SEMINARIO

AUDITORADESISTEMAS:

EL PROCESO DE AUDITORA DE SISTEMAS DE

INFORMACIN
GRUPO I - 10 y 11 de febrero de 2015
GRUPO II - 12 y 13 de febrero de 2015
1

INDICE

1. ADMINISTRACINDELAFUNCINDEAUDITORADESI
1.
2.
3.
4.

OrganizacindelaFuncindeAuditoradeSI
AdministracindelosRecursosdeAuditoradeSI
PlaneacindelaAuditora
EfectodelasLeyesyRegulacionessobrelaPlanificacindeAuditoradeSI

2. ESTNDARESYDIRECTRICESDEISACAPARALAAUDITORADESI
1.
2.
3.
4.
5.

CdigodeticaProfesionaldeISACA
MarcodeestndaresdeISACAparalaAuditoradeSI
DirectricesdeISACAparaAuditoradeSI
ProcedimientosdeISACAparaAuditoradeSI
Relacinentreestndares,directricesyprocedimientos

3. ANLISISDERIESGOS
2

INDICE

4. CONTROLESINTERNOS
1.
2.
3.
4.
5.

ObjetivosdelControlInterno
ObjetivosdelControldeSI
COBIT
ControlesGenerales
ControlesdeSI

5. EJECUCINDEUNAAUDITORADESI
1.
2.
3.
4.
5.
6.
7.

ClasificacindelasAuditoras
ProgramasdeAuditora
MetodologadeAuditora
DeteccindeFraudes
AuditorabasadaenRiesgos
RiesgoymaterialidaddelaAuditora
EvaluacinyTratamientodelRiesgo
3

INDICE

8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

TcnicasdeevaluacindeRiesgos
ObjetivosdelaAuditora
PruebasdeCumplimientovrs.PruebasSustantivas
Evidencia
EntrevistasyObservacinalPersonaleneldesempeodesusfunciones
Muestreo
Usodelosserviciosdeotrosauditoresyexpertos
TcnicasdeAuditoraasistidasporComputadora
EvaluacindeFortalezasyDebilidades
ComunicacindelosresultadosdelaAuditora
AccionesdelaGerenciaparaimplementarlasrecomendaciones
DocumentacindelaAuditora

INDICE

6. AUTOEVALUACINDELCONTROL(CONTROLSELFASSESSMENT)
1.
2.
3.
4.
5.
6.

ObjetivosdelCSA
LosbeneficiosdelCSA
DesventajasdelCSA
ElRoldelAuditorenCSA
ImpulsoresdeTecnologaparaelprogramaCSA
EnfoqueTradicionalvrs.EnfoqueCSA

7. CAMBIOSEMERGENTESENELPROCESODEAUDITORADESI
1.
2.
3.

PapelesdeTrabajoautomatizados
AuditoraIntegrada
AuditoraContinua

8. CASODEESTUDIO

Introduccin
El Proceso de Auditora de SI comprende los procedimientos y una exhaustiva
metodologa que permite a un Auditor Tecnolgico realizar su trabajo sobre
cualquier rea dada de TI en una forma profesional
La funcin de auditora debe ser manejada y conducida en una forma que
asegure que las diversas tareas realizadas y logradas por el equipo de auditora
cumplirn los objetivos de la funcin de auditora, mientras se preserva la
independencia y la competencia de la auditora.
Adems, manejar la funcin de auditora debera asegurar las contribuciones de
valor agregado a la alta gerencia respecto a la eficiente administracin de TI y al
logro de los objetivos del negocio.
El objetivo del presente estudio es obtener los conocimientos necesarios para
proporcionar servicios de auditoras de sistemas de informacin de conformidad
a los estndares, directrices y mejores prcticas de auditora de SI que permitan a
la organizacin asegurar que su tecnologa y sistemas de negocio estn
protegidos y controlados.
6

Introduccin

5 TAREAS FUNDAMENTALES

Desarrollar e
Implementar una
estrategia de
auditora de SI
basada en los
riesgos de
conformidad con los
estndares de
auditora de TI, para
garantizar que se
han incluido las
reas clave.
7

Introduccin

Planear auditoras
especficas para
determinar si los
sistemas de
informacin estn
protegidos y
controlados, y si
proporcionan valor
a la organizacin.

2
8

Introduccin

Realizar auditoras
de conformidad
con los estndares
de auditora de TI,
para lograr los
objetivos
planteados de
auditora
planificados.

Introduccin

Reportar hallazgos de auditora y hacer

recomendaciones a las partes interesadas
clave para comunicar los resultados y
efectuar cambios cuando sea necesario.

4
10

Introduccin

5
Realizar seguimientos o preparar informes de
estado, para garantizar que la Gerencia ha
llevado a cabo las acciones apropiadas de
forma oportuna.
11

ADMINISTRACIN DE LA
FUNCIN DE AUDITORA DE SI

12

1.1 Organizacin de la Funcin de Auditora de SI

DebeserindependienteyreportarseaunComitdeAuditoraoalmas
altoniveldeDireccin(JuntaDirectiva)

Independiente
Interna
(Estatutode
Auditora)
Auditora
Externa
(ContratoFormal)

PartedeAuditora
Operativa

Especializada
13

1.1 Organizacin de la Funcin de Auditora de SI

14

1.1 Organizacin de la Funcin de Auditora de SI

1.2 Administracin de los Recursos de Auditora de SI

Plananualde
capacitacindelPersonal
Actualizacinde
Habilidades
Capacitacinde
nuevastcnicasde
Auditoriayreas
tecnolgicas
Educacin
profesional
continua

Basadoenladireccinde
laOrganizacin

Entrminosdetecnologa

Yaspectosrelacionados
deriesgo

Revisarsesemestralmenteparaasegurarquelasnecesidadesestndeacuerdoconla
direccinqueesttomandolaorganizacindeauditoria.AstambinlaDireccinde
Auditoriadebeproveerrecursosnecesariosparaefectuarauditoriasdenaturaleza
especializada.

RevisadosporlaAltaDirecciny
aprobadosporComitdeAuditorao
JuntaDirectiva.

1.3 Planeacin de la Auditora

Corto
Plazo

Aspectosrelevantes
cubiertosenelao

Largo
Plazo

Planesrelacionados
conriesgos
Cambiosenla
direccin
estratgica

Planeacin
Anual

Debehacersecadaao,considerando:
Nuevosaspectosdecontrol,cambiosenelentornoderiesgo,cambiantetecnologa,
procesosdenegocioenconstantecambio,tcnicasmejoradasdeevaluacin.

1.3 Planeacin de la Auditora

Asignaciones de Auditora Individual.
Adems de la planeacin anual, cada tarea individual de Auditora debe
ser planeada adecuadamente.

Entendimiento
delambiente
arevisar

Prcticasdel
negocio

Funciones
relativasal
sujetode
auditora

Auditor
de
Sistemas

Sistemasde
Informacin

Tecnologa
quesoportala
entidad

1.3 Planeacin de la Auditora

Por qu es importante la planeacin?

Alcanzarlos
objetivosde
Auditora

Cumplirconlos
estndares
profesionales

Lograr
correspondencia
Recursos Tareas

1.3 Planeacin de la Auditora

Lograrunentendimientodelamisin,objetivos,propsitoyprocesosdel
negocio,losrequerimientosdeinformacinyprocesamiento(talescomo
disponibilidad,integridad,seguridad)
Identificarcontenidosespecficostalescomopolticas,estndaresy
directricesrequeridos,procedimientosyestructuradelaorganizacin.
Realizarunanlisisderiesgosparaayudaradisearelplandeauditora.
LlevaracabounarevisindeloscontrolesinternosrelacionadosconTI.
Establecerelalcanceylosobjetivosdelaauditora.
Desarrollarelenfoqueolaestrategiadeauditora.
Asignarrecursoshumanosalaauditora.
Dirigirlalogsticadeltrabajodeauditora.

Planeacinde
Auditora

1.3 Planeacin de la Auditora

Lograr
Entendimiento

RecorridodelasinstalacionesclavedelaOrganizacin
Lecturadeantecedentesincluyendopublicacionesdela
industria,informesanualeseinformesdeanlisisfinancieros
RevisindelnegocioydelosplanesestratgicosTIalargoplazo
Entrevistasalosgerentesclaveparaentenderpormenoresdel
negocio
RevisindeinformesanterioresoinformesrelacionadosconTI
IdentificarlasregulacionesespecficasaplicablesaTI
IdentificarlasfuncionesdeTIolasactividadesrelacionadasque
hansidocontratadasexternamente.

