MATERIA

AUDITORA INFORMTICA
UNIVERSIDAD DEL VALLE DE MXICO
EL PROCESO DE AUDITORA

PREFACIO

La Auditora de Sistemas de Informacin (SI) es una parte del proceso general de

auditora, que es uno de los facilitadores de buen gobierno corporativo. Si bien no
existe una definicin nica y universal de auditora de SI, Ron Weber ha definido
(EDP revisin - como se llamaba antes) como "el proceso de recopilacin y
evaluacin de las pruebas para determinar si un sistema informtico (sistema de
informacin) Activos salvaguardias, mantiene integridad de los datos, logra las
metas organizacionales y consumo efectivos de los recursos de manera eficiente.
"1.
Los sistemas de informacin son el alma de cualquier negocio que dependa de la
tecnologa. Como en aos anteriores, los sistemas informticos no se limitaban a
registrar las operaciones de negocios, ya que en realidad conducen los procesos
clave del negocio de la empresa. En tal escenario, los directivos de gestin y de
negocios de alto nivel tienen preocupaciones acerca de los sistemas de
informacin. El propsito de la Auditora de SI es revisar y dar retroalimentacin,
garantas y sugerencias. Estas preocupaciones pueden agruparse bajo tres
amplios conceptos principales:
1. Disponibilidad: Los sistemas de informacin en los que el negocio
depende en gran medida estn a disposicin de la empresa en todo
momento cuando es necesario? Los sistemas estn bien protegidos
contra todo tipo de daos y desastres?
2. Confidencialidad: La informacin de los sistemas slo se comunicar a
las personas que tienen la necesidad de verla y usarla y no a otra persona?
3. Integridad: La informacin proporcionada por los sistemas siempre es
precisa, confiable y oportuna? Qu nos asegura de que ninguna
modificacin no autorizada puede hacer que los datos o el software en los
sistemas?
1 Nota del autor: Por supuesto que hay otras preocupaciones que en auditora se
debera examinar, como la eficacia, la eficiencia, rentabilidad, rendimiento de la
inversin, la cultura y los temas relacionados. Estos problemas sern abordados

en auditora de Fundamentos de TI en las columnas en los prximos nmeros de

la revista en 2002.]
Elementos de la Auditora de SI
Un sistema de informacin no slo es un computador. Los sistemas de informacin
de hoy en da son complejos y tienen muchos componentes que integrar para
hacer una solucin de negocios. Las garantas sobre un sistema de informacin se
pueden obtener slo si son evaluados y asegurados todos los componentes. El
eslabn ms dbil es la fuerza total de la cadena, reza el proverbio. Los
principales elementos de la auditora de SI se puede clasificar en trminos
generales:
1. Revisin Fsica y ambiental - Esto incluye la seguridad fsica, alimentacin,
aire acondicionado, control de humedad y otros factores ambientales.
2. Revisin de la administracin del sistema- Esto incluye la revisin de seguridad
de los sistemas operativos, sistemas de gestin de bases de datos , todos los
procedimientos de administracin del sistema y el cumplimiento.
3. Revisin del Software El software de aplicacin de negocios podra ser la
nmina, facturacin, un sistema de procesamiento de pedidos de clientes
basado en la web o un sistema de planificacin de recursos empresariales que
actualmente dirige el negocio. La revisin de este tipo de software de
aplicacin incluye control de acceso y las autorizaciones, las validaciones, el
error y el manejo de excepciones, flujos de procesos de negocio en el software
de aplicacin y los controles y procedimientos manuales complementarios.
Adems, una revisin del ciclo de vida de desarrollo del sistema debe ser
completado.
.
4. Seguridad de las redes - Revisin de las conexiones internas y externas al
sistema, seguridad perimetral, opinin del firewall, las listas de control de
acceso del router, escaneo de puertos y deteccin de intrusiones son algunas
de las zonas tpicas de la cobertura.

5. Continuidad del negocio - Esto incluye la existencia y mantenimiento de

hardware tolerante a fallos y redundantes, los procedimientos de copia de
seguridad y almacenamiento, un plan de continuidad del negocio y un plan de
recuperacin en caso de desastre documentado y probado.

6. Integridad de los datos opinin - El propsito de esto es el escrutinio de los

datos en vivo para comprobar la adecuacin de los controles y el impacto de
las debilidades, segn testimonio de cualquiera de las revisiones anteriores.
Estas pruebas sustantivas se puede hacer usando software generalizado de
auditora (por ejemplo, tcnicas de auditora asistida por computador).

