El Proceso de Auditoria de Sistemas de Informacion PDF

EL PROCESO DE AUDITORIA DE SISTEMAS DE
INFORMACION
Curso Auditoria de Proyecto
Sistemas
Area Acadmica Computacin Instructivo X Referencia ICPP 01-07
Instructor Omar Palomeque Revisin No. 1 Pgina 1 de 29
EL PROCESO DE AUDITORIA DE SISTEMAS

DE INFORMACION
CONTENIDO
INTRODUCCION
ESTANDARES Y DIRECTRICES DE ISACA PARA LA AUDITORIA DE
SISTEMAS DE INFORMACION
ANALISIS DE RIESGOS
CONTROLES INTERNOS
EJECUCION DE UNA AUDITORIA DE SISTEMAS DE INFORMACION
AUTOEVALUACION DE CONTROL (CONTROL SELF ASSESSMENT)
CAMBIOS EMERGENTES EN EL PROCESO DE LA AUDITORIA DE
SISTEMAS
INFORMACION
Sistemas
INTRODUCCION GENERAL
El objetivo de esta seccin es garantizar que el estudiante tenga los conocimientos y

referencias necesarias para proporcionar servicios de auditoria de sistemas de
informacin en conformidad con los estndares, directrices y mejores prcticas de
auditoria de sistemas de informacin para apoyar a la organizacin a validar que su
tecnologa de informacin y sus sistemas de negocio estn protegidos y controlados.
Esta rea de estudio comprende el 10% de la valoracin de este curso (aproximadamente

15 preguntas)
Existen 5 tareas dentro del rea de proceso de auditoria de SI:
Desarrollar e implementar una estrategia de auditoria de SI basada en los riesgos

de la organizacin en cumplimiento con los estndares, directrices y mejores
prcticas de auditoria de SI
Planear auditoras especficas para validar que la TI y los sistemas de negocio

estn protegidos y controlados
Llevar a cabo auditorias en conformidad con los estndares, directriz y mejores

prcticas de auditoria de SI para lograr los objetivos planeados de auditoria
Comunicar los hallazgos, los riesgos potenciales y los resultados de la auditoria a

los accionistas clave
Asesorar sobre la implementacin de la administracin de riesgos y las prcticas

de control dentro de la organizacin al tiempo que se mantiene la independencia
ORGANIZACION DE LA FUNCION DE AUDITORIA DE SISTEMAS DE

INFORMACION
La funcin de auditoria de SI debiera establecerse en un estatuto de la auditoria. Es muy

factible que la auditoria de SI sea parte de la auditoria interna; por lo tanto, el estatuto de
auditoria puede incluir otras funciones de auditoria. Este estatuto debera establecer
claramente la responsabilidad y objetivos de la direccin para la funcin de auditoria de
SI y la delegacin de autoridad para la misma. Este documento debiera describir la
INFORMACION
Sistemas
autoridad, alcance y responsabilidades generales de la auditoria. El nivel ms alto de

direccin y el comit de auditoria si existe esta funcin dentro de la organizacin
debieran aprobar este estatuto. Una vez establecido, este estatuto debera modificarse solo
si dicho cambio puede realizarse y esta completamente justificado. Los estndares de
auditoria de SI de ISACA requieren que la responsabilidad, autoridad y obligacin de
render cuentas de la funcin de auditoria de los sistemas de informacin estn
debidamente documentados en un estatuto o en un contrato de trabajo.
ADMINISTRACION DE LOS RECURSOS DE AUDITORIA DE SISTEMAS DE

INFORMACION
Los auditores de SI son un recurso limitado y la tecnologa de SI esta cambiando

constantemente. Por lo tanto, es importante que los auditores de SI mantengan la
competencia por medio de la actualizacin de sus habilidades actuales y que obtengan
capacitacin sobre las nuevas tcnicas de auditoria y reas tecnolgicas. Especficamente,
el auditor de SI debera entender las tcnicas de administracin de proyectos de auditoria
con miembros del personal de auditoria debidamente entrenados. Los estndares de
auditoria de SI de ISACA requieren que el auditor de SI sea tcnicamente competente,
teniendo las habilidades y los conocimientos necesarios para realizar el trabajo del
auditor. Adems, el auditor de SI ha de mantener su competencia tcnica a travs de una
educacin profesional continua. Se deben tomar en consideracin las habilidades y los
conocimientos cuando se planeen las auditoras y se asigne personal para tareas
especficas de auditoria.
Preferentemente, se debera disear un plan anual detallado de capacitacin del personal

basado en la direccin de la organizacin, en trminos de tecnologa y aspectos
relacionados de riesgo que necesiten ser considerados. Adicionalmente, la direccin de
auditoria de SI debera proveer los recursos necesarios de TI requeridos para efectuar
debidamente las auditoras de sI de naturaleza altamente especializada.
PLANEACION DE LA AUDITORIA
La planeacin de la auditoria consiste tanto de la planeacin a corto y largo plazo. La

planeacin a corto plazo toma en cuenta los problemas de auditoria que sern cubiertos
durante el ao, mientras que la planeacin a largo plazo se refiere a los planes de
auditoria que tomarn en cuenta aspectos relacionados con riesgos debido a los cambios
en la direccin estratgica de TI de la organizacin que afectarn el ambiente de TI de la
organizacin.
INFORMACION
Sistemas
El anlisis de los problemas a corto y largo plazo debe hacerse por lo menos una vez al
ao. Esto es necesario para tomar en consideracin los nuevos aspectos de control, los
cambios en la tecnologa, los procesos de negocio en constante cambio y las tcnicas
mejoradas de evaluacin.
Los resultados de este anlisis para la planeacin de futuras actividades de auditoria

deben ser revisados por la alta direccin, y aprobados por el comit de auditoria, si
existiera, o alternativamente por la Junta Directiva y comunicados a los niveles de
direccin relevantes.
Al planear una auditoria, el auditor de SI debe tener un entendimiento general del

ambiente que va a revisar. Esto debera incluir una comprensin general de las diversas
prcticas de negocio y de las funciones relativas sujeto de la auditoria, as como tambin
los tipos de sistemas de informacin y la tecnologa que soportan la actividad. Por
ejemplo, el auditor de SI debera estar familiarizado con el marco regulatorio en el que
opera el negocio. Para realizar la planeacin de la auditoria, el auditor de SI debera
realizar en orden los siguientes pasos:
Lograr un entendimiento de la misin, los objetivos, el propsito y los procesos

de negocio, incluyendo los requerimientos de informacin y procesamiento, tales
como disponibilidad, integridad, seguridad y tecnologa de negocio.
Identificar contenidos especficos tales como polticas, estndares, directrices y
procedimientos requeridos por la organizacin
Evaluar el anlisis de riesgos y todo el anlisis de impacto sobre la privacidad
llevado a cabo por la direccin
Realizar un anlisis de riesgos
Llevar a cabo una revisin de control interno
Establecer el alcance y objetivos de la auditoria
Desarrollar el enfoque o la estrategia de auditoria
Asignar los recursos humanos a la auditoria y encarar la logstica del trabajo
Los estndares de Auditoria de SI de ISACA requieren que el auditor de SI planee el

trabajo de auditoria se SI para alcanzar los objetivos de auditoria y cumplir con los
estndares profesionales de auditoria aplicables. El auditor IT debe desarrollar un plan
que tome en consideracin los objetivos del auditado relevantes al rea auditada y a su
infraestructura tecnolgica.
Los pasos que un auditor de SI pudiera tomar para lograr el entendimiento del negocio
incluyen:
INFORMACION
Sistemas
Recorrido de las instalaciones claves de la organizacin