Pregunta

Cul de las siguientes opciones describe la autoridad

general para llevar a cabo una auditora de SI?

A. El alcance de la auditora, con las metas y objetivos.

B. Una solicitud por parte de la gerencia para realizar una auditora
C. El Estatuto de auditora aprobado.
D. El cronograma de auditora aprobado.

22

Pregunta

Cul de los siguientes motivos es el MAS importante

para justificar la revisin peridica del proceso de
planificacin de la auditora?

A. Planificar el despliegue de los recursos de auditora disponibles.

B. Considerar los cambios en el entorno de riesgo.
C. Proporcionar entradas para la documentacin del estatuto de
auditora.
D. Identificar los estndares de auditora de SI aplicables.

23

1.4. Efecto de las Leyes y Regulaciones sobre la Planificacin

de la Auditora de SI
Toda organizacin deber cumplir con un nmero de requerimiento gubernamentales
y externos relacionados con las prcticas y los controles de los sistemas
computarizados y con la manera como impacta en la forma de procesamiento,
transmisin y almacenamiento de los datos (Bolsa de valores, Bancos Centrales, etc.).

Se debe prestar especial atencin en aquellas industrias que histricamente han

tenido un marco regulatorio muy estricto, tales como empresas que proveen servicios
de respaldo y recuperacin, as como los proveedores de servicios de Internet
(Confidencialidad y Disponibilidad del Servicio).

Los auditores de SI deberan revisar la poltica de la administracin sobre privacidad,

incluyendo requisitos de flujo de datos personales al cruzar fronteras (Puerto Seguro
Safe Harbor, Directrices de la Organizacin para la Cooperacin Econmica y el
Desarrollo OECD).

1.4. Efecto de las Leyes y Regulaciones sobre la Planificacin

de la Auditora de SI

reas
deInters

Impacto en el
alcance y los
objetivos de
auditora.

Requerimientos
aplicablesalaAuditora
Requerimientos
aplicablesalauditado.

CSSO
SARLAFT
Prevencin de
Fraude
Comercio
Electrnico
ISO 9000
FDA
HACCP

1.4. Efecto de las Leyes y Regulaciones sobre la Planificacin

de la Auditora de SI

1.4. Efecto de las Leyes y Regulaciones sobre la Planificacin

de la Auditora de SI
Committee of Sponsoring Organizations of the Treadway Commission

C
O
S
O

Organizacin privada, establecida en los Estados Unidos, dedicada a proporcionar orientacin para la gestin
ejecutiva y el gobierno de las empresas en aspectos crticos de gobierno corporativo, tica empresarial, control
interno, gestin de riesgo empresarial (ERM), fraude e informacin financiera.

1.4. Efecto de las Leyes y Regulaciones sobre la Planificacin

de la Auditora de SI

1.4. Efecto de las Leyes y Regulaciones sobre la Planificacin

de la Auditora de SI

Identificarrequerimientosgubernamentales
Documentarleyesyregulacionespertinentes
DeterminarsilagerenciaylafuncindeSIhanconsideradolos
requerimientosexternos.
RevisarlosdocumentosinternosdeldepartamentodeSI
Determinarelcumplimientoconlosprocedimientos
establecidos.
Determinarsihayprocedimientosqueasegurenelcumplimiento
deregulacionesconserviciostercerizados.

CmodeterminaelAuditor
elNiveldeCumplimiento?

ESTNDARES Y DIRECTRICES DE
ISACA PARA LA AUDITORA DE SI

30

2.1 Cdigo de tica Profesional de ISACA

ISACA establece un Cdigo de tica Profesional para guiar la conducta
profesional y personal de los miembros y profesionales certificados, por lo que
debern:
1. Apoyar la implementacin y fomentar el cumplimiento de las normas, los
procedimientos y los controles apropiados en los sistemas de informacin.
2. Ejecutar sus labores con objetividad, diligencia y cuidado profesional, de
conformidad con las normas y mejores prcticas profesionales.
3. Servir en el inters de los accionistas en una forma legal y honesta, y al
mismo tiempo mantener altos estndares de conducta y de carcter, y no
involucrarse en actos que puedan desacreditar la profesin.
4. Mantener la privacidad y la confidencialidad de la informacin obtenida en
el curso de su funcin a menos que la autoridad legal requiera su revelacin.
Dicha informacin no ser usada para beneficio personal ni ser revelada a
terceros.

2.1 Cdigo de tica Profesional de ISACA

5. Mantener competencia en sus respectivos campos y se comprometer a

emprender nicamente las actividades que puedan realizar con
competencia profesional.
6. Informar a las personas adecuadas los resultados del trabajo realizado,
revelando todos los hechos significativos de los que tengan conocimiento.
7. Apoyar la educacin profesional de los accionistas para mejorar su
comprensin sobre seguridad y control de los sistemas de informacin.

2.2 Marco de estndares de ISACA para la Auditora de SI

El carcter especializado de la auditora de sistemas de informacin, requiere de
estndares aplicables globalmente , con el objetivo de informar:
A los auditores de sistemas de informacin sobre el nivel mnimo requerido de
desempeo aceptable para cumplir con las responsabilidades profesionales
establecidas en el cdigo de tica profesional.
A la gerencia y a otros interesados sobre las expectativas de la profesin en relacin
con el trabajo de los auditores.
El marco de los Estndares de Auditora de SI de ISACA presenta mltiples niveles,
como se explica a continuacin:
Los Estndares definen los requerimientos obligatorios para la auditora y para los
informes de auditora de SI.
Las Directrices brindan una gua para aplicar los Estndares de Auditora de SI.
Los Procedimientos ofrecen ejemplos de procedimientos que debe seguir un
auditor de SI en una asignacin de Auditora.

2.2 Marco de estndares de ISACA para la Auditora de SI

ticay
Estndares
Profesionales

Competencia
Profesional

Informe

Ejecucindel
Trabajode
Auditora

Planeacin

Irregularidades

GobiernodeTI

Usode
evaluacinde
riesgos

Materialidad
deAuditora

Comercio
electrnico

ControlesdeTI

Evidenciade
Auditora

Usartrabajode
expertos

Estatutode
Auditora

Independencia
Profesional y Organizacional

Actividadesde
Seguimiento

2.2 Marco de estndares de ISACA para la Auditora de SI

Noviembre, 2013

Generales
(100)
EstatutodeAuditora
Independencia
Organizacional
IndependenciaProfesional

De desempeo
(120)

De reportes
(140)

PlanificacindelaAsignacin
EvaluacindeRiesgoen
Planificacin
DesempeoySupervisin

Reportes

Expectativarazonable
Materialidad
Debidocuidoprofesional
Competencia

Evidencia

Afirmaciones

Usodeltrabajodeotros
expertos

Criterios

IrregularidadesyActos
Ilcitos

ActividadesdeSeguimiento

2.3 Directrices de ISACA para Auditora de SI

ndice

Directrices

G1

Usodeltrabajodeotrosauditores

G2

Requisitodeevidenciadeauditora

G3

Usode tcnicasdeauditoraasistidasporcomputadora(CAATs)

G4

Servicio externodeactividadesdeSIparaotrasorganizaciones

G5

Estatuto deAuditora

G6

Conceptosdematerialidad paralaauditoradesistemasdeInformacin

G7

Debidocuidadoprofesional

G8

DocumentacindelaAuditora

G9

Consideracionesdeauditora encasodeirregularidades

G10

MuestreodeAuditora

G11

Efectosdeloscontrolesgenerales deSI

G12

Relacineindependenciaorganizacional

G13

Usodelaevaluacinderiesgosenlaplaneacindelaauditora

2.3 Directrices de ISACA para Auditora de SI

ndice

Directrices

G14

Revisin delosSistemasdeAplicacin

G15

Planeacinrevisada

G16

EfectodetercerosenloscontrolesdeTIdeunaorganizacin

G17

Efectodefuncionesajenasalaauditorasobrelaindependenciadelauditorde
SI

G18

Gobierno deTI

G19

Irregularidadesyactosilegales

G20

Informes

G21

Revisin desistemasdeplaneacindeRecursosEmpresariales(ERP)

G22

RevisindelComercioElectrnico Negocioaconsumidor(B2C)

