Controles y Conceptos de Auditoría

(Parte 1)

¿Qué es una Auditoría?

En términos generales, una auditoría es una evaluación sistemática e independiente de una

organización, proceso, sistema, proyecto o producto. El objetivo principal de una auditoría es
proporcionar una opinión objetiva e imparcial sobre la eficacia, eficiencia, cumplimiento de
normas, integridad y confiabilidad de lo que se está evaluando.

En el caso específico de la Auditoría de Sistemas, se trata de una evaluación sistemática e

independiente de los sistemas de información de una organización. El objetivo de la Auditoría
de Sistemas es proporcionar una opinión objetiva e imparcial sobre la eficacia de los controles
internos de los sistemas de información, la confidencialidad, integridad y disponibilidad de la
información, el cumplimiento de políticas y normas relacionadas con la seguridad de la
información, y la identificación de oportunidades para mejorar la eficiencia y eficacia de los
sistemas de información y los procesos de negocio relacionados.

Para realizar una auditoría de sistemas, el auditor debe seguir un proceso sistemático y
riguroso que incluye las siguientes etapas:

• Planificación: en esta etapa se establecen los objetivos de la auditoría, se identifican

los sistemas y procesos que se van a auditar, se definen los recursos necesarios y se
establece un plan detallado para la auditoría.
• Recopilación de información: en esta etapa se recopila y analiza información sobre los
sistemas y procesos que se van a auditar, se identifican las fortalezas y debilidades de
los sistemas y procesos, y se evalúa el cumplimiento de las políticas y normas
relacionadas con la seguridad de la información.
• Evaluación de controles internos: en esta etapa se evalúan los controles internos de
los sistemas de información para determinar si son adecuados y efectivos para
garantizar la seguridad de la información.
• Comunicación de resultados: en esta etapa se prepara un informe que resume los
hallazgos de la auditoría, se identifican las fortalezas y debilidades de los sistemas y
procesos auditados, y se hacen recomendaciones para mejorar la eficiencia y eficacia
de los sistemas de información y los procesos de negocio relacionados.

En resumen, una auditoría es una evaluación objetiva e independiente que permite identificar
fortalezas y debilidades de una organización, proceso, sistema, proyecto o producto, con el fin
de mejorar su eficacia, eficiencia y cumplimiento de normas. En el caso de la Auditoría de
Sistemas, su objetivo es evaluar los sistemas de información de una organización para
garantizar su eficacia, eficiencia y seguridad.
¿Qué es la Auditoría de Sistemas?

La Auditoría de Sistemas es una disciplina que tiene como objetivo evaluar y asegurar la
eficiencia, eficacia, confidencialidad, integridad y disponibilidad de los sistemas de información
de una organización. La importancia de la Auditoría de Sistemas radica en que los sistemas de
información son cada vez más importantes para las organizaciones, ya que les permiten
mejorar su eficiencia y competitividad. Sin embargo, también son cada vez más vulnerables a
riesgos como la pérdida de datos, el acceso no autorizado y los errores de programación.

La importancia de la Auditoría de Sistemas

La auditoría en sistemas es un proceso crítico y necesario en cualquier organización que utiliza

tecnología de la información. Es esencial para garantizar que los sistemas y procesos
informáticos funcionen de manera segura, eficiente y confiable. A continuación, se detallan
algunas de las razones por las que la auditoría en sistemas es importante:

