UNIVERSIDAD NACIONAL DE LA AMAZONIA PERUANA

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA PESPAC VI AUDITORIA DE TECNOLOGIAS DE LA INFORMACION

Captulo 1.El Proceso de Auditoria de TI

OBJETIVOS - Obtener los conocimientos necesarios para proporcionar servicios de Auditoria de Tecnologas de Informacin (TI) en conformidad con los estndares, directrices y mejores prcticas para apoyar a la organizacin a validar que su tecnologa de informacin y sus sistemas de negocios estn protegidos y controlados - Revisar el contenido del rea de procesos a auditar. - Discutir tpicos, tareas y declaraciones de conocimiento especficos dentro del rea de procesos. - Revisar casos de estudio y ejemplos prcticos.

1.1 Introduccin
La auditoria es una actividad independiente diseada para agregar valor y mejorar las operaciones de una organizacin. Ayuda a la organizacin a alcanzar sus metas mediante un enfoque sistemtico y disciplinado para evaluar y mejorar la efectividad de la administracin de los riesgos, control y gobierno de una empresa.

1.1.1 Auditora externa

Usualmente ejecutados por personal que no son parte de la organizacin que auditan. Deben expresar una opinin sobre la razonabilidad de los EEFF en conformidad con los GAAP. Su enfoque principal est en las cuentas de los EEFF.

1.1.2 Auditora interna

Conformado por profesionales multi-disciplinarios son parte de de la organizacin que auditan. Informan sobre la eficiencia y efectividad de los procesos de una organizacin. Su enfoque principal est en los procesos implantados para la obtencin de las metas de la organizacin.

1.2 Administracin de la funcin de auditoria

1.2.1 Organizacin de la funcin de auditoria Estatuto de Auditoria (o "engagement letter"):
Establece la responsabilidad y objetivos de la administracin y la delegacin de autoridad para la funcin de Auditoria de TI. Describe la autoridad, alcance y responsabilidades generales de la funcin de Auditoria.

Aprobacin y cambios en el Estatuto de Auditoria. 1.2.2 Administracin de los recursos de auditora de TI

Nmero limitado de auditores de TI. Mantenimiento de su competencia tcnica. Asignacin del personal de auditora.

1.2.3 Planeacin de auditoria

Planeacin a corto plazo. Planeacin a largo plazo. Aspectos a considerar:

Nuevos problemas de control. Cambios tecnolgicos. Cambios en los procesos de negocio. Tcnicas mejoradas de evaluacin. Planeacin individual de auditora: o Comprensin general del ambiente Practicas del negocio y funciones relativas. Sistemas de informacin y tecnologa. o o o o

1.2.3.1 Pasos de la Auditoria de TI Obtener un entendimiento de la misin, objetivos, propsito y procesos del negocio. Identificar el estado del marco normativo y organizacional (polticas, estndares, directrices, procedimientos y estructura organizacional).
Evaluar el anlisis de riesgos y el anlisis de impacto a la privacidad. Desarrollar un anlisis de riesgos. Conducir una revisin de control interno. Establecer el alcance y los objetivos de la auditoria. Desarrollar el enfoque o la estrategia de auditora. Asignar los recursos de personal a la auditoria y dirigir la logstica del trabajo

de auditora.

1.2.4 Efecto de las Leyes y regulaciones sobre la planeacin de Auditoria de TI 1.2.4.1 Requerimientos regulatorios Establecimiento
Organizacin Responsabilidades Correlacin con las funciones de auditora financiera, operacionales y de TI

1.2.4.2 Pasos para determinar el cumplimiento con los requerimientos externos:

Identificar los requerimientos externos. Documentar las leyes y requerimientos pertinentes. Evaluar si la administracin y la funcin de TI han considerado los

requerimientos externos relevantes. Revisar los documentos internos del departamento de TI que se ocupan del cumplimiento de las leyes que le son aplicables. Determinar el cumplimiento con los procedimientos establecidos.