G23

RevisindelCiclodevidadeDesarrollodesistemas(SDLC)

G24

BancaporInternet

G25

RevisindeRedesPrivadasVirtuales

G26

Revisin deProyectosdeReingenieradeProcesosdeNegocio(BRP)

2.3 Directrices de ISACA para Auditora de SI

ndice

Directrices

G27

ComputacinMovil

G28

AnlisisForense Computacional

G29

RevisinPostImplementacin

G30

Competencia

G31

Privacidad

G32

Revisin delPlandeContinuidaddeNegociodesdeunaperspectivadeTI

G33

Consideraciones GeneralessobreelusodeInternet

G34

Responsabilidad,Autoridad eImputabilidad

G35

ActividadesdeSeguimiento

G36

Controles Biomtricos

2.4 Procedimientos de ISACA para auditora de SI

ndice

Procedimientos

P1

Evaluacin deRiesgosdeSI

P2

FirmasDigitales

P3

Deteccin deIntrusos

P4

Virusyotroscdigosmaliciosos

P5

Autoevaluacin deControldeRiesgos

P6

Firewalls

P7

IrregularidadesyActosIlegales

P8

Evaluacin delaSeguridad

P9

EvaluacindelosControles delaDireccinsobrelasMetodologasde
Encripcin

P10

ControldeCambiosdeAplicacindelNegocio

2.5 Relacin entre Estndares, Directrices y Procedimientos

Proveen ejemplos de pasos que puede realizar el

auditor para implementar los estndares en una tarea
especfica de auditora.

Procedimientos
Directrices
Proveen una gua sobre como puede el auditor
implementar los estndares en las diversas tareas de
auditora.

Estndares
Requerimientos que deben ser
cumplidos por el auditor de SI.

ANLISIS DE RIESGOS

41

3. Anlisis de Riesgos

Elanlisisderiesgosespartedelaplaneacindeauditorayayudaaidentificarlos
riesgosylasvulnerabilidadesparaqueelauditorpuedadeterminarloscontroles
necesariosparamitigarlos.

CONCEPTO DE RIESGO

El potencial de que una amenaza determinada explote

las vulnerabilidades de un activo o grupo de activos
ocasionando prdida o dao a la organizacin
Probabilidad de que las amenazas puedan tener un
impacto negativo sobre los activos, procesos u
objetivos de un negocio u organizacin especfica.

3. Anlisis de Riesgos

Personas
Crdito
Procesos
Tipode
Riesgo

Operativo
Sistemas
Mercado
Liquidez

Eventos
Externos

Impacto
Legal o
Reputacional

3. Anlisis de Riesgos

Identificacin

Clasificacin

Mitigacin

Monitoreo

3. Anlisis de Riesgos
Identificacin
Tipodeevento
(Nivel1)
Fraudeinterno

Tipodeevento
(Nivel2)
Prdidas derivadas de algn tipo Actividades no autorizadas
de actuacin encaminada a
defraudar, apropiarse de bienes
indebidamente
o
eludir
regulaciones, leyes o polticas
empresariales en las que se
encuentra implicado, al menos,
un miembro de la entidad.

Definicin

Robo y fraude

Ejemplos
Operaciones
no
reveladas
(intencionalmente)
, operaciones no
autorizadas (con
prdidas
econmicas),
valoracin errnea
de
posiciones
(intencional).
Robo,
malversacin,
falsificacin,
soborno,
apropiacin
de
cuentas,
contrabando,
evasin
de
impuestos
(intencional).

3. Anlisis de Riesgos

Tipodeevento
(Nivel1)
Fraudeexterno

Definicin

Tipodeevento
(Nivel2)

Prdidas derivadas de algn tipo Robo y fraude

de actuacin encaminada a
defraudar, apropiarse de bienes
indebidamente o eludir la Seguridad de los sistemas
legislacin, por parte de un
tercero.

Relacioneslaboralesy
Prdidas
derivadas
de Relaciones laborales
seguridadenelpuestode actuaciones incompatibles con la
legislacin o acuerdos laborales,
trabajo
sobre higiene o seguridad en el
trabajo, sobre el pago de
reclamaciones
por
daos
personales, o sobre casos Higiene y seguridad en el trabajo
relacionados con la diversidad o
discriminacin.

Diversidad y discriminacin

Ejemplos
Robo, falsificacin.
Daos por ataques
informticos, robo
de informacin.
Cuestiones
relativas
a
remuneracin,
prestaciones
sociales, extincin
de contratos.
Casos relacionados
con las normas de
higiene
y
seguridad en el
trabajo;
indemnizacin
a
los trabajadores.
Todo
tipo
de
discriminacin.

3. Anlisis de Riesgos
Tipode
evento
Definicin
(Nivel1)
Clientes,
Prdidas derivadas
productosy del incumplimiento
o
prcticasde involuntario
negligente de una
negocios
obligacin
empresarial frente a
clientes concretos
(incluidos requisitos
fiduciarios y de
adecuacin), o de la
naturaleza o diseo
de un producto.

Tipodeevento
(Nivel2)

Ejemplos

Adecuacin,
Abusos de confianza / incumplimiento de pautas, aspectos
divulgacin
de de adecuacin / divulgacin de informacin (conocimiento
informacin y confianza del cliente, etc.), infringir la privacidad de informacin
sobre clientes minoristas, infringir la privacidad, ventas
agresivas, abuso de informacin confidencial.

Prcticas empresariales Prcticas restrictivas de la competencia, prcticas

o
de
mercado comerciales / de mercado improcedentes, manipulacin
del mercado, abuso de informacin privilegiada (en favor
improcedentes
de la entidad), lavado de dinero.
Productos defectuosos Defectos del producto (no autorizado, etc.), error de los
modelos.
Seleccin, patrocinio y Ausencia de investigacin a clientes conforme a las
directrices, exceso de los lmites de riesgo frente a
riesgos
clientes.
Actividades
asesoramiento

de Litigios sobre
asesoramiento.

resultados

de

las

actividades

de

3. Anlisis de Riesgos
Tipode
evento
(Nivel1)
Ejecucin,
entregay
gestinde
procesos

Definicin
Prdidas
derivadas
de
errores en el
procesamiento de
operaciones o en
la gestin de
procesos,
as
como
de
relaciones
con
contrapartes
comerciales
y
proveedores

Tipodeevento
(Nivel2)

Ejemplos

Recepcin, ejecucin Errores de introduccin de datos, mantenimiento o

y mantenimiento de descarga,
incumplimiento
de
plazos
o
de
responsabilidades, ejecucin errnea de modelos /
operaciones
sistemas, errores contables. Errores en el proceso de
compensacin de valores y liquidacin de efectivo .
Seguimiento
y
presentacin
de
informes
Aceptacin de clientes
y documentacin

Incumplimiento de la obligacin de informar, inexactitud

de informes externos (con generacin de prdidas).
Inexistencia de autorizaciones / rechazos de clientes,
documentos jurdicos inexistentes / incompletos.

Gestin de cuentas de Acceso no autorizado a cuentas, registros incorrectos de

clientes (con generacin de prdidas), prdida o dao de
clientes
activos de clientes por negligencia.
Contrapartes
comerciales
Distribuidores
proveedores

Fallos de contrapartes distintas de clientes, otros litigios

con contrapartes distintas de clientes.
y Subcontratacin, litigios con proveedores.

3. Anlisis de Riesgos

Tipode
evento
(Nivel1)
Daosa
activos
materiales

Definicin

Tipodeevento
(Nivel2)

y
Prdidas derivadas de Desastres
daos o perjuicios a acontecimientos
activos materiales como
consecuencia
de
desastres naturales u
otros acontecimientos.
Interrupcin Prdidas derivadas de Sistemas
delnegocioy interrupciones en el
fallosenlos negocio y de fallos en los
sistemas
sistemas

Ejemplos
otros Desastres naturales, prdidas causadas por
personas externas (terrorismo, vandalismo).

Fallas en equipos de hardware, software o

telecomunicaciones; falla en energa elctrica.

