Riesgos y contingencia de software.
• Riesgos y contingencias en las bases de datos.
Por solicitud expresa de procedencia externa.
• Por mandato de autoridades judiciales. Como resultado de los planes de contingencia.
• Por ordenamiento de las autoridades fiscales. • Por carencia de planes de contingencia.
• Por elaboración de planes de contingencia.
Como consecuencia de emergencias y
condiciones especiales.
• De incidencia interna.
• De incidencia externa.

103
Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Desarrollo
del programa de auditoría

104
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Desarrollo del programa de auditoría

Conjunto documentado de procedimientos diseñados para alcanzar los objetivos
de auditoría planificados.

Esquema típico de un programa de auditoría:

• Tema de auditoría: Se identifica el área a ser auditada.

• Objetivos de Auditoría: Se indica propósito del trabajo de auditoría a

realizar.

• Alcances de auditoría: Se identifican sistemas específicos o unidades de

organización ha incluir en la revisión en un período de tiempo determinado.

105
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Planificación previa

Donde se identifican los recursos y

destrezas que se necesitan para
realizar el trabajo así como las fuentes
de información para pruebas o revisión
y lugares físicos o instalaciones donde
se va auditar

106
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Recopilación de datos
• Identificación de lista de personas a entrevistar.
• Identificación y selección del enfoque del trabajo
• Identificación y obtención de políticas, normas y directivas.
• Desarrollo de herramientas y metodología para probar y verificar controles
existentes.
• Procedimientos para evaluar los resultados de las pruebas y revisiones.
• Procedimientos de comunicación con la gerencia.
• Procedimientos de seguimiento.

107
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Asignación de Recursos
La asignación de recursos para el trabajo de auditoría debe considerar técnicas
de administración de proyectos que tienen los siguientes pasos básicos:

1. Desarrollar un plan detallado

2. El plan debe precisar los pasos a seguir para cada tarea y estimar de manera
realista, el tiempo teniendo en cuenta el personal disponible.
3. Contrastar la actividad actual con la actividad planificada en el proyecto: debe
existir algún mecanismo que permita comparar el progreso real con lo
planificado. Generalmente se utilizan las hojas de control de tiempo.

108
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Técnicas de recopilación de evidencias

• Entrevistas con personal apropiado, con naturaleza de descubrimiento no
acusatoria.

• Observación de operaciones y actuación de empleados, es una técnica

importante para varios tipos de revisiones, para esto se debe documentar con el
suficiente grado de detalle como para presentarlo como evidencia de auditoría.

• Auto documentación, el auditor puede preparar narrativas en base a su

observación, flujogramas, cuestionarios de entrevistas realizados.

• Aplicación de técnicas de muestreo para saber cuando aplicar un tipo adecuado

de pruebas (de cumplimiento o sustantivas) por muestras.
109
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Herramientas Cuestionarios
• Definir si se quieren conocer hechos, opiniones o ambas cosas.

• Si el auditor va a estar presente o no.

• Preguntas concretas.

• Evitar usar jerga de auditoría e informática.

• Las preguntas no deben conducir indirectamente a las respuestas.

• Evitar cuestiones hipotéticas.

• Reflexionar sobre el rango con que se estimarán las posibles respuestas.

110
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Herramientas Entrevistas
• Analizar primero si la información buscada no está disponible en otros medios.

• Identificar previamente a las personas a entrevistar.

• Preparar la entrevista.

• Planificar el tiempo y definir el lugar.

• Toma de notas.

• Análisis de la entrevista.

111
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Informe de auditoría
• Producto final del trabajo del auditor de sistemas.

• Este informe es utilizado para indicar las observaciones y recomendaciones a la

gerencia, aquí también se expone la opinión sobre lo adecuado o inadecuado de
controles o procedimientos revisados durante la auditoría.

