Está en la página 1de 46

INSTITUTO TECNOLGICO LATINOAMERICANO

Auditora de Tecnologa de Informacin

Dr. Francisco Rafael Trejo Macotela

Reporte: Captulo 1 Proceso de Auditora de Sistema de Informacin

Adrian Hernndez Medina


Alejandra Ramrez Antonio
Beatriz Alicia Rivera Mendoza

24-Julio-2015

Contenido

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

1.

Introduccin......................................................................................................... 3

2.

Objetivo................................................................................................................ 3

3.

Proceso de Auditora de Sistema de Informacin.................................................3


3.1.

Referencia Rpida.......................................................................................... 3

3.2.

Gestin de la Funcin de Auditora de SI........................................................4

3.3.

Estndares y Directrices de Aseguramiento y Auditora de TI de ISACA........5

3.4.

Anlisis de Riesgos...................................................................................... 17

3.5.

Controles Internos........................................................................................ 18

3.6.

Realizacin de Auditoras de SI....................................................................19

3.7.

Autoevaluacin del Control..........................................................................39

3.8.

Cambios Emergentes en el Proceso de Auditora de SI................................41

4.

Conclusiones...................................................................................................... 43

5.

Bibliografa......................................................................................................... 43

6.

Lista de acrnimos............................................................................................. 43

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

1. Introduccin
El presente trabajo tiene como finalidad presentar el proceso de Auditora de
Sistemas de Informacin de CISA (Auditor Certificado de Sistemas de
Informacin) la cual es una certificacin que forma parte de las
certificaciones que ofrece ISACA (Asociacin de Auditora y Control en
Sistemas de Informacin). Este reporte nicamente contempla el primer
captulo del manual de preparacin para la certificacin CISA, en este
captulo se abarcan los temas generales que se tratan en todo el manual,
con la finalidad de que el aspirante a presentar el examen comprenda los
conceptos abordados en todo el manual

2. Objetivo
Mostrar un marco de referencia de la certificacin CISA.

3. Proceso de Auditora de Sistema de Informacin


3.1. Referencia Rpida
En este captulo se muestra el marco para realizar un Auditora de SI, que
incluye los requerimientos obligatorios relacionados con la misin y actividad
del auditor tal como se muestra en la Figura 1

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 1 Referencia Rpida

Los temas clave que se desarrollan en este captulo son los siguientes:
Roles y responsabilidades del auditor incluyen los resultados esperados
Independencia del proceso de auditora y nivel de autoridad
Requerimiento de planificacin independientemente de los objetivos
Enfoque relacionado a controles para tener claro el enfoque de la
auditora
Alcance, Trabajo de Campo y Ejecucin se deben incluir en los riesgos
de auditora
Evidencia de Auditoria para respaldar la credibilidad y los reportes de
auditora
Responsabilidad de auditora y nivel de conocimientos al considerar los
requerimientos legales que afectan la auditoria
Enfoque orientado a Riesgos debe estar de acuerdo con los estndares
y marcos de SI
Comprender la diferencia entre objetivos y procedimientos de control
3.2. Gestin de la Funcin de Auditora de SI
4

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

En la Figura 2 se describe la Gestin de la Funcin de auditora

Figura 2 Gestin de la Funcin de auditora

3.3. Estndares y Directrices de Aseguramiento y Auditora de TI de ISACA


3.3.1 Cdigo de tica Profesional de ISACA
ISACA establece este Cdigo de tica Profesional para guiar la conducta profesional
y personal de los miembros de la asociacin y/o de los portadores de la
certificacin.

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 3 Cdigo de tica Profesional de ISACA

3.3.2 MARCO GENERA DE ESTNDARES DE ASEGURAMIENTO Y AUDITORA


DE TI DE ISACA

El carcter especializado de la auditoria de SI, y de las habilidades y


conocimientos necesarios para llevar a cabo dichas auditorias, requieren
estndares aplicables globalmente que sean pertinentes de forma especfica
a la auditoria S.I. Una de las funciones ms importantes de ISACA es proveer
informacin (conjunto comn de conocimientos) para respaldar los
requerimientos de conocimiento.