1.3 Estndares y directrices de ISACA para Auditora de TI

1.3.1 Cdigo de tica Profesional de ISACA El Cdigo de tica Profesional de ISACA provee una gua de conducta profesional y personal para sus miembros y/o de los tenedores de la designacin CISA y CISM. 1.3.2 Estndares de ISACA para Auditoria de TI Marco de los Estndares de ISACA para Auditoria de TI:
Estndares Directrices Procedimientos

1.3.2.1 Objetivos de los estndares de auditora de TI de ISACA

Informar a la direccin y a otros interesados sobre las expectativas de la profesin en relacin con el trabajo de los auditores. Informar a los auditores de TI del nivel mnimo de desempeo requerido y aceptable para cumplir con las responsabilidades profesionales establecidas en el Cdigo de tica de ISACA
Estatuto de Auditoria Independencia tica y Estndares Competencia Planeacin Desempeo del trabajo de Auditoria Reporte Seguimiento de las actividades Irregularidades y actos ilegales Gobierno de TI Uso de la evaluacin de riesgos en la planeacin de auditoria

S1. S2. S3. S4. S5. S6. S7. S8. S9. S10 S11

S1. Estatuto de auditoria Propsito, responsabilidad, autoridad y obligacin de rendir cuentas. Aprobacin. S2. Independencia Independencia profesional. Independencia organizacional. S5. Planeacin Alcance del plan de auditora de TI. Desarrollar y documentar el enfoque de auditora basado en riesgos. Desarrollar y documentar el plan de auditora. Desarrollar el programa y los procedimientos de auditora. S6. Desempeo del trabajo de auditoria

Supervisin. Evidencia. Documentacin.

S7. Informe Identificar la organizacin, los destinatarios y cualquier restriccin. Establecer el alcance, objetivos, periodo cubierto y naturaleza del trabajo de auditora realizado. Establecer los hallazgos, conclusiones, recomendaciones y limitaciones. Justificar los resultados reportados. Debe estar firmado, fechado y distribuido de acuerdo con el estatuto de auditora o contrato. S8. Actividades de seguimiento Revisin previa de conclusiones y recomendaciones. Revisin previa de hallazgos relevantes. Determinar si la administracin ha tornado las acciones apropiadas de manera oportuna. S9. Irregularidades y actos ilcitos Considerar el riesgo de las irregularidades y actos ilcitos. Mantener una actitud de escepticismo profesional. Obtener un entendimiento de la organizacin y de su ambiente. Considerar relaciones inusuales o inesperadas. Evaluar lo adecuado del control interno. Evaluar cualquier declaracin errnea. Obtener declaraciones escritas de la administracin. Tener conocimiento de cualquier alegato, irregularidad o acto ilegal. Comunicar irregularidades y actos ilegales materiales. Tomar acciones apropiadas en caso de ver afectada su capacidad para continuar con el trabajo de auditora. Documentar comunicaciones, planeacin, resultados, evaluaciones y conclusiones relacionadas con irregularidades/actos ilegales. S10. Gobierno de TI Revisar y evaluar la alineacin de la funcin de TI con la misin, visin, valores, objetivos y estrategias de la organizacin. Revisar el estatuto de la funcin de TI acerca del desempeo esperado y evaluar su cumplimiento. Revisar y evaluar la efectividad de TI en la administracin de los recursos y del desempeo. Revisar y evaluar el cumplimiento con los requerimientos legales, ambientales, de calidad de la informacin, fiduciarios y de seguridad. Utilizar un esquema basado en riesgos para evaluar la funcin de TI. Revisar y evaluar el ambiente de control de la organizacin. Evaluar los riesgos que puedan afectar adversamente al ambiente de TI. S11. Uso de la evaluacin de riesgos en la planeacin de auditoria Usar tcnicas de evaluacin de riesgos en el desarrollo de todo el plan de auditora de TI.

Identificar y evaluar riesgos relevantes en la planeacin de auditoras individuales.

S12. Materialidad de la auditoria El auditor de TI debera considerar la materialidad de la auditoria y su relacin con el riesgo de auditora. El auditor de TI debera considerar potenciales debilidades o ausencia de controles cuando se planea para una Auditoria. El auditor de TI debera considerar el efecto acumulativo de las deficiencias o debilidades menores y la ausencia de controles. El auditor de TI debera revelar controles ineficaces o ausencia de controles. S13. Usar el trabajo de otros expertos El auditor de TI debera considerar utilizar el trabajo de otros expertos. El auditor de TI debera evaluar y quedar satisfecho con las calificaciones, competencias, etc., de otros expertos. El auditor de TI debera analizar, revisar y evaluar el trabajo de otros expertos para determinar si su trabajo es completo y adecuado. El auditor de TI debe aplicar procedimientos adicionales de prueba para obtener evidencia suficiente y apropiada de auditora. El auditor de TI debera proveer una opinin apropiada de auditora. S14. Evidencia de auditoria Incluir procedimientos ejecutados por el auditor y sus resultados. Incluir documentos fuente, registros y evidencia o soporte de la informacin. Incluir hallazgos y resultados del trabajo de auditora. Demostrar que el trabajo de auditora realizado cumple con las leyes, regulaciones y polticas aplicables.

