Tema 3

El proceso y las fases de la auditoría de
Sistemas de Información
[3.1] ¿Cómo estudiar este tema?
[3.2] Evaluación de riesgos (EDR) y otras metodologías de

auditoría informática
[3.3] Ejecución de una auditoría de Sistemas de Información.

Fases de auditoría
[3.4] Habilidades fundamentales del auditor de Sistemas de

Información
3 TEMA
El proceso y las fases de la auditoría de SI
Esquema
TEMA 3 – Esquema
EDR y otras metodologías Fases de Habilidades del auditor
de auditoría informática auditoría informático
EDR Genérico Preparación
EDR Simplificado
Realización
(checklist)
EDR Avanzado Redacción

(producto) Informe
Distribución
Informe
© Universidad Internacional de La Rioja (UNIR)

Auditoría de la Seguridad
Ideas clave
3.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee las Ideas clave que encontrarás a continuación y que han
sido elaboradas por el profesor. Al finalizar el tema, tienes que leer el apartado «a
fondo» para reforzar los principales conocimientos desarrollados. Además, tienes que
realizar las lecturas recomendadas y apoyarte en la bibliografía y los enlaces
relacionados asociados al tema. Por último, deberás realizar el caso práctico y completar
el test de autoevaluación.
3.2. Evaluación de riesgos (EDR) y otras metodologías de

auditoría informática
En este primer bloque temático

desarrollaremos los principios conceptuales
del término metodología y detallaremos
diversos enfoques de metodología de auditoría
de Sistemas de Información basada en la
evaluación del riesgo (EDR) o en inglés Risk
Oriented Approach (ROA).
A continuación, presentamos la estructura de este primer bloque:
» Metodologías de Auditoría Informática

» EDR Genérico: evaluación de Riesgos (ROA, Risk Oriented Approach)
» EDR Simplificado: basado en cuestionarios o checklist
» EDR Ampliado: de productos informáticos
Es importante recordar, del tema 1, que una auditoría informática (o de Sistemas de

Información) es definida por Ron Weber como:
«El proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema

informático:
TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

» salvaguarda los activos (Humanware-personas, Información, Software, Hardware,

Infraestructuras y Telecomunicaciones)
» mantiene la integridad de los datos
» lleva a cabo los fines de la organización
» utiliza eficientemente los recursos
Es importante mencionar que el proceso de auditoría informática no debe contemplar

únicamente los aspectos técnicos, sino también los aspectos de planificación, gestión y
organizativos».
La auditoría es sistemática en la medida en la que esté basada y se ajuste a una

metodología.
A lo largo del tema analizaremos la metodología de auditoría de Sistemas de Información

basada en la evaluación del riesgo EDR (ROA-Risk Oriented Approach) en cada uno de
sus enfoques posibles: genérico, simplificado y ampliado.
Pero antes, estableceremos la base conceptual sobre la que desarrollar el resto del tema
abordando el significado del término metodología.
Metodología de auditoría informática
El término metodología (del griego μέθοδος) hace referencia al conjunto de

procedimientos y procesos utilizados para alcanzar un objetivo.
Es decir, una metodología nos dice, a través de un conjunto de procedimientos, cómo

hacer las cosas para alcanzar un objetivo.
Podríamos decir que una metodología es un conjunto de métodos que se siguen de

forma sistemática y disciplinada para la realización de un fin u objetivo
determinado.
Recordaremos del Tema 1 que, en el caso de la auditoría informática, el fin es

determinar si un sistema informático salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los recursos.
(Ron Weber).

Por tanto, la metodología de auditoría de Sistemas de Información que analizaremos a

continuación estructura el conjunto de pasos y métodos que si se siguen de forma
sistemática conducen a la realización correcta de una auditoria de SI.
Es importante resaltar que la auditoría debe ser una herramienta de la dirección para
asegurar el alineamiento de las TIC con el negocio y que el buen auditor no solo debe
detectar hallazgos (o findings) sino que debe ser capaz de generar valor para el negocio.
Es el concepto del Value For Auditing Money (VMAF) que marcará el aspecto
evolutivo de los auditores del futuro inmediato y que está basado en Eficacia, Eficiencia
y Economía).
En realidad, no existe una metodología única de auditoría de Sistemas de Información.

Existen una directrices generales (por ejemplo ISACA) y principios clave, pero en la práctica
cada organización —sobre todo las denominadas Big Four— que ofrezca servicios de
auditoría (Deloitte, Ernst&Young, PriceWaterhouseCoopers, KPMG, etc.) o cada empresa
que lleva a cabo auditoría interna puede desarrollar una metodología propia.
La metodología de auditoría de Sistemas de Información de una organización es un

activo más de la organización en el sentido estricto del término, ya que aporta valor para
la organización. De manera que deberá irse ajustando y madurando como herramienta
de la dirección para asegurar el correcto alineamiento de las TIC con el negocio.
En la actualidad, la metodología de auditoría informática de Sistemas de Información

más difundida y que veremos a continuación es la que está basada en la Evaluación de
Riesgos o EDR–ROA (Risk Oriented Assessment) recomendada por ISACA y creada por
Arthur Andersen.
Te recomendamos servirte del material bibliográfico, entre otros, el referente a Ron

Weber (1998). EDP Auditing: Conceptual Foundations and Practice, Ed. Mc Graw Hill,
indicado al final de tema, así como de los artículos y recursos web especificados.
EDR Genérico: evaluación de Riesgos (ROA, Risk Oriented Approach)
En términos generales diremos que en la auditoría informática basada en una

metodología de evaluación de riesgos el auditor conduce todo el proceso de auditoría a
partir de la evaluación inicial del riesgo potencial existente sobre el Sistema de
Información de la Organización.