3. Anlisis de Riesgos

Probabilidad

Clasificacin

Dao

Impacto

Ocurrencia

3. Anlisis de Riesgos

3. Anlisis de Riesgos

3. Anlisis de Riesgos

Mitigacin

Riesgo
Inherente

Controles

Riesgo
Residual

3. Anlisis de Riesgos

Mitigar

Aceptar

Riesgo

Evitar

Transferir

3. Anlisis de Riesgos

Elanlisisderiesgotienelossiguientespropsitos:

Apoyaralauditorenlaidentificacinderiesgosyamenazasparaunambiente
deTIylossistemasdeSIquenecesitansertratadosporladireccinascomo
loscontrolesinternosespecficosdelsistema.
Dependiendodelnivelderiesgo,esteanlisisapoyaalauditorenlaseleccin
deciertasreasparaexaminar.
Ayudaalauditorensuevaluacindeloscontrolesdurantelaplaneacindela
auditora.
Apoyaalauditoradeterminarlosobjetivosdelaauditora.
Soportadecisionesdelaauditorabasadaenriesgos.

CONTROLES INTERNOS

56

Pregunta

Cul de lo siguiente describe MEJOR las primeras etapas

de una auditora de SI?

A. Observar las instalaciones organizacionales clave

B. Evaluar el entono de SI
C. Entender el proceso del negocio y el entorno aplicable a la revisin
D. Revisar los informes de auditora de SI anteriores

57

4. Controles Internos

Las polticas, procedimientos, prcticas y estructuras organizacionales

implementadas para reducir riesgos, tambin son conocidas como controles
internos.
Son desarrollados para proveer una certeza razonable de que se alcanzarn los
objetivos del negocio de una organizacin y que los eventos de riesgos no
deseados sern evitados, detectados y corregidos.
Las actividades de control interno y los procesos que las soporten pueden ser
manuales o manejados por recursos de informacin automatizados.
Estos operan en todos los niveles dentro de una organizacin para mitigar su
exposicin a riesgos que potencialmente podran impedirle alcanzar sus objetivos
del negocio.
Existen dos aspectos clave que el control debe atender: qu debera lograrse y
qu debera evitarse.

4. Controles Internos

4. Controles Internos

4. Controles Internos

4.1 Objetivos del Control Interno

Son declaraciones del resultado deseado o del propsito a ser alcanzado con la
implementacin de actividades de control (procedimientos).
Ejemplos:
Salvaguarda de los activos de TI
Cumplimientos con las polticas corporativas y requerimientos legales
Autorizacin y autenticacin
Confidencialidad
Exactitud e integridad de datos
Confiabilidad de los procesos.
Disponibilidad de los servicios de TI
Eficiencia y economa de las operaciones.
Proceso de Administracin de cambio s para TI y los sistemas relacionados.

4.1 Objetivos del Control Interno

Tipos de controles.

ControlesdeContabilidadinterna
Primariamentedirigidosalasoperacionescontables,como
proejemplolasalvaguardadelosactivosylaconfiabilidadde
losregistrosfinancieros.

Controlesoperacionales
Dirigidosalasoperaciones,funcionesyactividadescotidianas
paraasegurarquelaoperacinestcumpliendolosobjetivos
delnegocio.

Controlesadministrativos
Seocupadelaeficienciaoperacionalenunreafuncionalyel
acatamientodelaspolticasdeadministracinqueincluyen
loscontrolesoperacionales.

4.2 Objetivos de Control de SI

Estos se aplican a todas las reas, ya sean manuales, automatizadas o una

combinacin de las mismas (ejm: revisiones de logs). Estos pueden ser:
Salvaguarda de activos.
Asegurar la integridad de los ambientes de sistemas operativos en general,
incluyendo la administracin y las operaciones de red.
Asegurar la integridad de los ambientes de sistemas de aplicacin sensitivos y
crticos, a travs de:
Validacin de INPUT.
Exactitud e integridad del procesamiento de transacciones.
Confiabilidad de las actividades de procesamiento de informacin en
general.
Exactitud, integridad y seguridad de la informacin de salida.
Integridad de la base de datos.

4.2 Objetivos de Control de SI

Asegurar la identificacin y autenticacin apropiada de los usuarios de los

recursos de SI.
Aseguramiento de eficiencia y efectividad en las operaciones.
Cumplimiento con los requerimientos de los usuarios, con las polticas y
procedimientos organizacionales y con las leyes y reglamentos aplicables.
Aseguramiento de la disponibilidad de los servicios de TI desarrollando planes
de continuidad del negocio y recuperacin de desastres.
Aumento de la proteccin de datos y sistemas desarrollando un plan de
respuesta a incidentes.
Aseguramiento de la integridad y confiabilidad de los sistemas
implementando procedimientos efectivos de administracin de cambios.

4.3 COBIT

4.3 COBIT

4.3 COBIT

4.4 Controles Generales

Estos son aplicables a todas las reas de la organizacin, incluyendo

infraestructura y servicios de soporte de TI. Ejemplos:
Polticas y procedimientos organizacionales de seguridad lgica para
asegurar la debida autorizacin de transacciones y actividades.
Polticas generales para el diseo y uso de documentos y registros
adecuados para ayudar a asegurar el registro apropiado de las
transacciones (Pista de auditora).
Procedimientos y funciones para asegurar la proteccin adecuada en
el acceso y el uso de activos e instalaciones.
Polticas de seguridad fsica y lgica para todos los centros de datos.

4.5. Controles de SI
Procedimientos de control general traducidos en procedimientos de control especficos.
Puede que un procedimiento general para asegurar la custodia del acceso a los activos e
instalaciones puede traducirse en un conjunto de procedimientos de control de SI, que
abarquen controles de acceso a los programas de computacin, datos y equipos de
cmputo.
Otros ejemplos:
Acceso a los recursos de TI, incluyendo datos y programas
Metodologas de desarrollo de sistemas y control de cambios
Procedimientos de operacin
Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de calidad
Controles de acceso fsico
Planeacin de continuidad del negocio/recuperacin de desastres
Redes y comunicaciones
Administracin de bases de datos
Proteccin y mecanismos de deteccin contra ataques internos y externos

EJECUCIN DE UNA AUDITORA

DE SI

71

5. Ejecucin de una auditora de SI

La auditora se define como un proceso sistemtico por el cual un equipo o una persona
competente o independiente obtiene y evala objetivamente la evidencia respecto a las
afirmaciones acerca de un proceso con el fin de formarse una opinin sobre el particular e
informar sobre el grado de cumplimiento en dicha afirmacin es implementada.
Para realizar una auditoria, deben considerarse varios pasos:
Una planeacin adecuada
Para usar efectivamente los recursos de TI, deben evaluar todos los riesgos de las reas
generales y de aplicacin.
Desarrollar un programa de auditora que comprenda objetivos y procedimientos que
satisfagan los objetivos de auditora.
Recoleccin de evidencia a travs de pruebas de auditora.
Evaluacin de fortalezas y debilidades de controles de SI.
Preparacin de un informe de auditora que presente en forma objetiva los resultados
de la evaluacin a la gerencia.

5. Ejecucin de una auditora de SI

Las restricciones del auditado pueden incluir:

Reciente rotacin o no disponibilidad del empleado
Infraccin de las fechas lmite
Ausencia general de conocimientos o de documentacin.
Frente a estas limitantes, deben emplearse tcnicas de administracin de
proyectos, que incluyen los siguientes pasos bsicos:
Desarrollar un plan detallado (Lnea de tiempo y tareas con requerimiento
de tiempo)
Reportar actividad de proyecto contra el plan (Progreso real vrs. Planificado)
Ajustar el plan y emprender accin correctiva (Cambios en las asignaciones
del auditor de SI o en los cronogramas planeados, a medida que se
requiera).

5.1 Clasificacin de las auditoras

Financieras
Forenses

Especializadas

Fiscales

Auditoras

De
Sistemas

Operativas

Integradas
Administrativas

5.2 Programas de Auditora

Los programas de auditora se basan en el alcance y el objetivo de la asignacin en
particular. Los auditores de TI evalan funciones y sistemas dese perspectivas diferentes,
tales como la seguridad (confidencialidad, integridad y disponibilidad), la calidad
(efectividad, eficiencia), fiduciarias (cumplimiento, confiabilidad), el servicio y la
capacidad.
El programa de trabajo de auditora es la estrategia a seguir y contiene el alcance,
objetivos, procedimientos de auditora para lograr evidencia suficiente y competente para
obtener y sustentar las conclusiones y opiniones de auditora. Generalmente incluye:

Obtencin y documentacin del conocimiento sobre el rea/objeto de la auditora

Evaluacin de riesgos y planeacin general de la auditora y cronograma.
Planeacin detallada de la auditora
Revisin preliminar del rea/objeto de la auditora
Evaluacin del rea/objeto de la auditora
Verificacin y evaluacin de la correccin de los controles diseados para cumplir los
objetivos de control.
Pruebas de cumplimiento y pruebas sustantivas
Informe
Seguimiento en casos en los que hay una funcin de auditora.

