Está en la página 1de 700
j Manual de Preparacion al Examen CISA 2008 ISACA® ‘Con més de 65,000 miembros en mis de 140 paises, ISACA,(www,isaca.org) es un lider reconocido en todo el mundo en gobierno, control, seguridad y aseguracién de TI. Fundada en 1969, ISACA patrocina conferencias intemacionales, publica el Information Systems Control Journal, desarrolla las normas intemacionales de auditoria y control de los sistemas de informacién, y administra la designacién respetada globalmente de Auditor Certificado de Sistemas de Informacién® (CISA®), obtenida por mis de 50,000 profesionales desde su inicio, y la designacién de Gerente Certifieado de Seguridad de Informacién® (CISM@), una eredencial obtenida por 7,000 profesionales desde que fue establecida en el afio 2002 y de la nueva Certficacién en Gobierno Corporativo de TI (CGEIT). Descargo ISACA ha producido esta publicacién como un recurso educativo para asistira las personas a prepararse para tomar el examen de cettificacién de CISA. Fue producido indepencientemente de la Junta de Certifcacién de CISA, le cual no tiene responsabilidad alguna por su contenido. Las copias de los exdmenes anteriores no son liberadas al piblica y no son puestas @ disposicién de ISACA para la preparacién de esta publicacién. ISACA no hace ninguna declaracién y garantia de ningtin tipo respeeto a esta 08 otra publicacién ISACAJITGI que asegura la aprobacién del examen de CISA. Divulgacin Copyright ©2008 the Information Systems Audit and Control Association, Ine. Todos los derechos reservados. Ninguna parte de esta publicacién puede ser reproducida, almacenada en un sistema de recuperacién, o transmitida en forma alguna por ningtin medio — electrénico, mecénico, por fotocopia, grabacién de otro modo — sin el previo permiso por escrito de la Asociacién de Auditoria y Control de Sistemas de Informacién. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA. Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 Web site: www.isaca.org ISBN 978-1-60420-009-6 ‘Manual de Preparacién al Examen CISA 2008 Impreso en los Estados Unidos de América ‘Manval de PreparaciOn al Examen CISA 2008 Manual de Preparacién al Examen CISA 2008 La Asociacién de Auditoria y Control de Sistemas de Informacién (ISACA en inglés) se complace en ofrecer la edicién 2008 (17) del Manual de Preparacién al Examen CISA. El propésito de este manual ¢s proporcionar a los candidatos al examen CISA, informacion técnica y referencias actualizadas para ayudar en fa preparacién y estudio del examen de Auditor Certificado en Sistemas de Informacién (CISA). El contenido de! manual ha sido basado en el més reciente andlisis de prictica de trabajo de CISA el cual puede ser visto en: www.isaca.org/cisajobpractice. Como en los manuales anteriores, la edicién 2008 es el resultado de contribuciones de muchas autoridades calificadas, quienes voluntariamente han offecido generosamente su tiempo y experiencia. Respetamos y apreciamos sus contribuciones y esperamos que sus esfuerzos proporeionen un extenso valor educativo a los lectores del manual CISA. El Manual de Preparacién al Examen CISA es actvalizado anvalmente para mantenerlo al dia con los rapidos cambios en la profesién de auditoria de TI, control y seguridad. Como tal, les damos la bienvenida a sus comentarios y sugerencias respecto a este manual. Un cuestionario de retroalimentacign ¢s incluido al final de este manual. Después que el examen haya terminado, por favor tome un momento para completar y devolver el cuestionario