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 4. Estndares de auditoria ISACA

3.3.3 Directrices de aseguramiento y auditoria de TI de ISACA


El objetivo de las directrices de aseguramiento y auditoria de TI de IASACA
es proporcionar
informacin adicional sobre como cumplir con los
estndares de aseguramiento y auditoria de TI de ISACA. El auditor de SI
debera:

Usar el juicio profesional para aplicarlo en auditorias especficas.


Poder justificar cualquier diferencia.

ndice de directrices de aseguramiento y auditoria de TI


G1 Uso del trabajo de otros Auditores,
con efecto a partir del 1 de marzo de
2008

G2 Requerimiento de Evidencia de
Auditoria, con efecto a partir del 1 de
mayo de 2008

G3 Uso de Tcnicas de Auditora


Asistidas por Computadora (CAATs), con
efecto a partir del 1 de marzo de 2008

G4 Contratacin de servicios externos


de actividades de SI para otras
organizaciones, con efecto a partir del 1
de mayo de 2008

G5 Estatuto de Auditora, con efecto a


partir del 1 de febrero de 2008

G6 Conceptos de materialidad para la


Auditora de Sistemas de Informacin,
con efecto a partir del 1 de mayo de
2008
7

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

G7 Debido Cuidado Profesional, con


efecto a partir del 1 de marzo de 2008

G8 Documentacin de la Auditora, con


efecto a partir del 1 de marzo de 2008

G9 Consideraciones de Auditora para


Irregularidades y Actos Ilegales,
vigentes a partir del 1 de septiembre
de 2008

G10 Muestreo de Auditora, con efecto a


partir del 1 de agosto de 2008

G11 Efecto de los Controles Generales


de SI, con efecto a partir del 1 de agosto
de 2008

G12 Relacin organizacional e


Independencia, con efecto a partir del 1
de agosto de 2008

G13 Uso de la Evaluacin de riesgos en


la Planificacin de la Auditora, con
efecto a partir del 1 de agosto de 2008

G14 Revisin de los sistemas de


aplicacin, vigente a partir del 1 de
diciembre de 2008

G15 Planificacin de la auditoria,


vigente a partir del 1 de mayo de 2010

G16 Efecto de Terceros en los controles


de TI de una Organizacin, con efecto a
partir del 1 de marzo de 2009

G17 Efecto del rol de No-Auditora sobre


la auditora de TI y la Garanta de la
Independencia del Profesional, vigente a
partir del 1 de mayo de 2010

G18 Gobierno de TI, vigente a partir del


1 de julio de 2002

G19 Irregularidades y Actos Ilegales,


Eliminada, 1 de septiembre de 2008

G20 Tcnicas de reporte, vigente a


partir del 16 de septiembre de 2006

G21 Revisin del Sistema de


planificacin de recursos de empresa
(ERP), vigente a partir del 16 de
septiembre de 2010

G22 Revisin del comercio electrnico


de empresa a cliente (B2C), vigente a
partir del 1 de agosto de 2003

G23 Revisin del Ciclo de Vida de


Desarrollo de Sistemas (SDLC), con
efecto a partir del 1 de agosto de 2003

G24 Banca por Internet, con efecto a


partir del 1 de agosto de 2003

G25 Revisin de Redes Privadas


Virtuales, con efecto a partir del 1 de
julio de 2004

G26 Revisin de Proyectos de


Reingeniera de Procesos de Negocio
(BPR), con efecto a partir del 1 de julio
de 2004