Lectura de antecedentes incluyendo publicaciones de la industria, informes
anuales e informes de anlisis financieros independientes
revisin de los planes estratgicos a largo plazo
Entrevistas a los gerentes claves para entender pormenores del negocio
revisin de informes anteriores
EFECTO DE LAS LEYES Y REGULACIONES, SOBRE LA PLANIFICACION

DE LA AUDITORIA DE SISTEMAS
Toda organizacin, independiente de su tamao o de la industria en la que opera, deber

cumplir con un nmero de requerimientos gubernamentales y externos relacionados con
las prcticas y los controles de los sistemas computarizados, y con la manera en que se
almacenan y se usan las computadoras, los programas y los datos.
Se deber prestar especial atencin a estos asuntos en aquellas industrias que

histricamente han tenido un marco regulatorio muy estricto. Por ejemplo, la industria
bancaria en todo el mundo tiene penalizaciones severas par alas compaas y para sus
funcionarios en caso de que la organizacin no pueda proveer un nivel adecuado de
servicio a causa de procedimientos de respaldo y recuperacin que estn por debajo de
los estndares. Tambin, en varios pases, los proveedores de servicios de Internet estn
sujetos, a leyes especficas respecto a la confidencialidad y a la disponibilidad del
servicio.
Los auditores de SI debern revisar la poltica de la administracin sobre la privacidad,

para determinar si toma en cuenta los requerimientos legales y regulatorios de privacidad
aplicables, incluyendo requisitos de flujo de datos al cruzar fronteras tales como Puerto
Seguro y las directrices de la Organizacin para la Cooperacin Econmica y el
Desarrollo que rigen la proteccin de la privacidad y los flujos transfrontera de los datos
personales.
Debido a la dependencia mayor de sistemas de informacin y en la tecnologa

relacionada, varios pases se estn esforzando para establecer capas adicionales de
requerimientos regulatorios en relacin con las auditorias de SI. El contenido de estas
regulaciones legales trata sobre:
Establecimiento de los requerimientos regulatorios

Organizacin de los requerimientos regulatorios
Responsabilidades asignadas a las entidades correspondientes
INFORMACION
Sistemas
Correlacin con las funciones de auditoria financiera, operacional y de TI.
Existen 2 reas principales de inters. Primero los requerimientos legales (leyes,

acuerdos regulatorios y contractuales) aplicables a la auditoria a la auditoria de SI.
Segundo, los requerimientos legales, aplicables al auditado y a sus sistemas,
administracin de datos, informes, etc. Estas reas podran impactar al alcance y los
objetivos de la auditoria. Esto ultimo es importante para los auditores internos y externos.
Los asuntos legales tambin impactan las operaciones del negocio de las organizaciones
en trminos de cumplimiento con las regulaciones ergonmicas, etc.
Un ejemplo de practicas slidas de control, es la Ley Sarbanes Oxley de 2002 de los

EEUU, la cual requiere evaluar los controles de TI de una organizacin. SOX provee
nuevas reglas, regulaciones y estndares de gobierno corporativo para compaas
publicas adjuntas a la SEC.
Los siguientes son pasos que seguira un auditor de controles de sistemas de informacin
para determinar el nivel de cumplimiento de una organizacin con los requerimientos
externos:
1. Identificar los requerimientos gubernamentales u otros externos relevantes que se

refieran a:
a. Datos electrnicos, derechos de autor, comercio electrnico, firmas

digitales, etc.
b. Practicas y controles de sistemas de informacin
c. La manera en que se almacena los datos, programas, equipos
d. La organizacin las actividades de los servicios de informacin
2. Documentar las leyes y regulaciones pertinentes
3. Determinar la administracin ha tomado en cuenta los regulamientos para formar

a partir de ellos, las polticas y procedimientos de la organizacin
4. Revisar los documentos internos del departamento/funcin/actividad de sistemas

de informacin que se ocupan del cumplimiento de las leyes aplicables a la
industria
INFORMACION
Sistemas
Debido a escndalos de contabilidad y de quiebras, la calidad de la informacin

suministrada a los inversionistas se ha convertido en un asunto de inters primordial en
todo el mundo.
En Europa, el comit de Basilea II para la supervisin de la Banca recomienda las

condiciones que deben cumplirse, adems del tamao del capital, para soportar
vulnerabilidades de operaciones de crdito. Estas condiciones idealmente darn lugar a
una mejora en:
La administracin de los negocios de crdito

La administracin de riesgos operativos
La administracin de los sistemas de informacin a travs de requerimientos
claramente definidos
La Ley SOX tambin intenta lograr un control ms estricto de las operaciones y de los
sistemas de informacin que los soportan. El cumplimiento de los requerimientos tanto
de la norma Europea de Basilea II como de la Ley SOX debera resultar en una mayor
estabilidad de las operaciones.
ESTANDARES DE ISACA PARA LA AUDITORIA DE SI
El carcter especializado de la auditoria de sistemas de informacin, y de las habilidades

y conocimientos necesarios para llevar a cabo dichas auditoras, requieren estndares
aplicables globalmente que sean pertinentes de forma especfica a la auditoria de sistemas
de informacin. Una de las funciones ms importantes de ISACA es proveer informacin
para satisfacer los requisitos de conocimiento.
Una de las metas de ISACA es proveer los estndares para satisfacer esta necesidad. El
desarrollo y divulgacin de los estndares para la auditoria de SI es la piedra angular de
la contribucin profesional de la Asociacin a la comunidad de auditores. El auditor de SI
necesita estar consciente de que pueden existir estndares adicionales, o incluso
requerimientos legales impuestos por la ley que deben ser cumplidos por el auditor.
El marco de estndares de Auditoria de SI de ISACA presenta mltiples niveles, como se

explica a continuacin:
INFORMACION
Sistemas
Los estndares definen los requerimientos obligatorios para la auditoria y para los
informes de SI
Las directrices brindan una gua para aplicar los estndares de auditoria de SI
Los procedimientos ofrecen ejemplos de procedimientos que debe seguir un auditor de
SI en una asignacin de auditoria
Los estndares de auditoria de SI son los siguientes:
Estatuto de Auditoria
El propsito y responsabilidad, autoridad y obligacin de render cuentas de la funcin de
auditoria de sistemas de informacin o tareas de auditoria de sistemas de informacin
deberan estar debidamente documentados en un estatuto de auditoria o en un contrato.
Independencia Profesional
En todos los asuntos relacionados con la auditoria, el auditor de SI debera ser
independiente del auditado tanto en actitud como en apariencia.
tica y Estndares Profesionales