1. Seguridad de los datos: Los datos son uno de los activos más valiosos de una
organización, y la auditoría en sistemas ayuda a garantizar que estén protegidos contra
cualquier tipo de amenaza, como virus informáticos, ataques de hackers, accesos no
autorizados, entre otros.
2. Cumplimiento legal: Las empresas deben cumplir con una variedad de regulaciones y
leyes en materia de protección de datos, privacidad, seguridad de la información,
entre otras. La auditoría en sistemas ayuda a garantizar que la organización cumpla
con estos requisitos legales.
3. Identificación de riesgos: La auditoría en sistemas ayuda a identificar los riesgos y
vulnerabilidades en los sistemas y procesos informáticos de una organización, lo que
permite tomar medidas preventivas para minimizar estos riesgos.
4. Mejora de la eficiencia: La auditoría en sistemas puede ayudar a identificar áreas
donde los procesos informáticos pueden mejorarse para hacerlos más eficientes y
efectivos.
5. Evaluación del control interno: La auditoría en sistemas ayuda a evaluar el control
interno de una organización, lo que permite identificar áreas donde se requieren
mejoras.

En resumen, la auditoría en sistemas es esencial para garantizar que los sistemas y procesos
informáticos de una organización sean seguros, eficientes y cumplan con los requisitos legales.
También ayuda a identificar áreas donde se pueden mejorar los procesos y a evaluar el control
interno de la organización. Por lo tanto, es importante que las empresas implementen
auditorías en sistemas de manera regular para garantizar que sus sistemas informáticos estén
siempre en óptimas condiciones.
Los Objetivos de la Auditoría de Sistemas

Los objetivos de la Auditoría de Sistemas pueden variar según la organización y el contexto en

el que se realiza la auditoría. Sin embargo, algunos de los objetivos más comunes son los
siguientes:

• Evaluar la efectividad de los controles internos de los sistemas de información para

detectar y prevenir fraudes, errores y abusos.
• Identificar las debilidades y vulnerabilidades de los sistemas de información que
puedan ser explotadas por atacantes externos o internos.
• Asegurar el cumplimiento de las políticas y normativas internas y externas
relacionadas con la seguridad de los sistemas de información.
• Identificar oportunidades para mejorar la eficiencia y eficacia de los sistemas de
información y los procesos de negocio relacionados.

Conceptos de Control Interno y categorías de controles

El control interno es un conjunto de políticas y procedimientos diseñados para garantizar que
los objetivos de una organización se cumplan de manera eficiente y efectiva, y que los riesgos
se gestionen adecuadamente. Los conceptos clave del control interno son la gestión de
riesgos, el control y la supervisión.

La gestión de riesgos implica identificar, evaluar y gestionar los riesgos que pueden afectar la
organización. Los controles son las medidas que se implementan para mitigar los riesgos
identificados. La supervisión es el proceso de supervisar y evaluar continuamente el control
interno para asegurarse de que esté funcionando de manera efectiva.

Existen tres categorías de controles internos que se utilizan para garantizar la efectividad del
control interno en una organización:

1. Controles preventivos: estos controles se implementan antes de que se produzca una

actividad, proceso o transacción, con el fin de evitar o minimizar el riesgo de que se
produzcan errores o fraudes. Ejemplos de controles preventivos incluyen la
segregación de funciones, la autorización de transacciones y la verificación de las
entradas de datos.
2. Controles detectivos: estos controles se implementan después de que se ha producido
una actividad, proceso o transacción, con el fin de detectar cualquier error o fraude
que pueda haber ocurrido. Ejemplos de controles detectivos incluyen la reconciliación
de cuentas, la revisión de informes de excepción y la auditoría de datos.
3. Controles correctivos: estos controles se implementan después de que se ha
detectado un error o fraude, con el fin de corregir el problema y prevenir que vuelva a
ocurrir. Ejemplos de controles correctivos incluyen la corrección de entradas de datos
erróneas, la recuperación de datos perdidos y la implementación de medidas
disciplinarias.

En resumen, el control interno es fundamental para el éxito de una organización, y se basa en

la gestión de riesgos, el control y la supervisión. Las categorías de controles internos, como los
controles preventivos, detectivos y correctivos, se utilizan para garantizar la efectividad del
control interno en una organización. Es importante que los profesionales de auditoría
comprendan estos conceptos y categorías de controles para evaluar y mejorar el control
interno en una organización.

