Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 1 de 29
CONTENIDO
INTRODUCCION
ESTANDARES Y DIRECTRICES DE ISACA PARA LA AUDITORIA DE
SISTEMAS DE INFORMACION
ANALISIS DE RIESGOS
CONTROLES INTERNOS
EJECUCION DE UNA AUDITORIA DE SISTEMAS DE INFORMACION
AUTOEVALUACION DE CONTROL (CONTROL SELF ASSESSMENT)
CAMBIOS EMERGENTES EN EL PROCESO DE LA AUDITORIA DE
SISTEMAS
EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 2 de 29
INTRODUCCION GENERAL
PLANEACION DE LA AUDITORIA
El anlisis de los problemas a corto y largo plazo debe hacerse por lo menos una vez al
ao. Esto es necesario para tomar en consideracin los nuevos aspectos de control, los
cambios en la tecnologa, los procesos de negocio en constante cambio y las tcnicas
mejoradas de evaluacin.
Los pasos que un auditor de SI pudiera tomar para lograr el entendimiento del negocio
incluyen:
EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 5 de 29
Los siguientes son pasos que seguira un auditor de controles de sistemas de informacin
para determinar el nivel de cumplimiento de una organizacin con los requerimientos
externos:
La Ley SOX tambin intenta lograr un control ms estricto de las operaciones y de los
sistemas de informacin que los soportan. El cumplimiento de los requerimientos tanto
de la norma Europea de Basilea II como de la Ley SOX debera resultar en una mayor
estabilidad de las operaciones.
Una de las metas de ISACA es proveer los estndares para satisfacer esta necesidad. El
desarrollo y divulgacin de los estndares para la auditoria de SI es la piedra angular de
la contribucin profesional de la Asociacin a la comunidad de auditores. El auditor de SI
necesita estar consciente de que pueden existir estndares adicionales, o incluso
requerimientos legales impuestos por la ley que deben ser cumplidos por el auditor.
Los estndares definen los requerimientos obligatorios para la auditoria y para los
informes de SI
Las directrices brindan una gua para aplicar los estndares de auditoria de SI
Los procedimientos ofrecen ejemplos de procedimientos que debe seguir un auditor de
SI en una asignacin de auditoria
Estatuto de Auditoria
El propsito y responsabilidad, autoridad y obligacin de render cuentas de la funcin de
auditoria de sistemas de informacin o tareas de auditoria de sistemas de informacin
deberan estar debidamente documentados en un estatuto de auditoria o en un contrato.
Independencia Profesional
En todos los asuntos relacionados con la auditoria, el auditor de SI debera ser
independiente del auditado tanto en actitud como en apariencia.
Competencia Profesional
El auditor de SI debe ser profesionalmente competente, poseyendo habilidades y los
conocimientos para realizar el trabajo de auditoria asignado.
Planeacin
El auditor de SI debera planear el alcance de la auditoria de sistemas de informacin
tomando en cuenta los objetivos de la auditoria y el cumplimiento de las leyes y los
estndares profesionales de auditoria aplicables.
Informe
El auditor deber proveer un informe, en un formato apropiado, al terminar la revisin. El
informe debera identificar la organizacin, los destinatarios y cualquier restriccin sobre
su publicacin.
El informe debera establecer el alcance, los objetivos, el periodo cubierto y la naturaleza,
tiempo y extensin del trabajo de auditoria realizado.
El informe debera establecer los hallazgos, conclusiones y recomendaciones, as como
cualquier restriccin o limitacin al alcance que tenga el auditor de SI con respecto a la
auditoria.
Actividades de Seguimiento
Despus del informe de los hallazgos y recomendaciones, el auditor de SI debera
solicitar y evaluar la informacin relevante para determinar si la direccin ha realizado
las acciones apropiadas de manera oportuna.
Al planificar y ejecutar una auditoria para reducir el riesgo a un nivel mnimo, el auditor
de SI debe considerar el riesgo de irregularidades y actos ilcitos.
El auditor de SI debe mantener una actitud de escepticismo profesional durante la
auditoria, reconociendo la posibilidad de que existan declaraciones errneas materiales
debido a irregularidades y actos ilcitos.
El auditor de SI debera obtener un conocimiento de la organizacin y su ambiente
incluyendo sus controles internos.
El auditor de SI debera obtener evidencia de auditoria suficiente y relevante para
determinar si la direccin o alguien mas dentro de la organizacin tiene conocimiento de
alguna irregularidad o acto ilcito real.
Evaluacin de riesgos de SI
Firmas digitales
Deteccin de intrusos
Virus y otros cdigos maliciosos
Autoevaluacin de control de riesgos
Firewalls
Irregularidades y actos ilegales
Evaluacin de seguridad
Los estndares definidos por ISACA deben ser cumplidos por el auditor de SI. Las
directrices proveen una gua sobre como puedo el auditor implementar los estndares en
diversas tareas de auditoria. Los procedimientos proveen ejemplos de pasos que puede
EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 11 de 29
realizar el auditor para implementar los estndares en una tarea especfica de auditoria.
