Sei sulla pagina 1di 16

Universidad del Valle de México.

Campus Tlalpan.

Departamento de Posgrado. Maestría en Gestión de Tecnologías de la Información. Auditoría Informática.

Lectura 1.

Capítulo 1: El proceso de auditoría de sistemas de información”.

Presentan:

Alumnos: Ing. Jazmín A. Gaytán Fernández. Lic. Ma. de los Ángeles Ramírez Medina. Ing. Gerardo A. Reyes Ramírez. Ing. Daniel Garrido Archundia. Profesor: Mtro. Raúl Zarco Rábago.

México D.F. a 13 de febrero de 2012.

Daniel Garrido Archundia. Profesor: Mtro. Raúl Zarco Rábago. México D.F. a 13 de febrero de 2012.

Página 1 de 16

Índice.

 

4

El proceso de auditoría de sistemas de

5

Objetivos del Control

6

Objetivos de Control de los Sistemas de

7

Procedimientos de Control

7

Realizar una auditoría de

7

Clasificación de las

8

Procedimientos básicos en

la realización de una

8

Procedimientos para la prueba y evaluación de los controles de los

8

Metodología de

9

Riesgo y Materialidad de las

9

Riesgo de

9

Técnicas de Evaluación de

10

Objetivos de la Auditoría

10

Pruebas de Cumplimiento vs. Pruebas

10

Evidencia

10

Muestreo

11

Técnicas de Auditoria Asistidas por Computadora (TAACs CAATs)

12

Evaluación de las Fortalezas y Debilidades de la Auditoria

12

Juzgando la Materialidad de los Hallazgos

12

Comunicación de los Resultados de la Auditoria

12

Estructura y Contenido de un Informe de Auditoria

12

Acciones de la gerencia para implementar las

13

Documentación de la

13

Limitaciones en la Realización de la Auditoría

13

Técnicas de Administración de Proyectos

13

Autoevaluación del Control (control self

13

La Función del Auditor en los CSAs

14

Impulsadores de la Tecnología para el Programa de CSA

14

Enfoque Tradicional vs. CSA

14

Gobierno Corporativo

14

para el Programa de CSA 14 Enfoque Tradicional vs. CSA 14 Gobierno Corporativo 14 Página 2

Página 2 de 16

Gobierno de TI

14

Conclusiones

16

Gobierno de TI 14 Conclusiones 16 Página 3 de 16

Página 3 de 16

Introducción.

ISACA resalta en la organización de la función de auditoría de SI, la administración de recursos, la planificación, el efecto de las leyes y regulaciones, código de ética, los estándares y directrices, procedimientos, análisis de riesgos y controles internos.

En toda organización se considera que la información es el activo más importante, para ello se tiene que tomar en cuenta toda la seguridad requerida para salvaguardarla. Aunque se implemente toda la seguridad es necesario corroborar que esta se cumpla según con la normatividad, para ello se encarga la auditoria informática

El proceso de auditoría involucra además de un conjunto de acciones para una correcta implementación de las recomendaciones que de estas se deriven, un proceso de documentación establecido para salvaguardar todo documento que surja durante el procedimiento de ésta. Como todo proceso, tendrá ciertas limitantes, para ello debemos buscar la manera de controlar esas limitaciones. El Control Self Assessment es una herramienta útil para el proceso de auditoría, veremos sus puntos importantes dentro de una organización. Asimismo, entenderemos los conceptos de Gobierno Corporativo y Gobierno de TI así como sus interrelaciones entre ambas figuras dentro de una empresa.

Corporativo y Gobierno de TI así como sus interrelaciones entre ambas figuras dentro de una empresa.

Página 4 de 16

El proceso de auditoría de sistemas de información.

La función de auditoría de los sistemas de información (SI) debe de estar establecida por un estatuto de auditoría, la Gerencia en su nivel alto y el comité de auditoría, si existe esta función dentro de la organización deben aprobar este estatuto. Los estándares de auditoría de SI de ISACA requieren que el auditor de SI sea técnicamente competente, tenga la destreza y los conocimientos necesarios para realizar el trabajo del auditor. Además el auditor de

SI ha de mantener la competencia técnica a través de una educación profesional continuada.

La Planificación de la Auditoría a corto plazo toma en cuenta los problemas de auditoría serán cubiertos durante el año, mientras que la planificación a largo plazo se refiere a los planes de auditoría que tomarán en cuenta aspectos relacionados con riesgos respecto a los cambios en la dirección estratégica de TI de la organización que afectarán el ambiente de TI de la organización. Las metodologías resultantes de ese

análisis para la planificación de actividades futuras de la Auditoría deben de ser revisadas y aprobadas por

la gerencia superior y por el comité de Auditoría, si existiera, y deben ser comunicadas a los niveles de la

gerencia que sean pertinentes. Además de la planificación general anual, cada asignación individual de auditoría debe ser planeada adecuadamente, cuando se planea una auditoría, el auditor de SI debe tener una comprensión general del ambiente que esté en revisión. Esto debe incluir un entendimiento general de

las diversas prácticas del negocio y de las funciones relativas al sujeto de auditoría, así como también los tipos de sistemas de información que respaldan la actividad. Los estándares de Auditoría de SI de ISACA requieren que el auditor de SI planee el trabajo de auditoría de