No existe formato específico para exponer un informe de auditoría de sistemas de

información, pero generalmente tiene la siguiente estructura o contenido:

112
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Informe de auditoría (Estructura general)

1. Introducción al informe, donde se expresara los objetivos de la auditoría.
2. El período o alcance cubierto por la misma y una expresión general sobre la
naturaleza o extensión de los procedimientos de auditoría realizados.
3. Observaciones detalladas y recomendaciones de auditoría.
4. Respuestas de gerencia a observaciones con respecto a acciones
correctivas.
5. Conclusión global del auditor expresando una opinión sobre los controles y
procedimientos revisados.

113
U1
 [5]

Desarrollo del programa de auditoría

114
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [5]

Seguimiento observaciones de auditoría

● Proceso continuo, trabajo de auditoría es ineficaz si no se comprueba que

acciones correctivas tomadas por la gerencia, se están realizando.
● Se debe tener un programa de seguimiento, la oportunidad de seguimiento
dependerá del carácter crítico de las observaciones de auditoría.
● El nivel de revisión de seguimiento del auditor de sistemas dependerá de
diversos factores, en algunos casos, el auditor de sistemas tal vez solo
necesite inquirir sobre la situación actual, en otros casos tendrá que hacer
una revisión más técnica del sistema.

115
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [7]

Materialidad de auditorías
Materialidad relevante en entorno de economía globalizada, porque cada día más usuarios
basan sus decisiones en información financiera emitida por la empresa.

● ¿Hasta qué punto las incorrecciones en estados financieros atentan contra la

veracidad de información y pueden distorsionar las decisiones de los usuarios?

● ¿En qué medida se deben considerar criterios cualitativos para decidir si una
incorrección es importante?

Auditoría se vale de un enfoque basado en riesgos. El auditor no puede realizar una

revisión total de las diferentes cuentas de estados financieros, sino que su análisis se
limita a una muestra de información, apoyado en el grado de confianza que tenga en el
control interno de la organización.

116
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [7]

Materialidad de auditorías
● Se asocia con umbral de relevancia, con nivel en
que una información comienza a ser importante
desde punto de vista cuantitativo y cualitativo.

● No responde solamente a magnitud cuantitativa de

incorrecciones, sino también a su naturaleza y a
circunstancias específicas en que ocurren.

● Da al auditor el punto de corte, a partir del que

incorrecciones en la información financiera, Fiabilidad de información puede
alcanzarse aun cuando ésta contenga
incluyendo omisiones, pueden considerarse
incorrecciones, siempre que, bajo
significativas para toma de decisiones a la luz de
criterios de materialidad, no distorsionen
las circunstancias.
la realidad de la empresa y no incidan
sobre las decisiones de los usuarios.
117
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [7]

Materialidad de auditorías Incorrecciones

Una información puede considerarse Pueden existir incorrecciones por
irrelevante por los usuarios si carece importes pequeños, que sean
de interés para la toma de decisiones o significativos e incidan en las
si cantidades implicadas son de decisiones de los usuarios.
pequeño importe.

Naturaleza de incorrecciones por bajo del umbral cuantitativo de materialidad,

puede ser considerada cualitativamente importante.

● Por representar hechos inusuales, acciones ilegales o malintencionadas,

incumplimientos de normativas o manipulaciones indebidas de información.

118
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [7]

Materialidad de auditorías

● Como errores se entienden distorsiones u omisiones de carácter involuntario.

○ Irregularidades o fraudes se asocian a actos u omisiones intencionados, para falsear
información.

● No responde solo a la magnitud cuantitativa de incorrecciones, sino también a la

naturaleza de las mismas y a las circunstancias específicas en que ocurren.

● Los juicios cuantitativos de materialidad se conforman mediante un porcentaje sobre

alguna variable de los estados financieros.

119
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 Materialidad de auditorías Error tolerable
● El auditor debe determinar en la planificación de Auditoría los niveles o cifras de
materialidad global para el conjunto de los estados financieros.
○ Éste es repartido entre las áreas o componentes de los estados financieros (saldos contables, tipos de
transacciones, entre otros) para determinar el nivel de materialidad particular o error tolerable.

● El error tolerable corresponde al límite máximo de aceptación de errores con que el

auditor pueda concluir que el resultado de la prueba logró su objetivo de Auditoría.