El auditor de Sistemas de Informacin debera acatar el cdigo de tica profesional de
ISACA.
El auditor de SI debera ejercer el debido cuidado profesional, incluyendo la observancia
de los estndares de auditoria aplicables.
Competencia Profesional
El auditor de SI debe ser profesionalmente competente, poseyendo habilidades y los
conocimientos para realizar el trabajo de auditoria asignado.
Planeacin
El auditor de SI debera planear el alcance de la auditoria de sistemas de informacin
tomando en cuenta los objetivos de la auditoria y el cumplimiento de las leyes y los
estndares profesionales de auditoria aplicables.
Ejecucin del Trabajo de Auditoria

Supervisin: El personal de auditoria de sistemas de informacin debiera ser supervisado
para proveer una certeza razonable de que los objetivos de la auditoria sern alcanzados y
que se observan los estndares profesionales de auditoria aplicables.
Evidencia: En el curso de la auditoria, el auditor de SI debera obtener evidencia
suficiente, confiable y relevante para lograr los objetivos de la auditoria. Los hallazgos y
las conclusiones de la auditoria deben estar respaldados por un anlisis e interpretacin
apropiados de esta evidencia.
INFORMACION
Sistemas
Documentacin: El proceso de auditoria debera estar documentado, describiendo el

trabajo de auditoria y la evidencia de auditoria que respalde los hallazgos y las
conclusiones del auditor de SI.
Informe
El auditor deber proveer un informe, en un formato apropiado, al terminar la revisin. El
informe debera identificar la organizacin, los destinatarios y cualquier restriccin sobre
su publicacin.
El informe debera establecer el alcance, los objetivos, el periodo cubierto y la naturaleza,
tiempo y extensin del trabajo de auditoria realizado.
El informe debera establecer los hallazgos, conclusiones y recomendaciones, as como
cualquier restriccin o limitacin al alcance que tenga el auditor de SI con respecto a la
auditoria.
Actividades de Seguimiento
Despus del informe de los hallazgos y recomendaciones, el auditor de SI debera
solicitar y evaluar la informacin relevante para determinar si la direccin ha realizado
las acciones apropiadas de manera oportuna.
Irregularidades y Actos Ilcitos
Al planificar y ejecutar una auditoria para reducir el riesgo a un nivel mnimo, el auditor
de SI debe considerar el riesgo de irregularidades y actos ilcitos.
El auditor de SI debe mantener una actitud de escepticismo profesional durante la
auditoria, reconociendo la posibilidad de que existan declaraciones errneas materiales
debido a irregularidades y actos ilcitos.
El auditor de SI debera obtener un conocimiento de la organizacin y su ambiente
incluyendo sus controles internos.
El auditor de SI debera obtener evidencia de auditoria suficiente y relevante para
determinar si la direccin o alguien mas dentro de la organizacin tiene conocimiento de
alguna irregularidad o acto ilcito real.
DIRECTRICES DE ISACA PARA LA AUDITORIA DE SI
El objetivo de las directrices de ISACA para la auditoria de SI es proveer informacin

adicional sobre como cumplir con los estndares de ISACA para la auditoria de SI. El
auditor de SI debera:
Considerarlos para determinar como implementar los estndares antes citados

Usar juicio profesional para aplicarlos
INFORMACION
Sistemas
Poder justificar cualquier desviacin o diferencia
Algunas directrices son:

1. Uso del trabajo de otros auditores
2. Uso de tcnicas asistidas por computador CAAT
3. Servicio externo de actividades de SI para Otras Organizaciones
4. Conceptos de materialidad
5. Documentacin de auditoria
6. Muestreo de auditoria
7. Efecto de los controles generales de computacin
PROCEDIMIENTOS DE ISACA PARA AUDITORIA DE SI
Los procedimientos desarrollados por la junta de estndares de ISACA proveen ejemplos

de procesos que un auditor de SI posiblemente pudiera seguir en un trabajo de auditoria.
Para determinar si algn procedimiento especifico es apropiado, el auditor de SI debe
aplicar su propio juicio profesional a la situacin particular. Los documentos de
procedimientos proveen informacin sobre como satisfacer los estndares al realizar un
trabajo de auditoria de SI, pero no establecen requerimientos.
No es obligatorio que el auditor de SI siga estos procedimientos, sin embargo, al seguir

estos procedimientos el auditor tendr la certeza de que est siguiendo los estndares.
Algunos procedimientos contemplan lo siguientes temas:
Evaluacin de riesgos de SI
Firmas digitales
Deteccin de intrusos
Virus y otros cdigos maliciosos
Autoevaluacin de control de riesgos
Firewalls
Irregularidades y actos ilegales
Evaluacin de seguridad
RELACION ENTRE ESTNDARES, DIRECTRICES Y PROCEDIMIENTOS
Los estndares definidos por ISACA deben ser cumplidos por el auditor de SI. Las
directrices proveen una gua sobre como puedo el auditor implementar los estndares en
diversas tareas de auditoria. Los procedimientos proveen ejemplos de pasos que puede
INFORMACION
Sistemas
realizar el auditor para implementar los estndares en una tarea especfica de auditoria.
Sin embargo, el auditor de SI debera hacer uso de su juicio profesional cuando use
directrices y los procedimientos.
ANALISIS DE RIESGOS
El anlisis de riesgos es parte de la planeacin de auditoria y ayuda a identificar los

riesgos y las vulnerabilidades para que el auditor pueda determinar los controles
necesarios para mitigarlos.
Entender la relacin entre riesgo y control es importante para los profesionales de

auditoria de SI y de control, al evaluar los procesos de negocio relacionados con TI
utilizados por una organizacin.
Adems de un entendimiento de los riesgos y los controles de negocio, los auditores de SI
deben entender que existe riesgo dentro del proceso de auditoria como tal.
Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas
distintas para diferentes personas. En general, un riesgo es cualquier evento que puede
afectar de manera negativa el logro de los objetivos de un negocio. Tal vez una de las
definiciones de riesgo ms comunes en el negocio de seguridad de informacin es la
provista por las Directrices para la Administracin de Seguridad de TI publicada por la
ISO:
El potencial de que una amenaza potencial explote las vulnerabilidades de un activo o