Sin embargo, el auditor de SI debera hacer uso de su juicio profesional cuando use
directrices y los procedimientos.
ANALISIS DE RIESGOS
Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas
distintas para diferentes personas. En general, un riesgo es cualquier evento que puede
afectar de manera negativa el logro de los objetivos de un negocio. Tal vez una de las
definiciones de riesgo ms comunes en el negocio de seguridad de informacin es la
provista por las Directrices para la Administracin de Seguridad de TI publicada por la
ISO:
Los riesgos del negocio son aquellas amenazas que pueden tener un impacto negativo
sobre los activos, procesos u objetivos de un negocio u organizacin especfica. La
naturaleza de estas amenazas puede ser financiera, regulatoria u operacional, y puede
surgir como resultado de la interaccin del negocio con su medio, o como resultado de las
estrategias, sistemas, as como la tecnologa, procesos, procedimientos e informacin
particulares usados por el negocio. El auditor de SI est a menudo enfocado en asuntos de
alto riesgo asociados con la confidencialidad, disponibilidad o integridad de informacin
sensitiva y crtica, y con los sistemas y procesos subyacentes de informacin que
generan, almacena y manipulan dicha informacin.
CONTROLES INTERNOS
Los controles internos son desarrollados para proveer una certeza razonable de que se
alcanzarn los objetivos de negocio de una organizacin y que los eventos de riesgo no
deseados sern evitados o detectados y corregidos, ya sea por cumplimiento o por una
iniciativa de la direccin. El control es el medio por el cual se alcanzan los objetivos de
control.
Existen dos aspectos claves que el control debe atender que debera lograrse y que
debera evitarse- Los controles internos no solo encaran los objetivos de
negocio/operativos sino que deberan estar preparados para los eventos no deseados a
travs de la prevencin, deteccin y correccin de los mismos.
Los objetivos de control interno son declaraciones del resultado deseado o del propsito a
ser alcanzado con la implementacin de procedimientos de control en una actividad
particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de
control. Estos generalmente incluyen los siguientes:
EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 14 de 29
Los objetivos de control interno se aplican a todas las reas, ya sean manuales o
automatizadas. Por lo tanto, los objetivos de control interno deben ser encarados en una
forma especfica para los procesos con SI.
COBIT
Al tomar en cuenta estos 34 objetivos de control de alto nivel, las organizaciones pueden
asegurar que cuentan con una estructura adecuada de gobierno y control para su entorno
de TI.
Los controles generales son aplicables a todas las reas de la organizacin. Estos incluyen
polticas y prcticas establecidas por la direccin para tener una certeza razonable de que
se alcanzarn los objetivos especficos. Los procedimientos de control incluyen:
Estrategia y direccin
Organizacin general y administrativa
Acceso a los programas y datos
Metodologas de desarrollo de sistemas y control de cambios
Operaciones de procesamiento de datos
Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de calidad en el procesamiento de datos
Controles de acceso fsico
Planeacin de continuidad del negocio/recuperacin de desastres
Redes y comunicaciones
Administracin de base de datos
EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 17 de 29
La auditoria puede definirse como un proceso sistemtico por el cual una persona
competente e independiente obtiene y evala objetivamente la evidencia respecto de las
afirmaciones acerca de una entidad o un evento econmico con el fin de formarse una
opinin sobre el particular e informar sobre el grado de cumplimiento en dicha
afirmacin de un conjunto de estndares.
Para realizar dicho proceso se requieren varios pasos. Una planeacin adecuada es el
primer paso necesario para realizar auditoras de SI efectivas. Para usar efectivamente los
recursos de auditoria de SI, las organizaciones de auditoria, deben evaluar todos los
riesgos del rea general y de aplicacin a auditor y luego desarrollar un programa de
auditoria que comprenda objetivos y procedimientos que satisfagan los objetivos de
auditoria.
El proceso de auditoria requiere que el auditor de SI recolecte evidencia, evale
fortalezas y debilidades de los controles basndose en la evidencia reunida y prepare un
informe de auditoria que presente en una forma objetiva dichos asuntos a la direccin.
El auditor de SI debe entender los diversos tipos de auditorias que pueden efectuarse
interna o externamente, y los procedimientos de auditoria asociados con cada uno de
ellos:
Auditorias Operativas: Esta diseada para evaluar la estructura del control interno en un
proceso o rea determinada. Las auditorias de SI de control de aplicacin o de sistemas
de seguridad lgica, son ejemplos de auditoras operativas.
EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 18 de 29
PROGRAMAS DE AUDITORIA
Los procedimientos generales de auditoria son los pasos bsicos en la ejecucin de una
auditoria y habitualmente incluyen lo siguiente:
El auditor debe entender los procedimientos para la prueba y evaluacin de los controles
de los sistemas de informacin. Estos procedimientos pueden incluir:
METODOLOGIA DE LA AUDITORIA
son una declaracin del alcance, una declaracin de los objetivos de la auditoria y una
declaracin de los programas de trabajo.
comunicacin con la
gerencia
Elaboracin del Identificar los procedimientos de la revisin de seguimiento
informe de auditoria Identificar los procedimientos para evaluar /probar la
eficiencia y efectividad operativa
Identificar los procedimientos para probar los controles
Revisar y evaluar la correccin de los documentos, las
polticas y los procedimientos
La autoevaluacin de control (CSA) puede definirse como una tcnica de la direccin que
asegura a los accionistas, clientes y otros que el sistema de control interno del negocio es
confiable. Tambin asegura que los empleados estn concientes de los riesgos de negocio
y que realicen revisiones proactivas peridicas de los controles. Esta es una metodologa
usada para revisar los objetivos clave del negocio, los riesgos involucrados en alcanzar
los objetivos del negocio y los controles internos diseados para administrar estos riesgos
del negocio en un proceso colaborativo formal y documentado.
En la prctica, CSA es una serie de herramientas que abarcan desde simples cuestionarios
hasta talleres de facilitacin diseados para recopilar informacin sobre la organizacin,
solicitndola a los que tienen conocimientos de trabajo cotidiano de un rea as como
tambin a sus directivos. Las herramientas bsicas usadas durante un proyecto de CSA
son las mismas ya sea para un proyecto tcnico, financiero u operativo.
El programa de CSA puede ser implementado mediante diversos mtodos. Para las
pequeas unidades de negocio dentro de las organizaciones, se puede implementar
mediante talleres de facilitacin en lo que la direccin funcional y los profesionales de
EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 22 de 29
control, como los auditores, pueden reunirse y deliberar sobre como desarrollar de la
mejor manera una estructura de control para la unidad de negocio.
1) Identificar
los procesos
2) Identificar y
evaluar riesgos
3) Identificar y
evaluar
controles
7) Accin e 6)
Informe Concientizacin
4) Desarrollar
cuestionario
5) Recolectar y
analizar Quiz
DESVENTAJAS DE CSA
Por ejemplo, durante un taller de CSA, en lugar de que el auditor realice procedimientos
detallados de auditoria, el auditor dirigir y guiar a los clientes en la evaluacin de su
ambiente.
Cada vez ms, los equipos de auditoria estn creando sus papeles de trabajo de auditoria
(anlisis de riesgos, programas de auditoria, resultados, evidencia de pruebas,
conclusiones, informes y otra informacin complementaria como por ejemplo
informacin de negocio) en formato automatizado, usando aplicaciones especializadas
diseadas para este fin.
A pesar de que los auditores a menudo usan paquetes de automatizacin de oficina tales
como procesadores de texto u hojas de clculo, cada vez ms se estn implementando
paquetes estndar para papeles de trabajo en departamentos de auditoria medianos y
grandes y estn demostrando ser tiles y apropiados para facilitar el trabajo de la
auditoria.
AUDITORIA INTEGRADA
Una evaluacin del anlisis de riesgos, esta dirigida a entender e identificar los riesgos
que surgen de la entidad y de su ambiente, incluyendo los controles internos relevantes.
En esta etapa, la funcin de auditoria de IT es tpicamente entender e identificar los
riesgos presentes en reas de actualidad tales como la administracin de informacin,
infraestructura de TI, gobierno de TI y operaciones de TI. Otros especialistas de auditoria
buscarn entender el ambiente organizacional, los riesgos de negocio y los controles de
negocio. Un elemento clave del enfoque integrado es la discusin sobre riesgos que
surgen, entre todo el equipo de auditoria, considerando el impacto y la probabilidad.
La auditoria integrada exige un enfoque sobre el riesgo del negocio y una motivacin por
lograr soluciones creativas de control. Es un esfuerzo de equipo de auditores con
diferentes habilidades.
Usar este enfoque permite una sola auditoria a una entidad auditable con un informe
comprensivo. Un beneficio adicional es que este enfoque apoya en el desarrollo y
retencin del personal suministrando una mayor variedad y la capacidad de ver como
todos los elementos se entrelazan juntos para formar el cuadro completo.
Auditoria Auditoria
Operativa Financiera
Auditoria de
Sistemas de
Informacin
AUDITORIA CONTINUA
Los requisitos precondicionantes para que la auditoria continua tenga xito incluyen:
Las tcnicas de TI que se usan para operar en un ambiente de auditoria continua deben
trabajar en todos los niveles de datos entrada individual; transaccin y base de datos e
incluyen:
Registro de transaccin
Herramientas de consulta
Estadstica y anlisis de datos (CAAT)
Sistemas de administracin de base de datos (DBMS)
Depsito de datos, data marts, minera de datos
EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 29 de 29
Inteligencia artificial
Mdulos integrados de auditoria (EAM)
Tecnologa de red neural
Estndares tales como Extensible Business Reporting Language XBRL
El software AI puede ser utilizado para automatizar los procesos de evaluacin experta, y
para permitir las capacidades de flexibilidad y anlisis dinmico. La configuracin y
aplicacin de reglas expertas pueda tambin ser contratada con externos, permitiendo
aseguramiento externo a solicitud.