Funciones de Auditoría

Las funciones principales de la auditoría en informática incluyen:

1. Evaluación de controles internos: La auditoría en informática evalúa los controles

internos que se han implementado en la organización para proteger y asegurar la
información.
2. Evaluación de la eficiencia y eficacia de los procesos: La auditoría en informática
evalúa la eficiencia y eficacia de los procesos informáticos y tecnológicos que se han
implementado en la organización.
3. Identificación de riesgos: La auditoría en informática identifica los riesgos y
vulnerabilidades en los sistemas y procesos informáticos de una organización, lo que
permite tomar medidas preventivas para minimizar estos riesgos.
4. Pruebas de seguridad: La auditoría en informática realiza pruebas de seguridad para
evaluar la seguridad y protección de la información en la organización.
5. Cumplimiento legal: La auditoría en informática asegura que la organización cumpla
con las leyes y regulaciones en materia de protección de datos, privacidad, seguridad
de la información, entre otras.

Evaluación de Controles Internos

La evaluación de controles internos es una función clave de la auditoría en informática. Los

controles internos son los procesos, políticas y procedimientos que una organización utiliza
para proteger y asegurar su información y activos. La evaluación de controles internos implica
revisar y evaluar la efectividad de estos controles para asegurarse de que sean adecuados para
proteger la información y los activos de la organización.

Para llevar a cabo una evaluación de controles internos, el auditor debe identificar los
controles que están en vigor en la organización y evaluar su efectividad. Esto implica la revisión
de documentos, entrevistas con los responsables de los controles, así como la realización de
pruebas para evaluar la eficacia de los controles.

La evaluación de los controles internos en informática puede incluir, por ejemplo, la revisión
de políticas de seguridad, procedimientos de gestión de contraseñas, la revisión de acceso a
los sistemas, la gestión de cambios y actualizaciones, la gestión de copias de seguridad y
recuperación de desastres, entre otros.

Al evaluar los controles internos, el auditor debe determinar si los controles son adecuados
para proteger la información y los activos de la organización, y si se están aplicando y
manteniendo correctamente. Si se identifican debilidades en los controles internos, el auditor
debe recomendar mejoras y medidas correctivas a la organización para fortalecerlos y mejorar
su efectividad.

Evaluación de la Eficiencia y la Eficacia de los Procesos

La evaluación de la eficiencia y eficacia de los procesos es una función clave de la auditoría en
informática. Los procesos son los procedimientos y actividades que una organización utiliza
para lograr sus objetivos, y su eficiencia y eficacia pueden tener un gran impacto en la
productividad, rentabilidad y calidad de la organización.

La eficiencia se refiere a la capacidad de los procesos para lograr los objetivos de manera
oportuna y con el uso adecuado de los recursos, como el tiempo, el dinero y los recursos
humanos. La eficacia, por otro lado, se refiere a la capacidad de los procesos para lograr los
objetivos de manera efectiva, es decir, cumpliendo con los requisitos y expectativas de los
clientes y partes interesadas.

Para evaluar la eficiencia y eficacia de los procesos, el auditor debe identificar los procesos
clave de la organización y examinar su diseño, implementación y rendimiento. Esto puede
implicar la revisión de documentación, la observación de los procesos en acción y la realización
de entrevistas con el personal involucrado en los procesos.

La evaluación de la eficiencia y eficacia de los procesos puede incluir, por ejemplo, la revisión
de los tiempos de ciclo de los procesos, el análisis del uso de recursos y costos, la evaluación
del rendimiento del personal, la revisión de las políticas y procedimientos que rigen los
procesos, y la medición del nivel de satisfacción del cliente.

Al evaluar la eficiencia y eficacia de los procesos, el auditor puede identificar áreas en las que
se pueden realizar mejoras y recomendar cambios para mejorar la productividad, rentabilidad
y calidad de la organización. Estas recomendaciones pueden incluir la optimización de
procesos, la reducción de costos, la mejora de la calidad del servicio al cliente, la
implementación de políticas y procedimientos más efectivos, entre otras.