5.2 Programas de Auditora

Dentro de un procedimiento de prueba, se puede incluir lo siguiente:

Uso de software generalizado de auditora para examinar el contenido de los

archivos de datos.
Uso de software especializado para evaluar el contenido de los archivos de
parmetros de la base de datos y de aplicacin del sistema operativo.
Tcnicas de elaboracin de diagramas de flujo para la documentacin de
aplicaciones automatizadas y del proceso del negocio.
Uso de registros/reportes de auditora disponibles en los sistemas operativos/de
aplicacin.
Revisin de la documentacin
Observacin
Se debe tener suficiente entendimiento de los procedimientos de auditora, de
modo que se puedan planear pruebas apropiadas.

5.3 Metodologa de Auditora

Es un conjunto de procedimientos documentados, diseados para alcanzar los
objetivos de auditora planeados.
Esta debe ser establecida y aprobada por la Gerencia de Auditora para lograr
consistencia en el enfoque de auditora.

EJEMPLODEMETODOLOGADEAUDITORADESI

5.3 Metodologa de Auditora

5.3 Metodologa de Auditora

Planes

Programas
Actividades

Debenser:
Relevantes
Completos
Claros
Autoexplicatorios
Archivados
Mantenidosencustodia

Papeles
detrabajo

Pruebas
Hallazgos

Debenestar:
Fechados
Inicializados
Conpginasnumeradas
Debidamenteetiquetados

Incidentes

5.3 Metodologa de Auditora

Objetivos

Interfaz

Papeles
de
Trabajo

Informe
Final

ElauditordeSIdebe
considerarcomo
mantenerevidenciade
pruebadeauditorapara
preservarsuvalorde
pruebaenrespaldode
losresultadosde
auditora.

5.4 Deteccin de Fraudes

ElusodelaTecnologahabeneficiadoinmensamentealasempresasentrminosdecalidad
deentregadelainformacin.Sinembargo,elusodelatecnologaeInternethanpropiciado
elriesgoqueseperpetrenerroresyfraudes.
Unsistemadecontrolinternobiendiseado,proveebuenasoportunidadesparadisuadiry
detectaroportunamentelosfraudes.Noobstante,loscontrolesinternospuedenfallar,
cuandoestossonburladosexplotandovulnerabilidadesoconlacomplicidaddepersonas
claves.
Losauditoresdesistemasdebenejercereldebidocuidadoprofesionalentodoslosaspectos
desutrabajo,yaquedebenopinarsobrelarazonabilidaddeloscontrolesinternos,ascomo
estaralertasalasposiblesoportunidadesquepermitenqueunfraudesematerialice.
Cuandounauditordesistemasseencuentraconunindicadordefraude,debecomunicarla
necesidaddeunainvestigacindetalladaalasautoridadescompetentes,encasoquese
identifiqueunfraudemayor,ladireccindeauditoradebeconsiderarinformar
oportunamentealComitdeAuditora.

5.5 Auditora basada en Riesgo

Pregunta

Mientras desarrolla un programa de auditora basado en el

riesgo, En cul de lo siguiente es MAS probable que el
auditor de SI se concentre?

A. Los procesos del negocio

B. Las aplicaciones crticas de TI
C. Los controles operacionales
D. Las estrategias del negocio

83

5.6 Riesgo y materialidad de la Auditora

Riesgode
Muestreo

Riesgo
inherente

Riesgo
generalde
Auditora

Riesgode
Control
Riesgode
deteccin

Pregunta

Al realizar una auditora basada en el riesgo Cul

evaluacin del riesgo realiza inicialmente el auditor de SI?

A. Evaluacin del riesgo de deteccin

B. Evaluacin del riesgo de control
C. Evaluacin del riesgo inherente
D. Evaluacin del riesgo de fraude

85

5.6 Riesgo y materialidad de la Auditora

Serefiereaunerrorquedeberaserconsideradosignificativoporcualquier
partealaqueleconciernaelpuntoencuestin

El establecimiento de un parmetro de seguridad lgica que permita a un

programador tener acceso, sin autorizacin, al cdigo fuente de algunos programas
del Sistema Informtico.

Pregunta

Cul de los siguientes tipos de riesgo de auditora asume

una ausencia de controles compensatorios en el rea que
se est revisando?

A. Riesgo de control
B. Riesgo de deteccin
C. Riesgo inherente
D. Riesgo de muestreo

87

Pregunta
Mientras realiza la revisin de los controles de una
aplicacin, un auditor de SI encuentra una debilidad
en el software de sistema que puede afectar
considerablemente la aplicacin. El auditor de SI
debera:
A. Ignorar estas debilidades de control, ya que una revisin de
software de sistema est ms all del alcance de la revisin
B. Realizar una revisin detallada del software del sistema y
reportar las debilidades de control.
C. Incluir en el reporte una declaracin de que la auditora se
limit a una revisin de los controles de la aplicacin
D. Revisar los controles de software del sistema que son relevantes
y recomendar una revisin detallada del software del sistema

88

5.7 Evaluacin y Tratamiento del Riesgo

Evaluacin de los Riesgos de Seguridad
Para desarrollar una comprensin mas completa del riesgo de auditora, el auditor debe
entender como la organizacin encara la evaluacin y tratamiento del riesgo.
Las evaluaciones de riesgo deben identificar, cuantificar y categorizar los riesgos contra
criterios para aceptacin del riesgos y objetivos relevantes para la organizacin.
La evaluacin del riesgo debe incluir el mtodo sistemtico de estimar la magnitud de los
riesgos (anlisis del riesgo) y el proceso de comparar los riesgos estimados contra los
criterios para determinar la significacin de los riesgos (evaluacin del riesgo).
Las evaluaciones de riesgo deben hacerse peridicamente para ocuparse de los cambios
en el entorno, los requerimientos de seguridad y la situacin del riesgo (activos, amenazas,
vulnerabilidades, impactos, etc.), y cuando ocurren cambios significativos.
La evaluacin del riesgos de la seguridad debe tener un alcance claramente definido para
ser efectiva y debe incluir relaciones con las evaluaciones del riesgo en otras reas, si fuera
apropiado.

5.7 Evaluacin y Tratamiento del Riesgo

Tratar los Riesgos de Seguridad
Cada uno de los riesgos identificados necesita ser tratado. Las posibles opciones de
tratamiento son:
Aplicar los controles apropiados para reducir riesgos
Aceptar los riesgos a sabiendas objetivamente, a condicin que los mismos satisfagan
claramente la poltica y los criterios de la organizacin para la aceptacin de riesgos
Evitar los riesgos no permitiendo acciones que causaran que ocurrieran los riesgos
Transferir los riesgos asociados a otras partes (aseguradoras, proveedores).
Los controles aplicados deben ser seleccionados para asegurar que los riesgos se reduzcan
a un nivel aceptable tomando en cuenta:
Los requerimientos y limitaciones de la legislacin y regulaciones nacionales e
internacionales,
Los objetivos de la organizacin
La necesidad de balancear la inversin en implementacin y operacin en los controles
contra el ao probable que resulte de las fallas de seguridad.

5.8 Tcnicas de evaluacin de riesgos

Tratar los Riesgos de Seguridad
Existen muchas metodologas disponibles para evaluacin de riesgos:
Clasificaciones sencillas de alto, medio, bajo
Clculos complejos a travs de series estadsticas
Evaluacin en base al juicio profesional.
Evaluar los riesgos en la auditora realizada, permite:
Que la direccin asigne de manera efectiva los recursos limitados de
auditora.
Asegura que se haya obtenido informacin relevante de todos los niveles
de direccin.
Establece las bases para administrar el departamento de auditora de
manera efectiva.
Provee un resumen de como se relaciona el sujeto individual de la
auditora con el resto de la organizacin, as como tambin con los planes
de negocios.