Todos estos elementos deben ser abordados para presentar a la Gerencia una
evaluacin clara del sistema. Por ejemplo, el software de aplicacin puede estar
bien diseado e implementado con todas las caractersticas de seguridad , pero la
contrasea de superusuario que por defecto trae el sistema operativo utilizado en
el servidor puede no haber sido cambiada nunca, lo que permite a alguien acceder
directamente a los archivos de datos. Esta situacin anula cualquier garanta de
integridad en la aplicacin. Del mismo modo, es posible que los firewalls y la
seguridad del sistema tcnico se hayan implementado muy bien, pero las
definiciones de funciones y controles de acceso en el software de la aplicacin
pueden haber sido tan mal diseados e implementados que al utilizar sus ID de
usuario, los empleados pueden llegar a ver la informacin crtica y sensible ahora
ms all de sus roles.
Es importante entender que cada auditora puede constar de estos elementos en
diferentes medidas, algunos auditoras podrn examinar slo uno de estos
elementos o eliminar algunos de estos elementos de la auditora. Aunque lo cierto
es que hay que hacer una revisin de todo ello, no es obligatorio hacerla para
todos ellos en una asignacin. El conjunto de habilidades necesarias para cada
uno de ellos son diferentes. Los resultados de cada auditora necesitan ser visto
en relacin con el otro. Esto permitir que el auditor y la administracin puedan
conseguir la visin total de los temas y problemas. Este panorama es crtico.
Enfoque basado en riesgos
Cada organizacin utiliza una serie de sistemas de informacin. Puede haber
diferentes aplicaciones para diferentes funciones y actividades y puede haber un
nmero de instalaciones de computadores en diferentes ubicaciones geogrficas.
El auditor se enfrenta a las preguntas de qu auditar, cundo y con qu
frecuencia. La respuesta a esto es la adopcin de un enfoque basado en el riesgo.
Si bien hay riesgos inherentes a los sistemas de informacin, estos riesgos
afectan diferentes sistemas de diferentes maneras. El riesgo de no disponibilidad
incluso durante una hora puede ser grave para un sistema de facturacin en una
tienda ocupada. El riesgo de una modificacin no autorizada puede ser una fuente
de fraudes y potenciales prdidas para un sistema de banca en lnea. Un sistema
de procesamiento por lotes o un sistema de consolidacin de datos pueden ser
relativamente menos vulnerables a algunos de estos riesgos. Los entornos
tcnicos en los que los sistemas se ejecutan tambin pueden influir en el riesgo
asociado con los sistemas.

Los pasos que se pueden seguir por un enfoque basado en el riesgo para hacer
un plan de auditora son:
1. Un inventario de los sistemas de informacin en uso en la organizacin y
clasificarlos.
2. Determinar cules sistemas impactan a las funciones crticas o a los
activos, como el dinero, los materiales, los clientes, toma de decisiones, y
que tan cerca al tiempo real que operan.
3. Evaluar qu riesgos afectan a estos sistemas y la severidad del impacto en
el negocio.
4. Clasifique a los sistemas basados en la evaluacin anterior para decidir la
prioridad de auditora, los recursos, el calendario y la frecuencia.
El auditor puede entonces elaborar un plan de auditora anual que enumera las
auditoras que se llevar a cabo durante el ao, de acuerdo con un horario, as
como los recursos necesarios.
El proceso de auditora
La preparacin antes de comenzar una auditora incluye la recoleccin de
informacin de antecedentes y la evaluacin de los recursos y habilidades
necesarios para realizar la auditora. Esto permite la asignacin correcta del
personal con el tipo de habilidades que se adjudicar al compromiso.
Siempre es una buena prctica tener una reunin formal de inicio de la auditora
con la alta direccin responsable del rea que se audita para establecer el
alcance, entender las preocupaciones especiales, en su caso, programar las
fechas y explicar la metodologa para la auditora. Estas reuniones permiten que
los auditados, puedan aclarar cuestiones y preocupaciones de negocio
subyacentes. Despus de la reunin, registrar en un documento o minuta que
enliste los acuerdos establecidos ayudar a la auditora a realizarse sin
problemas.
Del mismo modo, una vez finalizado el ejercicio o escrutinio de auditora, es una
mejor prctica comunicar los resultados de la auditora y sugerencias para la
accin correctiva a la alta direccin en una reunin formal mediante una
presentacin del informe. Esto asegurar una mejor comprensin y aumentar el
entendimiento de las recomendaciones de auditora. Tambin da a los auditados la
oportunidad de expresar sus puntos de vista sobre las cuestiones planteadas. La
redaccin de un informe despus de dicha reunin donde se llegaron a acuerdos
sobre todos los asuntos de auditora puede mejorar en gran medida la eficacia de
la auditora.

El principal reto
La auditora de SI a menudo implica encontrar y registrar observaciones que
pueden ser muy tcnicas. Se requiere de tal profundidad tcnica para llevar a cabo
las auditoras con eficacia. Al mismo tiempo, es necesario traducir los hallazgos de
auditora en las vulnerabilidades y los impactos de las empresas a las que los
gerentes operativos y altos directivos pueden relacionarse. Ah est el principal
reto de la auditora de SI.
Notas Finales
1 Weber, Ron, EDP Fundamentos de Auditora - conceptuales y prcticas
S. Anantha Sayana, CISA, CIA es gerente general adjunto de los servicios de
auditora corporativa con Larsen & Toubro Limited, India. Tiene ms de 12 aos de
experiencia en la auditora de SI y la auditora interna en la banca, la industria
manufacturera y los servicios que abarcan una gran variedad de aplicaciones y
plataformas tcnicas. Tambin es un ex presidente del Captulo Mumbai ISACA.
Para ponerse en contacto con S. Anantha Sayana, el autor de la columna de este
tema, con las observaciones o preguntas, sas-pia@powai.ltindia.com

Un poco de historia repitindose La Etapas de la Teora Nolan y el Auditor de SI

actual.