● Para definir nivel de materialidad global el auditor se vale de diferentes parámetros de

dichos estados, como pueden ser alguno de los siguientes: beneficios, ventas, fondos
propios, total de activos u otros relacionados con las características de la empresa.

● Para determinar error tolerable el auditor utiliza diferentes porcentajes sobre el nivel de
materialidad global, su juicio profesional, criterios empíricos o procedimientos de
muestreo.
120
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [8]

Riesgo de Auditoría

● Es aquel que existe en todo momento.

● Posibilidad que auditor emita información errada por
no haber detectado errores o faltas significativas.
● Podría modificar por completo la opinión dada en un
informe.

121
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [8]

Riesgo inherente
Tiene ver exclusivamente con la actividad económica o negocio de la empresa,
independientemente de sistemas de control interno que allí se estén aplicando.

Ejemplo: En auditoría financiera es la susceptibilidad de los estados financieros a la

existencia de errores significativos;
Este tipo de riesgo está fuera del control de un auditor, difícilmente se puede
determinar o tomar decisiones para desaparecer el riesgo ya que es propio de la
actividad realizada por la empresa.

Factores que llevan a la existencia de este tipo de riesgos: naturaleza de las

actividades económicas; naturaleza de volumen de transacciones como de productos
y/o servicios, área gerencial y calidad de recurso humano con que cuenta la entidad.

122
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [8]

Riesgo de control
● Influyen importantemente los sistemas de control interno implementados en
la empresa y que en circunstancias, lleguen a ser insuficientes o inadecuados
para aplicación y detección oportuna de irregularidades.
● Necesidad y relevancia que una administración tenga en constante revisión,
verificación y ajustes los procesos de control interno.
● Si existen bajos niveles de riesgos de control es porque se están efectuando
o están implementados excelentes procedimientos para el buen desarrollo de
los procesos de la organización.

● Factores relevantes que determina este tipo de riesgo son los sistemas de
información, contabilidad y control.
123
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [8]

Riesgo de detección
● Directamente relacionado con procedimientos de auditoría, tratándose de la
no detección de existencia de errores en el proceso realizado.
● Responsabilidad de efectuar una auditoría con procedimientos adecuados es
total responsabilidad del grupo auditor.
● Riesgo de detección bien trabajado contribuye a debilitar riesgo de control y
riesgo inherente de compañía.

● Proceso de auditoría con problemas de detección, al no analizar la

información adecuadamente, no contribuye a detección de riesgos inherentes
y de control a que está expuesta la información del ente y podría estar dando
lugar a un dictamen incorrecto.
124
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 [9]

125
Material preparado por Profesor Rodrigo Cabrera Solís
U1
 Técnicas de estimación de riesgos
1. Análisis Preliminar de Peligros 12. Fiabilidad Centro Mantenimiento (RCM)
2. Técnica Delphi 13. Análisis Sneak
3. Técnica Estructurada “What –If” 14. Peligros y Estudio Operatividad (HAZOP)
4. Evaluación Fiabilidad Humana 15. Riesgos y Puntos Críticos de Control (HCCAP)
5. Causa y Origen 16. Análisis LOPA
6. Análisis de Escenarios 17. Análisis Bow Tie
7. Impacto Negocio 18. Análisis Markov
8. Árbol de Defectos 19. Simulación Montecarlo
9. Árbol de Acontecimientos 20. Estadístico Bayesiano
10. Causa y Efecto (Ishikawa) 21. Costo/Beneficio
11. Modos Fracasos y Análisis Efectos (FMEA) 22. Curva FN

126
Material preparado por Profesor Rodrigo Cabrera Solís
Técnicas de estimación de riesgos
● Check-lists. Manera simple de identificar riesgos. Esta técnica proporciona una lista de las incertidumbres típicas a
considerar. Los usuarios se refieren a una lista previamente desarrollada, códigos o normas.

● SWIFT. Sistema que permite al equipo identificar los riesgos, normalmente vinculado a un análisis de riesgos y evaluación
técnica.

