Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORA INFORMTICA
UNIVERSIDAD DEL VALLE DE MXICO
EL PROCESO DE AUDITORA
PREFACIO
Todos estos elementos deben ser abordados para presentar a la Gerencia una
evaluacin clara del sistema. Por ejemplo, el software de aplicacin puede estar
bien diseado e implementado con todas las caractersticas de seguridad , pero la
contrasea de superusuario que por defecto trae el sistema operativo utilizado en
el servidor puede no haber sido cambiada nunca, lo que permite a alguien acceder
directamente a los archivos de datos. Esta situacin anula cualquier garanta de
integridad en la aplicacin. Del mismo modo, es posible que los firewalls y la
seguridad del sistema tcnico se hayan implementado muy bien, pero las
definiciones de funciones y controles de acceso en el software de la aplicacin
pueden haber sido tan mal diseados e implementados que al utilizar sus ID de
usuario, los empleados pueden llegar a ver la informacin crtica y sensible ahora
ms all de sus roles.
Es importante entender que cada auditora puede constar de estos elementos en
diferentes medidas, algunos auditoras podrn examinar slo uno de estos
elementos o eliminar algunos de estos elementos de la auditora. Aunque lo cierto
es que hay que hacer una revisin de todo ello, no es obligatorio hacerla para
todos ellos en una asignacin. El conjunto de habilidades necesarias para cada
uno de ellos son diferentes. Los resultados de cada auditora necesitan ser visto
en relacin con el otro. Esto permitir que el auditor y la administracin puedan
conseguir la visin total de los temas y problemas. Este panorama es crtico.
Enfoque basado en riesgos
Cada organizacin utiliza una serie de sistemas de informacin. Puede haber
diferentes aplicaciones para diferentes funciones y actividades y puede haber un
nmero de instalaciones de computadores en diferentes ubicaciones geogrficas.
El auditor se enfrenta a las preguntas de qu auditar, cundo y con qu
frecuencia. La respuesta a esto es la adopcin de un enfoque basado en el riesgo.
Si bien hay riesgos inherentes a los sistemas de informacin, estos riesgos
afectan diferentes sistemas de diferentes maneras. El riesgo de no disponibilidad
incluso durante una hora puede ser grave para un sistema de facturacin en una
tienda ocupada. El riesgo de una modificacin no autorizada puede ser una fuente
de fraudes y potenciales prdidas para un sistema de banca en lnea. Un sistema
de procesamiento por lotes o un sistema de consolidacin de datos pueden ser
relativamente menos vulnerables a algunos de estos riesgos. Los entornos
tcnicos en los que los sistemas se ejecutan tambin pueden influir en el riesgo
asociado con los sistemas.
Los pasos que se pueden seguir por un enfoque basado en el riesgo para hacer
un plan de auditora son:
1. Un inventario de los sistemas de informacin en uso en la organizacin y
clasificarlos.
2. Determinar cules sistemas impactan a las funciones crticas o a los
activos, como el dinero, los materiales, los clientes, toma de decisiones, y
que tan cerca al tiempo real que operan.
3. Evaluar qu riesgos afectan a estos sistemas y la severidad del impacto en
el negocio.
4. Clasifique a los sistemas basados en la evaluacin anterior para decidir la
prioridad de auditora, los recursos, el calendario y la frecuencia.
El auditor puede entonces elaborar un plan de auditora anual que enumera las
auditoras que se llevar a cabo durante el ao, de acuerdo con un horario, as
como los recursos necesarios.
El proceso de auditora
La preparacin antes de comenzar una auditora incluye la recoleccin de
informacin de antecedentes y la evaluacin de los recursos y habilidades
necesarios para realizar la auditora. Esto permite la asignacin correcta del
personal con el tipo de habilidades que se adjudicar al compromiso.
Siempre es una buena prctica tener una reunin formal de inicio de la auditora
con la alta direccin responsable del rea que se audita para establecer el
alcance, entender las preocupaciones especiales, en su caso, programar las
fechas y explicar la metodologa para la auditora. Estas reuniones permiten que
los auditados, puedan aclarar cuestiones y preocupaciones de negocio
subyacentes. Despus de la reunin, registrar en un documento o minuta que
enliste los acuerdos establecidos ayudar a la auditora a realizarse sin
problemas.
Del mismo modo, una vez finalizado el ejercicio o escrutinio de auditora, es una
mejor prctica comunicar los resultados de la auditora y sugerencias para la
accin correctiva a la alta direccin en una reunin formal mediante una
presentacin del informe. Esto asegurar una mejor comprensin y aumentar el
entendimiento de las recomendaciones de auditora. Tambin da a los auditados la
oportunidad de expresar sus puntos de vista sobre las cuestiones planteadas. La
redaccin de un informe despus de dicha reunin donde se llegaron a acuerdos
sobre todos los asuntos de auditora puede mejorar en gran medida la eficacia de
la auditora.