G27 Computacin Mvil, con efecto a


partir del 1 de septiembre de 2004

G28 Cmputo Forense, con efecto a


partir del 1 de septiembre de 2004

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

G29 Revisin Posterior a la


Implementacin, con efecto a partir del
1 de enero de 2005

G30 Competencia, con efecto a partir


del 1 de junio de 2005

G31 Privacidad, con efecto a partir del 1


de junio de 2005

G32 Revisin del Plan de Continuidad


del Negocio desde una Perspectiva de
TI, con efecto a partir del 1 de
septiembre de 2005

G33 Consideraciones Generales sobre el


Uso de Internet, con efecto a partir del 1
de marzo de 2006

G34 Responsabilidad, Autoridad y


Rendicin de cuentas, con efecto a
partir del 1 de marzo de 2006

G35 Actividades de seguimiento, con


efecto a partir del 1 de marzo de 2006

G36 Controles Biomtricos, con efecto a


partir del 1 de febrero de 2007

G37 Gestin de Configuracin, con


efecto a partir del 1 de noviembre de
2007

G38 Control de Acceso, con efecto a


partir del 1 de febrero de 2008

G39 Organizaciones de TI, con efecto a


partir del 1 de mayo de 2008

G40 Revisin de las Prcticas de Gestin


de Seguridad, vigente a partir del 1 de
diciembre de 2008

G41 Retorno sobre la inversin en


seguridad (ROSI) efectiva a partir del 1
de mayo de 2010

G42 Aseguramiento continuo, efectiva a


partir del 1 de mayo de 2010

3.3.4 HERRAMIENTAS Y TCNICAS DE ASEGURAMIENTO DE AUDITORA DE


TI DE ISACA
Las herramientas y las tcnicas desarrolladas por a la Junta de Estndares de ISACA
proveen ejemplos de procesos que un auditor de SI posiblemente podra seguir en
un trabajo de auditoria. Para determinar si una herramienta y tcnica especfica es
apropiada, los auditores de SI deben aplicar su juicio profesional a la situacin
particular.
No es obligatorio que el auditor de SI siga estas herramientas y tcnicas, no
obstante, al seguir estos procedimientos el auditor tendr certeza de que est
siguiendo los estndares.

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

ndice de herramientas y tcnicas de aseguramiento y auditora de TI

10

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 5.

ndice de herramientas y tcnicas de aseguramiento y auditora de TI

11

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

3.3.5 RELACIONES ENTRE ESTNDARES, DIRECTRICES Y HERRAMIENTAS Y


TCNICAS
Los estndares definidos por ISACA deben ser cumplidos por el auditor de SI. Las
directrices proveen una gua sobre cmo puede el auditor implementar los
estndares en diversas asignaciones de auditoria. Las herramientas y tcnicas
proporcionan ejemplos de pasos que el auditor puede seguir en asignaciones de
auditoria especficas para implementar los estndares, no obstante, el auditor de SI
debe utilizar su juicio profesional al utilizar las directrices, las herramientas y las
tcnicas.

3.3.6 INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK (ITAF)

Figura 6. INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK

Seccin 2200Estndares Generales

12

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 7. Seccin 2200 Estndares Generales ISACA

Seccin 2400Estndares de Desempeo

13

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 8. Seccin 2400Estndares de Desempeo ISACA

Seccin 2600Estndares sobre Informes


Los estndares sobre la elaboracin de informes tratan los tipos de informe, los
medos de comunicacin y la informacin que se comunicaran.

Figura 9. Seccin 2600Estndares sobre Informes ISACA

Seccin 3000Directrices de Aseguramiento de TI

14

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 10. Seccin 3000Directrices de Aseguramiento de TI

Seccin 3200Temas relacionados con la empresa

Figura 11. Seccin 3200Temas relacionados con la empresa

15

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Seccin 3400Procesos de gestin de TI

Figura 12. Seccin 3400Procesos de gestin de TI

Seccin 3600Procesos de aseguramiento y auditora de TI

16

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 13. Seccin 3600Procesos de aseguramiento y auditora de TI