● Análisis de árbol de fallas. Esta técnica se inicia con un evento no deseado y determina todas las maneras en las que
podría ocurrir. Estos eventos se muestran gráficamente en un diagrama de árbol lógico. Una vez que el árbol de fallas se
ha desarrollado, debe considerarse la posibilidad de formas de reducir o eliminar las posibles causas/fuentes.

● Diagrama causa-efecto. Un efecto puede tener un número de factores que se pueden agrupar en distintas categorías.
Estos factores se identifican a menudo a través del intercambio de ideas y se muestran en una estructura de “espina de
pescado”. Permite conocer la raíz del problema y cuellos de botella en procesos.

● Análisis Modal de Fallos y Efectos (AMFE). Esta técnica identifica y analiza los fallos potenciales, mecanismos y los
efectos de esos fallos. Entre otros, se utiliza para el diseño de componentes y productos, sistemas, procesos de
fabricación y montaje, servicio y software.

● Análisis funcional de operatividad (HAZOP). Se trata de un proceso general de identificación de riesgos para definir
posibles desviaciones del rendimiento esperado o deseado. Se utiliza para detectar situaciones de inseguridad en plantas
industriales, debido a la operación o a los procesos productivos.

● Análisis de capas de protección (LOPA). Permite la evaluación de controles, así como su eficacia. 127
Material preparado por Profesor Rodrigo Cabrera Solís
 [6]

Objetivos Generales de una Auditoría de Sistemas

● Buscar una mejor relación costo-beneficio de sistemas automáticos o computarizados diseñados e implantados por
el Procesamiento automático de Datos (PAD).

● Incrementar la satisfacción de los usuarios de los sistemas computarizados.

● Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de

seguridades y controles.

● Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos
propuestos.

● Seguridad de personal, datos, hardware, software e instalaciones,

● Apoyo de función informática a las metas y objetivos de la organización.

● Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.

● Minimizar existencias de riesgos en el uso de Tecnología de información.

● Decisiones de inversión y gastos innecesarios.

● Capacitación y educación sobre controles en los Sistemas de Información.

128
U1 Material preparado por Profesor Rodrigo Cabrera Solís
 129
Material preparado por Profesor Rodrigo Cabrera Solís
 130
Material preparado por Profesor Rodrigo Cabrera Solís
 PS

PC

131
Material preparado por Profesor Rodrigo Cabrera Solís
 [10]

Pruebas de cumplimiento
● De uso general en auditorías.

● El objetivo de cualquier prueba de cumplimiento es proveer a los auditores de SI certeza razonable de que un
control en particular opera como fue percibido en evaluación preliminar.

● Actuaciones orientadas a comprobar que determinados procedimientos, normas o controles internos,

particularmente los que merecen confianza de estar adecuadamente establecidos, se cumplen o funcionan de
acuerdo con lo previsto y esperado, según la descrito en la documentación oportuna.

● La comprobación debe llevar a la evidencia a través de la inspección de los resultados producidos, registros,
documentos, conciliaciones, etc. y/u observación directa del funcionamiento de un control ante pruebas específicas
de su comportamiento.

● Evidencia de incumplimiento puede ser puesta de manifiesto a través de informes de excepción.

● Los testimonios de incumplimiento no implican evidencia, pero si parten de varias personas es probable que la
organización asuma como válidos dichos testimonios y por tanto las consecuencias que de los mismos pudieran
derivarse de cara a posibles recomendaciones, ahorrando esfuerzos para tratar de conseguir su confirmación
documental.
132
Material preparado por Profesor Rodrigo Cabrera Solís
Pruebas de cumplimiento

Establecer fiabilidad del control interno

133
Material preparado por Profesor Rodrigo Cabrera Solís
 [10]

Pruebas sustantivas

● Orientadas a detectar la presencia o ausencia de errores o irregularidades en procesos,

actividades, transacciones o controles internos integrados en ellos.

● Pertenecen al dominio general de la auditoría.