o sistemas de información para alcanzar los objetivos de auditoría y cumplir con los estándares

profesionales aplicables de auditoría. El auditor de SI debe desarrollar un plan de auditoría que tome en consideración los objetivos relevantes del auditado para el área de auditoría y su infraestructura de tecnología. Efecto de las Leyes y Regulaciones, sobre la Planificación de SI, independientemente de su tamaño o de la industria dentro de la cual opera, necesitará cumplir con un número de requisitos del gobierno y externos relacionados con las prácticas y los controles de los sistemas computarizados. La industria bancaria en todo el mundo tiene penalizaciones severas para las entidades y sus funcionarios si la entidad no pudiera proveer un nivel adecuado de servicio a causa de procedimientos de respaldo y de recuperación que estén por debajo de los estándares. También los proveedores de servicios de internet están sujetos, en varios

países, a leyes específicas respecto a la confidencialidad y a la disponibilidad del servicio. Los auditores de

SI deben revisar la política de privacidad de la administración para determinar que toman en cuenta los

requisitos de las leyes y regulaciones de privacidad aplicables. La Asociación de Auditoría y Control de Sistemas de Información (ISACA) establece un Código de Ética Profesional para guiar la conducta profesional y personal de los miembros de la asociación y/o a los tenedores de su certificación, el no cumplir con este Código de Ética Profesional puede tener como

consecuencia una investigación de la conducta de un miembro y/o del tenedor de certificación y, en última instancia, medidas disciplinarias. Estándares de ISACA para la Auditoría de los Sistemas de Información, una de las metas de la Asociación

es adelantar los estándares para satisfacer esta necesidad. El desarrollo y la divulgación de los Estándares

para la Auditoría de Sistemas de Información es la piedra angular de la contribución profesional de la

Asociación a la comunidad de auditores. El auditor de SI necesita estar consciente de que puede haber

estándares adicionales, o incluso requisitos legales a través de legislación, puestos sobre el auditor.

El Código de Ética Profesional de ISACA requiere que los miembros de ISACA y quienes cuentan con la

designación de CISA cumplan con los Estándares de Auditoría de Sistemas de Información adoptados por ISACA. El incumplimiento evidente de las mismas puede tener como consecuencia que ISACA o una junta

o

comité apropiado de ISACA, realicen una investigación de la conducta de los miembros o poseedores de

la

designación CISA. Esto podría dar lugar a una medida disciplinaria.

Los objetivos de los Estándares de ISACA para la Auditoría de los Sistemas de Información son informar a los auditores de los sistemas de información sobre el nivel mínimo requerido de desempeño aceptable para cumplir con las responsabilidades profesionales establecidas en el Código de Ética Profesional para los

con las responsabilidades profesionales establecidas en el Código de Ética Profesional para los Página 5 de

Página 5 de 16

Auditores de Sistemas de Información. Así como informar a la Gerencia y a otros interesados sobre las expectativas de la profesión en relación con el trabajo de los auditores. El objetivo de las directrices de ISACA para la auditoría de SI es proveer información sobre cómo cumplir con los Estándares de ISACA para la Auditoría de los Sistemas de Información. El auditor de SI debe considerarlos para determinar cómo implementar los estándares, debe usar el juicio profesional para aplicarlos y debe poder justificar cualquier desviación o diferencia. Los procesamientos desarrollados por la Junta de Estándares de ISACA proveen ejemplos del posible proceso que un auditor de SI seguir en un compromiso de auditoría. Al determinar la corrección de cualquier procedimiento específico, el auditor de SI debe aplicar su propio juicio profesional a las circunstancias específicas. Los documentos del procedimiento proveen in formación sobre cómo satisfacer los estándares cuando se realiza un trabajo de auditoría de SI, pero no fija los requisitos. Los estándares definidos por ISACA deben ser cumplidos por el auditor de SI. Las directrices dan asistencia sobre cómo el auditor puede implementar los estándares en diversas asignaciones de auditoría. Los procedimientos proveen los ejemplos de pasos que pueden ser seguidos por el auditor en una asignación específica de auditoría del modo de cómo emplear estándares, sin embargo, el auditor de SI debe usar su juicio profesional cuando use las directrices y los procedimientos. El análisis de riesgo es parte de la planificación de auditoría y ayuda a identificar los riesgos y vulnerabilidades para que el auditor pueda determinar los controles que se necesitan para mitigar esos riesgos. El evaluar los procesos del negocio relacionados con TI aplicados por una organización, para los profesionales de auditoría y control de SI es importante entender la relación entre riesgo y control. Los auditores de SI deben poder identificar y diferenciar los tipos de riesgo y los controles usados para

mitigarlos. Las políticas, procedimientos, prácticas y estructuras, organizacionales puestas para reducir riesgos también son referidas como controles internos. Los controles internos son desarrollados para proveer un aseguramiento razonable de que los objetivos del negocio de la organización serán alcanzados y que se previenen o detectarán y corregirán los eventos de riesgo no deseados basados o bien en asuntos de cumplimiento o iniciados por la Gerencia. Las actividades de control interno y los procesos de soporte son o bien manuales o impulsadas por recursos automatizados de información. Estas operan a todos los niveles dentro de una organización para mitigar sus exposiciones a los riesgos que podrían potencialmente impedirle alcanzar sus objetivos de negocio. Los controles internos no sólo encaran los objetivos de negocio/operativos, sino que también deben encarar los eventos no deseados a través de la prevención, detección y corrección de los eventos no deseados. Objetivos del Control Interno. Son declaraciones del resultado deseado o del propósito a ser alcanzado implementando procedimientos de control en una actividad en particular. Incluyen lo siguiente:

1. Controles internos contables: salvaguardar o mantener los activos y la veracidad de los registros financieros.

2. Controles operativos: aseguran que la operación (operaciones, funciones y actividades cotidianas) esté cumpliendo los objetivos del negocio.

