EXAMEN 1 – AUDITORÍA

Conceptos Básicos

• Auditoría: Proviene del latin “audire” que significa “oír”. Esta denominación
proviene de su origen histórico, ya que los primeros auditores ejercían su
función juzgando la verdad o falsedad de lo que les era sometido a su
verificación principalmente oyendo
• Vulnerabilidad: Proviene del término “vulnus” que significa herida, golpe o
punzada. Es la incapacidad de resistencia cuando se presenta un fenómeno
amenazante.
• Hallazgo: Es encontrar o ver algún elemento que, hasta el momento, resultaba
desconocido o estaba oculto.
• Riesgo: Es la probabilidad de que un evento negativo ocurra en cualquier
momento.
• NIA: Las Normas Internacionales de Auditoría son un conjunto único de
estándares que se aplican a las auditorías para todas las organizaciones, como
componente básico para la arquitectura financiera mundial las cuales son
indispensables para cualquier auditor independiente.
• Mitigación del riesgo: Son las acciones que se pueden tomar para reducir la
vulnerabilidad frente a ciertas amenazas.
• Normas ISO: ISO (Internacional Organization for Standardization) es la
Organización Internacional de Estandarización, cuya principal actividad es la
elaboración de normas técnicas internacionales. Se crearon con la finalidad de
ofrecer orientación, coordinación, simplificación y unificación de criterios a
las empresas y organizaciones con el objeto de reducir costes y aumentar la
efectividad, así como estandarizar las normas de productos y servicios para las
organizaciones internacionales.
 • Auditoría informática:
Es un proceso llevado a cabo por profesionales especialmente capacitados para el
efecto, que consiste en:
➔ recoger,
➔ agrupar,
➔ evaluar,
Evidencias para determinar si un sistema de información:
➔ Salvaguarda el activo empresarial
➔ Mantiene la integridad de los datos
➔ Lleva a cabo eficazmente los fines de la organización
➔ Utiliza eficazmente los recursos
➔ Cumple con las leyes y regulaciones establecidas
 UNIDAD I

1. Historia de la Auditoría

En un orden cronológico tenemos lo siguiente:

• 1284 “El bravo” Sancho IV ordena un control de recaudos públicos
• 1492 surgen los visitadores que revisaban las cuentas y los resultados de
producción de las colonias

Como profesión fue registrada por primera vez bajo la Ley Británica de Sociedades
Anónimas de 1862. Su misión era encontrar un sistema metódico y normalizado de
contabilidad para la prevención del fraude. En 1900 esta profesión se introdujo a los
Estados Unidos.

Históricamente la auditoría nació como una rama dependiente del área financiera. La
ejercían solamente profesionales con especialidad en contabilidad dado que revisaban
el registro de operaciones y los estados financieros emitidos por las empresas.

Si buscamos fuentes bibliográficas que hablen de la auditoría, encontramos:

• 1988 Echenique público sus libro de auditoría de sistemas. Dando un enfoque
técnico-práctico
• 1992 Lee pública, aspectos a evaluar en la auditoría informática
• 1993 Rosalía Escobedo de Venezuela, presenta en la Universidad del Valle de
México, una tesis de auditoría a los centro de computo
• 1998 Mario y Emilio presentan su libro de auditoría informática
 2. Características
Las características principales son 3:
• Profesional y transparente: Se refiere a que la persona debe tener las
competencias necesarias en conocimiento para realizar una auditoría (auditor),
el cual debe tener la capacidad de informar lo que se halle en la auditoría sin
ningún juicio de valor e independencia.

• Objetiva: Significa que debe estar basada en hechos reales, sustentables y con
evidencia, actuando en su desarrollo con una actitud mental independiente e
imparcial.

• Sistemática: Se desarrolla bajo una serie de pasos y etapas, que se deben

ejecutar en un orden lógico para lograr el objetivo final.

3. Alcance

El alcance expresa las materias, funciones u organizaciones que van a ser auditadas.
Es decir, hasta donde llega la auditoría, cual es su rango de acción, hasta donde llega.

4. Objetivos

• Verificar que se están cumpliendo los estándares de calidad, seguridad,

prevención de riesgos, respeto al medio ambiente, etc. con los que la empresa
quiere y dice trabajar.
• Obtener información acerca de cómo se están realizando los procesos para
detectar posibles áreas de mejora.
• Gestión eficaz de los recursos informáticos
 5. Delitos Informáticos
Son actos ilícitos cometidos mediante el uso inadecuado de la tecnología. Atentando
contra:
• La privacidad de la información
• Dañando o extrayendo cualquier tipo de información que se encuentren
almacenadas en servidores

En Venezuela, tenemos la Ley Especial contra los Delitos Informáticos publicada el

30 de octubre de 2001 según gaceta oficial #37313. Según la pirámide de Kelsen se
encuentra en el nivel #2

La norma ISO que va aunada a los delitos informáticos es la 27001 ya proporciona

un marco de trabajo para los sistemas de gestión de seguridad de la información
(SGSI) con el fin de proporcionar confidencialidad, integridad y disponibilidad
continuada de la información, así como cumplimiento legal.

