Normatividad aplicada a la auditora informtica

2.1. Tipos de normas.

Las normas de auditora son los requisitos mnimos de calidad relativos a la
personalidad del auditor, al trabajo que desempea y a la informacin que rinde
como resultado del trabajo de auditora. Su finalidad es marcar una directriz sobre
su comportamiento y sobre la preparacin, ejecucin e informe de los trabajos de
fiscalizacin.
Las normas de auditoria de estados financieros se clasifican en normas
personales, normas de ejecucin del trabajo y normas de informacin.
NORMAS PERSONALES.
Se refieren a las cualidades que el auditor debe tener para poder asumir, dentro
de las exigencias que el carcter profesional de la auditoria impone, un trabajo de
este tipo. Dentro de estas normas existen cualidades que el auditor debe tener pre
adquiridas antes de poder asumir un trabajo profesional de auditoria y cualidades
que debe mantener durante el desarrollo de toda su actividad profesional.
Entrenamiento tcnico y capacidad profesional.
El trabajo de auditoria, cuya finalidad es la de rendir una opinan profesional
independiente, debe ser desempeado por personas que, teniendo ttulo
profesional legalmente expedido y reconocido, tengan entrenamiento tcnico
adecuado y capacidad profesional como auditores.
Cuidado y diligencia profesionales.
El auditor est obligado a ejercitar cuidado y diligencia razonables en la realizacin
de su examen y en la preparacin de su dictamen o informe.
Independencia.
El auditor est obligado a mantener una actitud de independencia mental en todos
los asuntos relativos a su trabajoprofesional.
NORMAS DE EJECUCIN DEL TRABAJO.
Al tratar de las normas personales, se seal que el auditor est obligado a
ejecutar su trabajo con cuidado y diligencia. Aun cuando es difcil definir lo que en
cada tarea puede representar un cuidado y diligencia adecuados, existen ciertos
elementos que, por su importancia, deben ser cumplidos. Estos elementos
bsicos, fundamentales en la ejecucin de trabajo, que constituyen la
especificacin particular, por lo menos al mnimo indispensable, de la exigencia de
cuidado y diligencia, son los que constituyen las normas denominadas de
ejecucin del trabajo.
Planeacin y supervisin.
El trabajo de auditoria deber ser planeado adecuadamente y, si se usan
ayudantes, estos deben ser supervisados en forma apropiada
Estudio y evaluacin del control interno.
El auditor debe efectuar un estudio y evaluacin adecuados del control
interno existente, que le sirvan de base para determinar el grado de confianza que
va depositar en l; asimismo, que le permita determinar la naturaleza, extensin y
oportunidad que va dar procedimientos de auditoria.
Obtencin de evidencia suficiente y competente.
Mediante sus procedimientos de auditoria, el auditor debe obtener evidencia
comprobatoria suficiente y competente en el grado que requiera suministrar una
base objetiva para su opinin.
NORMAS DE INFORMACIN.
El resultado final del trabajo del auditor es su dictamen o informe. Mediante el,
pone en conocimiento de las personas interesadas los resultados de su trabajo y
la opinin que se ha formado a travs de su examen. El dictamen o informe del
auditor es en lo que va a reposar laconfianza de los interesados en los estados
financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la
situacin financiera y los resultados de operaciones de la empresa. Por ltimo es,
principalmente, a travs del informe o dictamen, como el pblico y el cliente se dan
cuenta del trabajo del auditor y, en muchos casos, es la nica parte, de dicho
trabajo, que queda a su alcance.
En todos los casos en que el nombre de un contador pblico quede asociado con
estados o informacin financiera deber expresar de manera clara e inequvoca la
naturaleza de su relacin con dicha informacin, su opinin sobre la misma y, en
su caso, las limitaciones importantes que haya tenido su examen, las salvedades
que se deriven de ellas o todas las razones de importancia por las cuales expresa
una opinin adversa o no puede expresar una opinin profesional a pesar de
haber hecho un examen de acuerdo con las normas de auditoria.
BASES DE OPININ SOBRE ESTADOS FINANCIEROS.
El auditor, al opinar sobre estados financieros, debe observar que:
Fueron preparados de acuerdo con principios de contabilidad
Dichos principios fueron aplicados sobre bases consistentes
La informacin presentada en los mismos y en las notas relativas, es adecuada y
suficiente para su razonable interpretacin.
Por lo tanto, en caso de excepciones a lo anterior, el auditor debe mencionar
claramente en qu consisten las desviaciones y su efecto cuantificado sobre los
estados financieros.