Uno de los aspectos clave de la auditora de sistemas de informacin (SI) es

determinar la madurez de las tecnologas en uso dentro de una organizacin o
departamento. En realidad, en algunas reas del negocio, el uso de TI es ms
maduro que otras, y esto es particularmente cierto para las empresas que se han
sometido a las fusiones o adquisiciones recientes.
Las Etapas del Modelo de Crecimiento para los Sistemas de TI fueron
desarrolladas por Richard L. Nolan en la dcada de 1970. Aunque se ha
modificado con el tiempo y han sido sujetos a la crtica en algunos lugares, todava
se utiliza para analizar el crecimiento de las TI dentro de una organizacin y es
utilizado por muchas empresas y consultores para categorizar la evolucin de lo
que se conoca originalmente como departamentos de procesamiento de datos.
En este artculo se analizan las seis etapas (originalmente cuatro), as como su
relacin directa con el auditor. La teora de Nolan puede proporcionar un marco til
para un trabajo de auditora, especialmente para el auditor con menos experiencia
que no ha tenido una amplia exposicin a una amplia gama de sistemas de TI de
organizacin.

La Creacin y Evolucin de la Teora de Nolan

Cuando Richard L. Nolan public primero su teora en 1973, 1 no exista tal cosa
como el microordenador. La configuracin ms pequea disponible era un
miniordenador, tales como el DEC PDP - 7. Los computadores centrales fueron la
norma, dominando grandes centros de datos con aire acondicionado. Eran caros
para comprar y caros de mantener, sobre todo estos equipos funcionan en modo
batch o por lotes, con trabajos enviados para ser ejecutados durante la noche.
Mientras que algunos sistemas en tiempo real estaban disponibles, los enlaces de
comunicacin requeridos eran costosos haciendo stos sistemas viables
nicamente para determinados nichos de mercado, como las aerolneas y la
banca.
Dentro de este contexto, sin embargo, Nolan ofrece una visin de lo que podra
suceder dentro de una organizacin si se redujeran los costos de procesamiento

de datos. Proftica en su enfoque, muchas de sus predicciones se hicieron

realidad, primero para las grandes corporaciones y luego para las empresas ms
pequeas.
Las etapas del modelo de crecimiento no han permanecido estticas. En 1979
Nolan aadi otras dos etapas tal y como el modelo trat de mantenerse al da
con los acontecimientos dramticos en la tecnologa en el tiempo. 2
Con el tiempo ha habido crticas a la teora, incluyendo el supuesto de que una
organizacin salta de un estado a otro y la percepcin de que una organizacin
siempre debe esforzarse por ser evaluada contra las etapas superiores (es decir,
la administracin de datos y la madurez). 3 Por otra parte, otros han desarrollado
modelos que se basan en el trabajo de Nolan, pero intentan paliar lo que se
considera por algunos como deficiencias. Por ejemplo, y tal vez en un guio a la
auto-evaluacin del riesgo controlado, El Modelo de Madurez en la Prctica de la
Gestin de Datos 4 es un enfoque que se ajusta a las ideas originales de Nolan,
pero la teora se discute en el contexto de 2012 en lugar de los aos de 1970.

Fase I Iniciacin
Esta etapa se refiere a la primera introduccin que hace la tecnologa en una
organizacin. Si bien puede ser difcil de concebir para aquellos que trabajan en
las empresas de TI, muchas empresas pequeas han de prosperar sin una gran
infraestructura de TI consideran que el nmero de pequeas empresas que slo
necesitan un telfono mvil y un diario para completar su trabajo.
La etapa de iniciacin en una organizacin se identific por Nolan como el punto
en el que una organizacin compra su primera tecnologa. En la dcada de los
1970, fue inevitablemente una minicomputadora, ahora, con la baja en los costos
las porttiles y el uso de los telfonos inteligentes se utilizan para muchas
funciones empresariales del da a da, este punto de partida es mucho ms difcil
de determinar. Los dispositivos personales estn siendo reutilizados con
frecuencia para las necesidades de la empresa. De este modo, el punto de partida
muy fcilmente puede hacerse borroso, y la creciente dependencia de TI pasa
desapercibida. Para muchas empresas pequeas, los aspectos de la seguridad de
la informacin pueden no ser una preocupacin importante, pero todos somos
conscientes cuando se ha perdido a un telfono, por lo que una copia de
seguridad efectiva (incluso de contactos del telfono / entradas de la agenda) se
hace crtica.
Dentro de las organizaciones ms grandes, un nivel bsico de infraestructura de TI
es seguro de encontrar. Sin embargo, la etapa I tambin se puede aplicar a
cualquier tecnologa emergente. Es muy raro que una tecnologa innovadora se
introduzca por poltica. En cambio, la introduccin es iniciada generalmente por
xitos pequeos en grupos de empleados de la organizacin y se acta
individualmente. Por ejemplo, considere el despliegue inicial de los telfonos