a la ISACA. Sus observaciones son extremadamente valiosas a medida que nos preparamos para las ediciones futuras. Los miembros de las Directivas de Educaci6n y otros expertos en la materia han revisado la propiedad del contenido del Manual de Preparacién al Examen CISA. Las preguntas de ejemplo contenidas en este ‘manual estin disefiadas para ayudar a comprender el material en este manual y para describir el formato del tipo de pregunta que generalmente se encuentra en el examen CISA. La certificacién ha proporcionado un efecto positivo en muchas carreras, y el CISA es respetado y reconocido por organizaciones alrededor del mundo. Le deseamos éxitos con el examen CISA. Su compromiso en pos de la certficacién lider en la auditoria de TI y las técnicas de control y seguridad es ejemplar. 4h AB Why Lynn C. Lawion, CISA,BA,PCA,FUA,PIL Robert D. Jonson, CISM Presidente Internacional Presidente, Junta Directiva de Conferencias y 2007-2008 Educacién 2007-2008 ‘Manual de Preparacién al Examen CISA 2008 i RECONOCIMIENTOS La edicién 2008 del Manual de Preparacién al Examen CISA es el resultado de los esfuerzos colectivos de muchos voluntarios. Los miembros de la ISACA por toda la profesién global de auditorie de TI, control y seguridad, participaron generosamente ofteciendo sus talentos y experiencia, Este equipo internacional demostr6 un espiritu y entrega que se ha convertido en el distintivo de los contribuyentes @ ‘este manual, Su participacién y percepeién son verdaderamente apreciadas. Enviamos un especial agradecimiento a Stephen Head, CISA, CISM, de Jefferson Wells, quien trabajé como Iider y editor de proyecto de contenido téenico. Listados a continuacién estin los nombres de los miembros de la ISACA que participaron en la revision del Manual de Preparacién al Examen CISA 2008. Todos son merecedores de nuestro agradecimiento. ‘Seni! Bhaskar Bashi, CISA, CISM Flr iba Teac, C1SA Marge! Pala, C183, CSM. ‘YooneC.Share on Dotan sett Pegi eng Soo St Cais occ ‘en capr ome Metres Se ‘ern Cha Calta OS (Ofer tai Bew-Ari CISA Mnameé gbat Keka ne Porras Boras Marvin Simida, CISA. Seraer tata tne adn et Mee peadea Ser dn Po pam 1A ind Cpe etrnd oaks Cau St ‘Mose Cy Cope eee {The Beverage C184, C1SM ‘raf Vemsznel RIynmar CISA, Mara Pata Pranic CISA Dr, Revathy Sriram, CISA, cis isn Ofte he Ste uur gay date SOM ia nna de cmd (Se Ce whos terms. ein Cpr Meh SAM apr, elo ene sens Salvador Juan CérdenasAvendaio, Micha Willa Kraay, CISA. Robert. Pine, CISA D.Swamiontan, ‘elsacisat isa ‘Soi el mae tre Cit a a Se Dep Cage 154 Sou en eager, ee {iho Che ae “cummed ‘ith Joré Chive, CISA,CISM. Arun Laxminarayanan Anda Rafeg, OSA De: Kaan Sens, CBA, ish Mes coon sg CA, etn Ce ne A Boy domes Riper te tee (Comes Cr Yn See Caer a Jno De La Espa CISA ity Grove Madsen, CISA Seo Kita Rat CISA, ‘Funio Tanikana,C1S4, C1SM, ‘ls enma Chpr Ponane daorna lantet ewes Teg Sr Bnd ‘nou Cage Aten canate pare Chap aa ibe Chpe on ‘Gomme Deter, CISA Iaiigs Mies eye etaua Tela er 88, Api Sov Topo SL Bacobas MCL Cann el Orin ey er eclg Seton Sree Sa rs tr, re at Oe ss USE eat Maria abel Hsabae Gavi ‘ula Mendoza Poo, CISA, ares Rees CISA De. Smita Dilip Tota CISA, isa roe de ie det nt 50 nt ance eke ‘rcp tsa SEE chp, Mar rel Car nan USA Pane Cher {ohn Heaton, CISA Desi Mire Valls ‘Stel Roar, C184 Marina Toure Troi, ‘asa, cis Dobie & Tete Src lame ae tn So a a & coe 52. row Caper Cass Mews Cue es Iie chee st se ape Marcelo cor Gonae, CISA Linda Lune Nether, CISA Rocio Det Par Rodrguex ‘Sai Yom ‘hove Col