2.2. Normas actuales y emergentes aplicadas a la auditoria informtica (CISA,
COBIT, COSO, otras).

PRINCIPIOS Y REGLAS DE AUDITORIA.Principio: auditar racionalmente significa
explicitar sus finalidades, y deducir de stas los medios y las acciones de
investigacin que se consideren necesarios y suficientes.
La auditora informtica slo tiene sentido si se define su finalidad: examen de la
eficacia o seguridad de un sistema, de la fiabilidad de una aplicacin, verificacin
de la aplicacin, etc...
La finalidad est en emitir un juicio sobre el mangement del sistema de
Informaciones.
Regla: la auditora informtica consiste en comparar uno o varios actos de
management, desde uno o varios puntos de vista, con los que deberan ser.
La auditora informtica siempre llegar a una conclusin cuando los medios
asignados sean suficientes y las acciones sean posibles. La auditora informtica
jams debe empaar su finalidad ni limitarse a lo que es ms sencillo de examinar,
son pena de que el juicio que emita carezca de valor al caer fuera de la cuestin
verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que
deje de estar garantizada la solidez de todo el control.
Regla: los medios y las acciones elegidas por el auditor deben adaptarse
exclusivamente a la finalidad de la auditora, siendo coherentes entre s y, desde
luego, fiables y seguros.
En determinados casos la tarea del auditor puede ser muy compleja, para ello
deber dividirla en funciones obteniendo conclusiones parciales de stas y
establecer un plan de aquellas que resulten ser ms significativas.
Pese a la apariencia de complejidad de la auditora informtica apreciamos cmo
el buen uso del ordenador proporciona una mayor garanta y fiabilidad quecuando
ste no es utilizado.
Certified Information Systems Auditor (CISA)

es una certificacin para auditores respaldada por la Asociacin de Control y
Auditora de Sistemas de Informacin (ISACA) (Information Systems Audit and
Control Association). Los candidatos deben cumplir con los requisitos establecidos
por la ISACA.

Historia

La certificacin CISA fue establecida en 1978, debido a las siguientes razones:
Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las
competencias de los individuos al realizar auditoras de sistemas.

Proveer una herramienta motivacional para los auditores de sistemas de
informacin para mantener sus habilidades, y monitorizar la efectividad de los
programas de mantenimiento.

Proveer criterios de ayudar y gestin en la seleccin de personal y
desarrolladores.

El primer examen se llev a cabo en 1981, y los registros han crecido cada ao.
En la actualidad, el examen es ofrecido en 11 idiomas y ms de 200 lugares de
todo el mundo. En 2005, la ISACA anunci que el examen se ofrecer en junio y
diciembre, y que empezara en 2005. Anteriormente, el examen slo haba sido
administrado anualmente, en junio. Ms de 50 mil candidatos han conseguido el
certificado CISA.

La certificacin CISA es aprobada formalmente por el Departamento de Defensa
de los Estados Unidos en la categora de Aseguramiento de Informacin Tcnica
(DoD 8570.01-M).

Requisitos

Los candidatos a la certificacin CISA deben pasar un examen de acuerdo con
el Cdigo Profesional de tica de ISACA, adems de comprobar cinco aos de
experiencia en auditora de sistemas,control interno y seguridad informtica y
tener un programa de educacin continua.
En caso de no cumplir con estos requisitos, existen algunas equivalencias
definidas en la pgina de ISACA:2

Un mnimo de un ao de experiencia en sistemas de informacin o un ao de
experiencia en auditoras operacionales, pueden ser sustituidos por un ao de
experiencia auditora de sistemas, control interno y seguridad informtica.
60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos
aos de experiencia respectivamente de auditora de sistemas, control interno y
seguridad informtica.
2 aos de instructor de tiempo completo en Universidad en campos relacionados
(ejemplo: ciencias computacionales, contabilidad, auditora de sistemas de
informacin, pueden ser sustituidos por un ao de experiencia de auditora de
sistemas de informacin, control interno y seguridad de informtica.

Examen

El examen consiste de 200 preguntas de opcin mltiple que deben ser
contestadas en 4 horas. El examen est dividido en 5 reas hasta el manual de
2012:
El proceso de auditora de SI (14%)
Gobierno de TI (14%)
Administracin del ciclo de vida de infraestructura y sistemas (19%)
Soporte y entrega de servicios de TI (23%)
Proteccin de los activos de informacin (30%)
El examen CISA puede presentarse anualmente en junio, septiembre (desde
2013) y diciembre.




COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas
relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado
la forma en que trabajan los profesionales de TI. Vinculando tecnologainformtica
y prcticas de control, COBIT consolida y armoniza estndares de fuentes
globales prominentes en un recurso crtico para la gerencia, los profesionales de
control y los auditores.
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las
computadoras personales, mini computadoras y ambientes distribuidos. Est
basado en la filosofa de que los recursos de TI necesitan ser administrados por
un conjunto de procesos naturalmente agrupados para proveer la informacin
pertinente y confiable que requiere una organizacin para lograr sus objetivos.

Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y
actualizado de objetivos de control para tecnologa de informacin que sea de uso
cotidiano para gerentes y auditores
Usuarios: La Gerencia: para apoyar sus decisiones de inversin en TI y control
sobre el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el
control de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de
TI, su impacto en la organizacin y determinar el control mnimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus reas.
Tambin puede ser utilizado dentro de las empresas por el responsable de un
proceso de negocio en su responsabilidad de controlar los aspectos de
informacin del proceso, y por todos aquellos con responsabilidades en el campo
de la TI en las empresas.
Caractersticas:
Orientado al negocio
Alineadocon estndares y regulaciones "de facto"
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios:
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria
para dar soporte a los procesos de negocio y considerando a la informacin como
el resultado de la aplicacin combinada de recursos relacionados con las TI que
deben ser administrados por procesos de TI.
Requerimientos de la informacin del negocio
Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer
ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de
los reportes financieros y Cumplimiento le leyes y regulaciones.
Efectividad: La informacin debe ser relevante y pertinente para los procesos del
negocio y debe ser proporcionada en forma oportuna, correcta, consistente y
utilizable.
Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los
recursos (la forma ms productiva y econmica).
Confiabilidad: proveer la informacin apropiada para que la administracin tome
las decisiones adecuadas para manejar la empresa y cumplir con sus
responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los
cuales est comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Confidencialidad: Proteccin de la informacin sensible contra divulgacin no
autorizada
Integridad: Refiere a lo exacto ycompleto de la informacin as como a su validez
de acuerdo con las expectativas de la empresa.
Disponibilidad: accesibilidad a la informacin cuando sea requerida por los
procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a
la misma.
Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar
los objetivos de negocio:
Datos: Todos los objetos de informacin. Considera informacin interna y externa,
estructurada o no, grficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de informacin, que integran
procedimientos manuales y sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de
administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los
sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para
planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de
Informacin.

Procesos de TI
La estructura de COBIT se define a partir de una premisa simple y pragmtica:
"Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar
mediante un conjunto de procesos agrupados de forma natural para que
proporcionen la informacin que la empresa necesita para alcanzar sus objetivos".
COBIT se divide en tres niveles:
Dominios: Agrupacin natural de procesos, normalmente corresponden a un
dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de
control.Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos
de las TI.
Estos procesos estn agrupados en cuatro grandes dominios que se detallan a
continuacin junto con sus procesos y una descripcin general de las actividades
de cada uno.

Coso
El Informe COSO es un documento que contiene las principales directivas para la
implantacin, gestin y control de un sistema de control.

Debido a la gran aceptacin de la que ha gozado, desde su publicacin en
1992, el Informe COSO se ha convertido en el estndar de referencia.

Existen en la actualidad 2 versiones del Informe COSO. La versin del 1992 y la
versin del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su
modelo.

Es un medio para un fin, no un fin en s mismo. Efectuado por la junta directiva,
gerencia u otro personal.

No es slo normas, procedimientos y formas involucra gente

Aplicado en la definicin de la estrategia y aplicado a travs de la organizacin en
cada nivel y unidad

Diseado para identificar los eventos que potencialmente puedan afectar a la
entidad y para administrar los riesgos, proveer seguridad razonable para la
administracin y para la junta directiva de la organizacin orientada al logro de los
objetivos del negocio.

COSO II

Hacia fines de Septiembre de 2004, como respuesta a una serie de escndalos, e
irregularidades que provocaron prdidas importantes a inversionistas, empleados
y otros grupos de inters.

Nuevamente el Committee of Sponsoring Organizations of the Treadway
Commission, public el EnterpriseRisk Management Integrated Framework y sus
aplicaciones tcnicas asociadas.

Ampla el concepto de control interno, proporcionando un foco ms robusto y
extenso sobre la identificacin, evaluacin y gestin integral de riesgo.

En septiembre de 2004 se publica el estudio ERM (Enterprice Risk Management)
como una ampliacin de Coso 1, de acuerdo a las conclusiones de los servicios de
Pricewaterhouse a la comision.i

Que se puede Obtener a travs de COSO

Proporciona un marco de referencia aplicable a cualquier organizacin.
Para COSO, este proceso debe estar integrado con el negocio, de tal manera que
ayude a conseguir los resultados esperados en materia de rentabilidad y
rendimiento.

Trasmitir el concepto de que el esfuerzo involucra a toda la organizacin: Desde la
Alta Direccin hasta el ltimo empleado.

Ventajas de Coso

Permite a la direccin de la empresa poseer una visin global del riesgo y accionar
los planes para su correcta gestin
Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de los
controles implantados, lo que permite su adecuada gestin. toma de decisiones
ms segura, facilitando la asignacin del capital.
Alinea los objetivos del grupo con los objetivos de las diferentes unidades de
negocio, as como los riesgos asumidos y los controles puestos en accin.
Permite dar soporte a las actividades de planificacin estratgica y control interno.
Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas
prcticas de gobierno corporativo.
Fomenta que la gestin de riesgos pase a formar parte de la cultura del grupo.