grupo de activos ocasionando perdida o dao de los activos. El impacto o relativa
severidad del riesgo es proporcional al valor para el negocio de la prdida o dao y a la
frecuencia estimada de la amenaza
Esta definicin es usada por la industria de TI ya que coloca al riesgo en un contexto

organizacional usando los conceptos de activos y prdida de valor trminos que los
directivos del negocio comprenden fcilmente.
En este contexto entonces, el riesgo tiene los elementos siguientes:
1. Amenazas a, y vulnerabilidades de los procesos y/o activos (incluyendo fsicos

como de informacin)
2. Impacto sobre los activos en base a amenazas y vulnerabilidades
3. Probabilidad de amenazas (combinacin de la probabilidad y la frecuencia de
ocurrencia)
INFORMACION
Sistemas
Los riesgos del negocio son aquellas amenazas que pueden tener un impacto negativo
sobre los activos, procesos u objetivos de un negocio u organizacin especfica. La
naturaleza de estas amenazas puede ser financiera, regulatoria u operacional, y puede
surgir como resultado de la interaccin del negocio con su medio, o como resultado de las
estrategias, sistemas, as como la tecnologa, procesos, procedimientos e informacin
particulares usados por el negocio. El auditor de SI est a menudo enfocado en asuntos de
alto riesgo asociados con la confidencialidad, disponibilidad o integridad de informacin
sensitiva y crtica, y con los sistemas y procesos subyacentes de informacin que
generan, almacena y manipulan dicha informacin.
CONTROLES INTERNOS
Las polticas, procedimientos, prcticas y estructuras organizacionales implementadas

para reducir riesgos tambin son conocidas como controles internos.
Los controles internos son desarrollados para proveer una certeza razonable de que se
alcanzarn los objetivos de negocio de una organizacin y que los eventos de riesgo no
deseados sern evitados o detectados y corregidos, ya sea por cumplimiento o por una
iniciativa de la direccin. El control es el medio por el cual se alcanzan los objetivos de
control.
Existen dos aspectos claves que el control debe atender que debera lograrse y que
debera evitarse- Los controles internos no solo encaran los objetivos de
negocio/operativos sino que deberan estar preparados para los eventos no deseados a
travs de la prevencin, deteccin y correccin de los mismos.
Los elementos de control que deberan ser considerados al evaluar la Fortaleza de un

control, estn clasificados como preventivos, detectivos o correctivos d acuerdo con su
naturaleza:
INFORMACION
Sistemas
Clase Funcin Ejemplos

Preventivos Detectar problemas antes de que surjan Emplear solo personal calificado
Monitorear las operaciones como el ingreso de datos Segregar funciones
Tratar de predecir problemas potenciales y hacer Controlar acceso fsico
ajustes Establecer procedimientos
Impedir que ocurra un error, una omisin o un acto adecuados para automatizar
malicioso transacciones
Completar las validaciones de
edicin programadas
Usar Sw de Control de Acceso
Detectivos Usar controles que detecten y reporten que ha ocurrido Hash Totals
un error, una omisin o un acto malicioso Puntos de verificacin en los
trabajos de produccin
Controles de eco en las
telecomunicaciones
Doble verificacin de clculos
Reportes de variaciones
Reportes de cuentas vencidas
Funciones de auditoria interna
Correctivos Minimizar el impacto de una amenaza Planeacin de contingencias

Remediar problemas descubiertos por controles Procedimientos de respaldo
detectivos Procedimientos para segunda
Identificar la causa de un problema ejecucin de programas
Corregir los errores resultantes de un problema
OBJETIVOS DEL CONTROL INTERNO
Los objetivos de control interno son declaraciones del resultado deseado o del propsito a
ser alcanzado con la implementacin de procedimientos de control en una actividad
particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de
control. Estos generalmente incluyen los siguientes:
INFORMACION
Sistemas
Controles internos contables: Principalmente dirigidos a las operaciones contables tales

como la salvaguarda de activos y la confiabilidad de los registros financieros.
Controles operativos: Dirigidos a las operaciones, funciones y actividades cotidianas
para asegurar que la operacin est alcanzando los objetivos de negocio.
Controles Administrativos: Se ocupan de la eficiencia operativa de un rea funcional y
la adherencia a las polticas de la direccin incluyendo controles operativos.
Estos tipos de control incluyen aquellos controles relacionados con el entorno

tecnolgico. Los objetivos de control incluyen:
Salvaguarda de los activos de tecnologa de informacin

Cumplimiento con las polticas corporativas o requerimientos legales
Autorizacin/introduccin de informacin
Exactitud e integridad del procesamiento de transacciones
Salida de informacin
Confiabilidad de los procesos
Respaldo y recuperacin
Eficiencia y economa de las operaciones
OBJETIVOS DE CONTROL DE LOS SISTEMAS DE INFORMACION
Los objetivos de control interno se aplican a todas las reas, ya sean manuales o
automatizadas. Por lo tanto, los objetivos de control interno deben ser encarados en una
forma especfica para los procesos con SI.
Los objetivos de control de SI incluyen:
Salvaguarda de Activos: La informacin en los sistemas automatizados est protegida

contra accesos inadecuados y se la mantiene actualizada.
Asegurar la integridad de los ambientes de sistemas operativos en general:
incluyendo la administracin y operaciones de la red.
Asegurar la integridad de los ambientes de sistemas de aplicacin sensitivos y
crticos, incluyendo informacin contable/financiera y gerencial a travs de:
Autorizacin para el ingreso de datos

Exactitud e integridad del procesamiento de transacciones
Confiabilidad de las actividades de procesamiento
Exactitud, integridad y seguridad de la informacin de salida
Integridad de la base de datos
INFORMACION
Sistemas
COBIT
Los objetivos de Control para la Informacin y Tecnologas relacionadas (COBIT) es un

marco con un conjunto de 34 objetivos de control de alto nivel representando procesos de
TI agrupados en cuatro dominios: planeacin y organizacin, adquisicin e
implementacin, entrega y soporte, y monitoreo y evaluacin.
Al tomar en cuenta estos 34 objetivos de control de alto nivel, las organizaciones pueden
asegurar que cuentan con una estructura adecuada de gobierno y control para su entorno
de TI.
Respaldando estos procesos de TI existen ms de 200 objetivos de control detallados,

necesarios para una implementacin efectiva. Cobit utiliza como referencia primaria, 36
estndares y reglamentos principales y relativos con TI. Cobit est dirigido a la direccin
y al personal que provee servicios de informacin, departamentos de control, funciones
de auditoria y lo que es ms importante, a los propietarios de los procesos de negocio que
usan los procesos de TI para garantizar la confidencialidad, la integridad y la
disponibilidad de informacin sensitiva y crtica.
PROCEDIMIENTOS DE CONTROL GENERAL
Los controles generales son aplicables a todas las reas de la organizacin. Estos incluyen
polticas y prcticas establecidas por la direccin para tener una certeza razonable de que
se alcanzarn los objetivos especficos. Los procedimientos de control incluyen:
Controles internos de contabilidad que estn principalmente dirigidos a las operaciones

