1.2.3 PLANEACION DE LA AUDITORIA Planeacién Anual La planeacién do Ia auditoria est4 constituida tanto por Ia planeacién a corto como a largo plazo. La planeacién a corto plazo toma en cuenta los aspectos relevantes de auditoria que serdn cubiertos durante 1 affo, mientras que la planeacién a largo plazo se refiere a los planes de auditoria que tomaran en cuenta aspectos relacionados con riesgos debido a los cambios en la direccién estratégica de TI de la organizacién que afectardn ¢] ambiente de TI de la organizacién. El anilisis de los aspectos relevantes a corto y a largo plazo debe hacerse por lo menos una vez al aft. Esto es necesario para tomar en consideracién los nuevos aspectos de control, los cambios en el entorno del riesgo, la cambiante tecnologia, los procesos de negocio en constante cambio y las técnicas mejoradas de evaluacisn. Los resultados de este andlisis para la planeacién de futuras actividades de auditoria deben set revisados por Ia alta direccién, y aprobados por el comité de auditor, si existiera, o alternativamente por la Junta Directiva y comunicados a los niveles de direccién relevantes. Asignaciones de Auditoria Individual ‘Ademés de In planeacién general anual, cada tarea individual de auditorfa debe ser planeada adecuadamente. El auditor de SI debe entender que otras consideraciones, tales como los resultados de la evaluacién periédica de riesgos, cambios en In aplicacién de tecnologia, y aspectos de privacidad evolucionantes y requisites regulatorios pueden afectar ef enfoque general de ia auditoria, El auditor de SI deberfa también considerar las fechas limites establecidas para la implementacién/actualizacién de los sistemas, Ins teonologias actuales y futuras, requerimientos de los duofios del proceso de negocio y las jones de recursos de SI. ‘Al plancar una auditor, el auditor de SI debe tener un entendimionto general del ambiente a revisar. Esto deberia incluir una comprensién general de las diversas pricticas del negocio y de las funciones relativas al sujeto de la auditorf, asi como también fos tipos de sistemas de informacién y la tecnologia que soportan Ia actividad. Por ejemplo, el auditor de SI deberia estar familiarizado con el marco regulatorio en el que opera el negocio, Para realizar Ia planeacién de ta auditoria, el auditor de SI deberia realizar os pasos siguientes: * Lograr un entendimiento de la misién, los objetivos, el propésito y los procesos del negocio, incluyendo los requerimientos de informacién y procesamiento, tsles como disponibilidad, integridad, seguridad y tecnologia del negocio y Ia confidencialidad de informacién. «© Identificar contenidos especiticos tales como politicas estandares y directrices requeridos, procedimientos y estructura de le organizacién Realizar un andiisis de riesgos para ayudar a disefiar el plan de auditoria Llevar a cabo una revisién de los controles internos relacionados con TI. Establecer el alcance y los objetivos de la auditorfa, Desarrollar el enfoque o le estratogia de auditoria, Asignar recursos humanos a la auditoria igir la logistica del trabajo de auditorfa Los Estandares de Auditoria de SI de ISACA requieren que el auditor de SI planee el trabajo de auditoria de SI para aleandar los objetivos de auditorfa y cumplir con los esténdares profesionales de auditoria aplicables (Planeacién $5). EI auditor de SI debe desarrotlar un plan de auditorla que tome en consideracién los objetivos del auditado relevantes al rea auditada y a su infraestructura tecnolégica. Si ‘Manual de Preparacion al Examen CISA 2008 T‘es necesario, el auditor de SI deberfa también considerar el frea bajo revision y st relacién con le onganizacién (estratégica, financiera ylu operativamente) y obtener informacién sobre el plan estratégico, incluyendo ol plan estratggico de SI. El auditor de SI deberia tener un entendimiento de Ia arquitectura de teenologia de la informacién y de la direocién tecnolégice del auditado pare dlisefiar un plan apropiado para Ta tecnologia actualy donde aplique, para a tecnologia fotura del audtado, Los pasos que un auditor de SI podria tomar para logra el entendimiento del negocio incluyen: ~ Revortido de las instalaciones clave de fa organizacién 7 1ecis de antecedentes incluyendo publicaciones de la industri, informes anuales ¢ informes de andlisis financieros independientes _ Revisign del negocio y de los planes estratégicos de TI a largo plazo « Bntrevistas a los gerentes clave para entender pormenores del negocio saan ade infornes anteriores 0 infarmes relacionados con (provenientes de auditorias externas 0 jntemas o revisiones especificas tales como revisiones regulatorias), - |dentificar las regulaciones espeofficas apticables a TI cyerttear los funciones deo las actividades relacionadas que han sido contratadasexternamente Otro componente bésico de la planeacién es lograr correspondencia entre los reeursos de auditoria disponibles y ls teas