El auditor realiza un análisis del riesgo existente en los sistemas de información incluidos
en el alcance de la auditoría, determinando a través de pruebas y herramientas de
auditoría la existencia de controles y la eficacia y eficiencia de los mismos, identificando
los riesgos existentes por defecto del control o por la implementación parcial del mismo.
Es decir, como consecuencia de la ausencia de controles o bien por ser un sistema

deficiente, los riesgos sobre los sistemas de información deben ser cuantificados y
valorados por el auditor de tal forma que permita determinar el nivel de fiabilidad que le
aporta el sistema sobre la exactitud, integridad y procesamiento de la información.
No olvidemos que uno de los principales activos de una organización es la información

sobre la que basará sus decisiones (por ejemplo el departamento de compras, sus
estrategias de marketing, su portafolio de productos, etc.) y que esta información es
generada, procesada o proporcionada por Sistemas de Información.
Por lo tanto, y dicho de otra forma, la auditoría informática basada en la evaluación de

riesgos permite cuantificar el riesgo de los sistemas de información midiendo la
completitud, eficacia y eficiencia de los controles internos puestos en marcha por la
función del Control Interno Informático de la organización.
Cada riesgo asociado a los sistemas de información bajo alcance de la auditoría tendrá
un o unos objetivos de control asociados.
El objetivo de control está encaminado a prevenir, mitigar o transferir el riesgo.
Un objetivo de control estará cubierto por un o unos controles o procedimientos puestos

en marcha en la organización por parte del Control Interno de Tecnologías de la
Información (CITI) con el apoyo de la dirección y la colaboración de todos los
stakeholders.
El auditor informático que sigue un enfoque EDR en términos generales analiza los
riesgos de los sistemas de información, los cuantifica y evalúa y analiza la completitud y
grado de eficacia de los controles organizativos para la gestión del riesgo (potencial)
identificado, sirviéndose de un conjunto de pruebas que desarrollaremos en los próximos
apartados.

A continuación, detallaremos cada uno de estos elementos principales.
» Objetivos de control: el objetivo de todo control es la reducción del riesgo. Por

tanto, el objetivo de todo control es la reducción de riesgo, bien reduciendo su
probabilidad de ocurrencia o bien mitigando su impacto.
La cuantificación de los riesgos potenciales de la organización, conocidos o no, es la

base para establecer detalladamente los objetivos de control.
El auditor informático debe cuantificar y valorar el riesgo potencial asociado a los

sistemas de información en el alcance de la auditoria. Es fundamental llamar la
atención del alumno al respecto de qué riesgo potencial es el riesgo asociado a los
sistemas de información, con independencia de la existencia o no de controles.
A partir del riesgo potencial el auditor obtiene los objetivos de control que
la organización debería haber definido para la mitigación de su riesgo
potencial.
» Controles: una vez que el auditor ha identificado los riesgos potenciales y definido
los objetivos de control necesarios para su mitigación, por cada objetivo de control
encaminado a la mitigación de un riesgo potencial se deben identificar las técnicas de
control o controles —para mayor claridad utilizaremos el término controles en lugar
de técnicas de control— que deben minimizar el riesgo, logrando cumplir así el
objetivo de control.
Un mismo objetivo de control puede quedar cubierto por varios controles. Un control
podría llevar a cubrir varios objetivos de control. Por tanto, la relación objetivo de
control-controles es una relación de «muchos a muchos».
En la práctica, los controles vienen a ser procedimientos que el control interno

informático define, implanta y mantiene para cubrir un objetivo de control (o varios).
» Pruebas de cumplimiento y pruebas sustantivas: una vez que el auditor ha

cuantificado el riesgo potencial y definido los objetivos de control encaminados a la
mitigación del riesgo, deberá valorar la completitud y eficacia de los controles internos
puestos en marcha por la organización a través de su función de Control Interno
Informático. Para ello, el auditor se servirá de las pruebas.

A través de las pruebas el auditor podrá analizar los controles internos organizativos
y cuantificar el riesgo real, ya que toda opinión o evaluación de un auditor debe estar
basada en pruebas realizadas y en la evidencia obtenida de acuerdo a una normativa
profesional.
» Pruebas de cumplimiento: este tipo de pruebas son empleadas por el auditor

informático para probar, verificar, examinar el cumplimiento de un control.
Una prueba de cumplimiento reúne evidencias de auditoría para indicar:
o si un control existe
o si funciona de forma efectiva
o si logra sus objetivos de forma eficiente
La prueba de cumplimiento es el primer nivel de prueba que realiza un auditor

informático para cuantificar el riesgo real de los sistemas de información y obtener
evidencias que sustentarán las conclusiones de la auditoría.
» Pruebas sustantivas: este tipo de pruebas son empleadas por el auditor

informático únicamente cuando las pruebas de cumplimiento no han
satisfecho los objetivos del auditor. Es importante tener en cuenta que la
realización de las pruebas sustantivas generalmente requiere de una mayor
dedicación y consumo de recursos que una prueba de cumplimiento, por lo que su uso
deberá estar restringido por parte del auditor informático a los casos que se ajusten a
la necesidad anteriormente indicada.
Nota: el número de pruebas verificadas que cubran es √n, siendo el total de la

población muestral.
A continuación podemos ver el ejemplo de un EDR genérico donde se han identificado

riesgos relacionados con seguridad de la información (seguridad lógica).

Objetivo de Prueba de
Riesgos Control Prueba sustantiva
control cumplimiento
RIESGO 1: Garantizar el Procedimiento de 1. Comprobar que -Ampliar muestra
Acceso no acceso de altas y bajas de existe un de usuarios dados
autorizado a usuarios Usuario procedimiento de de alta en cada
sistemas y autorizados y altas/bajas de área.
aplicaciones. evitar el acceso usuarios
no autorizado a 2. Seleccionar -Ampliar muestra
los sistemas y varios usuarios de usuarios dados
servicios. de cada área a los de baja en cada
que se les haya área
dado de alta
recientemente
3. Seleccionar
varios usuarios
de cada área a los
que se les haya
dado de baja
recientemente.
Procedimiento 1. Comprobar que Ampliar muestra
para la existen de usuarios que
restricción de definiciones de tengan el acceso
acceso a la perfiles de correctamente
información. usuarios por definido
áreas.
2. Verificar en
Base de Datos,
Directorio Activo
(LDAP) o RACF
que un usuario
tiene el acceso
necesario a los
sistemas de
información
Procedimiento de 1. Comprobar que Ampliar muestra
gestión de existe un de usuarios que
contraseñas procedimiento tengan el acceso
que defina la correctamente
longitud y definido
robustez de las
password de
usuario
2. Verificar en
Base de Datos,
Directorio Activo,
etc. que varios
usuarios cumplen
con la definición
de password.