inteligentes en las organizaciones. Originalmente, estos fueron adquiridos por las

personas que vieron el potencial de estos dispositivos para su productividad
personal, pero esperan que sea capaz conectar estos a la red corporativa, muy a
menudo con poca preocupacin por los problemas de seguridad en torno a los
dispositivos mviles.
Es el auditor interno quien tiene un papel en la identificacin de estos primeros
accesos. Pueden identificar las mejores prcticas y proponer la adopcin de otras
reas. Si bien esto puede ser una buena manera de difundir la informacin, puede
tambin inadvertidamente conducir a muchos de los problemas tratados en la
etapa II.
Por el contrario, la auditora interna podra identificar nuevas tecnologas y trabajar
con la organizacin para promover el desarrollo de la regulacin y control. Si esto
sucede en paralelo con la adopcin de la tecnologa en lugar de que sea despus
de la implementacin, las dificultades de la fase II podran reducirse en gran
medida.

Fase II Contagio
Esta es una etapa crtica del crecimiento de TI y se identifica por la proliferacin de
los sistemas de la organizacin. Las diferentes tecnologas pueden competir para
ser dominantes en la organizacin, por ejemplo, la controversia de dcadas de
antigedad Mac vs PC. Hoy, deriva en debates, por ejemplo, acerca de si la
informacin en s debe llevarse a cabo dentro de la organizacin o si la
computacin y almacenamiento en la nube son las adecuadas.
En los primeros das de la informtica, los proveedores estaban dispuestos a
asegurar que sus clientes estaban " asegurados" en sus tecnologas, sistemas y
formatos de archivos de datos. Incluso los acuerdos sobre la secuencia para la
clasificacin alfanumrica y el almacenamiento de los datos eran propietarios, con
ASCII (DEC) y EBCDIC formatos utilizados por ICL e IBM. Muchos de nosotros
hemos experimentado la frustracin de los diferentes formatos de datos, pero hoy
en da los datos a menudo se pueden convertir entre los sistemas. Los lenguajes
con esquemas de marcado extensible (XML) y la mejora de los estndares de
calidad de datos han contribuido de manera significativa dentro de esta rea.
El peligro de esta etapa se debe a la falta de control , los costos en espiral , y los
errores que surgen a travs de la necesidad de la entrada manual de datos para
transferir informacin entre sistemas o controles incorrectos cuando la es la
transferencia de datos entre sistemas. Este crecimiento se produce con frecuencia
al mismo tiempo que la empresa se expande. Puede ser un facilitador del
crecimiento y, al mismo tiempo, puede convertirse en una vctima de su propio
xito.

Una vez ms, utilizando el telfono inteligente como un ejemplo, ms personas y

departamentos lo adoptaron despus de ver a los primeros usuarios que se
benefician de su uso, pero no dentro de un marco institucional. Por lo tanto, ha
habido una proliferacin de modelos y sistemas operativos, lo que lleva a las
incompatibilidades y las demandas de apoyo adicionales.
El papel de la auditora interna en esta etapa puede ser como la de un perro
pastor, ofreciendo garantas de que numerosos sistemas dispares tienen controles
adecuados. Con frecuencia, el auditor interno est en una posicin nica para
reconocer que las sinergias son posibles debido a su mbito organizativo ms
amplio. Esto puede ser particularmente relevante para las auditoras integradas
que combinan los pasos de auditora tanto financiera como operativa " 5. Al
identificar estas sinergias, el auditor interno puede ayudar al progreso de la
organizacin a travs de este catico escenario y en estado III. Si una
organizacin no puede hacer esto, hay riesgos significativos para el xito a largo
plazo tanto para la funcin de TI dentro de una organizacin y de la propia
organizacin.

Fase III Control

Desde una perspectiva de gestin, despus de haber visto la proliferacin de los
sistemas presentes en el estadio II (y su utilidad), la necesidad de introducir
controles puede ser identificada, no slo en el nmero de sistemas, sino tambin
en los presupuestos asociados con estos sistemas. La necesidad de este control ,
posiblemente, puede ser reconocido a travs de una auditora interna , la
identificacin de que a pesar de los primeros xitos de la etapa I y la masa (pero
no controlada ) la proliferacin de la fase II , la tecnologa se nos est convirtiendo
en un gigante . Por ejemplo, se puede producir una recuperacin del negocio en
caso de un incidente y la continuidad despus de un desastre, lo que demuestra
un riesgo intolerable para la organizacin el simplemente tener demasiados
sistemas para tratar de recuperarse en un tiempo limitado.
Los objetivos de de recuperacin en el tiempo (RTO) y los objetivos de punto de
recuperacin (RPO) se hacen imposibles de alcanzar, como la falta de
estandarizacin de los procedimientos significa que la recuperacin se convierte
en excesivamente compleja y la ventana de interrupcin es demasiado grande
para ser tolerado por el negocio.
En una inspeccin inicial, se puede considerar que esta etapa es donde la
auditora interna debe entrar en el proceso. Este no es el caso; la auditora interna
ya haya propuesto controles que ahora tienen que formalizarse y, sobre todo ,
aplicado y supervisado . Si una organizacin no impone control ( con la garanta
de la auditora interna ) , no slo no progresa, pero puede deslizarse fcilmente de
nuevo a la fase II , como reas individuales una vez ms la implementacin de
soluciones de TI dispares y sin autoridad en la organizacin .