El principal reto
La auditora de SI a menudo implica encontrar y registrar observaciones que
pueden ser muy tcnicas. Se requiere de tal profundidad tcnica para llevar a cabo
las auditoras con eficacia. Al mismo tiempo, es necesario traducir los hallazgos de
auditora en las vulnerabilidades y los impactos de las empresas a las que los
gerentes operativos y altos directivos pueden relacionarse. Ah est el principal
reto de la auditora de SI.
Notas Finales
1 Weber, Ron, EDP Fundamentos de Auditora - conceptuales y prcticas
S. Anantha Sayana, CISA, CIA es gerente general adjunto de los servicios de
auditora corporativa con Larsen & Toubro Limited, India. Tiene ms de 12 aos de
experiencia en la auditora de SI y la auditora interna en la banca, la industria
manufacturera y los servicios que abarcan una gran variedad de aplicaciones y
plataformas tcnicas. Tambin es un ex presidente del Captulo Mumbai ISACA.
Para ponerse en contacto con S. Anantha Sayana, el autor de la columna de este
tema, con las observaciones o preguntas, sas-pia@powai.ltindia.com
Fase I Iniciacin
Esta etapa se refiere a la primera introduccin que hace la tecnologa en una
organizacin. Si bien puede ser difcil de concebir para aquellos que trabajan en
las empresas de TI, muchas empresas pequeas han de prosperar sin una gran
infraestructura de TI consideran que el nmero de pequeas empresas que slo
necesitan un telfono mvil y un diario para completar su trabajo.
La etapa de iniciacin en una organizacin se identific por Nolan como el punto
en el que una organizacin compra su primera tecnologa. En la dcada de los
1970, fue inevitablemente una minicomputadora, ahora, con la baja en los costos
las porttiles y el uso de los telfonos inteligentes se utilizan para muchas
funciones empresariales del da a da, este punto de partida es mucho ms difcil
de determinar. Los dispositivos personales estn siendo reutilizados con
frecuencia para las necesidades de la empresa. De este modo, el punto de partida
muy fcilmente puede hacerse borroso, y la creciente dependencia de TI pasa
desapercibida. Para muchas empresas pequeas, los aspectos de la seguridad de
la informacin pueden no ser una preocupacin importante, pero todos somos
conscientes cuando se ha perdido a un telfono, por lo que una copia de
seguridad efectiva (incluso de contactos del telfono / entradas de la agenda) se
hace crtica.
Dentro de las organizaciones ms grandes, un nivel bsico de infraestructura de TI
es seguro de encontrar. Sin embargo, la etapa I tambin se puede aplicar a
cualquier tecnologa emergente. Es muy raro que una tecnologa innovadora se
introduzca por poltica. En cambio, la introduccin es iniciada generalmente por
xitos pequeos en grupos de empleados de la organizacin y se acta
individualmente. Por ejemplo, considere el despliegue inicial de los telfonos
Fase II Contagio
Esta es una etapa crtica del crecimiento de TI y se identifica por la proliferacin de
los sistemas de la organizacin. Las diferentes tecnologas pueden competir para
ser dominantes en la organizacin, por ejemplo, la controversia de dcadas de
antigedad Mac vs PC. Hoy, deriva en debates, por ejemplo, acerca de si la
informacin en s debe llevarse a cabo dentro de la organizacin o si la
computacin y almacenamiento en la nube son las adecuadas.
En los primeros das de la informtica, los proveedores estaban dispuestos a
asegurar que sus clientes estaban " asegurados" en sus tecnologas, sistemas y
formatos de archivos de datos. Incluso los acuerdos sobre la secuencia para la
clasificacin alfanumrica y el almacenamiento de los datos eran propietarios, con
ASCII (DEC) y EBCDIC formatos utilizados por ICL e IBM. Muchos de nosotros
hemos experimentado la frustracin de los diferentes formatos de datos, pero hoy
en da los datos a menudo se pueden convertir entre los sistemas. Los lenguajes
con esquemas de marcado extensible (XML) y la mejora de los estndares de
calidad de datos han contribuido de manera significativa dentro de esta rea.
El peligro de esta etapa se debe a la falta de control , los costos en espiral , y los
errores que surgen a travs de la necesidad de la entrada manual de datos para
transferir informacin entre sistemas o controles incorrectos cuando la es la
transferencia de datos entre sistemas. Este crecimiento se produce con frecuencia
al mismo tiempo que la empresa se expande. Puede ser un facilitador del
crecimiento y, al mismo tiempo, puede convertirse en una vctima de su propio
xito.