de contabilidad, ellos se refieren a la salvaguardia de activos y a la confiabilidad de los
registros financieros.
Controles operativos que se ocupan de las operaciones, funciones y actividades

cotidianas y aseguran que la operacin est cumpliendo los objetivos de negocio.
Controles administrativos que se ocupan de la eficiencia operativa en un rea funcional

y la adherencia a las polticas de la direccin. Los controles administrativos dan soporte a
los controles operativos que se ocupan especficamente de la eficiencia operativa y la
adherencia a polticas organizacionales.
Polticas y procedimientos organizacionales de seguridad lgica para asegurar la debida

autorizacin de transacciones y actividades.
INFORMACION
Sistemas
Polticas generales para el diseo y uso de documentos y registros adecuados para

ayudar a asegurar el registro apropiado de las transacciones pista de auditoria de
transacciones.
Procedimientos y funciones para asegurar la proteccin adecuada en el acceso y el uso

de activos e instalaciones
Polticas de seguridad fsica para todos los centros de datos
PROCEDIMIENTOS DE CONTROL DE LOS SISTEMAS DE INFORMACIN
Los controles incluyen polticas, procedimientos y prcticas que establece la direccin

para proveer una certeza razonable de que se lograrn los objetivos especficos.
Cada procedimiento de control general puede ser traducido en un procedimiento de

control especfico de SI. Un sistema de informacin bien diseado debiera contra con
controles construidos en el mismo para todas las funciones sensitivas o crticas. Por
ejemplo, el procedimiento general para asegurar la adecuada custodia del acceso a los
activos e instalaciones puede traducirse en un conjunto de procedimientos de control
relacionados con sistemas de informacin, que abarque controles de acceso a los
programas de computacin, datos y equipos de computo. El auditor de SI debera
entender los objetivos bsicos de control que existen para todas las funciones.
Los procedimientos de control de SI incluyen:
Estrategia y direccin
Organizacin general y administrativa
Acceso a los programas y datos
Metodologas de desarrollo de sistemas y control de cambios
Operaciones de procesamiento de datos
Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de calidad en el procesamiento de datos
Controles de acceso fsico
Planeacin de continuidad del negocio/recuperacin de desastres
Redes y comunicaciones
Administracin de base de datos
INFORMACION
Sistemas
EJECUCION DE UNA AUDITORIA DE SI
La auditoria puede definirse como un proceso sistemtico por el cual una persona
competente e independiente obtiene y evala objetivamente la evidencia respecto de las
afirmaciones acerca de una entidad o un evento econmico con el fin de formarse una
opinin sobre el particular e informar sobre el grado de cumplimiento en dicha
afirmacin de un conjunto de estndares.
Para realizar dicho proceso se requieren varios pasos. Una planeacin adecuada es el
primer paso necesario para realizar auditoras de SI efectivas. Para usar efectivamente los
recursos de auditoria de SI, las organizaciones de auditoria, deben evaluar todos los
riesgos del rea general y de aplicacin a auditor y luego desarrollar un programa de
auditoria que comprenda objetivos y procedimientos que satisfagan los objetivos de
auditoria.
El proceso de auditoria requiere que el auditor de SI recolecte evidencia, evale
fortalezas y debilidades de los controles basndose en la evidencia reunida y prepare un
informe de auditoria que presente en una forma objetiva dichos asuntos a la direccin.
La direccin de auditoria debe asegurarse que haya disponibilidad de recursos de

auditoria adecuados y una agenda para llevar a cabo la auditoria y para realizar revisiones
de seguimiento respecto al avance de las acciones correctivas emprendidas por la
direccin. Una discusin sobre auditoria debera incluir el alcance, los objetivos, criterios
y procedimientos de auditoria, la evidencia, conclusiones y opiniones e informe.
CLASIFICACION DE LAS AUDITORIAS
El auditor de SI debe entender los diversos tipos de auditorias que pueden efectuarse
interna o externamente, y los procedimientos de auditoria asociados con cada uno de
ellos:
Auditorias Financieras: El propsito de una auditoria financiera es determinar la

exactitud de los estados financieros de una organizacin. Una auditoria financiera
normalmente implica pruebas sustantivas detalladas. Este tipo de auditoria se relaciona
con la integridad y confiabilidad de la informacin.
Auditorias Operativas: Esta diseada para evaluar la estructura del control interno en un
proceso o rea determinada. Las auditorias de SI de control de aplicacin o de sistemas
de seguridad lgica, son ejemplos de auditoras operativas.
INFORMACION
Sistemas
Auditorias Integradas: Una auditoria integrada combina pasos de auditoria financiera y

operativa. Tambin se realiza para evaluar los objetivos generales dentro de una
organizacin, relacionados con la informacin financiera y la salvaguarda de activos, la
eficiencia y el cumplimiento. Una auditoria integrada puede ser ejecutada por auditores
externos o internos e incluira tanto pruebas de cumplimiento a los controles internos
como pruebas sustantivas.
Auditorias Administrativas: Estas se encuentran orientadas a evaluar aspectos

relacionados con la eficiencia de la productividad operativa dentro de una organizacin.
Auditorias de Sistemas de Informacin: Este proceso recolecta y evala la evidencia

para determinar si los sistemas de informacin y los recursos relacionados protegen
adecuadamente los activos, mantienen integridad de los datos y del sistema, proveen
informacin relavante y confiable, logran de forma efectiva las metas organizacionales,
usan efectivamente los recursos y tienen en efecto controles internos que proveen una
certeza razonable de que los objetivos de negocio, operacionales y de control sern
alcanzados y que los eventos no deseados sern prevenidos o detectados y corregidos de
forma oportuna.
Auditorias Forenses: Tradicionalmente, la auditoria forense ha sido definida como una

auditoria especializada en descubrir, relevar y dar seguimiento a fraudes y crmenes. El
propsito primario de dicha revisin era el desarrollo de evidencia para ser revisada por
autoridades policiales y judiciales. El aos recientes, el profesional forense ha sido
llamado a participar en investigaciones relacionadas con fraude corporativo y crimen
ciberntico. En los casos en que los recursos de computadora puedan haber sido mal
empleados, una investigacin adicional es necesaria para recopilar evidencia de posible
actividad criminal que puede ser reportada a las autoridades competentes. Una
investigacin forense de computadora incluye el anlisis de dispositivos electrnicos,
tales como computadores, telfonos, PDAs, discos, switches, routers, hubs y otro equipo
electrnico.
La evidencia electrnica es vulnerable a alteraciones. Por lo que es necesario manejarla

con extreme cuidado. Se debe establecer una cadena de custodia de evidencia para
cumplir con los requerimientos legales.
PROGRAMAS DE AUDITORIA
Los programas de auditoria para auditorias financieras, operativas, integradas,

administrativas y de sistemas de informacin se basan en el alcance y el objetivo de la
INFORMACION
Sistemas
asignacin en particular. Los auditores de SI evalan a menudo las funciones y los

sistemas de TI desde perspectivas diferentes, tales como la seguridad (confidencialidad,
integridad y disponibilidad) la calidad (efectividad, eficiencia), fiduciaria (cumplimiento,
confiabilidad), el servicio y la capacidad. Es importante subrayar que el programa de
trabajo de auditoria es la estrategia y el plan de auditoria este identifica el alcance, los
objetivos y los procedimientos de auditoria para lograr evidencia suficiente y competente
para obtener y sustentar las conclusiones y opiniones de auditoria.
Los procedimientos generales de auditoria son los pasos bsicos en la ejecucin de una
auditoria y habitualmente incluyen lo siguiente:
Obtencin y documentacin del conocimiento sobre el rea objeto de la auditoria