Seccin 3800Gestin de aseguramiento y auditora de TI

17

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 14. Seccin 3800Gestin de aseguramiento y auditora de TI

3.4. Anlisis de Riesgos


El anlisis de riesgos es parte de la planificacin de auditora y ayuda a
identificar los riesgos y vulnerabilidades par que el auditor de SI pueda
determinar los controles necesarios para mitigar los riesgos.
En la Figura 3 se muestra el diagrama del proceso de evaluacin de Riesgos

18

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 15 Resumen de Proceso de Evaluacin de Riesgo

3.5. Controles Internos


Los controles internos normalmente estn constituidos por polticas,
procedimientos, prcticas y estructuras organizacionales implementadas
para reducir los riesgos de la organizacin.

Clase

Funcin

Ejemplos

Preventivos

Detecta los problemas antes de que aparezcan


Monitorean tanto la operacin como las entradas
Intentan predecir los problemas potenciales antes de que
ocurran y realizan ajustes
Evitan que ocurra un error

Detectivos

Utilizan controles que detectan e informan la ocurrencia de


un error, omisin o acto fraudulento

Emplean solo personal capacitado


Segregan funciones
Controlan acceso a instalaciones fsicas
Utilizan documentos bien diseados
Establecen procedimientos adecuados para la
autorizacin de transacciones
Completan verificacin de edicin programadas
Utilizan software de control de acceso a los
archivos
Utilizan software de encriptacin
Totales de comprobacin
Puntos de verificacin
Controles de eco en telecomunicaciones
Mensajes de error en etiquetas de cintas
Verificacin duplicada de clculos

19

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Correctivo

Minimizar el impacto de una amenaza


Remediar problemas descubiertos
Identificar la causa de un problema
Corregir errores que surgen de un problema
Modificar los sistemas de procesamiento para minimizar
futuras ocurrencias del problema

Reporte de rendimiento peridico


Informes de cuentas vencidas
Planificacin de Contingencia
Procedimientos de respaldo
Procedimientos de nueva ejecucin

Figura 16 Controles Internos

3.6. Realizacin de Auditoras de SI


Para realizar una auditoria, se requieren varios pasos. Una planeacin
adecuada es el primer paso necesario para realizar auditorias de SI
efectivas.

20

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Fig. 17 Se muestran los aspectos a realizar por un auditor

El proceso de auditoria incluye:


Definicin del alcance de la auditoria
Formulacin de objetivos
Realizacin de procedimientos
Revisin y evaluacin de evidencia
Elaboracin de conclusiones
Realizacin de reporte presentado a la gerencia.

21

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Fig. 18 Se muestran las tcnicas de gestin de proyectos para realizar una auditoria

3.6.1 Clasificacin de Auditorias


Fig. 19 Se muestra la clasificacin de auditoria

22

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

3.6.2 Programas de Auditoria


El programa de trabajo de auditoria es la estrategia de auditoria y el plan de
auditoria, este identifica el alcance, los objetivos y los procedimientos de
auditoria para lograr evidencia suficiente, competente y confiable para
obtener y sustentar las conclusiones y opiniones de auditoria.

23

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Fig. 20 Se muestran los procedimientos generales de auditora

El auditor de SI debe entender los procedimientos para la prueba y


evaluacin de los controles de SI.

24

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Fig. 21 Muestra los procedimientos de pruebas y evaluacin de los controles de SI

3.6.3 Metodologa de la Auditoria


Una

metodologa

de

auditoria

es

un

conjunto

de

procedimientos

documentados de auditoria diseados para alcanzar los objetivos de


auditoria planificados

25

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Fig. 22 Muestra una tabla con las fases de la auditoria

3.6.4 Auditoria basada en el riesgo


Un enfoque de auditoria basado en el riesgo esta generalmente adaptado
para desarrollar y mejorar el proceso de auditoria continua. En un enfoque
de auditoria basado en riesgos, los auditores de SI no se basan solo en el
riesgo, si no que tambin se basan en los controles internos y operativos as
como en sus conocimientos de la empresa o del negocio.
Al entender la naturaleza del negocio, los auditores de SI pueden identificar
y clasificar los tipos de riesgo que determinaran mejor el modelo de riesgo o
el enfoque para llevar acabo la auditoria.