Objetivo de Prueba de
Riesgos Control Prueba sustantiva
control cumplimiento
RIESGO 2: Asegurar la Procedimiento de 1. Comprobar que
Ataques e protección de la protección de red existe un
intrusión a redes información en (firewall, IDS). procedimiento de
corporativas las redes y los Procedimiento de configuración
servicios de configuración (setup),
soporte de (setup) de mantenimiento y
tratamiento de la firewalls e IDS. monitorización
información. Procedimiento de de los firewall,
mantenimiento IDS, etc.
de firewalls e 2. Comprobar
IDS. que se han
Procedimiento de implantado las
monitorización, políticas de
firewall e IDS filtrado
adecuadas para el
firewall.
3. Comprobar
que los IDS
tienen
actualizados los
ficheros de firmas
y/o reglas de
acceso.
Flujo de actividades de un EDR genérico
La siguiente ilustración muestra el flujo de un EDR genérico (metodología de

funcionamiento el auditor):

EMPEZAR 2
IMPACTO)
REALIZACIÓN DE
(VER EL
¿EXISTE
2 PRUEBAS DE
CONTROL?
SUSTANTIVAS
NO
SI
PRUEBA DE
CUMPLIMIENTO ¿EXISTE
CONFIRMACIÓN DEFICIENCIAS?
MEDIANTE PRUEBAS NO
COMENTAR
SI ID VERBAL
O LEVE
COMENTARIO MEDIO
¿CONFORME
O GRAVE SEGÚN
CON EL 2
DEFICIENCIAS O
CONTROL?
NO INCIDENCIAS
FIN
SI
FIN FIN
EDR Simplificado (checklist)
Las características principales del EDR simplificado son:
» El auditor revisa los controles con la ayuda de una lista de control (checklist) que
consta de una serie de preguntas o cuestiones a verificar (en realidad, pruebas de
cumplimiento de los controles).
» La evaluación consiste en identificar la existencia de unos controles establecidos o
estandarizados.
» Ese método de auditoría informática suele utilizarse por auditores con poca
experiencia, como guía de referencia, para asegurar que se han revisado todos los
controles.
» Es habitual establecer una tabla con los siguientes campos:
o Pregunta: orientada para saber si existen controles establecidos.

o Sí: cuando la contestación a la pregunta es afirmativa.
o No: cuando la contestación a la pregunta es negativa.
o N/A: cuando la pregunta no aplica.
o Comentarios u Observaciones: anotaciones del auditor en relación a la pregunta y
su contestación.

El EDR Simplificado podrá ser un enfoque suficiente para cubrir ciertos campos de la
auditoría de los sistemas en alcance, no sirviendo en otras áreas o sistemas dentro de
alcance en los que el auditor informático habrá de realizar pruebas de cumplimiento y
sustantivas más exhaustivas a efectos de asegurar el nivel de suficiencia y competencia
de las evidencias necesarias para sustentar sus conclusiones.
A continuación podemos ver de EDR simplificado (checklist) para el área de desarrollo
PREGUNTA SI NO N/A OBSERVACIONES

DEL AUDITOR
¿Comprobar que se han desarrollado
procesos/procedimientos, han sido documentados,
divulgados y actualizados? (SDLC)
¿Comprobar que se han recogido formalmente los
requisitos de usuario?
¿Examinar que cada fase del ciclo de desarrollo ha sido
debidamente detallada?
¿Verificar que se analizan las distintas opciones,
costes, necesidades de usuarios y recursos?
¿Comprobar que se realizan estos proyectos teniendo
en cuenta los objetivos de la organización y los
proyectos tecnológicos a largo plazo?
¿Cómo se realiza la trazabilidad entre los requisitos de
usuario y las aplicaciones/software resultado
(outcome)?
EDR Ampliado (de producto)
» Motivación: a la vista de la cantidad de productos software/aplicaciones existentes en

el mercado, es razonable pensar en realizar las auditorías con un método (propio o
diseñado por la propia empresa fabricante del producto). Nota: Diseñado por M.
Touriño y Carlos M. Fernández Sánchez.
» Definición: el EDR ampliado o de productos informáticos es un EDR específico para
una tecnología o producto concreto.
» Características: un EDR ampliado o de productos informáticos, además de los
elementos principales de un EDR genérico, se basa en:
o Audit tools: son programas de utilidad que tiene el propio producto que vamos a
auditar.
o Audit retrievals: programas o scripts desarrollados al efecto de obtener
información del producto que sea de utilidad para la auditoría.
o Audit trails: son habitualmente los logs. Contienen evidencias de lo que sucede en
el interior del sistema. Tienen como desventaja que consumen mayor tiempo de
procesador, pues por cada operación se anota en el registro.

