AUDITORIA DE SISTEMAS

CONTROLES GENERALES

OBJETIVO

El objeto de este documento es definir las normas, estándares y procedimientos tanto

operativos como técnicos, los cuales permitan la adecuada ejecución de las tareas
relacionadas con la revisión de un área de IT.

Para la correcta aplicación del presente procedimiento, se considera la utilización de la

Metodología CobiT, en donde se recogen las mejores prácticas de Seguridad y Control en IT a
nivel internacional.

ALCANCE

Este procedimiento puede ser aplicado en el área de IT en cualquier tipo de industria.

POLITICAS

El presente procedimiento será utilizado por el Auditor responsable de la revisión para la

aplicación en las diferentes organizaciones que así lo requieran,

PROCEDIMIENTO

Identificar los Procesos de IT existentes

Se requiere efectuar un relevamiento de los procesos que se encuentren ejecutando en el área

de IT, para lo cual es necesario efectuar:

• Entrevistas con la administración en los que se incluyan personal clave (Evaluación de

Control Interno)
• Visita a la unidad de IT
• Solicitar documentación relacionada con los procesos
• Efectuar un inventario de los procesos de IT existentes en la empresa

Determinar Procesos

La persona encargada de la revisión, tendrá la responsabilidad de determinar los procesos de

IT que existen dentro de la unidad auditada y de esos cuales serán los procesos objeto de
revisión. La selección de los procesos de IT a revisar, será con base a los resultados obtenidos
en el análisis de riesgo y al número de horas asignadas para la ejecución del trabajo.

Evaluación de Riesgo

Metodología

Para efectuar el análisis de riesgo, se deben considerar los 34 procesos de IT, que se agrupan
en los 4 dominios que establece CobiT, y que son todos los procesos que deben existir en una
área de IT completa.

Los niveles de riesgo siempre se valorarán de la siguiente manera:

Ningún Riesgo =0
Riesgo Bajo =1
Riesgo Medio =2
Riesgo Alto =3

A cada factor de riesgo se le asignará un peso o ponderación (porcentaje que corresponde a la

importancia del factor del riesgo dentro del análisis). La suma de los pesos tiene que totalizar

1 BAC
el 100%. El número de factores de riesgo dependerán del criterio del auditor y se considerarán
principalmente los que mayor impacto tengan dentro de los procesos de IT.

Los criterios para valorar cada factor de riesgo, siempre estarán cuantificados del 0 al 3,
independientemente de que se utilicen criterios de distinta naturaleza para su evaluación. A
continuación se detallan algunos ejemplos de criterios cualitativos de los factores de riesgo y su
relación con la cuantificación correspondiente:

Ningún Impacto = 0 Ninguna Capacitación = 0

Impacto Bajo = 1 Capacitación Baja = 1
Impacto Medio = 2 Capacitación Media = 2
Impacto Alto = 3 Capacitación Alta = 3

Ninguna Inversión = 0 Ninguna Supervisión = 0

Inversión Baja = 1 Supervisión Baja = 1
Inversión Media = 2 Supervisión Media = 2
Inversión Alta = 3 Supervisión Alta = 3

Para obtener la valoración para cada factor de riesgo, se tendrá que multiplicar el valor
cuantificado de su criterio de riesgo por el peso asignado. Para obtener la valoración de riesgo
del proceso de IT completo, se tendrá que sumar las valoraciones de todos los factores de
riesgo utilizados. La máxima valoración de riesgo (puntaje) que puede tener un proceso de IT
es de 300.

Los procesos de IT, se los ubicará en los diferentes niveles de riesgo, conforme el siguiente
detalle:

0 = Ningún riesgo
1 – 100 = Riesgo Bajo
101 – 200 = Riesgo Medio
201 – 300 = Riesgo Alto

Sin embargo, es importante que se analicen las agrupaciones y separaciones naturales que se
presentan entre las diferentes calificaciones de los procesos de IT, para que con base en el
criterio del auditor, se defina una clasificación diferente a la que anteriormente se señaló. Sea
que se califique el riesgo de los procesos de IT, con base en la ubicación de su valoración en
los rangos antes mencionados o con base en la clasificación definida por las separaciones
naturales, la frecuencia de revisión de los procesos de IT, será la siguiente:

Riesgo Alto = Una revisión al año

Riesgo Medio = Una revisión al menos cada dos años
Riesgo Bajo = Una revisión al menos cada tres años

A continuación se presenta una tabla con un ejemplo del esquema que se utilizará para el
análisis de riesgo de los procesos de IT:

Proceso de IT Factor 1 Factor 2 Factor 3 Factor 4 Total Calificación

(según Cobit) 40% 20% 10% 30% (Sobre 300) de Riesgo
Proceso de IT 1 3 2 3 2 250 Alto
Proceso de IT 2 3 1 1 2 210 Alto
Proceso de IT 3 1 2 3 3 200 Medio
Proceso de IT 4 2 2 1 2 190 Medio
Proceso de IT 5 1 2 0 2 140 Medio
Proceso de IT 6 2 1 1 1 140 Medio
Proceso de IT 7 0 3 1 1 100 Bajo
Proceso de IT 8 0 1 1 1 60 Bajo

En el ejemplo, podemos identificar que existen 2 procesos de IT de Riesgo Alto (Proceso de IT

1 y 2), 4 de Riesgo Medio (Proceso de IT 3 al 6) y 2 de Riesgo Bajo (Proceso de IT 7 y 8), con
base en la ubicación de la valoración en los rangos. En este caso, se podría utilizar el criterio

2 BAC
del auditor, para analizar las separaciones naturales y definir otra clasificación, que tiene el
siguiente análisis:

Los corchetes derechos, junto al cuadro señalan las separaciones naturales de las
valoraciones, por lo que se podría optar por calificar como de alto riesgo solo al Proceso de IT
1, que se encuentra en el cuadro, ya que el siguiente se encuentra ubicado 40 puntos por
debajo. Los procesos de riesgo medio, serían los ubicados en el segundo rango natural, estos
son los Procesos de IT 2 al 4. De riesgo bajo los Procesos de IT 5 al 7 y el Proceso de IT 8, se
lo clasificaría como que no tiene riesgo.

Ejecución

Para obtener el resultado final del análisis de riesgo, se requiere completar el cuadro del
archivo Matriz Riesgo.xls, en donde se tiene:

1. La columna A representa el primer y obligatorio factor de riesgo, que se utilizará en el

análisis. Este corresponde a la afectación de los criterios de información que los
procesos de IT puede ocasionar. Para esto se consideran de los 7 criterios de la
información establecido por CobiT, a los relacionados con seguridad de información
que son confidencialidad, integridad, disponibilidad y cumplimiento. El peso de la
valoración de este factor de riesgo, dentro del total, será del 40%.

Los criterios para la valoración serán los siguientes:

• Riesgo Alto = El proceso de IT afecta en forma primaria al menos a 2 criterios

de la información
• Riesgo Medio = El proceso de IT afecta en forma primaria a un criterio de
información
• Riesgo Bajo = Cualquier otra combinación
• Ningún Riesgo = El proceso de IT no afecta ni en forma primaria ni secundaria
a los criterios de información

Los valores que corresponde a cada nivel de riesgo son:

• Ningún Riesgo =0
• Riesgo Bajo =1
• Riesgo Medio =2
• Riesgo Alto =3

Para determinar los criterios de información que son afectados por los procesos de IT
en forma primaria o secundaria, hay que utilizar la tabla resumen que se presenta a
continuación:

3 BAC
 En el cuadro a continuación detallado, se resumen las calificaciones que los diferentes
procesos de IT, tendrán dentro del análisis, con base en las explicaciones antes
señaladas:

No. criterios Tipo de Nivel de Valor

con que se Afectación Riesgo Asignado
relacionan
0 - Ninguno 0
1 S Bajo 1
1 P Medio 2
2 PP Alto 3
2 PS Medio 2
2 SS Bajo 1
3 PPP Alto 3
3 PPS Alto 3
3 PSS Medio 2
3 SSS Bajo 1
4 PPPP Alto 3
4 PPPS Alto 3
4 PPSS Alto 3
4 PSSS Medio 2
4 SSSS Bajo 1

4 BAC
 P: Afectación en forma primaria
S: Afectación en forma secundaria

2. La columna B contiene la información del porcentaje de cumplimiento de los objetivos

de control establecidos para cada uno de los procesos en CobiT. Este factor tiene una
ponderación del 30% dentro del análisis.

Los criterios para valorar el riesgo en este factor y su cuantificación, se describen en el

cuadro a continuación detallado:

% Cumplimiento Calificación Valor Asignado

Menos del 40% Alto 3
Más del 40% y Medio 2
menos del 70%
Más del 70% Bajo 1

NOTA: Este factor se utilizará exclusivamente, cuando se realice una revisión

previa, como base para el establecimiento del plan de trabajo, para un período
posterior.