3.6.5 Riesgo y materialidad de la Auditoria

26

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

El riesgo de auditoria puede ser definido como el riesgo que la informacin


pueda contener errores importantes que pueden pasar sin ser detectados
durante el curso de la auditoria

Fig. 23 Clasificacin de riesgos

El riesgo de auditoria se usa tambin a veces para describir el nivel de riesgo


que un auditor de SI esta preparado para aceptar durante una asignacin de
auditoria. Las consideraciones de materialidad, combinadas con una
comprensin del riesgo de auditoria, son conceptos esenciales para
planificar las reas que sern auditadas as como las pruebas especificas que
se llevaran a cabo en una auditoria determinada.

27

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

3.6.6 Evaluacin y tratamiento de riesgos

Las evaluaciones de riesgos deben identificar, cuantificar y priorizar los


riesgos contra criterios para aceptacin del riesgo y objetivos relevantes
para la organizacin. Los resultados deben guiar y determinar la accin
apropiada de a gerencia y las prioridades para gestionar los riesgos de
seguridad de la informacin y para implementar controles seleccionados
para proteger contra estos riesgos.
El alcance de una evaluacin de riesgos puede ser o bien toda la
organizacin, parte de la organizacin, un sistema de informacin individual,
componentes especficos del sistema, o servicios en los que esto es
practicable, realista y til.

28

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Fig. 24 Tratamiento de riesgos

Los controles se pueden seleccionar a partir de este estndar u otro conjunto


de controles, o es posible disear nuevos controles para cubrir las
necesidades especificas de la organizacin.
3.6.7 Tcnicas de valoracin de riesgos
Al determinar cuales reas funcionales deberan ser auditadas, el auditor de
SI podra enfrentarse con una gran variedad de sujetos de auditoria. Cada
uno de ellos puede representar diferentes tipos de riesgo de auditoria. El
auditor de SI debera evaluar estos candidatos con diferentes riesgos para
determinar cuales son las reas de alto riesgo que debera ser auditadas.
Uno de estos enfoques de evaluacin de riesgos es un sistema de
puntuacin que es til para priorizar auditorias con base en una evaluacin
de factores de riesgo.
Los mtodos de evaluacin de riesgos pueden cambiar y desarrollarse
atreves del tiempo para satisfacer las necesidades de la organizacin. El
auditor de SI debera considerar el nivel de complejidad y detalle apropiados
para la organizacin que se este auditando.

3.6.8 Objetivos de la auditoria


Los objetivos de la auditoria se refieren a las metas especificas que deben
cumplirse por parte de la auditoria.
Los objetivos de auditoria se centran a menudo en validar que existen
controles internos para minimizar los riesgos del negocio y que estos
funcionen como se espera.
29

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Un elemento clave en la planificacin de una auditoria de sistemas de


informacin es traducir los objetivos de auditoria bsicos y de amplio alcance
en objetivos especficos de auditoria de sistemas de informacin. El auditor
de SI debe tener una comprensin de cmo se pueden traducir los objetivos
generales de auditoria en objetivos especficos de control de los sistemas de
informacin.
De manera alternativa, un auditor de SI puede ayudar en la evolucin de la
integridad de los datos de un informe financiero, la cual es conocida como
prueba

sustantiva,

travs

de

tcnicas

de

auditoria

asistida

por

computadora.