defindas en el plan de auditoria, El audltor de SI nie prepa cl plan deberia ceetderar los requerimientos del proyecto de auditorla, recursos de personal y otras fimitaciones, Este tjercieio de asignacin de recursos deberia considera las nevesidades de los proyectos individuales de cietRore asi como también fas necesidades generales del departamento de auditor 4.2.4 EFECTO DE LAS LEYES Y REGULACIONES SOBRE LA PLANIFICACION BE AUDITORIA DE SE ‘Toda ongnizacion, independientemente de su tamafio 0 de {a industria en Ta que OPSt deberd curmplir ote ratgmero de requetimientos gubemamentales y extemos relacionados con [as practicas y los con Mes do os sistomas computarizados y con la manera en que se almacenan y $C las Compatadores, los programas y Tos datos. Adieionalmente las regulaciones de negocio pueden impactar Te epina en que os datos se procesan, se transmiten y se almacenan (polsa de valores, bancos centrales, ete.. Se debe prestar especial atencién a estos asuntos en aquellasindustias que historarenie hhan tenido un mateo reyutatrio muy estrieto, Por ejemplo, la industria buncaria en todo et mundo tiene penalizaciones meray para Tas compafiasy para sus funcionarios en caso do que la organizacién Vo pueda proveer un aoe ade de servicio a causn de provedimientos de respaldo y reouperacion que estén Por debajo de eee aietres, También, en varios pases, los proveedores de servicos de Internet estin sujios a leyes ‘Rpecifens especto ala confidencialidad y@ la dsponibilidad del servicio Los auditores de St deberian revisar la politica de Ia adminstracién sobre privacidag, piv) determinat si cas toma en cuenta [os requerimientos legales y regulatorios de privacidad aplicables, incluyendo requisitos de flujo de datos al cruzarfronteras tales como Puerto Segiro (Safe Harbor) y las directrices de fa Organizaci6n para la Cooperacién Economica y el Desarrollo (OBCD) que rigen ia proteccién de la privacidad y los fujos tansfrontera de datos personales. 76 Manual de Manual de Preparaci6n al ixamen CISA 2008 amg _—Proteccién y mecanismos de deteccién contra ataques internos y externos El auditor de SI debe entender los conceptos de los procedimientos de control de SI y cémo aplicarlos en la planeacién de una auditoria. La auditoria puede definirse como un proceso sistemiético por el cual un equipo o una persona competent ¢ independiente obtiene y evalia objetivamente la evidencia respecto a las afirmaciones acerca de un proceso con el fin de formarse una opinién sobre el particular e informar sobre el grado de cumplimiento en dicha afirmacin es implementada. La auditorfa de SI puede definirse como cualquier auditorfa que abarca la revisién y evaluacién (parcial 0 total) de los sistemas automatizados de procesamiento de informacién, procesos relacionados no automatizados y las interfaces entre ellos. Para realizar una auditorfa, se requieren varios pasos. Una planeacién adecuada es el primer paso necesario para realizar auditorias de SI efectivas. Para usar efectivamente los recursos de auditoria de SI, las organizaciones de auditoria, deben evaluar todos los riesgos de las freas generales y de aplicacién y servicios relacionados a auditar y luego desarrollar un programa de auditorfa que comprenda objetivos y procedimientos de auditoria que satisfagan los objetivos de auditoria. El proceso de auditoria requiere que el auditor de SI recolecte evidencia a través de pruebas de auditoria, evaliie las fortalezas y debilidades de los controles basindose en la evidencia reunida y prepare un informe de auditoria que presente en una forma objetiva dichos asuntos a la gerencia. La gerencia de auditoria debe asegurarse de que haya disponibilidad de recursos de auditoria adecuados y tuna agenda para llevar a cabo las auditorfas y, en el caso de una auditoria interna de SI, para realizar revisiones de seguimiento respecto al avance de las acciones correctivas emprendidas por la direccién. Una discusién sobte auditoria deberia incluir el alcance, los objetivos, criterios y procedimientos de auditoria, Ia evidencia, conclusiones y opiniones, ¢ informe a la gerencia después de discusién con fos dueitos clave del proceso, Las restriceiones del auditado pueden inctuir: + Reciente rotacién o no disponibilidad de empleado - infraccién de las fechas tope o fecha de procesamiento ciclico - ausencia general de conocimientos o de documentacién, Para entender estas restricciones sobre la realizacién de una auditoria, el auditor de SI debe tener un buen entendimiento de las téonicas generales de administracién de proyectos. A menudo, estas restricciones pueden ser minimizadas o evitadas mediante una planeacién adecuada, Las téenicas de administracién de proyectos para gestionar y administrar proyectos de auditorfa, ya sea automatizado © manual, incluyen los siguientes pasos basicos: i “Manual de Manual de Preparacion al Bxamen CISA 2008 44 fF Po my fry ct Ft rt c r tT ITF Pu; Tk eo om om