3. Controles administrativos: se ocupan de la eficiencia operativa en un área funcional y el acatamiento de las políticas organizacionales incluyendo controles operativos.

Los objetivos de control incluyen:

• Protección de los activos de tecnología de información

• Cumplimiento con las políticas corporativas o requisitos legales

• Autorización / Ingreso de información

• Exactitud e integridad del procesamiento de transacciones

• Salida de información

• Confiabilidad de los procesos

• Respaldo / recuperación

transacciones • Salida de información • Confiabilidad de los procesos • Respaldo / recuperación Página 6

Página 6 de 16

• Eficiencia y economía de las operaciones.

Objetivos de Control de los Sistemas de Información.

actualizada.

• Asegurar la completitud e integridad de los ambientes y datos a través de:

Protección de los activos.

La información es protegida contra accesos impropios y se mantiene

Autorización en el ingreso -Cada transacción es autorizada e ingresada sólo una vez.

Exactitud e integridad del procesamiento de las transacciones - Todas las transacciones son registradas e ingresadas en la computadora en el período correcto.

Confiabilidad de las actividades generales de procesamiento de información.

Exactitud, completitud, integridad y seguridad de la información de salida

Integridad de la base de datos.

Asegurar la eficiencia y efectividad de las operaciones (objetivos operativos).

 

Cumplimiento

con

los

requerimientos

de

los

usuarios, las

políticas

y procedimientos

organizacionales, las leyes

• Desarrollo de planes de continuidad del negocio y recuperación de desastres.

• Desarrollo de un plan de manejo, administración y respuesta a incidentes.

CobiT

Información y buenas

para la información

y reglamentaciones aplicables (objetivos de cumplimiento).

es

el

marco

principal

de la industria para los objetivos de control de los Sistemas de

relacionadas en respaldo del gobierno, control y aseguramiento

es un marco

de 34

prácticas

y sus tecnologías

relacionadas. CobiT

con

un conjunto

objetivos

de control

de

alto

nivel

que

representan

los procesos de TI agrupados en cuatro

dominios:

planificación y organización, adquisición e implementación, entrega

y soporte, y

monitoreo. Procedimientos de Control General.

Se aplican

por

alcanzados. Los procedimientos de control incluyen:

a todas las áreas de la organización. Éstos incluyen políticas y prácticas establecidas

para proveer garantías razonables de que los objetivos específicos serán

la gerencia

Controles internos contables.

Controles operativos

Controles administrativos

Procedimientos de Control de los Sistemas de Información.

• Estrategia y dirección

• Organización y administración general

• Acceso a los datos y programas

• Metodologías de desarrollo de sistemas y control de cambios

• Operaciones de procesamiento de datos

• Programación de sistemas y funciones de apoyo técnico

• Procedimientos de aseguramiento de calidad en el procesamiento de datos

• Controles físicos de acceso

• Planificación de continuidad del negocio/recuperación de desastres

• Redes y comunicaciones

• Administración de la base de datos Realizar una auditoría de SI.

La auditoría puede definirse como un proceso sistemático

independiente, obtiene y evalúa objetivamente evidencias respecto a afirmaciones sobre una entidad económica o un evento con el fin de formarse una opinión sobre ello e informar sobre el grado en que dicha afirmación se ajusta a un conjunto determinado de estándares.

por el cual una persona competente e

Auditoría de SI puede definirse como cualquier auditoría que abarca revisión y evaluación (en su totalidad o en parte) de los sistemas de procesamiento de información automatizados, procesos no automatizados relacionados y las interfaces entre ellos.

de información automatizados, procesos no automatizados relacionados y las interfaces entre ellos. Página 7 de 16

Página 7 de 16

Pasos para realizar una auditoria se debe planificar la auditoria, es decir, determinar los riesgos totales para el área general y de aplicación que será auditada para desarrollar un programa de auditoría que comprenda estas áreas de riesgo. El proceso de auditoría requiere que el auditor reúna evidencias para evaluar los puntos fuertes y débiles de los controles, basándose en las evidencias reunidas y prepare un informe de auditoría que presente a la gerencia dichos tópicos en una forma objetiva. La gerencia de auditoría deberá asegurar que haya disponibilidad de recursos de auditoría adecuados y una agenda para llevar a cabo la auditoría y para dar seguimiento a las revisiones sobre el estado de las acciones correctivas emprendidas por los auditados. La auditoría deberá contemplar: el alcance de la auditoría, los objetivos de la auditoría, criterios y procedimientos de auditoría, la evidencia, las conclusiones y opiniones e informes. Clasificación de las Auditorías. Pueden ser internas o externas y comprenden:

1. Auditorías financieras (estados o registros financieros).

2. Auditorías Operativas (controles internos de procesos o áreas determinadas).

3. Auditorías integradas (combina auditoría financiera y operativa).

4. Auditorías administrativas (eficiencia de la productividad operativa).

5. Auditorías a los sistemas de información (determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen los datos y la integridad del sistema, proveen información relevante y confiable, busca que se obtengan las metas organizacionales, consumen eficiente los recursos y tienen un efecto sobre los controles internos que proveen un aseguramiento razonable de que los objetivos operacionales y de control del negocio serán alcanzados y que los eventos no deseados serán prevenidos o detectados y corregidos en una forma oportuna).