1.3.3 Directrices de ISACA para Auditoria de TI

G1 G2 G3 G4 G5 G6 G7 G8 G9 G10 G11 G12 G13 G14 G15 Usar el trabajo de otros auditores, efectivo el junio 1998 Requerimiento de Evidencia d Auditoria, efectivo el 1 Diciembre 1998 Uso de Tcnicas de Auditoria Asistidas por Computador (CAATs), efectivo el 1 Diciembre 1998 Servicio Externo de actividades de SI para otras organizaciones, efectivo el 1 Septiembre 1999 Estatuto de Auditoria, efectivo el 1 Septiembre 1999 Conceptos de Materialidad para la Auditoria de SI, efectivo el 1 Septiembre 1999 Debido Cuidado Profesional, efectivo el l Septiembre 1999 Documentacin de Auditoria, efectivo el l Septiembre 1999 Consideraciones de Auditoria en Caso de Irregularidades, efectivo el 1 Marzo 2000 Muestreo de Auditoria, efectivo el 1 Marzo 2000 Efecto de los Controles Generales de SI, efectivo el marzo 2000 Relacin Organizacional e Independencia, efectivo el 1 Septiembre 2000 Uso de la Evaluacin de Riesgos en la Planeacin de Auditoria, efectivo el 1 Septiembre 2000 Revisin de los Sistemas de Aplicacin, efectivo el 1 Noviembre 2001 Planeacin Revisada, efectivo el 1 Marzo 2002

G16 G17 G18 G19 G20 G21 G22 G23 G24 G25 G26 G27 G28 G29 G30 G31 G32 G33 G34 G35 G36

Efecto de terceros en los controles de TI de una organizacin, efectivo el 1 Marzo 2002 Efecto de funciones ajenas a la Auditoria sobre la Independencia del Auditor, efectivo el 1 Julio 2002 Gobierno de TI, efectivo el 1 Julio 2002 Irregularidades y actos ilegales, efectivo el 1Julio 2002 Informes, efectivo 1 Enero 2003 Revisin de Sistemas de Planeacin de Recursos Empresariales (ERP), efectivo 1 Agosto 2003 Revisin Comercio Electrnico Negocio a Consumidor (B2C), efectivo 1 Agosto 2003 Ciclo de Vida del Desarrollo de Sistemas (SDLC), efectivo 1 Agosto 2003 Banca por Internet, efectivo 1 Agosto 2003 Revisin Redes Privadas Virtuales, efectivo 1 Julio 2004 Revisin de Proyectos de Reingeniera de Procesos de Negocio (BPR), efectivo 1 Julio 2004 Computacin Mvil, efectivo 1 Septiembre 2004 Cmputo Forense, efectivo 1 Septiembre 2004 Revisin Post-Implementacin, efectivo 1 Enero 2005 Competencia, efectivo 1 Junio 2005 Privacidad, efectivo 1 Junio 2005 Revisin del Plan de Continuidad del Negocio (BCP) desde la perspectiva de TI, efectivo 1 Septiembre 2005 Consideraciones General para el use de Internet, efectivo 1 Marzo 2006 Responsabilidad, Autoridad, Responsabilidad de rendir cuentas, efectivo 1 Marzo 2006 Actividades de Seguimiento, efectivo 1 Marzo 2006 Controles Biomtricos, efectivo 1 Marzo 2007

1.3.4 Procedimientos de ISACA para auditoria de TI

P1 P2 P3 P4 P5 P6 P7 P8 P9 P10 Los procedimientos desarrollados por ISACA proveen ejemplos de procesos que un auditor de TI podra seguir en un trabajo de auditora. El auditor de TI debe aplicar su juicio profesional a la situacin particular. Evaluacin de Riesgos de SI, efectivo desde el 1 de Julio de 2002 Firmas Digitales, efectivo desde el 1 de julio de 2002 Deteccin de Intrusos, efectivo desde el 1 de agosto de 2003 Virus y Otros Cdigos Maliciosos, efectivo desde el 1 de agosto de 2003 Autoevaluacin de Control de Riesgos, efectivo desde el 1 de agosto de 2003 Firewalls, efectivo desde el 1 de agosto de 2003 Irregularidades y Actos Ilegales, efectivo desde el 1 de noviembre de 2003 Evaluacin de la Seguridad - Prueba de Penetracin y Anlisis de Vulnerabilidades, efectivo desde el 1 de septiembre de 2004 Evaluacin de los controles de la Direccin sobre las Metodologas de Encripcion, efectivo desde el 1 de enero de 2005. Control de Cambios de Aplicaciones, efectivo al 1 de octubre de 2006.