● Especialmente indicadas en situaciones en las que no hay evidencia de que existan

controles internos relevantes, suficientes como para garantizar el correcto funcionamiento del
proceso o elemento considerado.

● Todo tipo de error o incidencia imaginable puede ser objeto de investigación en esta clase de
pruebas.

134
Material preparado por Profesor Rodrigo Cabrera Solís
En el ámbito de la auditoría de una aplicación informática, irregularidades de diversa índole pueden
afectar a las transacciones:
● Transacciones omitidas, no registradas en el sistema.
● Duplicadas, registradas más de una vez.
● Inexistentes, indebidamente incluidas.
● Registradas sin contar con las autorizaciones establecidas.
● Incorrectamente clasificadas o contabilizadas en cuentas diferentes a las procedentes.
● Transacciones con información errónea, desde su origen o por alteración posterior.

135
Material preparado por Profesor Rodrigo Cabrera Solís
 [10]

Pruebas sustantivas
La evidencia se recoge para evaluar la integridad de transacciones individuales, dato.

Una prueba sustantiva fundamenta la integridad de un procesamiento real.

Provee evidencia de la validez e integridad de los saldos en los estados financieros y de las
transacciones que respaldan dichos saldos.

Una prueba sustantiva para determinar si los registros del inventario son correctos. Para
realizar esta prueba, el auditor de SI podría realizar un inventario completo o podría usar
una muestra estadística, que le permita llegar a una conclusión respecto de la exactitud de
todo el inventario.

Existe una correlación directa entre el nivel de los controles internos y la cantidad de
pruebas sustantivas requeridas.
136
Material preparado por Profesor Rodrigo Cabrera Solís
 137
Material preparado por Profesor Rodrigo Cabrera Solís
Las pruebas sustantivas consisten en comprobaciones diseñadas para obtener
evidencia de la validez y propiedad de las transacciones y saldos que van
formando los estados financieros de una organización; incluyen comprobaciones
de detalles, como las aplicaciones de muestreo o pruebas selectivas, y
procedimientos analíticos, diseñados para detectar errores e irregularidades en la
información financiera y sus acumulaciones, dichas pruebas son básicas para
determinar la opinión final a los estados financieros. Es decir, que se tiene como
pruebas sustantivas, los procedimientos de auditoría dirigidos o examinados a
obtener evidencia de validez y corrección del manejo contable de las
transacciones y los estados financieros y detección de errores o irregularidades
en ellos.
138
Material preparado por Profesor Rodrigo Cabrera Solís
Si los resultados de las pruebas a los controles (pruebas de cumplimiento)
revelaran la presencia de controles internos adecuados, entonces el auditor de SI
tiene una justificación para minimizar los procedimientos sustantivos.

Por el contrario, si la prueba a los controles revelara debilidades en los controles

que podrían generar dudas sobre la completitud, exactitud o validez de las
cuentas, las pruebas sustantivas pueden responder esas dudas.

Algunos ejemplos de pruebas de cumplimiento de controles en las cuales se

podrían considerar las muestras incluyen derechos de acceso de usuarios,
procedimientos de control de cambio de programas, procedimientos de
documentación, documentación de programas, excepciones de seguimiento,
revisión de registros.

Algunos ejemplos de pruebas sustantivas en las cuales se podrían considerar las

139
muestras incluyen el desempeño de por
Material preparado unProfesor
cálculo complejo
Rodrigo Cabrera Solís(por ejemplo, interés) en
Relación entre pruebas
de cumplimiento y
pruebas sustantivas y
describe las dos
categorías de pruebas
sustantivas.