6. Auditorías especializadas (servicios realizados por terceros y la auditoría forense).

7. Auditoría forense (especializada en prevenir, descubrir, revelar y dar seguimiento a fraudes y

crímenes, pudiendo ser estos últimos cibernéticos; desarrolla evidencia para su revisión por la autoridad policial y las autoridades judiciales; incluye el análisis de dispositivos electrónicos tales como computadoras, teléfonos, PDAs, discos, switches, routers, hubs y otros equipos). La regla más importante para un auditor forense es hacer una imagen completa (bit-stream) del drive objeto de análisis y examinar esa imagen sin alterar los sellos de fecha u otra información atribuible a los archivos examinados. Los Auditores de SI evalúan a menudo las funciones y sistemas de TI desde perspectivas diferentes tales como la seguridad, (confidencialidad, integridad, disponibilidad, no repudio) la calidad

(efectividad, eficiencia), fiduciaria (cumplimiento, confiabilidad), el servicio y la capacidad. Procedimientos básicos en la realización de una auditoría.

• Obtener y registrar un entendimiento del área / objeto de la auditoría

• Evaluación de los riesgos y planificación general de la auditoría y cronograma

• Planificación detallada de auditoría

• Revisión preliminar del área / sujeto de la auditoría

• Evaluación del área /sujeto de la auditoría

• Prueba de cumplimiento (pruebas de los controles)

• Prueba sustantiva

• Informe (comunicación de los resultados)

• Seguimiento

Procedimientos para la prueba y evaluación de los controles de los SI.

• Uso de software de auditoría para examinar el contenido de los archivos de datos (incluyendo los

registros <logs> del sistema)

• Uso de software especializado para evaluar el contenido de los archivos de los parámetros del sistema

operativo (o detectar deficiencias en el establecimiento de parámetros del sistema)

• Elaboración de diagramas de flujo para documentar las aplicaciones automatizadas y procesos del

• Elaboración de diagramas de flujo para do cumentar las aplicaciones automatizadas y procesos del Página

Página 8 de 16

negocio

• Revisión de la documentación

• Observación Metodología de Auditoría. Conjunto de procedimientos documentados de auditoría diseñados para alcanzar los objetivos de auditoría que se planificaron. Sus componentes son una declaración del alcance, una declaración de los objetivos de la auditoría y una declaración de los programas de trabajo Debe ser formalizada y comunicada a todo el personal de auditoría. Un programa de auditoría es una guía para documentar los diferentes pasos de la auditoría que se realizaron. Provee un rastro del proceso usado y a quien(es) se debe adjudicar la responsabilidad de la realización de la auditoria. Riesgo y Materialidad de las Auditorías.

Cada vez más organizaciones están pasándose a un método de auditoría basado en riesgos que usualmente está adaptado para desarrollar y mejorar el proceso de auditoría continua. En este, los Auditores de SI no están basándose sólo en el riesgo, están también basándose en los controles internos y operativos así como también en sus conocimientos de la empresa o del negocio. Los riesgos del negocio son las preocupaciones sobre los probables efectos de un evento incierto sobre el logro de objetivos establecidos. La naturaleza de estos riesgos puede ser financiera, regulatoria u operativa, puede también incluir riesgos derivados de tecnologías específicas por ejemplo, una compañía de aviación. Entendiendo la naturaleza del negocio, los auditores de SI pueden identificar y clasificar los tipos de riesgos que determinarán mejor el modelo de riesgo o la metodología para llevar a cabo la auditoría. El análisis del riesgo puede ser un esquema donde a los riesgos se les ha dado pesos elaborados basados en la naturaleza del negocio y en la importancia del riesgo. Pruebas de Cumplimiento: comprobar las políticas y procedimientos, comprobar la segregación de tareas. Pruebas Substantivas: procedimientos analíticos, pruebas detalladas de balances de cuenta, otros procedimientos sustantivos de auditoría. Riesgo de auditoría. Puede ser definido como el riesgo de que la información / informe financiero pueda contener errores materiales que pueden pasar sin ser detectados durante el curso de la auditoría. Se usa también a veces para describir el nivel de riesgo que un auditor de SI está preparado para aceptar durante una asignación de auditoría; los tipos son:

Riesgo inherente: susceptibilidad a una afirmación equivocada en la ausencia de controles relacionados. Por ejemplo, los cálculos complejos tienen más probabilidades de ser expresados erróneamente que los cálculos sencillos y que el dinero tiene más probabilidades de ser robado que un inventario de carbón. Pueden ocurrir debido a la naturaleza del negocio. Riesgo de control: riesgo de que exista un error material que no sea prevenido ni detectado oportunamente por el sistema de controles internos. El riesgo de control asociado con procedimientos computadorizados de validación de datos es por lo general bajo porque los procesos se aplican consistentemente. Riesgo de detección: riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que no existen errores materiales cuando en realidad existen. Riesgo general de auditoría: La combinación de las categorías individuales de riesgos de auditoría determinados para cada objetivo de control específico. Un objetivo al formular el método de auditoría es limitar el riesgo de auditoría.