3.6.9 Pruebas de cumplimiento vs Pruebas sustantivas


Las pruebas de cumplimiento consisten en recolctar evidencia con el
propositp de probar el cumplimiento de una organizacin con procedimientos
de control. Eso difiere de la prueba sustantiva, en la que la evidencia se
recoge para evaluar la integridad de transacciones individuales, datos u otra
informacin
Una prueba de cumplimiento determina si los controles estn siendo
aplicados de manera que cumplen con las polticas y los procedimientos de
gestin.
Es importante que el auditor de SI entienda el objetivo especifico de una
prueba de cumplimiento y del control que se esta probando.
Los auditores de SI podrn usar pruebas sustantivas para comprobar si ay
errores monetarios que afecten directamente a los saldos de los estados
financieros u otros datos relevantes de la organizacin.

30

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

3.6.10 Evidencias
La evidencia es cualquier informacin usada por el auditor de SI para
determinar si la entidad o los datos que estn siendo auditados cumplen con
los criterios u objetivos establecidos y soporta las conclusiones de auditoria.
La evidencia de auditoria puede incluir observaciones del auditor de SI, notas
de las entrevistas, material extrado de la correspondencia y documentacin
interna o los contratos con socios externos o los resultados de los
procedimientos de prueba de auditoria.

Fig. 25 Determinantes para evaluar la confidencialidad de la evidencia de la auditoria

El auditor de SI rene una variedad de evidencias durante la auditoria. Es


importante que los auditores de SI tengan una comprensin de las reglas de
31

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

la evidencia, ya que es posible que encuentren una variedad de tipos de


evidencia

Fig.26 Tcnicas para la recopilacin de evidencia

32

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Los auditores de SI deberan reconocer que con las tcnicas de desarrollo de


sistemas, como la ingeniera de software asistida por computadora o
creacin de prototipos no se requerir la documentacin de sistemas
tradicionales o estar en una forma autorizada en vez de estar en papel.

3.6.11 Muestreo
El muestreo es usado cuando las consideraciones de tiempo y de costo
impiden una verificacin total de todas las transacciones o eventos en una
poblacin definida previamente.

Fig. 27 Tipos de muestreo de auditoria

Al utilizar mtodos de muestreo estadstico o no estadstico, el auditor de SI


debera

disear

seleccionar

una

muestra

de

auditoria,

ejecutar

33

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

procedimientos de auditoria y evaluar los resultados de la muestra para


obtener evidencia de auditoria suficiente , confiable, relevante y til.
Dentro de estos dos enfoques generales para muestreo de auditoria, existen
dos mtodos principales de muestreo usados por los auditores de SI:
muestreo de atributos y muestreo de variables.

Fig. 28 Mtodos de muestreo

Es importante saber que existen herramientas para analizar la totalidad de


los datos, no solo aquellas disponibles a travs de tcnicas de auditorias
asistidas por computadora.

3.6.12 Tcnicas de auditoria asistidas por computadora


Durante la ejecucin de la auditoria, el auditor de SI debe obtener evidencia
suficiente, relevante y til para lograr de manera efectiva los objetivos de la
auditoria. En la actualidad, los ambientes de proceamiento de informacin
34

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

plantean un duro desafio al auditor de SI para la recopilacin de evidencia


sufciente relevante y til ya que la evidencia existe en medios magnticos.
Las CAATs son herramientas impprtantes para el auditor de SI para recolectar
informacin de estos ambientes. Estas mismas incluyen numerosos tipos de
herramientas y tcnicas, tales como software de uso generalizo en auditoria
(GAS), entre otros.
El GAS se refiere al software estndar que tiene la capacidad de leer y
acceder a los datos directamente de diversas plataformas de BD, sistemas
de archivos planos y formatos ASCII.

Fig. 29 Funciones soportadas por GAS

Un auditor de SI debera ponderar el costo y los beneficios de las CAATs


antes de invertir esfuerzo, tiempo y gastos para comprarlos o desarrollarlos.

35

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Fig. 30 Beneficios de las CAATs

La mayora de los CAATs proveen la descarga de los datos de produccin de


los sistemas de produccin a una plataforma independiente y luego proveen
la realizacin del anlisis a partir de la plataforma independiente, y
finalmente aislar los sistemas de produccin de cualquier impacto adverso.