5.8 Tcnicas de evaluacin de riesgos

5.8 Tcnicas de evaluacin de riesgos

5.8 Tcnicas de evaluacin de riesgos

5.9 Objetivos de la Auditora

Los objetivos de auditora se refieren a las metas especficas que deben cumplirse
por parte de la auditora. Se pueden incorporar varios objetivos de auditora.
Los objetivos de auditora se enfocan a menudo en validar que existen controles
internos para minimizar los riesgos del negocio y que estos funcionan como se
espera. Estos objetivos de auditora incluyen el aseguramiento del cumplimento con
los requerimientos legales y regulatorios, as como tambin la confidencialidad,
integridad, confiabilidad y disponibilidad de recursos de informacin de TI.
Aspectos a tomar en cuenta para la definicin de un objetivo.

Deben redactarse en infinitivo.

Deben expresarse en sentido positivo.
Deben explicar la razn de la definicin del mismo.
Se recomienda que se definan entre 3 y 5 objetivos.
Debe exponerse un objetivo general y objetivos especficos.

5.10 Pruebas de Cumplimiento vrs. Pruebas Sustantivas

Prueba de Cumplimiento.
Es la recoleccin de evidencia con el fin de comprobar el cumplimiento de una
organizacin con los procedimientos de control.
Ejemplos:
Controles de biblioteca de programas en produccin funcionando.
Proveer certeza que solo se realizan modificaciones autorizadas a los programas
en produccin.
Probar la efectividad de un proceso definido.
Probar si la disponibilidad del servicio de Internet se encuentra de conformidad al
porcentaje fijado en el Contrato de servicios.
Verificar si los requerimientos de cambios a sistemas cuentan con su respectivo
formulario.

5.10 Pruebas de Cumplimiento vrs. Pruebas Sustantivas

Pruebas Sustantivas
Es la recoleccin de evidencia para evaluar la integridad de las transacciones
individuales, datos u otra informacin. Provee evidencia de la validez e integridad de
los saldos financieros y de las transacciones que respaldan dichos saldos.
Ejemplos:
Determinar si los registros del inventario de la librera de cintas son correctos.
Verificar si el cambio solicitado en el formulario de administracin de cambios se
encuentra de conformidad a lo que est en produccin.
Verificar que el reporte provea los resultados esperados.
Verificar que se cuenten con medidas de seguridad adecuadas y razonables para
no permitir el acceso a intrusos.
Revisin de totales (nmero de transacciones, cantidades acumuladas).

5.10 Pruebas de Cumplimiento vrs. Pruebas Sustantivas

5.11 Evidencia

Es la informacin usada por el auditor de SI para determinar si la

entidad o los datos que estn siendo auditados cumplen con los
criterios u objetos establecidos y soporta las conclusiones de
auditora.
La evidencia de auditora puede incluir observaciones del auditor
de SI (notificados a la Gerencia), notas de las entrevistas, material
extractado de la correspondencia y documentacin interna,
contratos con socios externos o los resultados de los
procedimientos de prueba de auditora. Las reglas de evidencia y
suficiencia as como tambin de competencia de la evidencia se
deben tomar en cuenta, como lo requieren los estndares de
auditora.

5.11 Evidencia
Ciclo de Vida de la
Evidencia

Cadenade
custodia

Recoleccin

Proteccin

5.11 Evidencia
Las determinantes para evaluar la confiabilidad de la evidencia de auditora
incluyen:

Independencia del proveedor de la evidencia

Credenciales de la persona que suministra la informacin o evidencia
Objetividad de la evidencia
Tiempo de disponibilidad de la evidencia

La Federacin Internacional de Contadores (IFAC) se refiere a dos

caractersticas importantes de la evidencia:

Validez
Competencia
(Calidad)
Evidencia

Relevante
Suficiencia
(Cantidad)

5.11 Evidencia
Tcnicas de Recopilacin de evidencia:

Revisin de las estructuras organizacionales de los sistemas de Informacin.

Revisin de las polticas y procedimientos de SI
Revisin de los estndares de SI
Revisin de la documentacin de SI

Documentos de inicio del desarrollo de sistemas

Documentacin suministrada por proveedores externos de aplicacin
Contratos de nivel de servicio con proveedores externos de TI
Requerimientos funcionales y especificaciones de diseo
Planes e informe de pruebas
Programa y documentos de operaciones
Registros (logs) e historial de cambio a programas
Manuales de usuario y de operacin
Documentos relacionados con la seguridad
Planes de continuidad del negocio
Informes de aseguramiento de calidad
Reportes sobre mtrica de seguridad

Entrevistas al personal apropiado

Observacin de Procesos y del Desempeo de los Empleados

5.12 Entrevistas y Observacin al Personal en el desempeo de

sus funciones

La observacin al personal en el desempeo de sus funciones ayuda a un

auditor de SI a identificar:

Funciones reales
Procesos / procedimientos reales
Concientizacin sobre seguridad
Lneas de reporte

Las entrevistas al personal y a la direccin de procesamiento de informacin

deberan proveer una certeza adecuada que el personal tiene las destrezas
tcnicas requeridas para realizar su trabajo. Este es un factor importante que
contribuye a que la operacin sea efectiva y eficiente.

5.13 Muestreo

El muestreo es usado cuando las consideraciones de tiempo y de costo

impiden una verificacin total de las transacciones o eventos en una poblacin
definida previamente.
Poblacin:
La totalidad de elementos que es necesario examinar.
Muestra:
Subconjunto de miembros de la poblacin
El muestreo se usa para inferir caractersticas de una poblacin, con base en
los resultados del examen de las caractersticas de una muestra de la misma.

5.13 Muestreo

Los dos enfoques generales para muestreo de auditora son:

1. Muestreo Estadstico
Es un enfoque objetivo para determinar el tamao de los criterios de
seleccin de la muestra. Usa las leyes matemticas para calcular el
tamao de la muestra, seleccionar los objetos de la muestra, evaluar los
resultados de la muestra y hacer la inferencia. Con el muestreo
estadstico, el auditor de SI
2. Muestreo no Estadstico
El nmero de elementos que sern examinados de una poblacin y
cuales elementos seleccionar, son determinados en base al juicio del
auditor. Estas decisiones estn basadas en el criterio subjetivo respecto
de los cuales items/transacciones tienen mayor materialidad y mayor
riesgo.
Riesgo de Muestreo: Probabilidad de que el auditor de SI obtenga una
conclusin equivocada con la muestra seleccionada.

5.13 Muestreo

Existen dos mtodos principales de muestreo usados por los auditores de SI:
1. Muestreo de Atributos. Se aplica a las pruebas de cumplimiento,
ocupndose de la ausencia o ausencia del atributo y provee conclusiones
que se expresan en tasas de incidencia. Puede ser:
Muestreo de estimacin de frecuencia
Muestreo parar / seguir
Muestreo de Descubrimiento
2. Muestreo de Variables. Tambin conocido como muestreo de estimacin
monetaria o de estimacin media, es una tcnica usada para estimar el
valor monetario de una poblacin a partir de la muestra de la misma.
Puede ser:
Promedio Estratificado por Unidad
Promedio no Estratificado por Unidad
Estimacin de Diferencia

5.13 Muestreo
Para realizar un muestreo de atributos o de variables, es necesario entener los
siguientes trminos de muestreo estadstico:

Coeficiente de confianza. Tambin conocido como nivel de confianza o factor de

confiabilidad. Cuanto mayor es el nivel de confianza, mayor es el tamao de la
muestra.

Nivel de Riesgo. Es igual a una menos el coeficiente de confianza.

Precisin. Representa la diferencia aceptable de rango entre la muestra y la

poblacin real. A mayor precisin, mas pequeo es el tamao de la muestra.

Tasa de error esperada. Es un estimado de los errores que pueden existir. A

mayor tasa de error esperado, mayor es el tamao de la muestra.

Media de la muestra. Valor promedio de la muestra.

Desviacin estndar de la muestra. Dispersin de los valores de la muestra

(varianza).

Tasa tolerable de error. Describe el valor mximo de error o el nmero de errores

que pueden existir sin que una cuenta est materialmente equivocad.

Desviacin estndar de la poblacin. Dispersin de los valores de la poblacin

(varianza).