La palabra material, asociada con cualquiera de estos componentes de riesgo, se refiere a un error que debería ser considerado significativo para cualquier parte a la que le concierna el punto en cuestión.

El auditor de SI debería darse cuenta de que es posible que un sistema determinado no detecte un error menor. Sin embargo, ese error específico, combinado con otros, podría llegar a ser material

un error menor. Sin embargo, ese error específico, combinado con otros, podría llegar a ser material

Página 9 de 16

para la totalidad del sistema. El auditor de SI puede detectar un error pequeño que podría ser considerado significativo en un nivel operacional pero podría no ser considerado como significativo para la alta gerencia. Técnicas de Evaluación de Riesgos.

El auditor de SI debería evaluar estos diferentes candidatos de riesgo para determinar cuáles son las áreas de alto riesgo y por lo tanto las áreas que deberían ser auditadas. Hay muchas metodologías de evaluación de riesgos, automatizadas y no automatizadas; los tipos son:

1. Clasificaciones sencillas de cálculos alto, medio y bajo basados en el juicio del auditor de SI

2. Cálculos complejos o científicos) que consideran variables tales como la complejidad técnica, nivel de procedimientos de control establecidos y nivel de pérdida financiera.

3. Juicio, es tomada en base al conocimiento del negocio, las directivas de la gerencia ejecutiva, las perspectivas históricas, las metas del negocio y los factores ambientales.

4. Combinación de técnicas.

El uso de análisis de riesgos para determinar las áreas que serán auditadas:

1. Permite que la gerencia asigne de manera efectiva los recursos limitados de auditoría.

2. Asegura que las actividades de auditoría estén dirigidas a las áreas de alto riesgo del negocio.

Objetivos de la Auditoría. Un objetivo de control se refiere a cómo debería funcionar un control interno. Un objetivo de auditoría se refiere a las metas específicas de la auditoría, una auditoría puede incorporar varios objetivos de auditoría. Los objetivos de la auditoría se centran a menudo en fundamentar que los controles internos existen para minimizar los riesgos del negocio, que aseguran el cumplimiento de los requisitos legales y regulatorios así como también la confidencialidad, integridad, confiabilidad y disponibilidad de recursos de información. La gerencia puede dar al auditor de SI un objetivo general de control para revisar y evaluar cuando lleve a cabo una auditoría. Un elemento clave en la planificación de la auditoría de los sistemas de información es traducir los objetivos básicos de auditoría en objetivos específicos de auditoría de los sistemas de información, por ejemplo, en una auditoría financiera/operacional, un objetivo del control interno podría ser asegurar que las transacciones sean debidamente registradas en las cuentas del sistema contable. Sin embargo, en la auditoría de sistemas de información, el objetivo podría ampliarse para asegurar que existen funciones de edición para detectar los errores en la codificación de las transacciones que podría tener un impacto en las actividades de registro de las cuentas. El auditor de SI debe tener un entendimiento de cómo se pueden traducir los objetivos generales de auditoría en objetivos específicos de control de los sistemas de información. Pruebas de Cumplimiento vs. Pruebas Sustantivas. Hay una diferencia entre la recolección de evidencias con el fin de comprobar el cumplimiento de una organización con procedimientos de control y la recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información. Los procedimientos mencionados primero se llaman pruebas de cumplimiento y los mencionados posteriormente se llaman pruebas sustantivas. Los Auditores de SI generalmente usan las pruebas sustantivas para comprobar si hay errores monetarios que afecten directamente los balances de los estados financieros. Si la prueba de control revelara que hay puntos débiles en los controles que podrían generar dudas sobre la integridad, exactitud o validez de las cuentas, una prueba sustantiva puede aliviar esas dudas. Evidencia La evidencia es cualquier información usada por el auditor de SI para determinar si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos de auditoria establecidos. Es una requisitos que las conclusiones del auditor deben estas basadas en evidencia suficiente, relevante y competente. La evidencia de auditoria puede incluir observaciones del auditor de SI, notas tomadas de las entrevistas, material extraído de la correspondencia y documentación interna o los resultados de los procedimientos de

extraído de la correspondencia y documentación interna o los resultados de los procedimientos de Página 10

Página 10 de 16

prueba de auditoria. Los determinantes para evaluar la confiabilidad de las evidencias de auditoria incluyen:

Independencia del proveedor de la evidencia.

Calificaciones de la persona que suministra la información o evidencia.

Objetividad de la evidencia.

Tiempo de disponibilidad de la evidencia.

El auditor de SI deberá estimar la calidad como la cantidad de evidencia. La Federación Internacional de

Contadores (IFAC siglas en inglés) se refiere a estas dos características como competente (calidad) y suficiencia (cantidad). El auditor de SI debería entender el estándar ISACA 060.020, Evidencia, para realizar una Auditoria de SI y debería obtener evidencia de la naturaleza y suficiencia para respaldar los hallazgos de auditoria. Las siguientes son técnicas para la recolección de evidencia:

Revisar las Estructuras de la Organización de los Sistemas de Información.