Evaluacin de riesgos y planeacin general de la auditoria y cronograma
Planeacin detallada de la auditoria
Revisin preliminar del rea objeto de la auditoria
Evaluacin formal del rea objeto de la auditoria
Ejecucin de pruebas de cumplimiento
Ejecucin de pruebas sustantivas
Elaboracin de informe
Seguimiento
El auditor debe entender los procedimientos para la prueba y evaluacin de los controles
de los sistemas de informacin. Estos procedimientos pueden incluir:
1. El uso de software generalizado de auditoria para examinar el contenido de los

archivos de datos (incluyendo logs del sistema)
2. El uso de software especializado para evaluar el contenido de los archivos de
parmetros del sistema operativa ( detectar deficiencias en el establecimiento de
parmetros del sistema)
3. Tcnicas de elaboracin de diagramas de flujo para la documentacin de
aplicaciones automatizadas y del proceso de negocio
4. El uso de reportes de auditoria disponibles en los sistemas operativos
5. Revisin de la documentacin
6. Observacin
METODOLOGIA DE LA AUDITORIA
Una metodologa de auditoria es un conjunto de procedimientos documentados de

auditoria diseados para alcanzar los objetivos de auditoria planeados. Sus componentes
INFORMACION
Sistemas
son una declaracin del alcance, una declaracin de los objetivos de la auditoria y una
declaracin de los programas de trabajo.
La metodologa de auditoria debiera ser establecida y aprobada por la direccin para

lograr consistencia en el enfoque de la auditoria. Esta metodologa debiera ser
formalizada y comunicada a todo el personal de auditoria.
Fases de la Auditoria Descripcin

Sujeto de Auditoria Identificar que rea ser auditada
Objetivo de Auditoria Identificar el propsito de la auditoria. Por ejemplo, un
objetivo podra ser determinar que los cambios al cdigo
fuente de los programas se realicen en un ambiente bien
definido y controlado
Alcance de la Identificar los sistemas especficos, la funcin o unidad de la
Auditoria organizacin a ser incluida dentro de la revisin.
Por ejemplo, en el ejemplo de cambios a un programa, la
declaracin de alcance podra limitar la revisin a un solo
sistema de aplicacin o a un periodo limitado de tiempo
Planeacin de Identificar las habilidades y recursos tcnicos que se necesitan

Auditoria Preliminar o Identificar las Fuentes de informacin para probarlas o
Preauditoria revisarlas tales como organigramas funcionales, polticas,
estndares, procedimientos y documentos de trabajo de
auditorias previas
Identificar la ubicacin o las instalaciones que sern auditadas
Procedimientos de Identificar y seleccionar el mtodo de auditoria para verificar
Auditoria y pasos para y probar los controles
la recopilacin de datos Identificar la lista de personas a entrevistar
Identificar y obtener polticas, estndares y directrices de los
departamentos para su revisin
Desarrollar herramientas y metodologas de auditoria para
comprobar y verificar los controles
Procedimientos para Especfica de la organizacin

evaluar la prueba o
revisar los resultados
Procedimientos de Especfica de la organizacin

INFORMACION
Sistemas
comunicacin con la
gerencia
Elaboracin del Identificar los procedimientos de la revisin de seguimiento
informe de auditoria Identificar los procedimientos para evaluar /probar la
eficiencia y efectividad operativa
Identificar los procedimientos para probar los controles
Revisar y evaluar la correccin de los documentos, las
polticas y los procedimientos
Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de auditoria

debern estar debidamente documentados en papeles de trabajo (WPs)
Su formato y medios son opcionales, pero la diligencia y las mejores prcticas requieren
que los WPs estn fechados, inicializados, con pginas numeradas, sean relevantes,
completos, claros, auto-explanatorios y debidamente etiquetados, archivados y
mantenidos en custodia. Los papeles de trabajo no tienen necesariamente que estar en
papeles fsicos (pueden ser electrnicos)
AUTOEVALUACION DEL CONTROL (Control Self Assessment)
La autoevaluacin de control (CSA) puede definirse como una tcnica de la direccin que
asegura a los accionistas, clientes y otros que el sistema de control interno del negocio es
confiable. Tambin asegura que los empleados estn concientes de los riesgos de negocio
y que realicen revisiones proactivas peridicas de los controles. Esta es una metodologa
usada para revisar los objetivos clave del negocio, los riesgos involucrados en alcanzar
los objetivos del negocio y los controles internos diseados para administrar estos riesgos
del negocio en un proceso colaborativo formal y documentado.
En la prctica, CSA es una serie de herramientas que abarcan desde simples cuestionarios
hasta talleres de facilitacin diseados para recopilar informacin sobre la organizacin,
solicitndola a los que tienen conocimientos de trabajo cotidiano de un rea as como
tambin a sus directivos. Las herramientas bsicas usadas durante un proyecto de CSA
son las mismas ya sea para un proyecto tcnico, financiero u operativo.
El programa de CSA puede ser implementado mediante diversos mtodos. Para las
pequeas unidades de negocio dentro de las organizaciones, se puede implementar
mediante talleres de facilitacin en lo que la direccin funcional y los profesionales de
INFORMACION
Sistemas
control, como los auditores, pueden reunirse y deliberar sobre como desarrollar de la
mejor manera una estructura de control para la unidad de negocio.
Enfoque Grfico para CSA

INFORMACION
Sistemas
1) Identificar
los procesos
2) Identificar y
evaluar riesgos
3) Identificar y
evaluar
controles
7) Accin e 6)
Informe Concientizacin
4) Desarrollar
cuestionario
5) Recolectar y
analizar Quiz
LOS BENEFICIOS DE CSA

INFORMACION
Sistemas
Algunos de los beneficios de CSA incluyen los siguientes:
Deteccin temprana de riesgos