deloRgtoa tonne Dalit Br ran igh ACHCaoie wwe ‘us As Oa, Angina ‘Bo shag 94 ag her, Clits ont her Cena ‘Aecander get, CISA Derek Over, ISA, CISM Kalyan Sah, CISA ‘Carlos, Vltamizar CISA (Genes Chr ema {ona chap OF Fates Cg a pe Cae Coat rot KyuspeecHivang, CISA Hitt Ota, CISA, CSM. Markus Selene, CISA Dr. Eagar R. Welppt Danae nea Dip of MS Fite Com EMITS er Evo konwch Boag Rome be Ca er ‘ochre oe apr uta Bal Zhu, CISA, or Che Cott ISACA iniciard la planificacién de la edicién 2009 del Manual de Preparacién CISA muy pronto. La participacién de voluntarios permite el éxito de este manual. Si esta interesado en ser miembro de este selecto grupo de profesionales involuerados en este proyecto global, nos gustaria escuchar de Usted, ‘Susan M. Caldwell PRrence 1. Tae Chief Executive Omcer Thiet Professional Development Officer v "Manual de Preparacién al Examen CISA 2008, TRADUCCION Reconocimiento por la revisién de la traduccién al espafiol del Manual de Preparacién al Examen CISA 2008: Jorge Hidalgo Capitulo Mendoza, Argentina Gerardo Mendoza Capitulo Ciudad de México, México Johann Tello Meryk Capitulo Panama, Panama Carlos Villamizar Capitulo Bogoté, Colombia Proceso de Revision Desde el afio 2000 se inicié un proceso de revisién cruzada por parte de voluntarios que representan diferentes paises Iberoamericanos para garantizar un balance en el uso de la terminologia utilizada en este ‘manual de preparacién al examen CISA. Después de la traduccién por una entidad profesional, cada capitulo es distribuido para una doble revisién por voluntarios de pafses diferentes. Este equipo de voluntarios representados por un selecto grupo de profesionales de nuestra regién, hacen tun esfuerzo aflo tras affo para asegurar la entrega de un manual con una traduecién de alta calidad. Si tiene aportes que offecer a este proceso favor de comunicarse con el Departamento de Educacién de ISACA, eferna ca. ESTE MANUAL ES FIEL TRADUCCION DEL DOCUMENTO ORIGINAL EN INGLES. Panamé, 30 de Noviembre de 2007. Mireya Delgado Debali, Traductor Publico Autorizado, Resoluciones No. 209 y 304. ‘Manual de Preparacion al Examen CISA 2008 v fanual de Preparacion al Examen CISA 2008 TABLA DE CONTENIDO GLOBAL Capitulo 1: E] Proceso de Auditoria de Sistemas de Informacién LL INTRODUCCION = ica copiesenet 1.2 ADMINISTRACION DE LA FUNCI E AUDITORIA DE SI.. 1.3 ESTANDARES Y DIRECTRICES DE ISACA PARA LA AUDITORIA DE SI 14 ANALISIS DE RIESGOS. 1.5 CONTROLES INTERNOS. 1.6 EJECUCION DE UNA AUDITORIA DE SI 1.7 Autoevaluacién del Control (Control Self Assessment) 118 Cambios Emergentes en el Proceso de Auditoria de ST 1.9 Capitulo | Estudos de Caso 1.10 Respuestas a las Preguntas de Préctic LTT Respuestas alas Preguntas del Estudio de Caso. 1.12 Recursos Sugeridos para Mas Estudio .... Capitulo 2: Gobierno de TI 2.1 INTRODUCCION .... 2.2 GOBIERNO CORPORATIV 2.3 PRACTICAS DE MONITOREO Y ASEGURAMIENTO PARA LA JUNTA Y LA GERENCIA EJECUTIVA...... - - . 2.4 ESTRATEGIA DE SISTEMAS DE INFORMACION. 2.5 POLITICAS Y PROCEDIMIENTOS. 2.6 ADMINISTRACION DEL RIESGO. 2.7 PRACTICAS DE GERENCIA DE SISTEMAS DE INFORMACION 2.8 ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES DE SI... asta 34, 2.9 AUDITORIA DE LA ESTRUCTURA E IMPLEMENTACION DE GOBIERNO DE TI 2.10 CAPITULO 2 ESTUDIOS DE CASO.. 2.11 RESPUESTAS A LAS PREGUNTAS DE PRACTICA 2.12 Respuestas a las Preguntas de Estudio de Caso 2.13 RECURSOS SUGERIDOS PARA REFERENCL ‘Manual de Preparacion al Examen CISA 2008 T Capitulo 3: Administracién del Ciclo de vita de sistemas e ntraiestenctal 3.1 INTRODUCCION.. 