3.6.13 Evaluacin de las fortalezas y debilidades

36

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

El auditor de SI revisara la evidencia recopilada durante la auditoria para


determinar si las operaciones revisadas estn bien controladas y son
efectivas. Normalmente un objetivo de control no se alcanza considerando
que un control es adecuado.
Por

el

contrario

el

auditor

de

SI

llevara

acabo

una

variedad

de

procedimientos de prueba y evaluara como estos se relacionan entre si. El


auditor de SI puede encontrar que no todos los procedimientos de control
estn establecidos pero debera de evaluar la totalidad de los controles
considerando las fortalezas y debilidades de los procedimientos de control.

3.6.14 Comunicacin de los resultados de la auditoria


La entrevista final llevada acabo al final de la auditoria, provee al auditor de
SI la oportunidad de discutir los hallazgos y las recomendaciones con la
gerencia.

37

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin


Fig. 31 Puntos a considerar por el auditor para la entrevista final

Antes de comunicar los resultados de una auditoria a la alta direccin, el


auditor de SI debera discutir los hallazgos con el personal directivo de la
entidad auditada. El auditor de SI deber comunicar la diferencia entre el rol
de un auditor y un consultor, y prestar suma consideracin a como bridar
apoyo al auditado pudiera afectar adversamente la independencia del
auditor de SI.

3.6.15 Estructura y contenido del informe de auditoria


Los informes de auditoria son el producto final del trabajo de auditoria de SI

Fig. 32 Contenido del reporte de auditoria

38

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

El auditor de SI sin embargo, debera tomar la decisin final acerca de que


incluir o excluir del informe de auditoria. La gerencia del auditado evala los
hallazgos, estableciendo las acciones correctivas a tomar y plazos para su
implementacin. El auditor de SI debera discutir las recomendaciones y las
fechas planificadas de implementacin mientras esta en el proceso de emitir
el informe de auditoria.

Cuando sea apropiado el auditor de SI debera de comunicar prontamente los


hallazgos significativos a las personas adecuadas antes de la emisin del
informe. La comunicacin previa de hallazgos significativos no debera
alterar la intencin o el contenido de informe.

3.6.16 Implementacin de las recomendaciones por parte de la gerencia


Los auditores de SI deberan de estar consientes de que la auditoria es un
proceso continuo. El auditor de SI no es eficaz si se realizan las auditorias y s
emiten los informes. El plazo del seguimiento depender de la gravedad de
los hallazgos y estara sujeto al criterio del auditor de SI. Los resultados del
seguimiento se deberan comunicar a los niveles apropiados de la gerencia.

3.6.17 Documentacin de la auditoria

39

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Fig. 33 Pasos de la documentacin de la auditoria

3.7. Autoevaluacin del Control


La autoevaluacin del control (CSA) puede definirse como una tcnica de la
direccin que asegura a las partes interesadas, los clientes y otros que el
sistema de control interno de la organizacin es segura.
La Figura 6 muestra Mtodo de implementacin del programa CSA

40

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 34 Mtodo de implementacin del programa CSA

En la siguiente tabla se muestra algunos aspectos relevantes de CSA


Caracterstica
Objetivo de CSA

Descripcin
Apalancar la funcin de auditora interna
cambiando algunas de las responsabilidades de
monitoreo.
Educan a la gerencia sobre el diseo y monitoreo
de los controles, en particular concentracin en
las reas de riesgo.