Revisar las políticas y procedimientos de SI.

Revisar los estándares de los Sistemas de Información.

Revisar la documentación de los sistemas de información.

Entrevistar al Personal Apropiado

Observar los Procesos y el Desempeño de los Empleados.

Una auditoria incluye examen, que incorpora, la comprobación de los controles y evidencia de auditoria y por lo tanto incluye los resultados de las pruebas de auditoria. Muestreo El muestreo es usado cuando las consideraciones de tiempo y de costo impiden una verificación total de todas las transacciones o eventos en una población definida previamente. El muestro se usa para inferir características relativas a una población, basada en los resultados del examen de las características de una muestra de la población. Los dos métodos generales para muestro de auditoria son el método estadístico y el método no estadístico. Tanto el muestreo estadístico como el no estadístico requieren que el auditor de SI diseño y seleccione una muestra de auditoria, ejecute procedimientos de auditoria y evalué los resultados de la muestra para obtener evidencia de auditoria suficiente, confiable, relevante y utilizable. Dentro de estos dos métodos generales para muestro de auditoria, hay dos métodos primarios de muestreo usados por los auditores de SI:

Muestreo de atributos: se refiere a tres tipos diferentes pero relacionados de muestro proporcional:

Muestreo de atributos.

Muestreo Parar y Seguir.

Muestro de Descubrimiento.

Muestreo de Variables: se refiere a un número de tipos diferentes de modelos de muestreo cuantitativos:

Promedio Estratificado por Unidad.

Promedio No estratificado por Unidad.

Estimación de Diferencia.

Para realizar un muestro de atributos o de variables, es necesario entender los siguientes términos de muestro estadístico:

Coeficiente de Confianza. Nivel de Riesgo. Precisión. Tasa de Errores Esperados. Media de Muestra. Desviación Estándar de la Muestra. Tasa Tolerable de Error. Desviación Estándar de Población.

Los pasos claves en la construcción y selección de una muestra para una prueba de auditoria incluyen:

de una muestra para una prueba de auditoria incluyen: 1. Determinar los objetivos de la prueba.

1. Determinar los objetivos de la prueba.

Página 11 de 16

2.

Definir la población a la que se le realizara el muestro.

3. Determinar el método de muestreo.

4. Calcular el tamaño de la muestra.

5. Seleccionar la muestra.

6. Evaluar la muestra a partir de una perspectiva de auditoria.

Técnicas de Auditoria Asistidas por Computadora (TAACs CAATs) Los entornos de procesamiento de la información en la actualidad platean un desafía difícil al auditor de SI

para recolectar evidencia suficientes, relevantes y útiles ya que las evidencias existen en los medios magnéticos. Los CAATs son herramientas importantes para el auditor de SI para recolectar información de estos entornos, Cuando los sistemas tienen diferentes entornos de hardware y de software, diferente estructura de datos, formatos de registro, funciones de procesamiento, etc., es casi imposible que los auditores recolecten evidencias sin una herramienta de software para recolectar y analizar los registros. Los CAATs también permiten a los auditores de SI, durante el desarrollo de la auditoria, reunir información de manera independiente. El Software Generalizado de Auditoria, se refiere al software estándar que tiene la capacidad de leer y tener acceso a datos directamente desde diversas plataformas de base de datos, sistemas de archivos

planos y formato ASCII. Las funciones siguientes son soportadas por el software generalizado de auditoria:

Acceso a archivos. Reorganización de datos. Selección de datos. Funciones estadísticas. Funciones aritméticas. El software utilitario es el subconjunto de software, que proveen evidencias a los auditores sobre la efectividad de los controles del sistema. Estas herramientas y técnicas se pueden usar para efectuar diversos procedimientos de auditoria que incluyen:

Pruebas de detalles de transacciones y balances. Procedimientos de revisión analítica. Pruebas de cumplimiento de los controles generales de SI. Pruebas de cumplimiento de los controles de aplicaciones de SI Pruebas de penetración análisis de vulnerabilidad de los sistemas operativos. Evaluación de las Fortalezas y Debilidades de la Auditoria Después de desarrollar un programa de auditoria y de recolectar evidencias de auditoria, el paso siguiente es evaluar la información recopilada para desarrollar una opinión de auditoria. El auditor de SI debe abalizar los resultados de las evidencias recogidas para cumplir con los requerimientos de control o con los objetivos establecidos durante la etapa de planificación de la auditoria. Juzgando la Materialidad de los Hallazgos El concepto de materialidad es un tema clave cuando se decide qué hallazgos llevar a la discusión en un informe de auditoría. Es clave para determinar la materialidad de los hallazgos de la auditoria la determinación de qué sería importante para los diferentes niveles de gerencia. El auditor de SI deberá usar su buen juicio cuando decide cuales hallazgos presentar a los distintos niveles de gerencia. Comunicación de los Resultados de la Auditoria Antes de comunicar los resultados de una auditoria a la alta gerencia, el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada. El objetivo de dicha discusión sería llegar a un acuerdo sobre los hallazgos y desarrollar un curso de acción a seguir para corregirlos. Los informes de auditoría son el producto final del trabajo. Este es el vehículo que usa el auditor de SI para reportar a la gerencia sus hallazgos y sus recomendaciones. Estructura y Contenido de un Informe de Auditoria