» Formato del EDR Ampliado: el formato de la metodología basada en un EDR

ampliado podría esquematizarse de forma general de la siguiente forma (obsérvese
que mantiene la estructura del EDR genérico e incorpora aspectos avanzados
específicos del producto):
o Descripción: etapa en la que se explica la herramienta, su finalidad, ámbito,

entorno de funcionamiento, etc.
o Riesgos específicos del producto y objetivos de control: el auditor explica los
riesgos específicos del producto en determinadas situaciones o escenarios, incluso
al interactuar con otras aplicaciones. «Que es lo que puede suceder si…».
o Asimismo el auditor identifica los objetivos de control encaminados a la mitigación
del riesgo potencial asociado al producto.
o Controles que minimizan los riesgos: una vez determinados los riesgos específicos
se han debido implantar controles que reduzcan el riesgo. Recordemos la regla de
oro: Riesgo vs. control. Vs. Coste.
El auditor deberá medir en primer lugar la existencia de los controles y, en su caso,

la completitud y eficacia de los mismos para la mitigación de los riesgos asociados
al producto.
o Pruebas de los controles (cumplimiento y sustantivas): el auditor realizará las

pruebas de cumplimiento y, en su caso, las sustantivas, sirviéndose de
herramientas específicas del producto. Las audit tools (herramientas de auditoría),
audit trails (pistas de auditoría) y audit retrievals (programas, scripts de
auditoría).
Los comentarios del auditor, que formarán parte del informe de auditoría, y la gravedad
de los mismos se derivarán de las pruebas de cumplimiento y sustantivas realizadas.
En el informe de auditoría o anexos, el auditor deberá especificar las herramientas de

Audit tool, trail o retrieval empleadas.

3.3. Ejecución de una auditoría de Sistemas de Información.

Fases de auditoría
Preparación de la auditoría
A continuación se presentan cada una de las actividades que el auditor deberá realizar
con el objetivo de completar adecuadamente la etapa de preparación de la auditoría y
asegurar el correcto desarrollo del resto de etapas.
» Definición del alcance: es la definición de lo que se va a revisar durante la

realización de la auditoría. El auditor deberá identificar el alcance tomando en
consideración:
o las unidades de la organización a revisar. Por ejemplo: área de desarrollo,

seguridad lógica, seguridad física, etc.
o los sistemas informáticos específicos. Por ejemplo: CRM, ERP, etc.
o las ubicaciones físicas consideradas en el alcance de la auditoría. Las diferentes
sedes organizativas o delegaciones.
o Las terceras partes incluidas en el alcance de la auditoría: proveedores, partners,
etc.
El auditor deberá evaluar el dimensionamiento del área o sistema a auditar en

términos de complejidad, tamaño a efectos de poder realizar una estimación acertada
de los plazos y recursos necesarios para la realización de la auditoría.
» Recursos y tiempo: el auditor deberá estimar los recursos necesarios para la

realización de la auditoría, así como el tiempo requerido para la misma.
Los recursos necesarios y el tiempo estimado para la realización de la auditoría serán

dependientes del alcance definido para la auditoría, de manera que cambios de
alcance por lo general derivarán en cambios en la estimación de los recursos
necesarios o el tiempo requerido para la realización de la auditoría.

Esta etapa consiste en asignar los auditores (recursos necesarios) y el tiempo para la
auditoría. La asignación será de jornadas/hombre, incluyendo más o menos jornadas
en función del alcance definido y de la experiencia de los auditores (junior/senior),
así como del dimensionamiento del área o sistema a auditar.
» Recopilación de información básica: esta actividad consiste en identificar las

fuentes de información más relevantes con el objeto de revisarla antes de la
realización de la auditoría. Entre el tipo de información básica que el auditor puede
requerir podríamos destacar:
o organigramas funcionales
o descripción de las instalaciones
o breve descripción de los sistemas existentes
o políticas
o estándares
o procedimientos
o información de los controles actualmente implementados
o informes previos de auditorías internas o de terceras partes
Una vez analizada la información básica, el auditor deberá identificar una lista de
personas a entrevistar, especificando en la medida de lo posible:
o nombre y cargo de la persona a entrevistar.

o información relacionada con el objeto de la entrevista como por ejemplo, lista de
sistemas a revisar, lista de controles o cualquier otra información que se considere
significativa.
o fecha y hora previstas para la entrevista.
o lugar de la entrevista.
o requerimientos, como por ejemplo la documentación requerida, etc.
Es importante destacar que, si la auditoría es sorpresiva, la recopilación de la

información básica será realizada por el auditor in situ.
Si la auditoría no es sorpresiva, previamente se envía una carta de apertura o

memorandum donde se indica lo que se necesita.

» Programa de trabajo: el auditor deberá definir un plan de trabajo con la asignación

de cada auditor al área, sistema o control a revisar teniendo en cuenta:
o el alcance definido
o los recursos disponibles
o el tiempo estimado
o la información básica analizada
El programa de trabajo deberá recoger la asignación de cada auditor al trabajo que va

a realizar y deberá tener el suficiente nivel de detalle para permitir la coordinación
efectiva de las distintas entrevistas y actividades realizadas durante la auditoría.
» Plan de comunicación: uno de los aspectos clave que debe quedar acordado con el
auditado y que conformarán un factor crítico de éxito en la realización de la auditoría
es el plan de comunicación. El auditor deberá explicar y acordar con el área auditada
los aspectos de comunicación, entre otros:
o el modelo de comunicación al área auditada de los comentarios obtenidos a lo largo

de la auditoría: destinatarios, forma y frecuencia de comunicación, modo de
explicación de los comentarios y gestión de los desacuerdos.
o los destinatarios de cada uno de los informes de auditoría.
o el modelo de relación con las terceras partes (proveedores, partners).
o la visibilidad de los resultados de auditoria: si es interna a la dirección y a los
empleados, si compete a la dirección de área y la dirección de la organización o
únicamente a esta última, si se hace para los partners, los proveedores o el cliente.
Realización de la auditoría
A continuación, se describen las principales etapas que el auditor de sistemas de

información deberá completar para llevar a cabo la auditoría:
» Identificación de riesgos potenciales: consiste en detectar los posibles riesgos

en ausencia de controles relacionados. Es decir, el auditor, como ya hemos visto en el
apartado anterior, cuantifica el riesgo potencial o inherente a los sistemas de
información en ausencia de control.
» Identificación de controles fuertes y débiles: el auditor detecta controles
adecuadamente implantados y eficaces (fuertes) y otros parcialmente implantados o

que no funcionan (débiles). Por cada control débil el auditor hará un comentario que
podrá ser leve, medio o grave según la gravedad y el posible impacto en el negocio.
» Selección de las pruebas y técnicas a utilizar: el auditor decide qué tipo de
pruebas —en base a los riesgos— va a diseñar con el objetivo de objetivar el análisis y
obtener evidencias suficientes y competentes que sirvan de base a sus conclusiones:
o Pruebas de cumplimiento.
o Pruebas sustantivas.
o Técnicas de Audit trail, retrieval, tools.
» Realización de pruebas y obtención de resultados: el auditor realizará tantas

pruebas (de cumplimiento, sustantivas, etc.) como haya estimado. En ocasiones se
utilizan herramientas de apoyo al auditor (CAAT, Computer Assisted Audit
Techniques). El auditor llevará un registro de las pruebas realizadas, así como de:
o Los hallazgos obtenidos.