5.13 Muestreo

Los pasos clave en la construccin y seleccin de una muestra para una

prueba de auditora son:

Determinar los objetivos de la prueba

Definir la poblacin a la que se obtendr la muestra
Determinar el mtodo de muestreo (Atributos vrs. Variables)
Calcular el tamao de la muestra
Seleccionar la muestra
Evaluar la muestra desde una perspectiva de auditora

5.14 uso de los servicios de otros auditores y expertos

Es necesario considerar lo siguiente:
Restricciones sobre outsourcing de servicios de auditora/seguridad dispuestas por
leyes y regulaciones.
Contrato de auditora o estipulaciones contractuales
Impacto sobre el riesgo de auditora de SI y la responsabilidad profesional
Independencia y objetividad de otros auditores y expertos
Competencia profesional, calificaciones y experiencia
Alcance del trabajo que se propone que sea sometido a outsourcing y mtodo
Controles de supervisin y de gerencia de auditora
Mtodo y modalidades de comunicacin de los resultados del trabajo de auditora
Cumplimiento de las estipulaciones legales y regulatorias
Cumplimiento de los estndares profesionales aplicables.
Verificaciones de testimonios/referencias y antecedentes
Acceso a los sistemas, premisas y los registros
Restricciones de confidencialidad para proteger la informacin relacionada con el
cliente
Uso de CAATS y de otras herramientas a ser usadas por el proveedor externo
Estndares y metodologas para la ejecucin del trabajo y documentacin

5.14 uso de los servicios de otros auditores y expertos

Es responsabilidad del auditor de SI o de la entidad que emplea los servicios de
proveedores externos de servicios:

Comunicar claramente los objetivos, el alcance y la metodologa de la

auditora a travs de un contrato formal
Establecer un proceso de monitoreo para revisin regular del trabajo del
proveedor externo de servicios con respecto a planeacin, supervisin,
revisin y documentacin.
Determinar la utilidad y la correccin de los informe de dichos proveedores
externos y determinar el impacto de los hallazgos significativos sobre los
objetivos generales de auditora.

5.15 Tcnicas de Auditora asistidas por Computadora

Los CAATs son herramientas para recolectar informacin de diferencias entornos de
hardware y software, estructuras de datos, formatos de registro, funciones de
procesamiento, etc., reuniendo informacin de forma independiente. Entre ellos se
encuentran:
Software generalizado de auditora (GAS). Tiene la capacidad de leer y accesar datos
directamente de diversas plataformas de bases de datos. Soporta las siguientes
funciones:

Acceso a archivos
Reorganizacin de archivos
Seleccin de datos
Funciones estadsticas
Funciones aritmticas

Software utilitario. Generadores de informes del sistema de administracin de bases

de datos .
Datos de prueba. Determinacin de errores lgicos de un programa o si satisface los
objetivos.
Revisin de sistemas de aplicacin. Informacin sobre controles internos construidos
en el sistema.
Sistemas expertos. Software basado en consultas y se crea sobre la base de
conocimientos de auditores o gerentes del mas alto nivel.

5.15 Tcnicas de Auditora asistidas por Computadora

Ejemplos de procedimientos realizados con CAATs:

Pruebas de detalles de transacciones y saldos

Procedimientos de revisin analtica
Pruebas de cumplimiento de controles generales de SI
Pruebas de cumplimiento de controles de aplicacin de SI
Evaluaciones de vulnerabilidad de la red y del SO
Pruebas de penetracin
Pruebas de seguridad de aplicacin y escaneos de seguridad del cdigo
fuente
Debe ponderarse el costo/beneficio de los CAATs antes de invertir en su
esfuerzo, tiempo y gasto de comprarlos o desarrollarlos. As tambin deben
considerarse aspectos como la manipulacin de datos en produccin, el
rendimiento, confidencialidad.

Pregunta

El uso PRIMARIO de un software generalizado de

auditora (GAS) es?

A. Probar los controles integrados en los programas

B. Probar el acceso no autorizado a los datos
C. Extraer datos de relevancia para la auditora
D. Reducir la necesidad
transacciones

de

dar

comprobantes

para

las

113

5.16 Evaluacin de las Fortalezas y Debilidades

Fortalezas

Debilidades

Solapados

Fuertes

Controles

Compensatorios

Dbiles

Materialidad de
los Hallazgos

5.17 Comunicacin de los Resultados de Auditora

Durante la entrevista final, el auditor de SI deber:
Asegurarse de que los hechos presentados en el informe estn correctos
Asegurarse de que las recomendaciones sean realistas y eficientes desde el punto de
vista de los costos, y si no lo fueran, buscar alternativas negociando con la gerencia
del auditado
Sugerir fechas de implementacin para las recomendaciones acordadas
Tcnicas de presentacin de los resultados de auditora:
Resumen Ejecutivo
Presentacin visual
Una vez logrado los acuerdos con el auditado, se debe enviar un corto resumen a la alta
direccin y al comit de auditora.
Qu hacer cuando hay desacuerdos?

5.17 Comunicacin de los Resultados de Auditora

INFORME DE AUDITORA

1.
2.
3.
4.
5.
6.
7.

Introduccin
Objetivos (General y Especficos)
Alcance
Perodo cubierto por la auditora
Directrices seguidas
Resultados de la Auditora
Hallazgos determinados
Condicin
Criterio
Recomendacin
Comentarios de los Auditores
Conclusin de Auditora
Grado de cumplimento.

5.18 Acciones de la Gerencia para implementar las

recomendaciones

La auditora es un proceso continuo. Es necesario realizar un

seguimiento para determinar si la direccin ha emprendido las acciones
correctivas apropiadas.
El momento del seguimiento depender de la gravedad de los hallazgos
y estara sujeto al criterio del auditor de SI. Los resultados del
seguimiento debern ser comunicados a los niveles apropiados de la
Gerencia.
El Nivel de seguimiento se puede hacer de dos maneras:
Verificacin del estado actual.
Verificacin de la implementacin de la accin.

 Laplaneacinypreparacindelalcanceyobjetivosde
auditora
Ladescripciny/orecorridosenelreadeauditoravista
Elprogramadeauditora
Lospasosdeauditorarealizadosylaevidenciarecopilada
Elusodeserviciosdeotrosauditoresyexpertos
Loshallazgos,conclusionesyrecomendacionesdeauditora
Ladocumentacindeauditorarelacionadaconla
identificacinyfechasdedocumentos
Unacopiadelinformeemitidocomoresultadodeltrabajo
deauditora
Evidenciaderevisinsupervisoria deauditora

Documentacin
deAuditora

Debenproveer
Rastreabilidad
Cargabilidad

PolticasdeCustodia,requisitosde
retencinyliberacindela
documentacindeauditora

5.19 Documentacin de la Auditora

AUTOEVALUACIN DEL
CONTROL (CONTROL SELF
ASSESSMENT)
119

6. Autoevaluacin del Control (CSA)

Es una tcnica de la
direccin que asegura a
los accionistas, clientes y
otros que el sistema de
control
interno
del
negocio es confiable. En
la prctica, CSA es una
serie de herramientas
que abarcan:
Simples cuestionarios
Talleres de facilitacin
diseados
para
recopilar informacin
sobre la organizacin.

Pregunta

Cul de las siguientes opciones es la MAS efectiva

para implementar una autoevaluacin del control
(CSA) dentro de las unidades de negocio?

A. Revisiones informales de pares

B. Talleres facilitados
C. Narrativas de flujo de proceso
D. Diagrama de flujo de datos

121

6.1 Objetivos de CSA

Apalancar la funcin de auditora interna, cambiando algunas de las

responsabilidades de monitoreo de control a las reas funcionales.
Educar a la Gerencia sobre el diseo y monitoreo de controles, en
particular concentracin en las reas de alto riesgo.
Empoderamiento de los trabajadores para determinar o incluso disear el
entorno de control.
Generar conciencia en la alta direccin y representantes de cada unidad de
negocio.
Identificar como objetivo primario de la unidad de negocio, la confiabilidad
del sistema de control interno.

6.2 Beneficios del CSA

Deteccin temprana de riesgos
Controles internos mas efectivos y mejorados
Creacin de equipos cohesivos a travs de la participacin de los
empleados.
Desarrollo de un sentido de propiedad de los controles en los empleados y
en los dueos del proceso y reduccin de su resistencia a controlar las
iniciativas de mejoramiento.
Mayor conciencia de los empleados sobre los objetivos organizacionales y
mayor conocimiento sobre riesgos y controles internos.
Mayor comunicacin entre los mandos operativos y la alta direccin.
Empleados altamente motivados
Proceso mejorado de calificacin en auditoras
Reduccin en el costo del control
Mayor seguridad para los accionistas y clientes
Seguridad mnima para la alta direccin sobre lo adecuado de los controles
internos, segn requerimientos de diversos entes regulatorios (SOX)

6.3 Desventajas de CSA

Podra confundirse como un reemplazo de la funcin de auditora

Se le considera como una carga de trabajo adicional
No implementar las mejoras sugeridas podra daar la moral de los
empleados
La falta de motivacin puede limitar la efectividad en la deteccin
de controles dbiles.