Los informes de auditoría tendrán usualmente la siguiente estructura y contenido:

o Introducción al informe

de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de
de auditoría tendrán usualmente la siguiente estructura y contenido: o Introducción al informe Página 12 de

Página 12 de 16

o

La conclusión y la opinión generales del auditor de SI.

o

Reservas o calificaciones del auditor de SI con relación a la auditoria.

o

Los hallazgos detallados y las recomendaciones de la auditoria.

o Variedad de hallazgos, algunos de los cuales pueden ser considerablemente materiales mientras que otros son menores en su carácter.

o

Limitaciones para la auditoria

o

Declaraciones sobre las directrices seguidas para la auditoria de SI.

La entrevista final, llevada a cabo al final de la auditoria, provee al auditor de SI el medio para discutir los hallazgos y las recomendaciones con la gerencias. Los objetivos y el alcance de la auditoria pueden ser discutidos y el proceso de auditoría de SI puede ser explicado. Durante la entrevista final, el auditor de SI

puede:

o

Asegurarse de que los hechos presentados en el informe están correctos,

o

Asegurarse de que las recomendaciones sean realistas y eficientes.

o

Establecer fechas de implementación para las recomendaciones acordadas.

Acciones de la gerencia para implementar las Recomendaciones. Los Auditores de SI deben darse cuenta de que la auditoría es un proceso continuo. Deben tener un programa de seguimiento para determinar si se han implementado las acciones correctivas acordadas. Los resultados del seguimiento deben ser comunicados a los niveles apropiados de la gerencia. El nivel de revisión dependerá de varios factores, en algunos casos, puede sólo necesitar averiguar sobre la situación actual en ese momento. En otros casos puede tener que llevar a cabo algunas acciones de auditoría para determinar si las acciones correctivas acordadas por la gerencia han sido implementadas. Documentación de la Auditoría.

La documentación de la auditoría de SI incluye el plan de auditoría, una descripción o diagrama del entorno de los sistemas de información, programas de auditoría, actas de reuniones, evidencias de auditoría, hallazgos, conclusiones y recomendaciones, cualquier informe emitido como resultado del trabajo de auditoría, y comentarios de la revisión de supervisión si hubiera. Esta documentación debe ser mantenida en custodio segura. ISACA ha publicado la directriz 060.020.010 “Documentación de las Auditorías” La documentación debe incluir como mínimo, un registro de:

La planificación y elaboración del alcance y de los objetivos de la auditoría.

El entorno de los sistemas de información.

El programa de auditoría

Los pasos de auditoría efectuados y las evidencias de auditoría reunidas

Los hallazgos, conclusiones y recomendaciones de auditoría

Cualquier informe emitido como resultado del trabajo de auditoría

Revisión de supervisión. Limitaciones en la Realización de la Auditoría.

Puede haber restricciones que pueden limitar la disponibilidad del personal de la unidad de auditoria.

Estas pueden incluir:

Reciente rotación o no disponibilidad de empleados

Violación de las fechas tope o de las fechas cíclicas de procesamiento

Falla total de conocimientos o de documentación.

Estas restricciones pueden ser minimizadas mediante una planificación adecuada. Técnicas de Administración de Proyectos

Estas técnicas incluyen los siguientes pasos básicos:

Desarrollar un Plan Detallado

Informe Actividad de Proyecto vs Plan

Ajustar el Plan y Tomar la Acción Correctiva que se requiera.

Autoevaluación del Control (control self assessment). La autoevaluación del control (CSA) puede definirse como una metodología usada para revisar objetivos clave del negocio, los riesgos involucrados en alcanzar los objetivos del negocio y los controles internos

del negocio, los riesgos involucrados en alcanzar los objetivos del negocio y los controles internos Página