1.3.5 Relaciones entre Estndares, Directrices y Procedimientos

Estndares Deben ser cumplidos por el Auditor. Directrices Proveen una gua sobre cmo puede el auditor implementar los estndares en diversas tareas de auditora. Procedimientos Proveen ejemplos de pasos que puede realizar el auditor para implementar los estndares.

1.4 Anlisis de Riesgos

1.4.1 Definicin de Riesgo
El potencial que una amenaza determinada pueda explotar vulnerabilidades de un activo o grupo de activos causando prdida o dao a los activos. El impacto o severidad relativa del riesgo es proporcional al valor para el negocio de la perdida/dao y a la frecuencia estimada de la amenaza.

1.4.2 Elementos de riesgo

Amenazas a, y vulnerabilidades de, procesos y/o activos (incluyendo tanto activos fsicos como de informacin). Impacto en los activos sobre la base de amenazas y vulnerabilidades. Probabilidad de amenazas (combinacin de la posibilidad y la frecuencia de ocurrencia).

1.4.3 Riesgo y Planeacin de Auditoria

El anlisis de riesgos es parte de la planeacin de auditora y ayuda a identificar riesgos y vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigar esos riesgos.

1.4.4 Proceso de administracin del riesgo

Evaluacin. Mitigacin. Transferencia. Aceptacin.

1.4.5 Planeamiento de la auditoria

Identificacin del Universo: Aplicaciones, Desarrollo-Gestin, Controles Generales, Tcnicas, etc. Estimacin de recursos (tiempos, rrhh, costos, etc.) Desarrollo del plan. Revisin / Ajustes. Aprobacin.

Planeamiento: Ej. Modelo Priorizador Puntaje = Exposicin x Riesgo x Factor Perdida de Confianza Exposicin (Importancia del rea/Actividad). o Activos (recursos monetarios) o Actividad (volumen de transacciones) o Visibilidad (impacto en usuarios/clientes)

10

Riesgo (Tendencia a problemas del Sistema/Funcin)

o o o o o

Resultados de Auditorias previas Activos controlados por el sistema (tipo) Madurez del Sistema (antigedad) -Mejoras/Cambios del Sistema (volumen) Complejidad del Sistema (tipo)

Factor de Perdida = (tiempo desde ultima auditoria) Otro ej. Factores de Priorizacin: Soles

11

1.5 Controles Internos

Polticas, procedimientos, prcticas y estructuras organizacionales implementadas para reducir el riesgo.

o o o o

Clasificacin de los controles internos Controles Preventivos Controles Detectivos Controles Correctivos

1.5.1 Sistema de control interno

Controles internos contables Controles operativos Controles administrativos

1.5.2 Objetivos del control interno

Salvaguarda de activos de TI. Cumplimiento con las polticas organizacionales o requerimientos legales. Entrada de informacin. Autorizacin. Exactitud e integridad del procesamiento de transacciones. Salida de informacin. Confiabilidad de los procesos. Respaldo/Recuperacin. Eficiencia y economa de las operaciones. Proceso de gestin de cambios en TI y los sistemas relacionados.

1.5.3 Objetivos de control de TI

Los objetivos de control interno aplican a todas las reas, ya scan manuales o automatizadas. Por lo tanto, conceptualmente, los objetivos de control interno permanecen invariables respecto de un ambiente manual. Salvaguarda de activos. Asegurar la integridad de los ambientes de sistema operativo en general Asegurar la integridad de los ambientes de sistemas de aplicacin sensitivos y crticos, atraves de:

o Autorizacin para ingreso de datos o Exactitud e integridad del procesamiento de transacciones o Confiabilidad de las actividades de procesamiento de informacin Exactitud, integridad y seguridad de la informacin de salida o Integridad de la base de datos
Asegurar la identificaci6n y autenticaci6n apropiada de los usuarios de los recursos de TI. Aseguramiento de eficiencia y efectividad en las operaciones. Cumplimiento con los requerimientos de los usuarios, con las polticas y procedimientos organizacionales y con las leyes y reglamentaciones aplicables.

12

Aseguramiento de la disponibilidad de los servicios de TI desarrollando planes de continuidad del negocio y de recuperaci6n de desastres. Desarrollando un plan de respuesta a incidentes. Implementando procedimientos efectivos de administracin de cambios.