Beneficios de CSA

Deteccin temprana de riesgos


Controles internos mas efectivos y mejorados
Mayor conciencia de los empleados sobre los
objetivos de la organizacin
Empleados sumamente motivados
Mayor seguridad de las partes interesadas y
clientes
Reduccin del costo de control
Mayor comunicacin entre los mandos operativos
y la alta direccin
41

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Desventajas de CSA

Podra confundirse con un remplazo de la funcin


de auditora
Se le considera una carga de trabajo adicional
No implementar las mejoras sugeridas podra
daar la moral de los empleados
Rol del auditor
Se considera que el rol del en CSAs ha mejorado
cuando el departamento de auditora establece
un programa de CSA
Impulsores
Combinacin de hardware y software para
tecnolgicos para el soportar la seleccin de CSA y un uso de un
programa CSA
sistema electrnico de reunin y apoyo para la
toma de decisiones
Figura 35 Caractersticas del programa CSA

El enfoque CSA, enfatiza la gestin y rendicin de cuentas sobre el desarrollo


y el monitoreo de los controles internos de los procesos de negocio sensibles
y crticos de una organizacin.
Un resumen de atributos o enfoques que distingue a cada uno de ellos se
describe en la Figura
Histrica Tradicional
CSA
Asigna
funciones/supervisa Empleados
personal
autoridad/responsables

con

Controlado por polticas y


reglas
Participacin
limitada
de
empleados
Inters reducido de las partes
interesadas
Auditores y otros especialistas
Encargados
informes

de

Mejora
continua/curva
de
aprendizaje
Participacin
y
capacitacin
extensivas a empleados
Inters extenso de las partes
interesadas
Los miembros del personal a todo
nivel, en todas las funciones, son los
principales analistas de control
elaborar Encargados de elaborar informes

Figura. 36 Atributos tradicionales y de CSA

3.8. Cambios Emergentes en el Proceso de Auditora de SI

42

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

El proceso de auditora de SI debe cambiar constantemente para mantener


el paso de las innovaciones en la tecnologa. Los temas para encarar estos
cambios emergentes incluyen reas tales como auditora integrada y
auditora continua.
La auditora Integrada exige un enfoque sobre el riesgo del negocio y una
motivacin por lograr soluciones creativas de control. Usar este enfoque
permite una sola auditora en una entidad con un informe completo. Ver
figura

Figura 37 Auditora Integrada

La auditora continua tiene como caractersticas un corto lapso de tiempo


entre los hechos a ser auditados y el informe de auditora

La figura 10 muestra las caractersticas de la auditora Integrada y la


auditora Continua

43

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 38 Auditora Integrada y Auditora Continua

44

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

4. Conclusiones
El xito de una empresa depende de la eficiencia de sus sistemas de
informacin, la auditoria de sistemas debe hacerse por gente altamente
capacitada, una auditora mal hecha puede acarrear consecuencias drsticas
para la empresa auditada, principalmente econmicas, de igual manera
deber comprender no slo la evaluacin de los equipos de cmputo, de un
sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtencin de informacin.
La auditoria es de vital importancia para el buen desempeo de los sistemas
de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe
evaluar todo (informtica, organizacin de centros de informacin, hardware
y software).
Al final de la auditora, los auditores de SI preparan y entregan un informe
resumido para la empresa. El resumen del informe detalla todos los
hallazgos de la auditora. Esto incluye las discrepancias encontradas en la
presentacin de informes y el incumplimiento de las normas y reglamentos.
Los hallazgos del auditor ofrecen a la compaa una forma de corregir las
discrepancias y llegar a cumplir antes de que un cuerpo regulatorio lo
informe.

45

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

5. Bibliografa
ISACA. (2012). Manual de Preparacin al Examen CISA. ISACA

6. Lista de acrnimos
ISACA.- Information Systems Audit and Control Association (Asociacin de
Auditora y Control en Sistemas de Informacin).
CISA.- Certified Information Systems Auditor (Auditor Certificado de
Sistemas de Informacin).
GAS.- Software de uso Generalizado en Auditoria
CAATs.- Computer Aided Audit Tools
ITAF.- Information Technology Assurance Framework
SI.-Sistemas de Informacin
TI. Tecnologas de la Informacin
ITGC. Auditoria de Controles Generales de TI

46