140
Material preparado por Profesor Rodrigo Cabrera Solís
CRONOGRAMA
Pruebas Sustantivas
Fundamenta la integridad de un procesamiento real. Provee evidencia de la validez e integridad de los saldos en los estados financieros y de las
transacciones que respaldan dichos saldos.
COMPONENTE: CUENTAS POR PAGAR
COMPONENTE: BANCOS
Los auditores podrían usar pruebas sustantivas para comprobar si hay errores monetarios que afecten directamente a los saldos de los estados
financieros u otros datos relevantes de la organización.
Existe una correlación directa entre el nivel de los controles internos y la cantidad de pruebas sustantivas requeridas.
PRUEBAS DE CUMPLIMIENTO
* Obtener conocimiento del control interno sobre los efectos por cobrar y las ventas
* Comparar una muestra de documentos de despacho con las facturas de ventas respectivas.
* Reevaluar el riesgo de control y modificar las pruebas sustantivas para las cuentas por cobrar y las ventas.
PRUEBAS SUSTANTIVAS
* Realizar procedimientos analíticos sobre los documentos por cobrar y recaudo de intereses
* Obtener análisis de documentos por cobrar e interés respectivo.
* Confirmar cuentas por cobrar con deudores.
Pruebas de Cumplimiento
1. Obtener conocimiento del control interno de las cuentas por pagar.
2. Evaluar el riesgo de control para cada una de las afirmaciones principales en los estados financieros sobre las cuentas por pagar y diseñe
pruebas adicionales.
3. Realizar pruebas adicionales a los controles para aquellos controles que los auditores piensan considerar para soportar sus niveles evaluados y
planificados del riesgo de control.
Pruebas Sustantivas
1. Obtener o preparar balance de prueba de las cuentas por pagar a la fecha del balance general y conciliar con mayor general.
2. Comprobar los saldos por pagar a proveedores seleccionados, mediante inspección de los documentos de soporte.
3. Conciliar los pasivos con extractos mensuales de los proveedores.
Pruebas de Cumplimiento 141
BANCOS
Evidencia

● Evidencia de auditoría es cualquier información que

utiliza el auditor para determinar si la información
cuantitativa o cualitativa que se está auditando, se
presenta de acuerdo al criterio establecido.

● La evidencia de auditoría es toda información o

documentación que obtiene el auditor en el proceso
de auditoría, para extraer conclusiones en las cuales
sustentar su opinión.

● Comprenden documentos fuente originales y

registros contables que soportan los estados
financieros y de ejecución presupuestaria de gastos.

142
Material preparado por Profesor Rodrigo Cabrera Solís
 [Link]
Evidencia
Credibilidad de la evidencia:

Para garantizar la credibilidad de la evidencia, esta debe ser competente y suficiente.

La credibilidad de la evidencia está determinada cuatro características básicas:

● Relevancia
● Competencia
● Objetividad
● Suficiencia

143
Material preparado por Profesor Rodrigo Cabrera Solís
Ejemplo:

Si el objetivo de la auditoría es:

● Verificar el proceso de facturación de la empresa XYZ.

○ La evidencia deberán ser documentos que soporten que la empresa está llevando a cabalidad
el proceso de facturación.
○ A través de documentos como facturas de venta o de compra.

144
Material preparado por Profesor Rodrigo Cabrera Solís
Evidencia sistema de información contable
Las evidencias testimoniales. Los documentos electrónicos.
Las evidencias analíticas. Las evidencias a través de análisis de procesos.
La indagación. Las cartas de abogados.
Los análisis específicos. La observación.
La encuesta. Los informes de especialistas.
La tabulación. La revisión selectiva.
Las declaraciones de terceros. La repetición del control.
La conciliación. Las evidencias físicas.
La comparación. El rastreo.
Las evidencias documentales. La inspección.
El cálculo. La reconstrucción del flujo operacional.
Las evidencias informáticas. La comprobación.
Las interrelaciones de los datos. El análisis de eventos posteriores.
145
Material preparado por Profesor Rodrigo Cabrera Solís
Muestreo en auditoría
Técnica que permite al auditor inferir conclusiones de un conjunto de elementos
(universo o población) a través del estudio de una parte (muestra).

● Se usa tanto en las pruebas de cumplimiento como en las sustantivas.

● Es útil cuando la selección que se debe hacer es sobre una población muy
grande y no se conocen las características, como puede ser el saldo de una
cuenta que está sobrevalorada como resultado de la aplicación de
cantidades, precios incorrectos o por errores en los cálculos o sumas.