1.5.4 COBIT Un marco con 4 dominios y 34 objetivos de control de alto nivel

Planeacin y organizaci6n. Adquisicin e implementaci6n. Entrega y soporte. Monitoreo y evaluacin.

Utiliza 36 estndares y regulaciones principales, relacionados con TI

ITIL Best practices in IT service management. ISO/IEC 27001:2005 Information Security Management System. ISO/IEC TR 13335 Guidelines for the Management of IT Security ISO/IEC 15408 Evaluation Criteria for IT Security TickIT Scheme for certification of the software quality management system. NIST 800-14 Generally Accepted Principles and Practices for Securing IT Systems COSO Integrated Framework process of internal control.

1.5.5 Controles Generales

Aplican a todas las reas de una organizacin e incluye polticas y prcticas establecidas por la administracin, para proveer garanta razonable que se alcanzaran objetivos especficos. Controles internos de contabilidad dirigidos a operaciones contables Controles operativos relacionados con el da a da de las operaciones Controles administrativos relacionados con la eficiencia operacional y la adherencia a las polticas de la administracin Polticas y procedimientos organizacionales de seguridad lgica Polticas generales para el diseo y use de documentos y registros Procedimientos y funciones para asegurar el acceso autorizado a los activos Polticas de seguridad fsica para todos los centros de datos

1.5.5 Controles de TI
Estrategia y direccin Organizacin general y administrativa Acceso a los recursos de TI, incluyendo datos y programas Metodologas de desarrollo de sistemas y control de cambios Procedimientos de operacin Programacin de sistemas y funciones de soporte tcnico Procedimientos de aseguramiento de calidad Controles de acceso fsico

10

13

Planeacin de continuidad del negocio / recuperacin de desastres Redes y comunicaciones Administracin de la base de datos Proteccin y mecanismos de deteccin contra ataques internos y externos

14

1.6 Ejecucin de una Auditoria

1.6.1 Definicin de Auditoria
Proceso sistemtico por medio del cual una persona competente a independiente obtiene y evala objetivamente evidencia respecto de afirmaciones acerca de una entidad o evento econmico con el propsito de formarse una opinin sobre el particular e informar el grado de conformidad de la afirmacin con respecto a un conjunto determinado de estndares.

1.6.2 Definicin de Auditoria de TI

Una auditoria que abarca la revisin y evaluacin (total o parcial) de los sistemas automatizados de procesamiento de informacin, procesos relacionados no automatizados y las interfaces entre ellos.

1.6.3 Clasificacin de las Auditorias

Auditorias Financieras Auditorias Operativas Auditorias Integradas Auditorias Administrativas Auditorias de Sistemas de Informacin Auditorias Especializadas Auditorias Forenses

1.6.4 Programas de auditoria

Basado en el alcance y el objetivo de la asignacin particular Perspectivas del auditor de TI:

o Seguridad (confidencialidad, integridad y disponibilidad) o Calidad (efectividad, eficiencia) o Fiduciaria (cumplimiento, confiabilidad) o Servicio y Capacidad 1.6.4.1 Procedimientos Generales de Auditoria
Conocimiento del rea/sujeto de auditoria Evaluacin de riesgo y plan general de auditoria Planeacin detallada de auditoria Revisin Preliminar del rea/sujeto de auditoria Evaluacin rea/sujeto de auditoria Pruebas de cumplimiento Pruebas sustantivas Informe (comunicacin de resultados) Seguimiento

1.6.4.2 Procedimientos para prueba y evaluacin de controles de TI

Uso de software generalizado de auditora para examinar el contenido de los archivos de datos

15

Uso de software especializado para evaluar el contenido de los archivos de parmetros del sistema operativo Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas y procesos de negocio Uso de registros de auditora disponibles en los sistemas operativos Revisin de la Documentacin Observacin

1.6.5 Metodologa de auditoria

Un conjunto de procedimientos de auditora documentados y diseados para alcanzar los objetivos de auditora planeados Compuestos de:

o Declaracin del alcance o Declaracin de los objetivos de auditoria o Declaracin del programa de trabajo
Establecida y aprobada por la gerencia de auditoria Comunicada a todo el personal de auditoria

1.6.5.1 Fases de la auditoria

Sujeto de la auditoria Objetivo de la auditoria Alcance de la auditoria Planeacin de auditora preliminar o Preauditoria Procedimientos de auditora y pasos para la recopilacin de datos Procedimientos para evaluar la prueba o revisar los resultados Procedimientos de comunicacin con la gerencia Elaboracin del informe de auditoria

1.6.6 Deteccin de fraude

Responsabilidad de la administracin. Beneficios de un sistema de control interno bien diseado:

o Disuadir fraudes en primera instancia. o Detectar fraudes oportunamente.