Controles internos ms efectivos y mejorados
Creacin de equipos cohesivos a travs de la participacin de los empleados
Mayor conciencia de los empleados sobre los objetivos organizacionales y mayor
conocimiento sobre riesgos y controles internos
Mayor comunicacin entre los mandos operativos y la alta direccin
Empleados altamente motivados
Proceso mejorado de calificacin en auditoras
Reduccin en el costo del control
Mayor seguridad para los accionistas y clientes
DESVENTAJAS DE CSA
CSA contiene potencialmente desventajas, las cuales incluyen:
Podra confundirse como un reemplazo a la funcin de auditoria

Se le considera una carga de trabajo adicional para la alta direccin
No implementar las mejoras sugeridas, puede daar la moral de los empleados
La falta de motivacin puede limitar la efectividad en la deteccin de controles
dbiles
LA FUNCION DEL AUDITOR EN CSA
Cuando se establecen estos programas, los auditores se convierten en profesionales del

control interno y facilitadores de la evaluacin. Su valor en esta funcin es evidente
cuando la direccin asume la responsabilidad y se considera duea de los sistemas de
control interno bajo su autoridad a travs de mejoras del proceso en sus estructuras de
control, incluyendo un componente activo de monitoreo.
Para que un auditor sea efectivo en su funcin de facilitador y de innovador, el auditor

debe entender el proceso de negocio que se est evaluando. Esto se puede lograr por
medio de las herramientas tradicionales de auditoria, tales como la inspeccin o recorrido
preliminar. Tambin los auditores deben recordar que ellos son los facilitadores y que la
direccin cliente es el participante en el proceso de CSA.
INFORMACION
Sistemas
Por ejemplo, durante un taller de CSA, en lugar de que el auditor realice procedimientos
detallados de auditoria, el auditor dirigir y guiar a los clientes en la evaluacin de su
ambiente.
CAMBIOS EMERGENTES EN EL PROCESO DE AUDITORIA DE SISTEMAS

DE INFORMACION
El proceso de auditoria de SI debe cambiar constantemente para mantenerse al paso de

las innovaciones en la tecnologa. Los temas para encarar estos cambios emergentes
incluyen reas tales como papeles de trabajo automatizados, auditoria integrada y
auditoria continua.
PAPELES DE TRABAJO AUTOMATIZADOS
Cada vez ms, los equipos de auditoria estn creando sus papeles de trabajo de auditoria
(anlisis de riesgos, programas de auditoria, resultados, evidencia de pruebas,
conclusiones, informes y otra informacin complementaria como por ejemplo
informacin de negocio) en formato automatizado, usando aplicaciones especializadas
diseadas para este fin.
A pesar de que los auditores a menudo usan paquetes de automatizacin de oficina tales
como procesadores de texto u hojas de clculo, cada vez ms se estn implementando
paquetes estndar para papeles de trabajo en departamentos de auditoria medianos y
grandes y estn demostrando ser tiles y apropiados para facilitar el trabajo de la
auditoria.
En tales casos, se deben aplicar reglas respecto a la integridad, confidencialidad y

disponibilidad de los registros de auditoria que sean equivalentes a las requeridas para los
documentos impresos. Los controles mnimos que deberan ser atendidos incluyen:
Acceso a los papeles de trabajo de acuerdo con un perfil de usuario
Pistas de auditoria, es decir, cuando un documento ha sido modificado, quien

realice la modificacin, actualizacin automatizada de la ltima versin del
documento, una vez cambiado.
INFORMACION
Sistemas
Funciones automatizadas para otorgar y registrar autorizaciones (por ejemplo,

director de auditoria, los gerentes, etc.) de las etapas de la auditoria (programa de
auditoria, conclusiones e informe)
Controles de seguridad y de integridad respecto al sistema operativa, las bases de

datos y los canales de comunicacin
Procedimientos de copia de respaldo y de recuperacin
Tcnicas de encripcin para proveer confidencialidad
AUDITORIA INTEGRADA
La dependencia de los procesos de negocio en la tecnologa de informacin ha requerido

que los auditores financieros y operativos tradicionales comprendan las estructuras de
control de TI y que los auditores de SI comprendan las estructuras de control del negocio.
La auditoria integrada puede definirse como el proceso por el cual se combinan las
disciplinas apropiadas de auditoria para evaluar los controles internos clave de una
operacin, un proceso o entidad.
El enfoque integrado se concentra en el riesgo. Para la funcin de auditoria interna, este

se enfocara en el riesgo para la unidad. Para el auditor externo, el enfoque ser el riesgo
de proveer una opinin de auditoria incorrecta o engaosa.
Una evaluacin del anlisis de riesgos, esta dirigida a entender e identificar los riesgos
que surgen de la entidad y de su ambiente, incluyendo los controles internos relevantes.
En esta etapa, la funcin de auditoria de IT es tpicamente entender e identificar los
riesgos presentes en reas de actualidad tales como la administracin de informacin,
infraestructura de TI, gobierno de TI y operaciones de TI. Otros especialistas de auditoria
buscarn entender el ambiente organizacional, los riesgos de negocio y los controles de
negocio. Un elemento clave del enfoque integrado es la discusin sobre riesgos que
surgen, entre todo el equipo de auditoria, considerando el impacto y la probabilidad.
El proceso integrado de auditoria tpicamente incluye:
1. Identificacin de los controles relevantes

2. Revisin y comprensin del diseo de los controles clave
3. Comprobacin de que los controles clave estn respaldados por el sistema de TI
4. Comprobacin de que los controles de la direccin son efectivos
INFORMACION
Sistemas
5. Un informe u opinin combinada sobre riesgos, diseo y debilidades de los

controles
La auditoria integrada exige un enfoque sobre el riesgo del negocio y una motivacin por
lograr soluciones creativas de control. Es un esfuerzo de equipo de auditores con
diferentes habilidades.
Usar este enfoque permite una sola auditoria a una entidad auditable con un informe
comprensivo. Un beneficio adicional es que este enfoque apoya en el desarrollo y
retencin del personal suministrando una mayor variedad y la capacidad de ver como
todos los elementos se entrelazan juntos para formar el cuadro completo.
Enfoque de la Auditoria Integrada
Auditoria Auditoria
Operativa Financiera
Auditoria de
Sistemas de
Informacin
AUDITORIA CONTINUA
El enfoque en la efectividad y eficiencia del aseguramiento, de auditoria interna y de

control ha provocado el desarrollo de nuevos estudios y el anlisis de nuevas ideas
INFORMACION
Sistemas
respecto a la auditoria continua, en oposicin a revisiones peridicas de auditoria

tradicional. Varios estudios de investigacin y documentos que tratan el tema dan
diferentes definiciones de auditoria continua, sin embargo reconocen que un carcter
distintivo de la auditoria continua es el corto lapso de tiempo entre los hechos a ser
auditados, la recopilacin de evidencia y el informe de auditoria.
Los requisitos precondicionantes para que la auditoria continua tenga xito incluyen:
Un alto grado de automatizacin