Continuando con el ejemplo del smartphone, en esta etapa los auditores interna
deberan haber identificado los problemas asociados con la multitud de diferentes
dispositivos en uso. Ellos tambin pueden recomendar el control sobre el uso de
los dispositivos o sugerir una poltica de compra de la organizacin. Estas
recomendaciones no slo deben ser dirigidas al dispositivo actual, sino tambin en
su uso, moviendo as la tecnologa hacia adelante, a la etapa IV.

Fase IV Integracin
Despus de conseguir que los sistemas estn bajo control en la etapa anterior, la
organizacin puede desarrollar an ms la madurez de los sistemas de TI y
comenzar a consolidar los sistemas y los datos que subyacen a la funcionalidad
principal de la organizacin. Es en este punto que toda la experiencia del auditor
interno en la organizacin comienza a estar a la cabeza en una funcin de
asesoramiento en lugar de la vigilancia y control, seguir desarrollando este rol en
la etapa V. Es posible que el auditor interno sea la nica persona que tiene la
visin integral de todos los niveles de la organizacin, sobre todo si existe una
estructura de gestin descentralizada (por ejemplo, una estructura de matriz).
Hoy en da, la integracin conduce inevitablemente a la consideracin de los
sistemas de planificacin de recursos empresariales (ERP). El mercado de stos
ha crecido rpidamente en los ltimos 20 aos, y muchos proveedores ofrecen
servicios a las pequeas y medianas empresas (PYME). Es posible, por tanto, que
una organizacin que experimenta un crecimiento rpido puede ser capaz de
saltar por encima de estadios I a IV sin la gran cantidad de sistemas asociados a
las fases II y III, y con un mayor control de los costos, lo que es especialmente
necesario en las PYME.
La auditora interna puede tener la tentacin de confiar nicamente en los informes
estndar generados por los sistemas ERP en s. Es esencial que la independencia
del auditor, incluyendo la independencia de los propios sistemas, se mantiene. Los
auditores internos tienen ahora la posibilidad de acceder a grandes repositorios de
datos, esto hace que sea imprescindible que consideren el uso de herramientas
automatizadas (por ejemplo, tcnicas de auditora con ayuda de computadora
[CAAT]) para analizar los datos disponibles. La dificultad puede ahora residir en la
identificacin y obtencin de los conjuntos de datos necesarios y procedimientos
para anlisis que han de aplicarse sobre ellos, en lugar de asegurar la pertinencia
y la exactitud de los datos de los datos.

Fase V Administracin de Datos

La etapa de administracin de datos es menor a un cambio tecnolgico , y ms a
un cambio de cultura filosfica dentro de la organizacin . La cuestin de la

propiedad de los datos (DO) es lo que est a la vanguardia durante esta etapa. En
lugar de que los datos sean propiedad del departamento de TI (o proveedor
externo), los usuarios tienen la propiedad de los datos. La auditora interna puede
ayudar a definir el concepto de DO en el contexto especfico de la organizacin y
la asignacin de una persona responsable de la propiedad, el acceso y la
proteccin de los activos de informacin.
Los datos del sistema ERP se pueden aperturar hasta una base de usuarios ms
amplia, y la organizacin necesita de la confianza (a travs de acceso basado en
roles) que las personas saben cmo utilizar la informacin a la que tienen acceso.
En esta etapa, el rol del auditor interno se ha desplazado a la de un polica con la
el fin de asegurar que los datos y recursos de informacin se estn utilizando con
eficacia y correctamente por la organizacin, cumpliendo con los marcos
normativos externos y las mejores prcticas.
Continuando con el ejemplo de dispositivo mvil, hay una necesidad de que el
auditor interno garantice que los usuarios de forma individual aprecian las
cuestiones de los datos que son removidos de la organizacin y la importancia de
la sincronizacin de los datos, garantizando as la integridad de toda la
organizacin. La aparicin de almacenamiento en la nube puede ayudar a este
nivel, lo que permite una clara demarcacin de la custodia de los datos, el titular
de los datos y los datos de usuario con independencia de su ubicacin y
dispositivo de acceso.

Fase VIMadurez

La etapa final identificada por Nolan se consigue cuando todos los sistemas dentro
de una organizacin se desarrollan a su estado ptimo y se puede decir que han
alcanzado una madurez tanto tecnolgica y una estabilidad del sistema acorde
con la dependencia del negocio a esos sistemas. Mientras que la evaluacin
comparativa externa puede proporcionar un cierto nivel de tranquilidad, tambin es
posible que la organizacin se vuelva complaciente, en cuyo caso la deriva
estratgica podra sobrevenir. Por lo tanto, el papel del auditor interno es asegurar
que la complacencia se evita o elimina.