La implantación de la ISO 27001 es la respuesta ideal a los requisitos legislativos y

de los clientes, incluyendo el Reglamento General de Protección de Datos (RGPD) y
otras amenazas potenciales, incluyendo: Crimen cibernético, violación de los datos
personales, vandalismo / terrorismo, fuego / daños, uso malintencionado, robo y
ataque de virus.

6. Plataforma de los Sistemas

7. Tipos de Auditoría

La ISO 19011:2018 nos dicta las pautas para una auditoría. Es aquí, donde se ofrecen
las directrices para conocer la forma de auditar el sistema de gestión, especialmente
para las auditorías internas o de primera parte o, las referentes a proveedores o de
segunda parte.
 1. Interna:
Es la que se realiza desde el ambiente interno de la empresa, es decir sin empleados
ajenos a la misma y con el poder de decisión sobre el proceso.
2. Externa
Es la que realiza un profesional ajeno a la empresa, ya sea remunerado o no y, la
organización no tiene poder de decisión sobre el proceso llevado a cabo.

8. Síntomas de Necesidad de Auditoría

• Insatisfacción de los usuarios: No se atienden las peticiones de cambios de

los usuarios. No se reparan las averías de Hardware ni se resuelven
incidencias en plazos razonables. El usuario percibe que está abandonado y
desatendido permanentemente. No se cumplen en todos los casos los plazos
de entrega de resultados periódicos.
• Descoordinación y desorganización: No coinciden los objetivos de la
informática de la empresa y de la propia compañía.
• Síntomas de debilidades económico-financiero: Incremento desmesurado de
costes.
• Síntomas de seguridad: No hay plan de contingencia. Se filtra información.

9. Control
Establece las medidas implementadas en las entidades con la finalidad de reducir los
riesgos existente y proteger los archivos mas importantes.

10. Seguridad de los sistemas

Es el conjunto de medidas:
➔ técnicas;
➔ organizativas;
 ➔ legales
que permiten a la organización asegurar la:
➔ confidencialidad;
➔ integridad;
➔ disponibilidad de sistema de información
Las normas ISO que rigen la seguridad informática son la 27001 y 27002

11. Vulnerabilidad de los sistemas (ISO-27001)

Es cuando en el software o hardware se permite que un atacante comprometa la

integridad, disponibilidad o confidencialidad del sistema o de los datos que procesa.

12. Amenaza de los sistemas

Es cualquier acción que explota la vulnerabilidad.

13. Riesgos en auditorías

Es la posibilidad de que una o varias amenazas se conviertan en un desastre.

 Unidad 2: Tipos y clases de auditorías

➔ De Desarrollo de Proyectos o Aplicaciones

Es donde se realiza una revisión del proceso completo de desarrollo de proyectos por
parte de la empresa auditada.
Es una revisión estructurada e independiente para verificar si en el proyecto se está
cumpliendo con los resultados, los plazos, los beneficios, el costo y los planes
previstos; y para determinar que ajustes se deben aplicar para corregir las
desviaciones detectadas.
Se rige por la ISO 21500:2012

➔ De Explotación
Se ocupa de producir resultados informáticos de todo tipo. La materia prima de la
explotación informática son los datos, los cuales se transforman y se someten a
controles de integridad y calidad. Al final los resultados son distribuidos al cliente o
usuario.
Se rige por la ISO 27034:2018

➔ De Sistemas
Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y
procedimientos que se tienen establecidos en una empresa para lograr confiabilidad,
oportunidad, seguridad y confidencialidad de la información que se procesa a través
de los sistemas de información.
Se rige por la ISO 27001:2015

➔ De Comunicaciones y Redes
Consiste en el análisis de estructura conceptual de las redes y recursos en general.
Se rige por la ISO 27033:2016
 ➔ De Seguridad de Informática
Se pretende verificar la confidencialidad de la información, evitando que esta sea mal
utilizada o divulgada por personas que hagan mal uso de la misma. Además de
evaluar la ocurrencia de robos, fraudes o sabotajes que provoquen la destrucción total
o parcial de la actividad computacional.
Se rige por la ISO 27001 y 27002
 ETAPAS DE UNA AUDITORÍA
1. PLANEACIÓN
Es muy importante diseñar un plan de auditoría, la etapa de planeación es el 60% del
proceso, por tanto se requiere que esta actividad sea tratada como de alto valor. Este
plan de auditoría debe iniciar con un objetivo y alcance claramente definidos; qué
tipo de auditoría se va realizar, ¿qué procesos?, ¿qué controles o actividades? ¿qué
normas?, ¿cuál metodología?. Luego de tener esta información detallada y entendida
por los interesados, se debe conformar el equipo auditor con la experiencia necesaria
para ejecutar la auditoría, estos integrantes pueden ser internos o externos y también
deben tener un claro entendimiento del objetivo y alcance de la auditoría.

De aquí debe salir un documento llamado CRONOGRAMA DE AUDITORIAS .