146
Material preparado por Profesor Rodrigo Cabrera Solís
Muestreo en auditoría
● Las muestras tienen un fundamento matemático estadístico y representan un
instrumento muy valioso para los auditores.
Ventajas
● Con una muestra reducida, con relación al universo, se puede examinar un
amplio número de operaciones que de otra forma sería muy difícil.
● Las muestras suponen una gran economía y rapidez en su ejecución.
● Una muestra puede ofrecer resultados tan exactos como el estudio de toda la
población, aunque esté afectado del error resultante de limitar el todo a una
parte.

147
Material preparado por Profesor Rodrigo Cabrera Solís
Clases de Muestreo
Utiliza técnicas que permiten hacer estimaciones sobre una población aplicando
leyes de estadística.

Las aplicaciones de muestreo estadístico deben cumplir los siguientes requisitos:

● El tamaño de la muestra debe calcularse utilizando técnicas estadísticas.

● La selección de la muestra debe hacerse en forma aleatoria.
● Estimación de las características de la población debe hacerse de acuerdo a las
leyes estadísticas.
● Una aplicación de muestreo que no cumpla con alguno de estos tres requisitos se
considera muestreo no estadístico.
148
Material preparado por Profesor Rodrigo Cabrera Solís
Muestreo estadístico
Entre los métodos utilizados en el muestreo estadístico están:

● Muestreo por atributos

● Muestreo de unidades monetarias
● Muestreo aleatorio o probabilístico
● Muestreo aleatorio simple
● Muestreo aleatorio sin reemplazamiento
● Muestreo estratificado
● Muestreo sistemático
149
Material preparado por Profesor Rodrigo Cabrera Solís
[Link]

Técnicas de Auditoría Asistidas por Computador

TAAC: conjunto de técnicas y herramientas utilizadas para mejorar eficacia, eficiencia, alcance y
confiabilidad de los datos sometidos a análisis por parte de una organización.

Además del uso de TICs y software especializado, incluye métodos y procedimientos utilizados
por el auditor para la realización de su trabajo, y pueden ser además de los informáticos,
administrativos, analíticos y legales.

● Pruebas integrales.
● Simulaciones de procesos. ● Prueba de transacciones para análisis
● Revisiones de Acceso. auxiliar de un archivo histórico.
● Operaciones en paralelo. ● Registro manual de la información
● Evaluación de sistemas con datos de prueba. necesaria para originar una transacción.
● Registros extendidos. ● Procesos de transacciones con grandes
● Totales aleatorios de criterios de programas, cantidades de datos, etcétera.
cálculos parciales, etcétera.
150
Material preparado por Profesor Rodrigo Cabrera Solís
[11]

151
[11]

152
[11]

153
[11]

154
[11]

155
 156
Material preparado por Profesor Rodrigo Cabrera Solís
Método de auditoría continua

Organizaciones modernas usan TIC como parte del

negocio, disminuyendo fronteras de espacio y de tiempo.

Organizaciones ubicuas, con capacidad de desarrollar

sus operaciones en distintas partes del mundo de forma
simultánea (24 / 7 / 365).

Responden en tiempo real a cambios que se pueden

suscitar en su entorno de negocios inmediato.

157
Material preparado por Profesor Rodrigo Cabrera Solís
Método de auditoría continua
● Auditoría aún no se ha desarrollado a la par de estas organizaciones.
● Procesos de auditoría tardíos; días, meses e inclusive años después de
ocurridos los eventos económicos.
● Control tardío de eventos económicos, detectando anomalías e
irregularidades y en general incumplimiento de reglas de negocio mucho
tiempo después de que ocurrieron.
● Genera reportes tardíos que ya no tienen valor para la organización, o si aún
lo tienen, ya han perdido mucho de él.