En realidad, el ritmo del cambio tecnolgico y de negocios significa que los

sistemas se deben desarrollar constantemente. Esto podra ser para mantener la
ventaja competitiva, introducir a un nuevo mercado o tomar ventaja de ( por
ejemplo ) que bajan los costos de arquitectura de TI.
Por lo tanto, a pesar de que pareca imposible de lograr, la etapa de madurez de
TI es algo a lo que la organizacin debe esforzarse continuamente, y la carta
compromiso del comit de direccin de TI puede identificar la realizacin de esta
etapa como un objetivo estratgico, permanente y orgnico.

Conclusin
Como se ha demostrado, las tecnologas de TI se someten a una serie de etapas
incrementales. En cada etapa, factores internos y externos impulsan el cambio
hacia delante, y en general, el papel de la auditora interna es para asegurar que
esto ocurre de una manera controlada. Al asociar una organizacin o
departamento con una etapa particular de el modelo, un auditor puede identificar
las acciones necesarias para impulsar la tecnologa a los niveles ms altos, con
tendencia hacia la madurez. Por lo tanto, el modelo de Nolan ofrece una
herramienta til para el auditor cuando se habla de la planificacin estratgica a
largo plazo como parte de la funcin de auditora de TI de la institucin, lo que
garantiza que la alta direccin reconoce el riesgo de adopcin descontrolada de TI
y aprovechar las oportunidades de seguir adelante con una coherente y
estructurada estrategia de TI.

Endnotes
1

Nolan, Richard L., Managing the Computer Resource: A Stage Hypothesis, Communications of the ACM,

July 1973, vol. 16, no.7, p. 399405, http://cacm.acm.org/magazines/1973/7/11861-managing-the-computerresource/abstract

2

Nolan, Richard L., Managing the Crises in Data Processing, Harvard Business Review, March 1979, 57(2),

p.1156, http://hbr.org/1979/03/managing-the-crises-in-data-processing/ar/1
3

King, John Leslie; Kenneth L. Kraemer; Evolution and Organizational Information Systems: An Assessment

of Nolans Stage Model, Communications of the ACM, May 1984, vol. 27 no. 5, p. 46675,
http://dl.acm.org/citation.cfm?id=358074&dl=ACM&coll=DL&CFID=99581475&CFTOKEN=89642816
4

Aiken, Peter; M. David Allen; Burt Parker; Angela Mattia, Measuring Data Management Practice Maturity: A

Communitys Self-Assessment, Computer, April 2007, 40(4), p.42, www.irmac.ca/0708/Measuring%20Data

%20Management%20Practice%20Maturity.pdf
5

ISACA, CISA Review Manual 2011, USA, 2010

Andy Hollyhead, CISA, FHEA, is a senior lecturer in governance and risk management in the Centre for
Internal Audit, Governance and Risk Management at Birmingham City University (Birmingham, England, UK).
Hollyheads work experience includes 15 years as a programmer and business analyst for large UK
organisations, specialising in payroll systems. He is also studying for his Ph.D. in Technology Enhanced
Learning at Lancaster University (Lancaster, England, UK).
Alan Robson, CISA, CISM, is a senior academic in information systems (IS) audit in the Centre for Internal
Audit, Governance and Risk Management at Birmingham City University. Robsons teaching career extends
more than 25 years across a range of IT and IS subjects, from the undergraduate to postgraduate level.

Enjoying this article? To read the most current ISACA Journal articles, become a member or subscribe to the
Journal.
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT
governance professionals, entitles one to receive an annual subscription to the ISACA Journal.
Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ
from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and
from opinions endorsed by authors employers, or the editors of this Journal. ISACA Journal does not attest to
the originality of authors content.
2012 ISACA. All rights reserved.
Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other
copying, reprint or republication, permission must be obtained in writing from the association. Where
necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance
Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US
$2.50 per article plus 25 per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume,
and first and last page number of each article. Copying for other than personal use or internal reference, or of
articles or columns not owned by the association without express permission of the association or the copyright
owner is expressly prohibited.

INTRODUCCIN
El Proceso de auditora (CISA Review Manual 2006)
ORGANIZACIN DE LA FUNCIN DE AUDITORA DE SISTEMAS DE
INFORMACIN
El rol del la funcin de auditora de sistemas de informacin (SI) debe ser
establecida por una escritura de constitucin, este documento incorpora la
institucin y especifica los derechos y funciones, asimismo incorpora los artculos
y el certificado de la incorporacin. La auditora de SI es ms probable que sea
parte de auditora interna, por lo tanto la escritura de constitucin incluir todas
aquellas funciones de auditora.
Esta carta o escritura debe establecer claramente las responsabilidades y
objetivos asociados, la delegacin de autoridades para, la funcin de auditora SI.
Este documento debe remarcar la autoridad general, alcance y responsabilidades
de la funcin de auditora. El documento debe ser aprobado por el nivel ms alto
de la administracin y por el comit de auditora.
Una vez establecido este documento, puede cambiar solo si el cambio es
justificable a fondo.
Los estndares de auditora de SI de la ISACA solicitan que la responsabilidad, la
autoridad y lo sustantivo de la funcin de auditora de SI estn documentadas de
forma adecuada en una escritura de constitucin o carta compromiso.
ADMINISTRACIN DE RECURSOS DE AUDITORA DE SI
Los auditores de SI son un recurso limitado y la tecnologa asociada a SI sufre
constantes cambios. Por lo tanto, es importante que los auditores mantengan sus
competencias a travs de actualizaciones para las habilidades existentes y
obtengan capacitacin directa a nuevas tcnicas de auditora y de reas
tecnolgicas. Especficamente, el auditor de SI debe entender las tcnicas para la
gestin de proyectos de auditora con miembros del personal apropiados y
capacitados. Los estndares de auditora de SI de ISACA requieren del auditor SI:
es tcnicamente competente, posee las habilidades y conocimiento necesarios
para el desempeo del trabajo del auditor. Adems, el auditor de SI mantiene la
competencia tcnica mediante educacin profesional de forma continua. Habilidad
y conocimiento deben ser considerados en la planeacin de auditora as como
para la asignacin especfica de personal a las auditoras.