Este documento es la guía para la ejecución de la auditoría donde por lo general se
detalla la siguiente información:
• Procesos a auditar
• Cronograma auditorías
• Preguntas, pruebas o criterios a aplicar
• Responsables
• Fechas de inicio y fin
• Recursos a utilizar
• Fecha real de auditoría
• Estado
• Hallazgos documentados
• Resultados y observaciones

2. PREPARACIÓN
En esta etapa de la auditoría ya está conformado y claro el auditor líder y su equipo.
Ellos se encargan de diseñar la lista de chequeo para cada proceso que se va a revisar,
esta lista es clave, ya que aquí se va a llevar la evaluación y registro de todo lo que
sea imprescindible recolectar, información de calidad de cada proceso.

De aquí debe salir un documento llamado LA LISTA DE CHEQUEO. Las funciones

principales de la lista de chequeo son las de integrar, ordenar información, recolectar,
registrar la documentación de evidencias, controlar el cumplimiento de actividades y
verificar que no se pase nada por alto. Lista de chequeo ISO 9001:2015 para auditar
la fase de planificación.

3. EJECUCIÓN
La ejecución es el desarrollo de la auditoría, aquí es donde llevas a la acción todo lo
definido en las etapas anteriores. Aquí, sigues el cronograma, diligencias las listas de
chequeo, recolectas la evidencia y sigues la metodología definida con el equipo de
trabajo. Luego de ejecutar estas actividades, o en paralelo, se inicia la construcción
del informe de hallazgos y recomendaciones para consolidar el informe final, las
conclusiones generales y recomendaciones pertinentes.

De aquí debe salir un documento llamado INFORME DE HALLAZGOS Y

RECOMENDACIONES. Este contiene el detalle y el resultado final de todo el
trabajo realizado en la auditoría. Allí se comunican los hallazgos, es decir aquellos
hechos detectados en el ejercicio de la auditoría y pueden hacer referencia a
deficiencias, faltas, pero también, a necesidades de cambio y fortalezas.

4. FINALIZACIÓN Y SEGUIMIENTO
Esta etapa de la auditoría es clave para que el ejercicio de auditoría genere valor a la
estrategia y procesos de la compañía. La finalización y entrega del informe final es un
hito importante, de alguna forma es un cierre formal de auditoría que transmite el
mensaje de "con esto nos vamos" es fotografía tomada al estado actual de la
organización para ser analizada, y con ello, abrir la puerta a los cambios reales, es
decir cuando se toman decisiones a cerca de las acciones que se implementarán para
mejorar los hallazgos identificados en la auditoría.

De aquí debe salir un documento llamado: ACCIONES DE MEJORAS O

TAMBIÉN LLAMADAS ACCIONES CORRECTIVAS. La norma ISO 9001:2015
define una acción correctiva como: “la acción para eliminar la causa de una no
conformidad y evitar que vuelva a ocurrir"
 IMPORTANCIA DE LA AUDITORÍA
➔ Mejora las operaciones empresariales, lo que incluye la disminución de los
errores y la mejora de la calidad del rendimiento.
➔ Mejora de la eficiencia.
➔ Disminuye los costes
➔ Aumento de los beneficios, es decir, mejora la recuperación de los costes.
➔ Gestión de riesgos controlada.
 FAMILIAS DE NORMAS ISO

SERIE ISO 9000 → Gestión de Calidad

SERIE ISO 14000 → Gestión del Medio Ambiente
SERIE ISO 22000, 27001, 22301 y otras → Gestión de Riesgos y Seguridad
SERIE ISO 26000 → Gestión de Responsabilidad Social
 ISO 21500:2012

La ISO 21500:2012 es una guía que recopila las buenas prácticas de las diversas
metodologías, busca convertirse en un referente internacional para el establecimiento
de la metodología de Gestión de Proyectos en las entidades. Las organizaciones
mediante la norma consiguen una guía para gestionar sus proyectos.

ISO 27034:2018

El objetivo es asegurar que aplicaciones informáticas ofrezcan el nivel deseado o

necesario de seguridad y ofrece orientación sobre seguridad de la información en el
diseño, desarrollo, programación e implementación de sistemas de aplicación.

ISO 27001:2015
Es una norma internacional que permite el aseguramiento, la confidencialidad e
integridad de los datos y de la información, así como de los sistemas que la procesan.

ISO 27033:2016
Describe las amenazas, los requisitos de seguridad, el control de seguridad y las
técnicas de diseño asociadas con las redes inalámbricas. Proporciona lineamientos
para la selección, implementación y monitoreo de los controles técnicos necesarios
para brindar comunicaciones seguras utilizando redes inalámbricas.

ISO 19011:2018
Este documento proporciona orientación sobre la gestión de un programa de
auditoría, sobre la planificación y la realización de auditorías de sistemas de gestión,
así como sobre la competencia y la evaluación de un auditor y un equipo auditor.

ISO 9001:2015
Es el estándar internacional de carácter certificable que regula los Sistemas de
Gestión de la Calidad (SGC). La serie de normas ISO 9000 promueven la adopción
de un enfoque basado en procesos.