158
Material preparado por Profesor Rodrigo Cabrera Solís
Definición
● Metodología para emisión de informes de auditoría simultáneamente, o un corto
periodo de tiempo después de la ocurrencia de los hechos relevantes.
● Todo método utilizado por auditores para realizar actividades relacionadas con
auditoría en forma (más) continua.
● Es la secuencia de actividades que abarcan desde la evaluación continua de
control hasta la evaluación continua de riesgos”.
● Método que utiliza TAAC’s que permite a profesionales de auditoría y
aseguramiento de TI monitorear riesgos y controles en forma continua.
● Este enfoque permite a los profesionales de auditoría y aseguramiento de TI
reunir evidencia selectiva de auditoría a través del computador.

159
Material preparado por Profesor Rodrigo Cabrera Solís
 160
Material preparado por Profesor Rodrigo Cabrera Solís
[Link]

● Es necesario que auditoría responda a retos del negocio en tiempo real.

● Uno de los mecanismos para lograrlo es el uso intensivo de TIC como parte
del proceso auditor, que agregue valor en su función de aseguramiento.
● Más 30 modelos de Auditoría Continua en literatura científica y profesional.
● Guías promulgadas por organizaciones de Auditoría tales como IIA e ISACA,
hasta experiencias en organizaciones como AT&T, Siemens, Unibanco, y
esquemas teóricos difundidos por diversos investigadores.

161
Material preparado por Profesor Rodrigo Cabrera Solís
162
 [12]

Tipos de técnicas de auditoría en línea (ISACA, 2012)

1. Archivo de revisión de auditoría de control de sistemas y módulos de
auditoría integrados (SCARF/EAM):
a. Esta técnica implica desarrollar líneas de código de auditoría, para integrarlo en el sistema de
la organización, de modo que los sistemas de aplicación sean monitoreados de manera
selectiva.
2. Snapshots:
a. Esta técnica conlleva lo que podría denominarse la toma de fotografías de la ruta de
procesamiento, que sigue una transacción desde la etapa de ingreso de datos hasta la
obtención de la salida. Con el uso de esta técnica, las transacciones son marcadas aplicando
identificadores a los datos entrantes y se registra la información seleccionada sobre lo que
ocurre, para que el auditor la revise posteriormente.

163
Tipos de técnicas de auditoría en línea (ISACA, 2012)
3. Ganchos de auditoría (Audit Hooks):
Esta técnica implica integrar ganchos en los sistemas de aplicación, para que
funcionen como banderas rojas e inducir a los auditores a que actúen, antes que un
error o irregularidad se salga de control.

4. Instalación de prueba integrada (ITF):

En esta técnica, se establecen entidades ficticias y se incluyen en archivos de
producción de un auditado. El auditor puede hacer que el sistema procese o bien sean
transacciones reales o transacciones de prueba durante la ejecución de procesamiento
regular y haga que estas transacciones actualicen los registros de las entidades
ficticias. El auditor luego compara el resultado con los datos que han sido calculados
de manera independiente, para verificar el correcto procesamiento de los datos.
164
Tipos de técnicas de auditoría en línea (ISACA, 2012)
5. Simulación continua e intermitente (CIS):
Durante la corrida de un proceso de una transacción, el sistema informático simula la
ejecución de instrucciones de la aplicación. A medida que cada transacción es
ingresada, el simulador decide si la transacción reúne ciertos criterios predeterminados
y si es así, audita la transacción. De lo contrario, el simulador espera hasta que
encuentra la próxima transacción que cumple con los criterios.

165
Herramientas de apoyo a la auditoría.

166
Referencias
[1] [Link]
[2] [Link]
[3] [Link]
[4] [Link]
[5] [Link]
[6] Naranjo, A. (2009). Conceptos de la auditoria de sistemas. Santa Fe, Argentina, Argentina: El Cid Editor | apuntes. Recuperado de
[Link]
[7] [Link]
[8] [Link]
[9] [Link]
[10] [Link]
[11] [Link]
[12] [Link]

167
 Rodrigo Cabrera Solís
Magíster en Educación Mención Política y Gestión Educativas - Magíster en Gestión de Tecnologías de la Información
Profesor Educación Técnico Profesional Mc. Informática - Técnico en Informática y Redes
Diplomado Docencia Educación Superior - Especialista en Entornos Virtuales de Aprendizaje

168