Identificación de Riesgos

La identificación de riesgos es una función clave de la auditoría en informática. Los riesgos son
eventos o circunstancias que pueden afectar negativamente la seguridad, integridad,
disponibilidad y confidencialidad de los sistemas y datos de una organización. Identificar los
riesgos es esencial para el éxito de la auditoría en informática, ya que permite al auditor
comprender los riesgos a los que está expuesta la organización y evaluar la efectividad de los
controles internos para mitigarlos.

Para identificar los riesgos, el auditor debe llevar a cabo una revisión exhaustiva de los
sistemas y procesos informáticos de la organización. Esto puede incluir la revisión de la
arquitectura del sistema, la identificación de los datos y sistemas críticos, y la realización de
pruebas para identificar vulnerabilidades y debilidades en los controles internos.

Los riesgos pueden surgir de diversas fuentes, como errores humanos, problemas técnicos,
ataques cibernéticos, desastres naturales, entre otros. Algunos ejemplos de riesgos
informáticos comunes incluyen la falta de políticas y procedimientos de seguridad adecuados,
la falta de acceso restringido a datos confidenciales, la falta de copias de seguridad y
recuperación de desastres, la falta de protección contra virus y malware, y la falta de control
en la gestión de cambios y actualizaciones.
Una vez que los riesgos han sido identificados, el auditor debe evaluar su impacto y
probabilidad. Esto implica analizar las posibles consecuencias de un riesgo y la probabilidad de
que ocurra. El auditor también debe evaluar la efectividad de los controles internos existentes
para mitigar los riesgos.

La identificación de riesgos en la auditoría en informática es un proceso continuo y dinámico,

ya que los riesgos pueden cambiar con el tiempo debido a la evolución de las amenazas
cibernéticas, cambios en los sistemas y procesos informáticos, entre otros factores. Por lo
tanto, es esencial que el auditor actualice y revise regularmente la evaluación de riesgos.

Pruebas de Seguridad

Las pruebas de seguridad son una parte fundamental de la auditoría en informática, ya que
permiten al auditor evaluar la efectividad de los controles de seguridad implementados en los
sistemas y procesos informáticos de la organización.

Las pruebas de seguridad pueden incluir diversas técnicas y herramientas, como pruebas de
penetración, análisis de vulnerabilidades, pruebas de estrés y pruebas de cumplimiento de
políticas y procedimientos de seguridad. Estas pruebas se realizan para identificar posibles
debilidades en los sistemas y procesos informáticos, y para evaluar la capacidad de la
organización para detectar y responder a amenazas cibernéticas.

Las pruebas de penetración, también conocidas como pruebas de hacking ético, son pruebas
de seguridad en las que el auditor simula un ataque cibernético para evaluar la seguridad del
sistema y la capacidad de la organización para detectar y responder a dichos ataques. Estas
pruebas se realizan con el objetivo de identificar posibles vulnerabilidades y debilidades en los
sistemas, y para evaluar la efectividad de los controles de seguridad existentes.

El análisis de vulnerabilidades es otra técnica comúnmente utilizada en las pruebas de

seguridad. Esta técnica implica la revisión de los sistemas y procesos informáticos para
identificar posibles vulnerabilidades y debilidades que puedan ser explotadas por los atacantes
cibernéticos. El análisis de vulnerabilidades se realiza mediante el uso de herramientas
automatizadas o manualmente.

Las pruebas de estrés son otro tipo de prueba de seguridad que se utilizan para evaluar la
capacidad del sistema para manejar un alto volumen de tráfico o transacciones. Estas pruebas
se realizan para evaluar la capacidad del sistema para mantenerse estable y operativo bajo
condiciones de alta carga.