o La fecha del hallazgo.
o La evidencia derivada.
o Los comentarios.
o Las observaciones del auditado.
Este registro es muy importante ya que permitirá demostrar una conclusión sobre la
prueba realizada y formará parte del informe de auditoría y sus anexos.
A lo largo de la auditoría, el auditor podría decidir realizar pruebas adicionales sobre

aspectos que no hubieran quedado claros o de los que no se disponga de evidencia
«suficiente y competente».
El auditor deberá manejar en todo momento el plan de trabajo, la asignación de

recursos y las posibles desviaciones en tiempo, haciendo partícipe al auditado de la
gestión de dichas desviaciones.
» Conclusiones y comentarios: el auditor debe analizar y revisar todos los

comentarios generados a lo largo de la realización de la auditoría y los resultados de
cada prueba deben valorarse, obtener una conclusión, siempre teniendo en cuenta los
objetivos y el alcance de la auditoría.

El auditor resumirá los comentarios acerca de lo analizado (riesgos, incidencias, etc.)

y adjuntarlos al informa final.
El detalle de todos los comentarios formará parte del informe final pero en un anexo.
» Revisiones y cierre de papeles de trabajo: el auditor ha de cerrar la auditoría

cuando disponga de evidencias pertinentes, suficientes y competentes que sustenten
sus conclusiones.
Para poder demostrar cualquiera de las conclusiones, el auditor debe guardar

correctamente todas las notas recogidas (cuaderno del auditor) y mantener la
trazabilidad entre el hallazgo, los comentarios asociados, la evidencia relacionada, la
conclusión que se deriva, etc.
Redacción del informe de auditoría
Habitualmente se elabora un informe preliminar que incluya:
» Alcance y Objetivo de la auditoría.

» Metodología utilizada.
» Posibles Limitaciones.
» Resumen de auditoría.
» Conclusiones en base a los resultados obtenidos.
» Discusión con los auditados.
Es muy recomendable que el auditor comente con el área auditada los principales
hallazgos y conclusiones de la auditoría, de manera que pueda resolver cuantas dudas
tenga la parte auditada y se asegure de que esta comprende las deficiencias detectadas y
las oportunidades de mejora existentes.
A continuación, se presenta el formato habitual del informe de auditoría.

Formato del informe de auditoría
El formato del informe podría ser el siguiente:
» Antecedentes: deben reflejar brevemente lo que se ha auditado. Es información de

contexto que sirve para situar a la persona que recibe el informe cómo están las cosas:
alcance inicial de la auditoria, motivación de la auditoria, etc.
» Alcance: el auditor indica aquí el alcance real; es decir, lo que realmente se ha
auditado, que puede o no coincidir con el alcance inicial de la auditoría.
» Resumen de la auditoría: el auditor resume las etapas de la auditoría y el trabajo
realizado:
o Las ubicaciones auditadas.

o Los sistemas de información analizados.
o Las entrevistas realizadas.
o Desviaciones en programa de trabajo, recursos, etc.
o Riesgos que se han producido y cómo se han gestionado
Se trata de dar información ejecutiva y breve de cómo se ha desarrollado la auditoría.
» Conclusiones: son el resumen de los comentarios (de los que pone el auditor). Las
conclusiones deben ser ejecutivas y resumir en un lenguaje claro y preciso los
comentarios más relevantes o de mayor importancia para el negocio.
Las conclusiones no han de incluir los comentarios sino resumirlos y, en todo caso,
hacer referencia a comentarios específicos que irán en un anexo al cuerpo del informe.
Las conclusiones son normalmente discutidas con el auditado y en el informe se

recogen los eventuales desacuerdos.
» Anexo y comentarios: todos los comentarios realizados por el auditor en relación a los
hallazgos obtenidos durante la auditoría se deben recoger en un anexo al cuerpo del
informe de auditoría. Es decir, las conclusiones presentan de forma ejecutiva el
resultado de la auditoría de manera que la dirección pueda conocerlos y en el anexo
se detallan los comentarios que sustentan dichas conclusiones para el caso de que
exista alguna duda que haga necesario el acceso a dicha información.

El detalle de los comentarios no debe incluirse en el cuerpo del informe, ya que lo

haría demasiado extenso y dificultaría la llegada a la dirección de la información más
significativa, que quedaría oculta tras un excesivo nivel de detalle.
Es importante que exista una trazabilidad entre el hallazgo, los comentarios del
auditor y la evidencia derivada, de manera que los auditados puedan entender los
elementos que sustentan suficientemente y de forma objetiva las conclusiones de la
auditoría.
El auditor deberá numerar cada uno de estos elementos y permitir una fácil
trazabilidad top-down entre ellos.
Es decir, el informe de auditoría y anexos deberían permitir a los auditados, desde el

perfil más técnico hasta el perfil de dirección, llegar desde una conclusión hasta el
hallazgo que provocó el comentario del auditor y la evidencia que sustenta dicha
conclusión.
Emisión y distribución del informe de auditoría
La distribución del informe de auditoría deberá realizarse de acuerdo al plan de

comunicación acordado entre auditor y auditado en la fase de preparación de la auditoría
en la que se acuerdan los aspectos de comunicación relacionados:
» La fase de realización de la auditoria:
o Cómo se presentan los comentarios durante la auditoría a cada uno de los roles
auditados.
o Qué tipo de feedback se le da a la dirección de la organización en caso de
comentarios graves, por ejemplo, y con qué frecuencia.
» Los aspectos de distribución de los informes de auditoría:
o Audiencia.
o Formato.
o Forma de envío.