Deteccin y revelacin de fraudes. Rol del auditor en la prevencin y deteccin de fraudes.

1.6.7 Auditoria basada en riesgo

Adaptado para desarrollar y mejorar el proceso de auditora contina. Utilizado para evaluar riesgos y para apoyar la decisin del auditor de TI de realizar pruebas de cumplimiento o pruebas sustantivas.

1.6.8 Riesgo de auditora y materialidad 1.6.8.1 Categoras de Riesgo de Auditoria

Riesgo inherente

16

Riesgo de control Riesgo de deteccin Riesgo general de auditoria

1.6.8.2 Materialidad
Un concepto de auditora con respecto a la importancia de un "tem" de informacin con respecto a su impacto o efecto sobre el funcionamiento de la entidad que est siendo auditada.

1.6.9 Evaluacin y Tratamiento del Riesgo 1.6.9.1 Evaluacin de los riesgos de seguridad
Las evaluaciones del riesgo deben identificar, cuantificar y categorizar los riesgos contra criterios para aceptacin del riesgo y objetivos relevantes para la organizacin. Deben realizarse peridicamente para ocuparse de los cambios en el entorno, los requerimientos de seguridad, en la situacin del riesgo, y cuando ocurren cambios significativos. Cada uno de los riesgos identificados en la evaluacin del riesgo necesita ser tratado. Los controles deben ser seleccionados para asegurar que los riesgos se reduzcan a un nivel aceptable.

1.6.10 Tcnicas de evaluacin de riesgos

Permite a la administracin asignar de manera efectiva los recursos limitados de auditora. Asegura que la informacin relevante ha sido obtenida de todos los niveles de la administracin. Establece una base para dirigir efectivamente el Departamento de Auditoria. Provee un resumen de como un aspecto individual de auditora se relaciona con la organizacin en general y con los planes del negocio.

1.6.11 Objetivos de Auditoria Metas especficas de Auditoria

Cumplimiento con los requerimientos legales y regulatorios Confidencialidad Integridad Confiabilidad Disponibilidad

1.6.12 Pruebas de cumplimiento vs. Pruebas sustantivas Metas especficas de Auditoria

Cumplimiento con los requerimientos legales y regulatorios Confidencialidad Integridad

17

Confiabilidad Disponibilidad

1.6.13 Evidencia
Es un requisito que las conclusiones del auditor deben basarse en evidencia suficiente, relevante y competente. Independencia del proveedor de la evidencia. Calificacin del individuo que provee la informacin o evidencia. Objetividad de la evidencia. Tiempo de disponibilidad de la evidencia.

Tcnicas para recopilar evidencia:

Revisin de las estructuras organizacionales de SI Revisin de polticas y procedimientos de SI Revisin de estndares de SI Revisin de documentacin de SI Entrevistas al personal apropiado Observacin de procesos y desempeo de los empleados

1.6.14 Entrevista y observacin al personal en el desempeo de sus funciones

Funciones reales Procesos/procedimientos reales Concientizacin de seguridad Lneas de reporte

1.6.15 Muestreo
Enfoques generales para muestreo de auditora: Muestreo estadstico Muestreo no estadstico Muestreo de atributos

o Muestreo parar o seguir o Muestreo de Descubrimiento

Muestreo de variable

o Media estratificada por unidad o Media no estratificada por unidad o Estimacin de la diferencia Trminos de muestreo estadstico:
Coeficiente de Confianza Nivel de riesgo Precisin Tasa de error esperada

18

Trminos de muestreo estadstico:

Media de la muestra Desviacin estndar de la muestra Tasa de error tolerable Desviacin estndar de la poblacin

Pasos claves en la seleccin de una muestra:

Determinar los objetivos de la prueba. Definir la poblacin de la que se obtendr la muestra. Determinar el mtodo de muestreo, como muestreo de atributos vs muestreo de variables. Calcular el tamao de la muestra. Seleccionar la muestra. Evaluar la muestra desde una perspectiva de auditora.