Por último, las pruebas de cumplimiento de políticas y procedimientos de seguridad se realizan

para evaluar la eficacia de las políticas y procedimientos de seguridad implementados por la
organización. Estas pruebas se realizan mediante la revisión de las políticas y procedimientos
de seguridad, la realización de entrevistas con los empleados y la revisión de registros y
documentación de seguridad.

Cumplimiento Legal
La auditoría de cumplimiento legal es una parte importante de la auditoría en informática, ya
que implica evaluar si la organización cumple con las leyes, reglamentos y normativas que se
aplican a sus operaciones informáticas.
Las leyes y regulaciones pueden variar según la industria, el país o la región en la que opera la
organización, y pueden incluir normas de privacidad y seguridad de datos, protección de la
propiedad intelectual, regulaciones de comercio electrónico, cumplimiento fiscal y laboral,
entre otras.

La auditoría de cumplimiento legal implica revisar los registros y documentación de la

organización para evaluar si se cumplen las leyes y regulaciones aplicables. Esto puede incluir
la revisión de políticas y procedimientos, contratos y acuerdos, informes de cumplimiento,
registros de auditoría, y otra documentación relevante.

El auditor también puede realizar entrevistas con los empleados clave de la organización para
evaluar su comprensión y cumplimiento de las leyes y regulaciones aplicables. Además, el
auditor puede utilizar herramientas automatizadas para evaluar el cumplimiento de la
organización con las leyes y regulaciones aplicables.

Es importante tener en cuenta que el incumplimiento de las leyes y regulaciones aplicables

puede tener consecuencias graves para la organización, incluyendo sanciones legales, multas y
daños a la reputación. Por lo tanto, la auditoría de cumplimiento legal es esencial para
garantizar que la organización cumpla con las leyes y regulaciones aplicables y para reducir los
riesgos legales y reputacionales.

Tipos de Auditoría

Existen varios tipos de auditoría en informática, que se clasifican según el alcance y objetivo de
la auditoría. Algunos de los tipos de auditoría más comunes son:

1. Auditoría de sistemas: Este tipo de auditoría evalúa la efectividad de los controles

internos y los procesos informáticos en una organización.
2. Auditoría de seguridad informática: Este tipo de auditoría evalúa la seguridad y
protección de la información en la organización.
3. Auditoría de cumplimiento: Este tipo de auditoría evalúa el cumplimiento de las leyes y
regulaciones en materia de protección de datos, privacidad y seguridad de la
información.
4. Auditoría de continuidad del negocio: Este tipo de auditoría evalúa la capacidad de la
organización para mantener sus operaciones en caso de interrupciones o desastres.

Auditoría de Sistemas

La auditoría de sistemas es un tipo de auditoría que se enfoca en evaluar la efectividad de los

controles internos y los procesos informáticos en una organización. El objetivo principal de la
auditoría de sistemas es asegurar que los sistemas informáticos de la organización funcionen
de manera eficiente, efectiva y segura.

La auditoría de sistemas se enfoca en evaluar la efectividad de los controles internos de la

organización para identificar y mitigar los riesgos relacionados con la tecnología y los procesos
informáticos. Esto incluye evaluar la seguridad de los sistemas informáticos, la confidencialidad
de los datos, la integridad de los datos, la disponibilidad de los sistemas y la capacidad de
recuperación en caso de un desastre.

Los auditores de sistemas utilizan una variedad de herramientas y técnicas para evaluar la
efectividad de los controles internos y los procesos informáticos de una organización. Esto
puede incluir la revisión de políticas y procedimientos, la realización de pruebas de seguridad,
la revisión de registros y documentación, y la realización de entrevistas con el personal clave
de la organización.

Además de evaluar la efectividad de los controles internos y los procesos informáticos de la

organización, la auditoría de sistemas también puede incluir la evaluación del cumplimiento
legal y regulatorio de la organización en relación con la tecnología y los procesos informáticos.