6.4 El Rol del Auditor en CSA

Cuando se establecen estos programas, los auditores se convierten en

profesionales del control interno y facilitadores de la evaluacin. Su
valor en esta funcin es evidente cuando la direccin asume la
responsabilidad y se considera duea de los sistemas de control interno
bajo su autoridad a travs de mejoras del proceso en sus estructuras de
control, incluyendo un componente de monitoreo.

Para que un auditor sea efectivo en su funcin de facilitador y de

innovador, el auditor debe entender el proceso de negocio que se est
evaluando. Esto se puede lograr por medio de herramientas
tradicionales de auditora, tales como la inspeccin o recorrido
preliminar. Tambin los auditores deben recordar que ellos son los
facilitadores y que la direccin cliente es el participante en el proceso
de CSA.

6.5 Impulsores de Tecnologa para el programa de CSA

El desarrollo de tcnicas para empoderar, recopilar informacin y

tomar decisiones es una parte necesaria de una implementacin de
CSA. Algunos de los impulsores de tecnologa incluyen la combinacin
de hardware y software para soportar la seleccin de CSA y el uso de
un sistema electrnico de reunin y apoyo para la toma de decisiones
soportadas por computador para facilitar la toma de decisiones del
grupo. La toma de decisiones del grupo es un componente esencial de
un CSA basado en talleres donde el empoderamiento al empleado es
un propsito. En caso de un enfoque de cuestionario, el mismo
principio se aplica para el anlisis y reajuste del cuestionario.

6.6 Enfoque Tradicional vrs. Enfoque CSA

El enfoque tradicional puede resumirse como cualquier enfoque en el que la

responsabilidad primaria de analizar e informar sobre el control interno y el riesgo
se asigna a los auditores y en menor grado , a los departamentos de contralora y
controles externos.
El enfoque de CSA enfatiza el rol de la direccin y la rendicin de cuentas sobre el
desarrollo y monitoreo de os controles internos de los procesos de negocio
sensitivos y crticos de una organizacin.

CAMBIOS EMERGENTES EN EL
PROCESO DE AUDITORA DE SI

128

7.1 Papeles de Trabajo automatizados

PAPELESDETRABAJO
ANALISISDERIESGOS
PROGRAMASDEAUDITORIA
RESULTADOS
EVIDENCIADEPRUEBAS
CONCLUSIONES
INFORMES
INFORMACIONCOMPLEMENTARIA

Pts automatizados
(hojasdeclculo,procesadortexto,otro)
INTEGRIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
Controles:
Acceso(perfilesyderechos)
Pistasdeauditora(btacoras)
Funcionesautomatizadas(autorizaciones)
Seguridad
Procedimientosestablecidos

Auditora
Integrada

financiera
operativa

Audi SI

PROCESO INTEGRADO

7.2 Auditora Integrada

Identificacin de los
riesgos y controles clave
relevantes
Revisin y comprensin
del diseo de los
controles
Comprobacin de los
controles
Informe y opinin
combinada sobre riesgos

7.3 Auditora Continua

Monitoreo Continuo
Herramientas de administracin de SI, se basa tpicamente en
procedimientos automatizados, para cumplir con las responsabilidades
fiduciarias. Ejm: Antivirus en tiempo real, IDS, etc.

Auditora Continua
Una metodologa que permite a auditores independientes proveer
certeza escrita sobre un asunto usando una serie de informes de
auditora emitidos simultneamente en un perodo corto de tiempo,
despus de que han ocurrido los eventos subyacentes al asunto.

7.3 Auditora Continua

RequisitosoPrecondicionesparaquelaauditoracontinuatengaxito:
Unaltogradodeautomatizacin
Unprocesoautomatizadoyaltamenteconfiableparaproducirinformacin
sobreunasuntotanprontohayanocurridoloseventossubyacentesal
asuntoodurantelosmismos.
Activadoresdealarmasparainformaroportunamentefallasdecontrol
InformerpidoyoportunoalosauditoresdeSIsobrelosresultadosdelos
procedimientosautomticos,cuandoelprocesohaidentificadoanomalas
oerrores.
AuditoresdeSItcnicamentecompetentes
Disponibilidaddefuentesconfiablesdeevidencia
Uncambiodementalidadparaquelosauditoresadoptenelinforme
continuo
Evaluacindelosfactoresdecosto.

Pregunta

El PRIMER paso en planear una auditora es:

A. Definir los productos de la auditora

B. Finalizar el alcance de la auditora y los objetivos de la
auditora
C. Lograr una comprensin de los objetivos del negocio
D. Desarrollar el mtodo de auditora o la estrategia de auditora

133

Pregunta

El enfoque que un auditor de SI debe usar para

planear la cobertura de la auditora de SI debe estar
basado en:

A. Riesgo
B. Importancia
C. Escepticismo profesional
D. Suficiencia de la evidencia de auditora

134

Pregunta
Una compaa realiza una copia de respaldo diaria de los
datos crticos y de los archivos de software y almacena
las cintas de respaldo en un lugar fuera del
establecimiento. Las cintas de respaldo se usan para
recuperar los archivos en caso de interrupcin. Esto es:

A. Control Preventivo
B. Control gerencial
C. Control correctivo
D. Control de deteccin

135

CASO DE ESTUDIO

136

8. Caso de Estudio
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluar el
alistamiento de la organizacin para que una revisin mida el cumplimiento de los nuevos
requisitos regulatorios. Estos requisitos estn diseados para asegurar que la gerencia
est asumiendo un papel activo en establecer y mantener un entorno bien controlado y,
en consecuencia, evaluar la revisin de la gerencia y las pruebas del entorno general de
control de TI. Las rea a ser evaluadas incluyen seguridad lgica y fsica, administracin
de cambios, control de produccin y administracin de redes, gobierno de TI, y
computacin de usuario final. Al auditor de SI se le han dado seis meses para realizar este
trabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe seal
que en aos anteriores, se han identificado reiterados problemas en las reas de
seguridad lgica y administracin de cambios, de modo que estas reas muy
probablemente requerirn algn grado de rectificacin. Las deficiencias de seguridad
lgica notadas incluyeron compartir las cuentas de administrador y no ejecutar los
controles adecuados sobre las contraseas. Las deficiencias de administracin de
cambios incluyeron indebida segregacin de funciones incompatibles y no documentar
todos los cambios.

8. Caso de Estudio
Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a los
servidores se encontr que era solo parcialmente efectivo. En anticipacin del trabajo a
ser realizado por el auditor de SI, el director de informacin (CIO) solicit reportes
directos para desarrollar narrativas y flujos de proceso que describieran las principales
actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por
los diferentes dueos de proceso y por el CIO y luego fueron enviados al auditor de SI
para examen.

Pregunta

Qu debera hacer PRIMERO el auditor de SI?

A. Efectuar una evaluacin del riesgo de TI

B. Realizar una auditora de inspeccin de los controles de acceso
lgico
C. Revisar el plan de auditora para concentrarse en la auditora
basada en riesgo
D. Comenzar a probar los controles que el auditor de SI estima que
son los ms crticos

139

Pregunta
Cuando se prueba la administracin de cambios
programas Cmo se debe seleccionar la muestra?

de

A. Los documentos de administracin de cambios deben ser seleccionados

al azar y examinados para verificar si son apropiados.
B. Se deben sacar muestras de los cambios al cdigo de produccin y estos
deben ser rastreados hasta la documentacin apropiada que autoriz.
C. Los documentos de administracin de cambios deben ser seleccionados
en base a la criticidad del sistema y deben ser examinados para
verificar si son apropiados.
D. A los cambios al cdigo de produccin se les debe sacar una muestra, y
se les debe rastrear hasta los registros (logs) producidos por el sistema
que indiquen la fecha y la hora del cambio.
140

Universidad Don Bosco

Calle Plan del Pino ,km 1 Ciudadela Don Bosco, Soyapango
San Salvador, El Salvador, Centro Amrica
(503) 2251-8200 Ext. 1722
www.udb.edu.sv
141