Continuando con el ejemplo del smartphone, en esta etapa los auditores interna
deberan haber identificado los problemas asociados con la multitud de diferentes
dispositivos en uso. Ellos tambin pueden recomendar el control sobre el uso de
los dispositivos o sugerir una poltica de compra de la organizacin. Estas
recomendaciones no slo deben ser dirigidas al dispositivo actual, sino tambin en
su uso, moviendo as la tecnologa hacia adelante, a la etapa IV.
Fase IV Integracin
Despus de conseguir que los sistemas estn bajo control en la etapa anterior, la
organizacin puede desarrollar an ms la madurez de los sistemas de TI y
comenzar a consolidar los sistemas y los datos que subyacen a la funcionalidad
principal de la organizacin. Es en este punto que toda la experiencia del auditor
interno en la organizacin comienza a estar a la cabeza en una funcin de
asesoramiento en lugar de la vigilancia y control, seguir desarrollando este rol en
la etapa V. Es posible que el auditor interno sea la nica persona que tiene la
visin integral de todos los niveles de la organizacin, sobre todo si existe una
estructura de gestin descentralizada (por ejemplo, una estructura de matriz).
Hoy en da, la integracin conduce inevitablemente a la consideracin de los
sistemas de planificacin de recursos empresariales (ERP). El mercado de stos
ha crecido rpidamente en los ltimos 20 aos, y muchos proveedores ofrecen
servicios a las pequeas y medianas empresas (PYME). Es posible, por tanto, que
una organizacin que experimenta un crecimiento rpido puede ser capaz de
saltar por encima de estadios I a IV sin la gran cantidad de sistemas asociados a
las fases II y III, y con un mayor control de los costos, lo que es especialmente
necesario en las PYME.
La auditora interna puede tener la tentacin de confiar nicamente en los informes
estndar generados por los sistemas ERP en s. Es esencial que la independencia
del auditor, incluyendo la independencia de los propios sistemas, se mantiene. Los
auditores internos tienen ahora la posibilidad de acceder a grandes repositorios de
datos, esto hace que sea imprescindible que consideren el uso de herramientas
automatizadas (por ejemplo, tcnicas de auditora con ayuda de computadora
[CAAT]) para analizar los datos disponibles. La dificultad puede ahora residir en la
identificacin y obtencin de los conjuntos de datos necesarios y procedimientos
para anlisis que han de aplicarse sobre ellos, en lugar de asegurar la pertinencia
y la exactitud de los datos de los datos.
propiedad de los datos (DO) es lo que est a la vanguardia durante esta etapa. En
lugar de que los datos sean propiedad del departamento de TI (o proveedor
externo), los usuarios tienen la propiedad de los datos. La auditora interna puede
ayudar a definir el concepto de DO en el contexto especfico de la organizacin y
la asignacin de una persona responsable de la propiedad, el acceso y la
proteccin de los activos de informacin.
Los datos del sistema ERP se pueden aperturar hasta una base de usuarios ms
amplia, y la organizacin necesita de la confianza (a travs de acceso basado en
roles) que las personas saben cmo utilizar la informacin a la que tienen acceso.
En esta etapa, el rol del auditor interno se ha desplazado a la de un polica con la
el fin de asegurar que los datos y recursos de informacin se estn utilizando con
eficacia y correctamente por la organizacin, cumpliendo con los marcos
normativos externos y las mejores prcticas.
Continuando con el ejemplo de dispositivo mvil, hay una necesidad de que el
auditor interno garantice que los usuarios de forma individual aprecian las
cuestiones de los datos que son removidos de la organizacin y la importancia de
la sincronizacin de los datos, garantizando as la integridad de toda la
organizacin. La aparicin de almacenamiento en la nube puede ayudar a este
nivel, lo que permite una clara demarcacin de la custodia de los datos, el titular
de los datos y los datos de usuario con independencia de su ubicacin y
dispositivo de acceso.
Fase VIMadurez
La etapa final identificada por Nolan se consigue cuando todos los sistemas dentro
de una organizacin se desarrollan a su estado ptimo y se puede decir que han
alcanzado una madurez tanto tecnolgica y una estabilidad del sistema acorde
con la dependencia del negocio a esos sistemas. Mientras que la evaluacin
comparativa externa puede proporcionar un cierto nivel de tranquilidad, tambin es
posible que la organizacin se vuelva complaciente, en cuyo caso la deriva
estratgica podra sobrevenir. Por lo tanto, el papel del auditor interno es asegurar
que la complacencia se evita o elimina.
Conclusin
Como se ha demostrado, las tecnologas de TI se someten a una serie de etapas
incrementales. En cada etapa, factores internos y externos impulsan el cambio
hacia delante, y en general, el papel de la auditora interna es para asegurar que
esto ocurre de una manera controlada. Al asociar una organizacin o
departamento con una etapa particular de el modelo, un auditor puede identificar
las acciones necesarias para impulsar la tecnologa a los niveles ms altos, con
tendencia hacia la madurez. Por lo tanto, el modelo de Nolan ofrece una
herramienta til para el auditor cuando se habla de la planificacin estratgica a
largo plazo como parte de la funcin de auditora de TI de la institucin, lo que
garantiza que la alta direccin reconoce el riesgo de adopcin descontrolada de TI
y aprovechar las oportunidades de seguir adelante con una coherente y
estructurada estrategia de TI.