Auditoría de seguridad informática

La auditoría de seguridad informática es un tipo de auditoría que se enfoca en evaluar la

seguridad y protección de la información en la organización. El objetivo principal de la
auditoría de seguridad informática es asegurar que la información de la organización esté
protegida contra posibles amenazas y ataques cibernéticos.

La auditoría de seguridad informática evalúa la efectividad de los controles de seguridad

implementados por la organización para proteger su información. Esto puede incluir la
evaluación de la política de seguridad de la información, la revisión de los controles de acceso
y autenticación, la evaluación de la seguridad física y lógica, la evaluación de los controles de
protección de datos, la evaluación de la continuidad del negocio y la evaluación de los planes
de recuperación de desastres.

Los auditores de seguridad informática utilizan una variedad de herramientas y técnicas para
evaluar la seguridad de la información en la organización. Esto puede incluir la revisión de
políticas y procedimientos, la realización de pruebas de penetración para detectar
vulnerabilidades y la realización de pruebas de seguridad para evaluar la efectividad de los
controles de seguridad implementados.

Además de evaluar la efectividad de los controles de seguridad implementados por la

organización, la auditoría de seguridad informática también puede incluir la evaluación del
cumplimiento legal y regulatorio de la organización en relación con la protección de la
información.

Auditoría de cumplimiento
La auditoría de cumplimiento es un tipo de auditoría que se enfoca en evaluar si la
organización cumple con las leyes y regulaciones aplicables en materia de protección de datos,
privacidad y seguridad de la información. El objetivo principal de la auditoría de cumplimiento
es verificar si la organización está cumpliendo con las leyes y regulaciones aplicables en
relación con la protección de la información.

La auditoría de cumplimiento puede incluir la revisión de políticas y procedimientos de la

organización en relación con la protección de la información, la evaluación de los controles de
seguridad implementados para proteger la información, y la evaluación de la eficacia de los
procesos de gestión de riesgos de la organización en relación con la protección de la
información.

Los auditores de cumplimiento también pueden revisar la documentación y registros de la

organización en relación con el cumplimiento legal y regulatorio en materia de protección de
datos, privacidad y seguridad de la información. Esto puede incluir la revisión de contratos y
acuerdos con terceros en relación con el tratamiento de la información de la organización.

Además, la auditoría de cumplimiento también puede evaluar si la organización está

cumpliendo con los requisitos de notificación y divulgación de incidentes de seguridad de la
información a las autoridades pertinentes, y si está respondiendo adecuadamente a cualquier
incidente de seguridad de la información.

Auditoría de continuidad del negocio

La auditoría de continuidad del negocio es un tipo de auditoría que se enfoca en evaluar la

capacidad de la organización para mantener sus operaciones en caso de interrupciones o
desastres. El objetivo principal de la auditoría de continuidad del negocio es verificar si la
organización tiene planes y controles adecuados para continuar con sus operaciones después
de un evento de interrupción del negocio.

Los auditores de continuidad del negocio pueden evaluar la planificación de la continuidad del
negocio de la organización, que incluye la identificación de los riesgos y amenazas a las
operaciones de la organización, la evaluación del impacto potencial de estos riesgos y
amenazas en las operaciones de la organización, y la identificación de las medidas de
mitigación necesarias para minimizar el impacto.

Además, los auditores pueden revisar los planes de contingencia de la organización para
asegurarse de que estén actualizados y sean efectivos en caso de una interrupción del negocio.
Estos planes pueden incluir la asignación de responsabilidades, la identificación de recursos
críticos y la documentación de procedimientos para la recuperación del negocio.

Los auditores también pueden evaluar la capacidad de la organización para restaurar sus
operaciones y sistemas de información críticos después de un evento de interrupción del
negocio. Esto puede incluir la evaluación de los controles de seguridad implementados para
proteger la información y la evaluación de la efectividad de los procedimientos de
recuperación de desastres.

Prof. Mario Ahumada