Los aspectos de comunicación son clave y deberán ser escrupulosamente cuidados por el
auditor y acordados con la dirección de la organización auditada.
Podríamos distinguir dos tipos de informe:
» Informe preliminar.
» Informe final.
Informe preliminar
El informe preliminar es el informe resultante de la auditoría, que recoge las

conclusiones de la misma y todos los apartados del mismo pero que tiene un carácter de
borrador en el sentido de que el auditor lo entrega al auditado y no recoge aún las
observaciones que la organización hará tras la lectura del informe.
El auditor deberá distribuir el informe preliminar a la audiencia definida en el plan de

comunicación acordado, y el informe deberá ser leído y entendido por los destinatarios.
Habitualmente es la Dirección de la Organización o del departamento/área auditada.
El auditor deberá asegurarse de comunicar en tiempo y forma el informe preliminar a

todos los interesados, hayan participado o no en el proceso de auditoría de acuerdo al
plan de comunicación definido y acordado.
Asimismo, el auditor deberá:
» Resolver cuantas dudas pudieran surgir por parte del área auditada o de alguno de los
destinatarios del informe preliminar.
» Explicar al área auditada a cuantos lo requieran con las evidencias suficientes y
competentes que sustentan los comentarios de la auditoría, de los cuales se derivan
las conclusiones.
» Tomar nota en caso de que exista un desacuerdo por parte del área auditada en
relación a alguna de las conclusiones de la auditoría.
Una vez comunicado, explicado y acordado el informe preliminar y tomado nota de las
observaciones o de los eventuales desacuerdos que hubieran podido producirse, el
auditor deberá elaborar el informe final de la auditoría.

Informe final
El informe final de la auditoría contiene el contenido del informe preliminar y además:
» Las observaciones del área auditada.

» Los desacuerdos que pudieran existir por parte del área auditada en relación a las
conclusiones de la auditoría.
El auditor deberá comunicar en tiempo y forma el informe final de la auditoría al Comité

de Dirección de la organización, al área auditada y a cuantas terceras partes se
identifique, según lo definido y acordado en el plan de comunicación asociado a la
auditoría.
El auditor deberá presentar el informe final a la dirección de la organización en una

reunión de presentación del informe y cierre de la auditoría en la que se efectuará el
cierre del proceso de auditoría.
A continuación, se presentan dos aspectos fundamentales que deberá incluir el informe

final de auditoría:
» Historial de versiones: el informe final de auditoría deberá contener información

histórica —quién y cuándo— relacionada con:
o La generación del informe.

o Su revisión.
o Las diferentes versiones.
o Lo que diferencia una versión respecto de la anterior.
» Audiencia: el informe final de auditoría deberá especificar claramente a quién va

destinado; es decir, la audiencia a la que se distribuye.

3.4. Habilidades fundamentales del auditor de Sistemas de

Información
Un auditor en informática debería tener las siguientes habilidades terminales:
» Capacidad para revisar y evaluar el control interno del medio ambiente en que se
desarrollan los sistemas de información.
» Capacidad para revisar, evaluar y diseñar los controles necesarios en el desarrollo de
los sistemas de información.
» Capacidad para revisar y evaluar los controles en sistemas de información que estén
produciendo información.
» Capacidad para diseñar procedimientos y técnicas de auditoría con el computador.
» Capacidad de comunicación y síntesis.
» Capacidad de relación.

Lo + recomendado
No dejes de leer…
Developing a Risk-based audit plan
Este documento presenta los detalles relacionados con la elaboración de un plan de

auditoría basado en la evaluación de riesgos.
Accede al artículo desde el aula virtual.
Guide to the Assessment of IT Risk (GAIT)
Esta guía describe la relación entre los riesgos de negocio y los objetivos de control, así
como, los controles asociados y el assessment de los mismos, así como recursos para el
auditor de Sistemas de Información sobre cómo orientar la auditoría. La Guide to the
Assesment of IT Risk (GAIT) incluye:
» Una metodología de auditoría de sistemas de información basada en evaluación de

riesgos.
» Una metodología para el análisis de riesgos y la selección de los controles de
mitigación asociados.
Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

https://www.iiacolombia.com/resource/guias/GAIT_Methodology.pdf
TEMA 3 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

+ Información
A fondo
The IS Audit process
Este directorio ofrece gran variedad de artículos con todo tipo de información interesante
y numerosos aspectos clave para ahondar en la auditoría de Sistemas de Información.
Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.isaca.org/knowledge-center/itaf-is-assurance-audit-/pages/is-audit-
basics.aspx
Risk-based auditing
Griffits, P. (2005). Risk-based auditing. England: Gower Publishing.
Este ebook de Phil Griffits desarrolla diferentes aproximaciones para

la gestión de riesgos y los aspectos de planificación de una auditoría
orientada a riesgos.
Accede, parcialmente, al libro desde el aula virtual o a través de la siguiente dirección

web:
https://books.google.es/books?id=C-czZavrSyAC&printsec=frontcover
TEMA 3 – + Información © Universidad Internacional de La Rioja (UNIR)