1.6.16 Uso de los servicios de otros auditores y expertos Consideraciones cuando se usa servicios de otros auditores y expertos:
Restricciones sobre "outsourcing" de servicios de auditora/seguridad dispuestas por leyes y regulaciones. Estatuto de auditora o estipulaciones contractuales. Impacto general sobre objetivos especficos de auditora de TI. Impacto sobre el riesgo de auditora y responsabilidad profesional. Independencia y objetividad de otros auditores y expertos. Competencia profesional, calificaciones y experiencia. Alcance del trabajo que se propone sea dado en outsourcing y mtodo. Controles de supervisin y direccin de auditora. Mtodos y modalidades de comunicacin de resultados del trabajo de auditora. Cumplimiento con regulaciones y estipulaciones legales. Cumplimiento con los estndares profesionales aplicables.

1.6.17 Tcnicas de auditora asistidas por computador (CAAT) CAAT facilitan al auditor de TI obtener informacin de manera independiente, incluye:
Software generalizado de auditoria Software utilitario Datos de prueba Aplicaciones de software de auditora continua y en lnea Sistemas Expertos de Auditoria

Caractersticas del Software Generalizado de Auditoria (GAS):

Clculos matemticos Estratificacin Anlisis estadstico Verificacin de secuencia

19

Funciones soportadas por GAS:

Acceso a archivos Reorganizacin de archivos Seleccin de datos Funciones estadsticas Funciones aritmticas

tems a considerar antes de utilizar CAAT:

Facilidad de uso, tanto para el personal de auditora existente y futuro Requerimientos de entrenamiento Complejidad de la codificacin y del mantenimiento Flexibilidad de uso Requerimientos de instalacin Eficiencia de procesamiento Confidencialidad de los datos que se estn procesando

Documentacin que se debe conservar:

Informes en lnea detallando los asuntos de alto riesgo para revisin Listados de programs con cometarios Diagramas de flujo Informes de muestras Descripcin de registros y de archivos Definiciones de campos Instrucciones de operacin Descripcin de documentos fuente aplicables

CAAT como Metodologa de Auditoria Continua y en Lnea:

Mejorar la eficiencia de la auditoria, El auditor de TI debe:

o Desarrollar tcnicas de auditora apropiadas para ser usadas con sistemas computarizados avanzados. o Estar involucrados en la creacin de sistemas avanzados. o Hacer mayor use de las herramientas automatizadas. 1.6.18 Evaluacin de fortalezas y debilidades de la auditoria
Valoracin de la evidencia Evaluar la estructura general de control Evaluar procedimientos de control Valorar las fortalezas y debilidades de control

Juzgando la materialidad de los hallazgos

La materialidad es un aspecto clave La evaluacin requiere juzgar el efecto potencial de un hallazgo si no se toman acciones correctivas

20

1.6.19 Comunicacin de los resultados de auditoria

Entrevista de salida

o Hechos correctos o Recomendaciones realistas o Fechas de implementacin para las recomendaciones acordadas
Tcnicas de presentacin

o Resumen ejecutivo o Presentacin visual Estructura y contenido del informe de Auditoria

Introduccin al informe Hallazgos de auditora en anexos separados Conclusin y opinin generales del auditor de TI Reservas del auditor de TI con respecto a la auditoria Hallazgos detallados y recomendaciones de auditoria Variedad de hallazgos

1.6.20 Acciones de la Gerencia para implementar las recomendaciones

Asignar responsables y plazos Auditar es un proceso continuo Programar el seguimiento

1.6.21 Documentacin de Auditoria La documentacin de auditora incluye:

La planeaci6n y elaboraci6n del alcance y objetivos de la auditoria Descripci6n del entorno del rea auditada Programa de auditoria Pasos de auditora efectuados para reunir evidencia Uso de los servicios de otros auditores y expertos Hallazgos de auditora, conclusiones y recomendaciones

21

1.7 Autoevaluacin del Control (CSA)

Una tcnica de administracin Una metodologa En la prctica, un conjunto de herramientas Puede ser implementado mediante diversos mtodos Una tcnica de administracin Una metodologa En la prctica, un conjunto de herramientas Puede ser implementado mediante diversos mtodos

1.7.1 Objetivos del CSA

Apalancar la funcin de auditoria interna cambiando algunas de las responsabilidades de monitoreo de control a las reas funcionales. Ampliar la cobertura de las responsabilidades de auditora (no remplazarlas). Educacin para la administracin de lnea en la responsabilidad de control y monitoreo. Empoderamiento de los empleados para evaluar el ambiente de control.