3. Para completar el 100% de la valoración del riesgo, en las siguientes columnas de la

hoja excel, se pueden considerar como factores de riesgos a los siguientes aspectos:

Cambios en la Modalidad del Servicio de IT (In house, Outsourcing)

Cambios en la estructura organizacional de la empresa
Cambios en la estructura organizacional del área de IT
Cambios en la infraestructura tecnológica (hardware, software)
Cambios a los procesos de IT
Cambios en la administración de IT
Cambios de responsables de los procesos de IT
Rotación de Personal
Influencia de IT en los procesos de Negocio
Requerimientos normativos de entes reguladores
Nivel de servicio a clientes internos y externos
Requerimiento de inversión en los procesos de IT
Documentación de los procesos de IT
Servicios de IT prestados a terceros

De estos y otros que se obtengan en el relevamiento de información inicial, se

seleccionarán los de mayor impacto/influencia en los procesos de IT y se determinará
el peso o ponderación que tendrán dentro de la evaluación. Es importante que no se
incluya un número excesivo de factores de riesgo, para no distorsionar el análisis con
aspectos irrelevantes, que generen adicionalmente una carga de trabajo innecesaria.

Elaborar Plan de Revisión

El plan de revisión se elaborará en base a la priorización obtenida de los puntos anteriores, de

donde se tendrá una planificación a corto y mediano plazo de la auditoría a realizar, a través de
un plan de rotación de forma tal que se cubra la totalidad de los procesos definidos en el
Centro de Procesamiento de Datos en el lapso máximo de tres años, tiempo en el cual se
pueden efectuar ajustes de acuerdo a las variaciones o cambios que pueda tener en materia de
IT, sin dejar de cubrir todos los procesos utilizados en el lapso de tiempo estipulado.

El Plan de Revisión, debe contener los siguientes parámetros, como son:

Antecedentes

Se debe incluir una breve pero concisa reseña del proceso, producto o sistema objeto de la
revisión, así como la persona o institución que solicita realizar la misma.

5 BAC
Objetivo de la Revisión

Debe contener la finalidad por la que se está realizando la revisión, en forma clara y detallada.

Alcance de la revisión

Se establecen los parámetros o el detalle de los aspectos a los cuales se va ha efectuar la

revisión.

Cronograma

En este punto se debe incluir el calendario de actividades a seguirse para la aplicación del
procedimiento de revisión. Este debe contener la actividad a ejecutarse, fecha máxima de
realización de la tarea y responsable de la actividad

Revisión

Se la realizará de acuerdo al siguiente procedimiento.

1. Mantener reuniones preliminares de trabajo con la Gerencia de IT o con la Gerencia

solicitante de la revisión y obtener observaciones puntuales que tenga sobre IT.
2. Realizar un relevamiento de la infraestructura de IT de la institución, considerando como
base los procesos de IT establecidos por CobiT.
3. Establecer y solicitar la información necesaria y de acuerdo a lo indicado en el archivo
Documentos Procesos CobiT.xls, según sea las necesidades de la revisión, en la
columna INCLUIR ingresar el SI ó NO, luego filtrar la información por el dato SI para que
solo se despliegue los documentos a solicitar.

CODIGO
PROCESO OBJETIVO DE CONTROL INCLUIR
PO1 DEFINIR UN PLAN ESTRATÉGICO DE TI
PO1 Políticas y procedimientos inherentes al proceso de planeación. SI
PO1 Roles y responsabilidades del equipo de Dirección NO

4. Organizar la documentación proporcionada por IT de acuerdo al orden de los procesos

definidos por CobiT.
5. Relacionar los objetivos de control de cada uno de los procesos sobre los cuales se
efectuará la revisión, esto se lo ejecutará mediante la selección en el archivo Base
Objetivos Control-CobiT.xls, colocando en la columna INCLUIR la informacion SI ó NO,
luego filtrando la misma por SI para que solo se despliegue los objetivos de control
seleccionados.

INCLUIR
PROCESO OBJETIVO DE CONTROL EN
CODIGO NOMBRE CODIGO NOMBRE DETALLE REVISION
PO1 Definición de un plan PO1-1 Tecnología de Información La alta gerencia será la responsable SI
Estratégico de como parte del Plan de la de desarrollar e implementar planes a
Tecnología de Organización a corto y largo y corto plazo que satisfagan la
Información largo plazo. misión y las metas de la organización.
A este respecto, la alta gerencia
deberá asegurar que los problemas
de tecnología de información, así
como las oportunidades, sean
evaluados adecuadamente y
reflejados en los planes a largo y corto
plazo de la organización.