Risk IT Framework for Management of IT Related Business Risks
Este framework creado por ISACA ofrece una visión completa (end-to-end) de todos los
riesgos relacionados con la IT, y complementa el framework de COBIT, asegurando una
efectiva gestión de los riesgos de IT.
Accede al framework desde el aula virtual o a través de la siguiente dirección web:

http://www.isaca.org/Knowledge-Center/Risk-IT-IT-Risk-Management/Pages/Risk-
IT1.aspx?utm_source=multiple&utm_medium=multiple&utm_content=friendly&utm
_campaign=riskit
Assessing & Managing IT Risk
Presenta una guía de auditoría de sistemas de información basada en la evaluación

de riesgos.
http://www.isaca.org/chapters2/Pittsburgh/events/Documents/Event_Archive_2010
_2011/10OctPresentationHandouts.pdf
Enlaces relacionados
ISACA
Página web de la Asociación de Auditoría y Control de Sistemas de Información.
Accede a la página desde el aula virtual o a través de la siguiente dirección web:

http://www.isaca.org

The Institute of Internal Auditors (IIA)
Esta web del IIA ofrece una serie de guías y recursos de gran utilidad para el futuro auditor.
Accede a la página desde el aula virtual o a través de la siguiente dirección web:

https://na.theiia.org/standards-guidance/topics/Pages/Guidance-Topics.aspx
Bibliografía
Fernandez, C.M., Piattini, M., Pino, F. (2014). Modelo de madurez de ingeniería del
software. AENOR Ediciones.
(2007). Guide to Using International Standards on Auditing in the Audits of Small-and

Medium sized Entities. NY.
Hannan, J. A practical guide to EDP auditing.
ISACA. (2009). Marco para la auditoría de los sistemas de información. ISACA

Capítulo Madrid. (Guías para la realización de auditorías en los sistemas de
información).
Piattini, M., Del Peso, E., Fernández, C.M. (Coautor), (2008). Auditoría de Tecnologías
y Sistemas de Información, RA-MA.
Weber, R., (1998). EDP Auditing: Conceptual Foundations and Practice. Ed. McGraw
Hill.

Actividades
Trabajo: Realización de un EDR o ROA
Objetivos
Mediante esta actividad se pretende que pongas en práctica las actividades que
constituyen todo el proceso de auditoría de una organización, haciendo foco en la
realización de un EDR o ROA.
Descripción del trabajo
Viento en Popa es una empresa dedicada a la planificación de actividades náuticas así

como a impartir clases teóricas y prácticas de navegación. Ofrece la posibilidad de
obtener la certificación de Patrón de Embarcaciones de Recreo (PER).
Dentro de la estrategia empresarial, se desarrolló como canal de información y venta un

portal web el cual, y de forma somera, consta de dos partes claramente diferenciadas:
» La zona de Administración desde la cual se gestiona la información relativa a cursos

y alumnos.
» La zona de clientes y alumnos donde el usuario tiene acceso a la información de Viento
En Popa referente a actividades y cursos, y acceso a la parte privada de cada uno, con
la posibilidad de realizar exámenes, descargar temarios y documentación, etc.
Con esta información, se trata de que desarrolles los siguientes puntos:
» Planificar y realizar una auditoría basada en riesgos (EDR) del portal web Viento en
Popa.
Para ello se debe comenzar con la identificación de riesgos a partir de los cuales se
establezcan objetivos de control, controles, pruebas de cumplimiento y, si es
necesario, Pruebas Sustantivas.
» Propones la estructura de un informe dirigido a la Dirección de Viento en Popa, con

los resultados de la Auditoría siguiendo las fases explicadas.
TEMA 3 – Actividades © Universidad Internacional de La Rioja (UNIR)

Datos útiles
» Equipo de dos auditores.

» Tiempo estimado del proceso completo 2 meses/hombre.
» La tecnología en la que está desarrollado el portal es Java.
Nota importante
La solución se puede presentar considerando una de las siguientes dos opciones:
» Viento en Popa tiene subcontratado un hosting de los servicios ofrecidos en la web.

» Viento en Popa tiene en sus instalaciones los servidores que dan el servicio ofrecido
en la web.
Se considerarán ejercicios válidos si contestas a todos los apartados razonando

debidamente cada decisión tomada.
Entrega del trabajo
Un documento en formato word con una extensión máxima de 7-8 páginas, fuente
Georgia 11 e interlineado 1,5.
TEMA 3 – Actividades © Universidad Internacional de La Rioja (UNIR)

Test
1. En relación a las metodologías de auditoría, podemos afirmar que:

A. Realmente solo existe una y es basada en Riesgos o Risk Oriented Approach.
B. Cada firma (empresa) de auditoría puede desarrollar la suya propia, siendo la
más difundida la basada en riesgos EDR (ROA).
C. La basada en cuestionarios o checklist es utilizada por auditores con experiencia
pues se la envían por correo electrónico al cliente para que la complete.
D. Ninguna de las anteriores.
2. Realizar auditorías informáticas con metodologías evita:

A. Rapidez y uniformidad.
B. Objetividad en los criterios.
C. Dependencia de quién lo realiza y como lo realiza.
D. Consistencia y rigor.
3. Exclusivamente sobre las pruebas de cumplimiento, podemos afirmar que:

A. Nunca son suficientes. Se utilizan para probar parcialmente y verificar el
cumplimiento momentáneo de una técnica de control / controles y reúne
evidencias de auditoría para indicar si un control funciona de forma efectiva y logra
sus objetivos.
B. El diseño de las pruebas de cumplimiento, cuyo fin es el de reunir evidencias de
un funcionamiento efectivo de los controles internos, ha de tener en cuenta si se
ejecutaron los procedimientos previstos, se ejecutaron adecuadamente y si fueron
ejecutados por alguien que cumple con los requisitos de segregación de funciones.
C. Se utilizan cuando las pruebas sustantivas no han satisfecho los objetivos del
auditor y permiten comprobar la fiabilidad y consistencia de los controles
existentes e identificar la magnitud y el impacto de errores e incidencias.
D. La opciones b y c son correctas.
TEMA 3 – Test © Universidad Internacional de La Rioja (UNIR)

4. Exclusivamente sobre las pruebas de cumplimiento, podemos afirmar que:

A. Reúne evidencias para indicar si un control está implantado, funciona de forma
efectiva y logra sus objetivos.
B. No se utilizan para probar y verificar el cumplimiento de un control.
C. Solo se utilizan cuando las pruebas sustantivas no han satisfecho los objetivos
del auditor.
D. Permiten comprobar la fiabilidad y consistencia de los controles existentes e
identificar la magnitud y el impacto de errores e incidencias.
5. El EDR es una metodología de auditorías de sistemas de información basada en:

A. Amenazas.
B. Vulnerabilidades.
C. Riesgos.
D. Impactos.
6. Los elementos principales de un EDR simplificado o checklist son:

A. Prueba de cumplimiento, SI, NO, N/A, comentario u observaciones del auditor.
B. Pregunta/Prueba, SI, NO, N/A, comentario u observaciones del auditor.
C. Prueba sustantiva, SI, NO, N/A, comentario u observaciones del auditor.
D. Riesgo, objetivo de control, control, prueba de cumplimiento, prueba sustantiva.
7. Una auditoría sorpresiva:

A. La recopilación no se realiza in situ.
B. Previamente se ha enviado una carta que informas que en algún momento se
realizará una auditoría.
C. Debe contemplar los pasos habituales de cualquier auditoría, con la salvedad de
que la información se recopila in situ.
D. Siempre se envía un memorandum.

8. El informe de auditoría:
A. No admite discusión, pues debe ser aclarado todo durante la propia auditoría.
B. Antes del informe final, se distribuye un borrador al que se pueden alegar
aspectos que el auditado no esté de acuerdo.
C. El informe final de auditoría también puede ser discutido con las personas
auditadas y siempre tiene un apartado principal para la dirección de los controles
que se recomienda modificar.
D. A menudo existe un apartado con juicios de valor y un glosario con los nombres
y marcas de los productos.
9. Las pruebas sustantivas:

A. Se realizan cuando la prueba de cumplimiento realizada no cumple la
expectativa o crea duda razonable del funcionamiento del control revisado al
auditor.
B. Se realizan siempre.
C. Son optativas. Se realizan si le apetece al auditor.
D. Ninguna de las anteriores es cierta.
10. El informe de auditoría se dirige:

A. En su versión preliminar, a la alta dirección para que evalúe oficiosamente las
debilidades detectadas.
B. A toda la organización, incluidas las áreas no auditadas pues en definitiva deben
estar informados por formar parte de la empresa.
C. Exclusivamente a los técnicos de sistemas, pues su carácter técnico hace que solo
tenga valor para ellos.
D. De forma preliminar a las partes auditadas, y en su forma final a la Alta
Dirección y a las partes auditadas.

Tema 3

Cargado por

Copyright:

Formatos disponibles

Tema 3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 3

Cargado por

Copyright:

Formatos disponibles

El proceso y las fases de la auditoría de

[3.2] Evaluación de riesgos (EDR) y otras metodologías de

[3.3] Ejecución de una auditoría de Sistemas de Información.

[3.4] Habilidades fundamentales del auditor de Sistemas de

EDR Genérico Preparación

EDR Avanzado Redacción

© Universidad Internacional de La Rioja (UNIR)

3.1. ¿Cómo estudiar este tema?

3.2. Evaluación de riesgos (EDR) y otras metodologías de

En este primer bloque temático

A continuación, presentamos la estructura de este primer bloque:

» Metodologías de Auditoría Informática

Es importante recordar, del tema 1, que una auditoría informática (o de Sistemas de

«El proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

» salvaguarda los activos (Humanware-personas, Información, Software, Hardware,

Es importante mencionar que el proceso de auditoría informática no debe contemplar

La auditoría es sistemática en la medida en la que esté basada y se ajuste a una

A lo largo del tema analizaremos la metodología de auditoría de Sistemas de Información

Metodología de auditoría informática

El término metodología (del griego μέθοδος) hace referencia al conjunto de

Es decir, una metodología nos dice, a través de un conjunto de procedimientos, cómo

Podríamos decir que una metodología es un conjunto de métodos que se siguen de

Recordaremos del Tema 1 que, en el caso de la auditoría informática, el fin es

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Por tanto, la metodología de auditoría de Sistemas de Información que analizaremos a

En realidad, no existe una metodología única de auditoría de Sistemas de Información.

La metodología de auditoría de Sistemas de Información de una organización es un

En la actualidad, la metodología de auditoría informática de Sistemas de Información

Te recomendamos servirte del material bibliográfico, entre otros, el referente a Ron

EDR Genérico: evaluación de Riesgos (ROA, Risk Oriented Approach)

En términos generales diremos que en la auditoría informática basada en una

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Es decir, como consecuencia de la ausencia de controles o bien por ser un sistema

No olvidemos que uno de los principales activos de una organización es la información

Por lo tanto, y dicho de otra forma, la auditoría informática basada en la evaluación de

El objetivo de control está encaminado a prevenir, mitigar o transferir el riesgo.

Un objetivo de control estará cubierto por un o unos controles o procedimientos puestos

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

A continuación, detallaremos cada uno de estos elementos principales.

» Objetivos de control: el objetivo de todo control es la reducción del riesgo. Por

La cuantificación de los riesgos potenciales de la organización, conocidos o no, es la

El auditor informático debe cuantificar y valorar el riesgo potencial asociado a los

En la práctica, los controles vienen a ser procedimientos que el control interno

» Pruebas de cumplimiento y pruebas sustantivas: una vez que el auditor ha

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

» Pruebas de cumplimiento: este tipo de pruebas son empleadas por el auditor

La prueba de cumplimiento es el primer nivel de prueba que realiza un auditor

» Pruebas sustantivas: este tipo de pruebas son empleadas por el auditor

Nota: el número de pruebas verificadas que cubran es √n, siendo el total de la

A continuación podemos ver el ejemplo de un EDR genérico donde se han identificado

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Flujo de actividades de un EDR genérico

La siguiente ilustración muestra el flujo de un EDR genérico (metodología de

TEMA 3 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

EDR Simplificado (checklist)

Las características principales del EDR simplificado son:

o Pregunta: orientada para saber si existen controles establecidos.