3.2 REALIZAGION DEL NEGOCIO.. 3.3 ESTRUCTURA DE LA GERENCIA DE PROYECTOS. 3.4 PRACTICAS DE ADMINISTRACION / GESTION DE PROYECTOS... 3.5 DESARROLLO DE APLICACIONES DE NEGOCIO. 3 OESTRATEGIAS ALTERNATIVAS PARA EL DESARROLLO DE APLICACIONES. 3.7 METODOS ALTERNOS DE ORGANIZACION DE PROYECTOS DE SOFTWARE, 3.8 METODOS ALTERNATIVOS DE DESARROLLO. 3.9 PRACTICAS DE DESARROLLO / ADQUISICION DE INFRAFSTRUCTURAS. 3.10 PRACTICAS DE MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION 2 3.11 HERRAMIENTAS PARA EL DESARROLLO DE SISTEMAS ¥ AYUDAS ALA PRODUCTIVIDAD w.scssssnsn231 3.12 PRACTICAS DE MEJORAMIENTO DEL PROCESO. DE APLICACION. 3:15 AUDITORIA DEL DESARROLLO, ADQUISICION Y MANTENIMIENTO DE SISTEMAS 316 SISTEMAS DE APLICACION DEI. NEGOCIO.. . 3.17 CAPITULO 3 ESTUDIOS DE CASO... 3.18 RESPUESTAS A PREGUNTAS DE PRACTICA... 3.19 RESPUESTAS A PREGUNTAS DE CASO DE ESTUDIO 3.20 MATERIAL DE REFERENCIA SUGERIDO.enm Capitulo 4: Entrega y Soporte de Servicio de TL 4. INTRODUCCION = 42 OPERACIONES DE SISTEMAS DE INFORMACION. 43 HARDWARE DE SISTEMAS DE INFORMACION. . 444 ARQUITECTURA Y SOFTWARE DE Slasocun 4.5 INFRAESTRUCTURA DE LAS REDES DE SI 4(6 AUDITORIA DE LA INFRAESTRUCTURA Y DE LAS OPERACIONES. 4.7 Capitulo 4 Estudio de Caso. 4.8 RESPUESTAS A LAS PREGUNTAS DE PRACTICA 4.9 Respuestas a las Preguntas del Caso de Estudio. 4.10 RECURSOS SUGERIDOS PARA MAS ESTUDIO... Capitulo 5: Proteccién de los Activos de Informacién 5.1 INTRODUCCION ... 5.2 Importancia de la Administracién Gestion dela Seguridad de la Informacion. 54 SEGURIDAD DE LA INFRAESTRUCTURA DE LA RED. 5.5 AUDITORIA DE LA ESTRUCTURA DE LA ADMINISTRACION DE SEGURIDAD DE INFORMACION. 7 5.6 AUDITORIA DE SEGURIDAD DE INFRAESTRUCTURA DE RED..... 5.7 EXPOSICIONES ¥ CONTROLES AMBIENTALES 5.8 EXPOSICIONES Y CONTROLES DE ACCESO FISICO. 59 COMPUTACION MOVIL, 5.10 Capitulo 5 ESTUDIOS DE CASO. 5.11 RESPUESTAS A LAS PREGUNTAS DE PRACTICA .. 5.12 RESPUESTAS A PREGUNTAS DE ESTUDIO DE CAS 5.13 RECURSOS SUGERIDOS PARA REFERENCIA. 2 Manual de Preparacion al Examen CISA 2008 Capitulo 6: Continuidad del Negocio y Recuperacién de Desastres 6.1 INTRODUCCION ee seas ute 6.2 PLANEACION DE LA CONTINUIDAD DEL NEGOCIO / RECUPERACION DE DESASTRES 6.3 AUDITORIA AL PLAN DE CONTINUIDAD DEL NEGOCIO (DRP + COOP + BRP).... 6.4 CAPITULO 6 CASO DE ESTUDIO... 6.5 RESPUESTAS A LAS PREGUNTAS DE PRACTICA 66 RESPUESTAS A LAS PREGUNTAS DEL CASO DE 6.7 RECURSOS SUGERIDOS PARA MAS ESTUDIO. Glosario.. Acrénimos.. Apéndice A: El Examen de CISA y COBIT.. eee 673 COBIT 3ra Edicion. - r COBIT 4.0. COBIT 4.1. Apéndice B: Estandares, Directrices y Procedimientos de Auditoria de Sistemas de Informaci6n.. Relacién de los Estindares con las Directrices y los Procedimientos. . Apéndice C: 2007 Informacién General de Examen CISA.. EVALUACION. ‘Manual de Preparacion al Examen CISA 2008 ACERCA DE ESTE MANUAL. VISION GENERAL El Manual de Preparacién al Examen CISA 2008 pretende asistirle a usted en la preparacién para el examen de CISA. EI manual es una fuente de preparacién para el examen, pero no debe considerdrsele como Ia tinica fuente ni se le debe ver como una recoleceién comprensiva de toda la informacién y de todas las experiencias que se requieren para aprobar el examen. Ninguna publicacién por si sola ofrece una tal cobertura y detalle. ‘Como candidato a medida que usted va leyendo el manual y encuentra un t6pico que es nuevo para usted ‘© uno en el que usted sienta que sus conocimientos y experiencia son limitados, usted