Un proceso automatizado y altamente confiable para producir informacin sobre
un asunto tan pronto hayan ocurrido los eventos subyacentes al asunto
Activadores de alarmas para informar oportunamente fallas de control
Implementacin de herramientas de auditoria altamente sistematizadas que
requieren que el auditor de SI participe en la configuracin de parmetros
Informe rpido a los auditores de SI sobre los resultados de los procedimientos
automticos, en particular cuando el proceso ha identificado anomalas y errores
La rpida emisin y distribucin automtica de informes de auditoria
Auditores de SI tcnicamente competentes
Disponibilidad de Fuentes confiables de evidencia
Adherencia a las directrices sobre materialidad
Cambio de mentalidad en los auditores
Evaluacin de factores de costo
Ya se han incluido herramientas ms sencillas de auditoria y monitoreo continuo en

muchos paquetes ERP y en la mayora de los sistemas operativos y paquetes de seguridad
de redes. Estos entornos, si estn configurados de manera oportuna y alimentados con
reglas, parmetros y formulas pueden producir listas de excepciones a solicitud mientras
operan contra los datos reales.
Las tcnicas de TI que se usan para operar en un ambiente de auditoria continua deben
trabajar en todos los niveles de datos entrada individual; transaccin y base de datos e
incluyen:
Registro de transaccin
Herramientas de consulta
Estadstica y anlisis de datos (CAAT)
Sistemas de administracin de base de datos (DBMS)
Depsito de datos, data marts, minera de datos
INFORMACION
Sistemas
Inteligencia artificial
Mdulos integrados de auditoria (EAM)
Tecnologa de red neural
Estndares tales como Extensible Business Reporting Language XBRL
El software AI puede ser utilizado para automatizar los procesos de evaluacin experta, y
para permitir las capacidades de flexibilidad y anlisis dinmico. La configuracin y
aplicacin de reglas expertas pueda tambin ser contratada con externos, permitiendo
aseguramiento externo a solicitud.

El Proceso de Auditoria de Sistemas de Informacion PDF

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

El Proceso de Auditoria de Sistemas de Informacion PDF

Caricato da

Copyright:

Formati disponibili

EL PROCESO DE AUDITORIA DE SISTEMAS DE

EL PROCESO DE AUDITORIA DE SISTEMAS

El objetivo de esta seccin es garantizar que el estudiante tenga los conocimientos y

Esta rea de estudio comprende el 10% de la valoracin de este curso (aproximadamente

Existen 5 tareas dentro del rea de proceso de auditoria de SI:

Desarrollar e implementar una estrategia de auditoria de SI basada en los riesgos

Planear auditoras especficas para validar que la TI y los sistemas de negocio

Llevar a cabo auditorias en conformidad con los estndares, directriz y mejores

Comunicar los hallazgos, los riesgos potenciales y los resultados de la auditoria a

Asesorar sobre la implementacin de la administracin de riesgos y las prcticas

ORGANIZACION DE LA FUNCION DE AUDITORIA DE SISTEMAS DE

La funcin de auditoria de SI debiera establecerse en un estatuto de la auditoria. Es muy

autoridad, alcance y responsabilidades generales de la auditoria. El nivel ms alto de

ADMINISTRACION DE LOS RECURSOS DE AUDITORIA DE SISTEMAS DE

Los auditores de SI son un recurso limitado y la tecnologa de SI esta cambiando

Preferentemente, se debera disear un plan anual detallado de capacitacin del personal

La planeacin de la auditoria consiste tanto de la planeacin a corto y largo plazo. La

Los resultados de este anlisis para la planeacin de futuras actividades de auditoria

Al planear una auditoria, el auditor de SI debe tener un entendimiento general del

Lograr un entendimiento de la misin, los objetivos, el propsito y los procesos

Los estndares de Auditoria de SI de ISACA requieren que el auditor de SI planee el

Recorrido de las instalaciones claves de la organizacin

EFECTO DE LAS LEYES Y REGULACIONES, SOBRE LA PLANIFICACION

Toda organizacin, independiente de su tamao o de la industria en la que opera, deber

Se deber prestar especial atencin a estos asuntos en aquellas industrias que

Los auditores de SI debern revisar la poltica de la administracin sobre la privacidad,

Debido a la dependencia mayor de sistemas de informacin y en la tecnologa

Establecimiento de los requerimientos regulatorios

Correlacin con las funciones de auditoria financiera, operacional y de TI.

Existen 2 reas principales de inters. Primero los requerimientos legales (leyes,

Un ejemplo de practicas slidas de control, es la Ley Sarbanes Oxley de 2002 de los

1. Identificar los requerimientos gubernamentales u otros externos relevantes que se

a. Datos electrnicos, derechos de autor, comercio electrnico, firmas

2. Documentar las leyes y regulaciones pertinentes

3. Determinar la administracin ha tomado en cuenta los regulamientos para formar

4. Revisar los documentos internos del departamento/funcin/actividad de sistemas

Debido a escndalos de contabilidad y de quiebras, la calidad de la informacin

En Europa, el comit de Basilea II para la supervisin de la Banca recomienda las

La administracin de los negocios de crdito

ESTANDARES DE ISACA PARA LA AUDITORIA DE SI

El carcter especializado de la auditoria de sistemas de informacin, y de las habilidades

El marco de estndares de Auditoria de SI de ISACA presenta mltiples niveles, como se

Los estndares de auditoria de SI son los siguientes:

tica y Estndares Profesionales

Ejecucin del Trabajo de Auditoria

Documentacin: El proceso de auditoria debera estar documentado, describiendo el

Irregularidades y Actos Ilcitos

DIRECTRICES DE ISACA PARA LA AUDITORIA DE SI

El objetivo de las directrices de ISACA para la auditoria de SI es proveer informacin

Considerarlos para determinar como implementar los estndares antes citados

Poder justificar cualquier desviacin o diferencia

Algunas directrices son:

PROCEDIMIENTOS DE ISACA PARA AUDITORIA DE SI

Los procedimientos desarrollados por la junta de estndares de ISACA proveen ejemplos

No es obligatorio que el auditor de SI siga estos procedimientos, sin embargo, al seguir

RELACION ENTRE ESTNDARES, DIRECTRICES Y PROCEDIMIENTOS

El anlisis de riesgos es parte de la planeacin de auditoria y ayuda a identificar los

Entender la relacin entre riesgo y control es importante para los profesionales de

El potencial de que una amenaza potencial explote las vulnerabilidades de un activo o

Esta definicin es usada por la industria de TI ya que coloca al riesgo en un contexto

En este contexto entonces, el riesgo tiene los elementos siguientes:

1. Amenazas a, y vulnerabilidades de los procesos y/o activos (incluyendo fsicos