Página 13 de 16

diseñados para administrar estos riesgos del negocio en un proceso formal, documentado colaborativo. En una CSA, la gerencia y/o los equipos de trabajo están directamente involucrados en juzgar y en monitorear la efectividad de los controles existentes. Los Auditores de SI sirven como profesionales del control y como facilitadores de la evaluación. Cuando se emplea un programa de CSA, se deben desarrollar medidas del éxito para cada etapa (planificación, implementación y monitoreo) para determinar el valor derivado de CSA y su uso futuro. Un factor crítico de éxito es celebrar una reunión con los representantes de la unidad del negocio incluyendo tanto el personal apropiado y relevante como la gerencia para identificar el objetivo primario de la unidad de negocio, que es determinar el propósito de la unidad de negocios y soportar los objetivos. Además, deben identificarse las acciones que aumenten la probabilidad de lograr el objetivo primario. La Función del Auditor en los CSAs La función del auditor en los CSAs se debe considerar aumentada cuando los departamentos de auditoría se embarcan en un programa de CSA. Los auditores se convierten en profesionales del control interno y facilitadores de análisis. El auditor debe entender el proceso del negocio que se está analizando para cumplir su función de facilitador e innovador. Impulsadores de la Tecnología para el Programa de CSA El desarrollo de técnicas para otorgar facultades, recopilar información y tomar decisiones es una parte necesaria de una implementación de CSA. Algunos de los impulsadores (drivers) de tecnología incluyen la combinación de hardware y software para soportar la selección de CSA y el uso de un sistema electrónico de reunión y ayudas de decisión soportadas por computadora para facilitar la toma de decisiones del grupo. Enfoque Tradicional vs. CSA El enfoque tradicional puede resumirse como cualquier enfoque en el que la responsabilidad primaria de analizar e informar sobre el control interno y el riesgo son asignados a los auditores y, en menor grado, a los departamentos de contraloría y consultores externos. Este enfoque, crea la noción que los auditores y consultores, son responsables de analizar y reportar sobre el control interno. El enfoque CSA, enfatiza la gerencia y la responsabilidad sobre el desarrollo y monitoreo de los controles internos de los procesos de negocio sensitivo y críticos de la organización. Gobierno Corporativo El gobierno corporativo se define como un comportamiento ético corporativo que deben promover los directores u otros encargados del gobierno para la creación y presentación de beneficios para todas las partes interesadas. La OCDE lo define como “La distribución de derechos y responsabilidades entre los diferentes participantes en la corporación, tales como la junta, los gerentes, los accionistas y todas las partes interesadas, y explica las reglas y procedimientos para tomar decisiones sobre los asuntos corporativos. Como parte de esta estructura, se deben establecer reglas para administrar e informar sobre los riesgos del negocio. Estas requieren que las compañías rengan un sistema de control interno para monitorear los riesgos cuando se exploten formas nuevas e innovadores para mejorar el negocio. Simultáneamente, es una plataforma para la protección de las partes interesadas, ya que define las responsabilidades de la junta directiva. De ese modo, los accionistas, inversionistas y otras partes interesadas tendrán deberes definidos y una estructura adecuada para decidir sobre sus inversiones, en un marco transparente. Gobierno de TI El gobierno de TI es una estructura de relaciones y procesos para dirigir y controlar que la empresa alcance las metas de la empresa dando valor agregado mientras balancea el riesgo vs. el retorno sobre TI y sus procesos. El gobierno de TI es una estructura de relaciones y procesos para dirigir y controla que la empresa alcance las metas de la empresa dando valor agregado mientras balancea el riesgo vs. el retorno sobre TI y sus procesos. El uso de tecnología en todos los aspectos de esfuerzos económicos y sociales ha creado una dependencia crítica de la tecnología de la información para iniciar, registrar, mover y administrar todos los aspectos de transacciones económicas, información y conocimientos, creando un lugar crítico para el gobierno de TI dentro del gobierno de la empresa.

y conocimientos, creando un lugar crítico para el gobierno de TI dentro del gobierno de la

Página 14 de 16

El propósito del gobierno de TI es dirigir los esfuerzos de TI para asegurar que el desempeño de TI cumpla los objetivos de alinear a TI con los objetivos de la empresa y la realización de los beneficios prometidos. Los recursos de TI deberían usarse responsablemente, y los riesgos relacionados con TI deberían ser administrados de manera apropiada.

Manual de preparación al examen CISA 2005. Illinois, EUA: ISACA Capítulo 1 “El proceso de auditoría de sistemas de información”.

2005. Illinois, EUA: ISACA Capítulo 1 “El proceso de auditoría de sistemas de información”. Página 15

Página 15 de 16

Conclusiones.

El Proceso de Auditoría de los Sistemas de Información de ISACA garantiza que los auditores de SI certificados, cuenten con los conocimientos necesarios para planear y ejecutar auditorías.

La evidencia es cualquier información usada por el auditor de SI para determinar si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos de auditoria establecidos. Las técnicas para la recolección de evidencia son:

Revisar las Estructuras de la Organización de los Sistemas de Información.

Revisar las políticas y procedimientos de SI.

Revisar los estándares de los Sistemas de Información.

Revisar la documentación de los sistemas de información.

Entrevistar al Personal Apropiado

Observar los Procesos y el Desempeño de los Empleados.

La estructura de los informes de auditoría es:

Introducción al informe

La conclusión y la opinión generales del auditor de SI.

Reservas o calificaciones del auditor de SI con relación a la auditoria.

Los hallazgos detallados y las recomendaciones de la auditoria.

Variedad de hallazgos, algunos de los cuales pueden ser considerablemente materiales mientras que otros son menores en su carácter.

Limitaciones para la auditoria

Declaraciones sobre las directrices seguidas para la auditoria de SI.

La auditoría de SI es un proceso continuo y va más allá al proponer el seguimiento en la implementación de las acciones correctivas acordadas. La documentación y salvaguarda de estos documentos es un factor importante y puede ser llevada a cabo con la directriz 060.020.010 de ISACA. Las limitaciones en el proceso de auditoría pueden ser contrarrestadas o minimizadas mediante una planificación adecuada. En el proceso de auditoría se deben emplear las técnicas básicas de administración de proyectos: planear, implementar y monitorear. Se debe entender la función correcta del auditor de SI como un profesional del control interno y facilitador de análisis. Un auditor de SI debe tener claro los procesos de negocio que audita y manejar sin problema las estructuras, funciones, divisiones e interrelaciones que existen entre el Gobierno Corporativo y el Gobierno de TI dentro de su organización.

que existen entre el Gobierno Corporativo y el Gobierno de TI dentro de su organización. Página

Página 16 de 16