6 BAC
 PO1 Definición de un plan PO1-2 Plan a largo plazo de La Gerencia de la función de servicios NO
Estratégico de Tecnología de Información de información será responsable de
Tecnología de desarrollar regularmente planes a
Información largo plazo de tecnología de
información que apoyen el logro de la
misión y las metas generales de la
organización. De la misma manera, la
Gerencia deberá implementar un
proceso de planeación a largo plazo,
adoptar un enfoque estructurado y
determinar la estructura para el plan.

6. Realizar la evaluación de riesgo de los procesos, en los que se debe considerar las
observaciones efectuadas por la Gerencia, para lo cual se utilizará el archivo Matriz
Riesgo.xls, con las consideraciones indicadas anteriormente.

FACTORES DE RIESGO
A B C D E
PESO 40 30 10 10 10 100

Asp. Procesos Cambios FACTOR FACTOR VALORACION

Dominios / Procesos Seguridad CobiT Procesos 4 5
Planeación y Organización (PO)

Definir un plan estratégico de

PO1 sistemas 1 3 1 1 1 160
PO2 Definir la arquitectura de información 2 3 2 3 3 250
PO3 Determinar la dirección tecnológica 3 1 3 2 3 230

Como resultado de la evaluación, de manera automática cada una de los valores ingresados
hará que cambie de color conforme al valor asignado para fácil identificación.

7. Para cada proceso a evaluar, se debe tener una comprensión clara del proceso a través de:

• Ejecutar el relevamiento de:

- Requerimientos del negocio y sus riesgos relacionados
- Estructura organizacional
- Roles y responsabilidades
- Políticas y procedimientos
- Leyes y regulaciones
- Medidas de control implantadas
- Reportes y monitoreo gerenciales (estado, desempeño, acciones
correctivas)

• Relevar los flujos del proceso

• Documentar los recursos de IT afectados por el proceso. Confirmar la
comprensión del proceso y sus implicaciones de control ejecutando un
"walkthrough" del mismo

8. Una vez que se tenga un entendimiento claro del proceso de debe evaluar los controles
existentes considerando lo siguiente:

• Evaluar lo apropiado de las medidas de control considerando las mejores prácticas en

el sector financiero, los riesgos específicos y aplicando criterio del auditor a cargo de la
evaluación:
- Si las medidas relevadas efectivamente existen y se puede suponer que han
operado de forma satisfactoria
- Si los productos de monitoreo apropiados existen
- Si las responsabilidades son claras y efectivas
- Si existen controles compensatorios, donde sea necesario

• Concluír acerca del grado hasta el cual el se cumple con el Objetivo de Control

7 BAC
9. Evaluar el cumplimiento a las medidas de control vigentes a través de:
• Obtener evidencia directa para ítems/períodos seleccionados, a fin de asegurar que los
procedimientos han sido cumplidos
• Buscar y obtener evidencia indirecta para ítems/períodos seleccionados, a fin de
demostrar si los procedimientos han sido cumplidos
• Realizar una revisión limitada de los productos de monitoreo, a fin de confirmar si son
adecuados
• Determinar el nivel de pruebas sustantivas y trabajo adicional necesario para asegurar
que el proceso es adecuado
• Ejecutar las pruebas y trabajo adicional

10. Sustanciar el Riesgo a través de la identificación de las causas de los problemas y presentar
las soluciones a estas causas, a través de:

• Documentar las debilidades de control, los riesgos y vulnerabilidades asociados

• Identificar y documentar el impacto actual y potencial, a través del análisis de causas.
Calificar el impacto en grados de criticidad
• Proveer información de soluciones factibles o información comparativa de benchmark

11. Conforme lo obtenido en la Matriz de Riesgo, analizar la documentación relacionada e ir

obteniendo paulatinamente las debilidades, vulnerabilidades o ineficiencias en un
documento independiente (Observaciones.doc).
12. En caso de ser necesario efectuar validaciones adicionales, es recomendable que se
considere lo indicado por CobiT en las Directrices de Auditoría.
13. Elaborar un análisis de las debilidades encontradas y ordenarlas de acuerdo al impacto,
riesgo e importancia de las mismas.
14. Elaborar el informe con las respectivos detalles que sustenten las observaciones que allí se
indiquen, así como un seguimiento del mismo.

8 BAC