De forma preferente debera desarrollarse un programa especfico de capacitacin

para el ao en curso basado en la directriz organizacional en trminos de
tecnologa y riesgos asociados que requieran ser abordados. Esto debiera
revisarse al menos una vez al ao para asegurar que las necesidades de
entrenamiento o capacitacin estn alineadas a la direccin que est tomando de
la organizacin de la auditora. Adicionalmente, la gerencia de la auditora de SI
deber proveer los recursos necesarios de TI (tecnologas de informacin)
necesarios para un desempeo apropiado las auditoras de SI de naturaleza
altamente especializadas. (e.g. escaneo de software para pruebas de intrusin a
red, pruebas de penetracin).
PLANEACIN DE LA AUDITORA
La Planeacin de Auditora contempla tanto la programacin a corto como a largo
plazo. El corto plazo considera aquellos hallazgos de auditora que sern cubiertos
durante el ao en curso, donde el largo plazo se relaciona a planes de auditora
que considerarn incidentes relacionados a riesgos que impliquen cambios en la
direccin de la estrategia de la organizacin de TI que afecten el ambiente de TI
de la organizacin.
El anlisis de largo y corto plazo deber realizarse al menos una vez al ao. Esto
se hace necesario para considerar incidentes de control nuevos, cambios en
tecnologa, cambios en los procesos de negocio y mejoras en las tcnicas de
evaluacin. Los resultados de ste anlisis para la planificacin de las actividades
de auditoras futuras debern revisarse por la alta gerencia, aprobadas por el
comit de auditora, si existe, o de forma alterna por la mesa directiva, y
comunicarse a los niveles relevantes de la gerencia.
Adicionalmente a toda la planeacin anual, cada compromiso de auditora
individual debe ser adecuadamente planificado. El auditor de SI deber entender
que otras consideraciones tales como la valoracin de riesgos por la gerencia,
problemas de privacidad, y requerimientos regulatorios puedan impactar el
enfoque general de la auditora.
El auditor de SI deber considerar plazos establecidos para mejoras de los
sistemas, implementaciones, tecnologas actuales y futuras, requerimientos de los
dueos de proceso de negocio, y limitantes de recursos de SI.

Cuando se planifique el compromiso, el auditor deber tener un entendimiento

amplio del ambiente a revisar. Esto deber incorporar un entendimiento general de
diversas prcticas de negocio y funciones asociadas al tema de la auditora, as
como de los sistemas de informacin y la tecnologa soporte a la actividad. Por
ejemplo, el auditor debe estar familiarizado con el ambiente regulatorio donde
opera el negocio. Para el desempeo de la planeacin de la auditora. El auditor
de SI deber desempear los siguientes pasos en orden de:

Obtener un entendimiento de la misin de un negocio, objetivos, propsitos

y procesos, lo cual incluye requerimientos de informacin y procesamiento,
tales como disponibilidad, integridad, seguridad y tecnologa del negocio.
Identificar contenidos vertidos, tales como polticas, estndares y guas
relacionadas, procedimientos y estructuras de la organizacin.
Evaluar la valoracin del riesgo y analizar cualquier impacto sobre la
privacidad realizada por la gerencia.
Desarrollar un anlisis de riesgos
Conducir una revisin del control interno
Definir el alcance de la auditora y los objetivos de la misma
Desarrollar el enfoque de auditora o estrategia de auditora
Asignar recursos del personal a la auditora y dirigir la logstica del
compromiso

Los estndares para Auditora de SI de ISACA, requieren que el auditor de SI

plane el trabajo de auditora para dirigir los objetivos de la auditora y para
cumplir con los estndares aplicables de la profesin. El plan desarrollado por el
auditor considerar los objetivos relevantes para el auditado y para su
infraestructura tecnolgica. Si esto aplica, deber considerar tambin el rea bajo
revisin y su relacin con la organizacin (estratgicamente, financieramente y
operacionalmente) y obtener informacin del plan estratgico, incluyendo el plan
estratgico para SI. El auditor de SI deber contar con un entendimiento de la
informacin de arquitectura y la directriz tecnolgica del auditado para un diseo
de plan apropiado para el presente y donde sea apropiado, para el futuro de la
tecnologa del auditado.
Los pasos que un auditor de SI puede tomar para obtener un entendimiento del
negocio incluyen:

Recorrer las instalaciones clave de la organizacin

Revisar material documental soporte, incluyendo publicaciones de la
industria, reportes anuales y reportes de anlisis financiero independientes

Revisar los planes estratgicos a largo plazo de SI

Entrevistar a gerentes clave para entender los problemas del negocio
Revisar reportes anteriores

Otro componente bsico de la planeacin es la adecuacin de los recursos de

auditora disponibles para las tareas como han sido definidos en el plan de
auditora.
El auditor que elabore el plan deber considerar los requerimientos del proyecto
de auditora, recursos del personal, y otras restricciones. Este ejercicio de
adecuacin deber considerar las necesidades de proyectos individuales de
auditora as como las necesidades generales del departamento de auditora.

EFECTOS DE LAS LEYES Y REGULACIONES EL LA PLANEACIN DE LA

AUDITORA
Cada organizacin, no obstante su tamao o el ramo de la industria donde opera,
debe cumplir con un nmero de requerimientos gubernamentales y externos,
relacionados con las prcticas de sistemas computacionales y controles, y con las
maneras en que las computadoras programas, y datos son almacenados y
utilizados. Adicionalmente las regulaciones pueden impactar las formas en que los
datos son procesados, transmitidos y almacenados (intercambio de acciones,
bancos centrales, etc.)
Debe darse atencin especial a estos temas en aquellas industrias que
histricamente han sido reguladas de forma cercanamente. Por ejemplo, en la
industria financiera mundial, tienen graves penalizaciones para las compaas y
sus funcionarios si la compaa no pueda proveer un nivel de servicio adecuado
derivado de deficientes procedimientos de respaldo y recuperacin. Tambin, los
proveedores del servicio de Internet son sujetos en varios pases a leyes
especficas con relacin a confidencialidad y disponibilidad del servicio.
Los auditores de SI debern revisar la poltica de privacidad establecida por la
gerencia para comprobar si se toma en cuenta los requerimientos aplicables a las
leyes y regulaciones para la privacidad, incluyendo el flujo transfronterizo de datos
tales como las pautas del Safe Harbor y los de la OCDE (Organization of
Economic Cooperation and Development) que regulan la proteccin y la privacidad
en flujos transfronterizos de los datos personales.
Varios pases derivado de creciente dependencias de sistemas de y tecnologa
relacionada estn haciendo esfuerzos para adicionar niveles o capas de

requerimientos regulatorios acerca de auditora de SI. Los contenidos de estas

regulaciones legales consideran:

Establecimiento de requerimientos regulatorios

Organizacin de requerimientos regulatorios
Responsabilidades asignadas a las entidades correspondientes
Correlacin con las funciones financieras, operacionales y de auditora de
TI.

El personal de la gerencia, a todos sus niveles, deben ser conscientes de los

requerimientos externos que son relevantes para las metas y planes de la
organizacin
y
de
las
responsabilidades
y
actividades
del
departamento/funcin/actividad de servicios de informacin.
Existen dos reas principales de atencin: Los requerimientos legales (leyes,
acuerdos legales y contractuales) asociados en auditora o auditora de SI y
requerimientos legales asociados al auditado y sus sistemas, a la administracin
de datos, reportes, etc. Estas reas pueden impactar en el alcance y en los
objetivos de la auditora. Esto ltimo es importante para los auditores internos y
externos. Las cuestiones jurdicas tambin impactan las operaciones de negocio
de la organizacin en trminos de cumplimiento con regulaciones ergonmicas.
Un ejemplo es la ley HIPAA (US Health Insurance Portability and
Accountability Act) que est enfocada en la regulacin.
Un ejemplo de prcticas de control robustas, es la Ley Sarbanes-Oxley (SOX Act)
del 2002 de los EEUU. Esta ley requiere de las organizaciones una evaluacin de
su control interno de TI. SOX prev nuevas reglas de gobierno corporativo, as
como estndares y regulaciones especficas para empresas pblicas, lo que
incluye a las compaas solicitantes de registro de la Security and Exchange
Comission (SEC). La SEC ha obligado el uso de reconocidos marcos de referencia
para el control interno. SOX requiere a las organizaciones seleccionar e
instrumentar un marco de control interno adecaudo. COSO, Internal Control
Integrated Framework, ha sido el marco de referencia ms comnmente adoptado.
Los auditores de SI tienen que considerar el impacto de Sarbanes-Oxley como
parte de la planeacin de auditora.
TAREA
ELEMENTO PARA INVESTIGACIN PARA EL INTEGRADOR PLANEACIN DE
LA AUDITORA.
El alumno investigar lo siguiente:

Revise las leyes, tratados o regulaciones que son aplicables en Mxico. De

aquellos elementos que identifique generar un resumen para contar con el
concepto y logre dar una explicacin de cada una. Tome en consideracin la
industria donde se desarrolla para enfocar su investigacin y logre integrar a su
trabajo integrador.