1.7.2 Beneficios del CSA

Deteccin temprana de riesgos. Controles internos ms efectivos y mejorados. Mayor conciencia de los empleados sobre los objetivos organizacionales. Empleados altamente motivados. Proceso mejorado de calificacin en auditorias. Reduccin en el costo del control. Mayor seguridad para los accionistas y clientes.

1.7.3 Desventajas del CSA

Puede confundirse como un reemplazo de la auditoria. Puede considerarse como una carga ms de trabajo. No implementar las mejoras sugeridas puede afectar la moral de los empleados. La falta de motivacin puede lmite la efectividad en la deteccin de debilidades de control.

1.7.4 Rol del auditor en CSA

Profesionales de control interno. Facilitadores de evaluacin.

1.7.5 Drivers de tecnologa para CSA

22

Combinacin de hardware y software. Uso de un sistema de reunin electrnico. Apoyo para la toma de decisiones soportadas por computador. La toma de decisiones del grupo es un componente esencial.

1.7.6 Enfoque Tradicional vs. Enfoque CSA Enfoque Tradicional

Asigna Tareas /supervisa al personal Impulsado por polticas /reglas Participacin limitada de los empleados Reducido Enfoque en accionistas (stakeholder)

Enfoque CSA
Empleados empoderados /sujetos a rendicin de cuentas Mejora continua /curva de aprendizaje Extensa participacin y capacitacin de empleados Amplio enfoque en accionistas

23

1.8 Cambios Emergentes en el Proceso de Auditoria de TI

1.8.1 Papeles de Trabajo Automatizados
Anlisis de riesgos Programas de auditoria Resultados Evaluacin de evidencias Conclusiones Informes y otra informacin complementaria

Controles mnimos:
Acceso a los papeles de trabajo Pistas de auditoria Aprobacin de las Fases de Auditoria Controles de Seguridad e Integridad Respaldo y Recuperacin Encripcion y Confidencialidad

1.8.2 Auditoria Integrada

Proceso donde las disciplinas de auditora necesarias son combinadas para evaluar controles internos claves de una operacin, un proceso o una entidad

Se enfoca en el riesgo de la organizacin (para el caso de la auditora interna). Se enfoca en el riesgo de proveer una opinin de auditora incorrecta o engaosa (para el caso del auditor externo).

Procesos Tpicos:
Identificar controles clave relevantes Revisar y entender el diseo de los controles Probar que los controles clave estn soportados por el sistema de TI Probar que la administracin de los controles opera efectivamente Un informe u opinin combinada sobre riesgos y debilidades de los controles

1.8.3 Auditoria contina Caractersticas propias

Lapso corto de tiempo entre el hecho que va a ser auditado y la recopilacin de evidencia y el informe de auditora.

Conductores
Mejor monitoreo de los aspectos financieros. Permite el monitoreo en tiempo real de transacciones en tiempo real. Previene fiascos financieros y escndalos de auditora. Usa software para determinar el control financiero ms apropiado.

24

Auditoria contina vs. Monitoreo continuo Monitoreo continuo

Administracin conducida. Basada en procedimientos automatizados para reunir responsabilidades fiduciarias.

Auditoria contina
Auditoria conducida. Se utiliza procedimientos de auditora automatizados.

Facilitar la aplicacin de auditora continua:

Nueva informacin sobre desarrollos tecnolgicos. Incrementa la capacidad de procesamiento. Estndares. Herramientas de inteligencia artificial.

Prerrequisitos:
Un alto grado de automatizaci6n Un proceso de produccin de informacin automatizado y confiable Alarmas "triggers" para reportar fallas en los controles Implementacin de herramientas de auditora automatizadas Rapids informacin al auditor de SI de anomalas/errores Informes automatizados de auditora en forma oportuna Habilidades tcnicas de los auditores de sistemas Disponibilidad de fuentes confiables de evidencia Adherencia a los lineamientos de materialidad Adopcin de un cambio de actitud del auditor de TI Evaluacin de los factores de costo

Tcnicas de TI en un ambiente de auditora contina:

Registro de transacciones Herramientas de consultas Estadsticas y anlisis de datos (CAAT's) Sistema Administrador de Base de Datos (DBMS) Data warehouses, data marts, data mining. Inteligencia Artificial (AI) Mdulos de auditora embebidos (EAM) Tecnologa de redes neurales

Ventajas

Captura instantnea de problemas de control interno. Reduccin de ineficiencia intrnseca de auditora.

Desventajas
Dificultad en la implementacin. Alto costo. Eliminacin del juicio personal del auditor y su evaluacin.

25