Endnotes
1
Nolan, Richard L., Managing the Computer Resource: A Stage Hypothesis, Communications of the ACM,
Nolan, Richard L., Managing the Crises in Data Processing, Harvard Business Review, March 1979, 57(2),
p.1156, http://hbr.org/1979/03/managing-the-crises-in-data-processing/ar/1
3
King, John Leslie; Kenneth L. Kraemer; Evolution and Organizational Information Systems: An Assessment
of Nolans Stage Model, Communications of the ACM, May 1984, vol. 27 no. 5, p. 46675,
http://dl.acm.org/citation.cfm?id=358074&dl=ACM&coll=DL&CFID=99581475&CFTOKEN=89642816
4
Aiken, Peter; M. David Allen; Burt Parker; Angela Mattia, Measuring Data Management Practice Maturity: A
%20Management%20Practice%20Maturity.pdf
5
Andy Hollyhead, CISA, FHEA, is a senior lecturer in governance and risk management in the Centre for
Internal Audit, Governance and Risk Management at Birmingham City University (Birmingham, England, UK).
Hollyheads work experience includes 15 years as a programmer and business analyst for large UK
organisations, specialising in payroll systems. He is also studying for his Ph.D. in Technology Enhanced
Learning at Lancaster University (Lancaster, England, UK).
Alan Robson, CISA, CISM, is a senior academic in information systems (IS) audit in the Centre for Internal
Audit, Governance and Risk Management at Birmingham City University. Robsons teaching career extends
more than 25 years across a range of IT and IS subjects, from the undergraduate to postgraduate level.
Enjoying this article? To read the most current ISACA Journal articles, become a member or subscribe to the
Journal.
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT
governance professionals, entitles one to receive an annual subscription to the ISACA Journal.
Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ
from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and
from opinions endorsed by authors employers, or the editors of this Journal. ISACA Journal does not attest to
the originality of authors content.
2012 ISACA. All rights reserved.
Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other
copying, reprint or republication, permission must be obtained in writing from the association. Where
necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance
Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US
$2.50 per article plus 25 per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume,
and first and last page number of each article. Copying for other than personal use or internal reference, or of
articles or columns not owned by the association without express permission of the association or the copyright
owner is expressly prohibited.
INTRODUCCIN
El Proceso de auditora (CISA Review Manual 2006)
ORGANIZACIN DE LA FUNCIN DE AUDITORA DE SISTEMAS DE
INFORMACIN
El rol del la funcin de auditora de sistemas de informacin (SI) debe ser
establecida por una escritura de constitucin, este documento incorpora la
institucin y especifica los derechos y funciones, asimismo incorpora los artculos
y el certificado de la incorporacin. La auditora de SI es ms probable que sea
parte de auditora interna, por lo tanto la escritura de constitucin incluir todas
aquellas funciones de auditora.
Esta carta o escritura debe establecer claramente las responsabilidades y
objetivos asociados, la delegacin de autoridades para, la funcin de auditora SI.
Este documento debe remarcar la autoridad general, alcance y responsabilidades
de la funcin de auditora. El documento debe ser aprobado por el nivel ms alto
de la administracin y por el comit de auditora.
Una vez establecido este documento, puede cambiar solo si el cambio es
justificable a fondo.
Los estndares de auditora de SI de la ISACA solicitan que la responsabilidad, la
autoridad y lo sustantivo de la funcin de auditora de SI estn documentadas de
forma adecuada en una escritura de constitucin o carta compromiso.
ADMINISTRACIN DE RECURSOS DE AUDITORA DE SI
Los auditores de SI son un recurso limitado y la tecnologa asociada a SI sufre
constantes cambios. Por lo tanto, es importante que los auditores mantengan sus
competencias a travs de actualizaciones para las habilidades existentes y
obtengan capacitacin directa a nuevas tcnicas de auditora y de reas
tecnolgicas. Especficamente, el auditor de SI debe entender las tcnicas para la
gestin de proyectos de auditora con miembros del personal apropiados y
capacitados. Los estndares de auditora de SI de ISACA requieren del auditor SI:
es tcnicamente competente, posee las habilidades y conocimiento necesarios
para el desempeo del trabajo del auditor. Adems, el auditor de SI mantiene la
competencia tcnica mediante educacin profesional de forma continua. Habilidad
y conocimiento deben ser considerados en la planeacin de auditora as como
para la asignacin especfica de personal a las auditoras.