debe buscar referencias adicionales. El examen seré una combinacién de preguntas para probar sus conocimientos técnicos y teéricos y su capacidad para aplicar los conocimientos (sobre la base de la experiencia) en situaciones dadas. FORMATO DE ESTE MANUAL. EI Manual de Preparacién al Examen CISA 2008 prove cobertura de los conocimientos y actividades relacionadas con las diversas funciones asociadas con las areas de contenido como son detalladas la Guia para los Candidatos al Examen de CISA. Cada una de las éreas es evaluada en el examen en los porcentajes listado abajo: ¢ Area I ~ Proceso de Auditoria a los Sistemas de Informacion 10% ¢ Area 2—Gobiemo de TI 15% + Area 3—Administracién de Ciclo de Vida de Sistemas e Infraestructura 16% Area 4— Entrega y Soporte de TI 14% © Area 5 ~Proteccién de los Activos de Informacion 31% « Area 6 —Continuidad de Negocios y Recuperacién de Desastres 14% Los objetivos de cada una de estas areas se describen al inicio de cada capitulo con su correspondiente tarea y declaraciones de conocimiento las cuales serén evaluadas en el examen. EI manual ha sido desarrollado y organizado para asistir en el estudio de estas areas. Los candidatos deben evaluar sus fortalezas, basados en el conocimiento y experiencia, en cada una de estas freas. Cada capitulo esté constituido por cuatro partes: texto, caso de estudio, preguntas de prictica y material de referencia, La estructura del contenido incluye numeracién para identificar primero el capitulo en el cual es tema es Tocalizado y entonces, los encabezados de los temas de Ios niveles subsiguientes presentados en cl capitulo (ejemplo, 2.6.3 Métodos de Anilisis de Riesgo, es un subtema de Administracién de Riesgo en el capitulo 2). Contenido relevante en un subtema esta negrita para una atencién especifica. Su comprensién del material textual seré un barémetro de las fortalezas y debilidades de sus conocimientos y seré una indicacién de las dreas en que usted necesitara buscar fuentes de referencia sobre y por encima de este manual. Sin embargo, el material escrito no es un sustituto para la experiencia. Las verdaderas preguntas de examen examinardn su aplicacién préctica de estos conocimientos. Los casos en cada capitulo presentan situaciones en la profesién en el drea de estudio. Los casos de estudio incluyen escenarios con temas presentados en el capitulo y también incluyen preguntas practicas las cuales facilitaran el entendimiento de cémo la pregunta CISA puede ser presentada en el examen CISA. Las preguntas de prictica al final de cada capitulo no deben ser usadas como una fuente de conocimientos. Las preguntas tampoco deben ser consideradas como una medida de su 7 ‘Manual de Preparacion al Examen CISA 2008 ccapacidad para responder correctamente las preguntas del examen para esa area. Las preguntas tienen el propésito de familiarizarlo a usted con la estructura de las preguntas y pueden o no ser similares a las preguntas de eximenes anteriores que aparecerin en el examen verdadero. El material de referencia incluye otras publicaciones que podrian ser usadas para adquirir més y entender mejor informacion detallada sobre los t6picos tratados en el manual. El glosario al final de cada capitulo contiene los términos que se aplican al material incluido en el capitulo. El glosario contiene términos que se aplican al material incluido en el capitulo. El glosario incluiré tanto los términos que se discuten en el texto como los términos que se aplican al area, pero que pueden no haber sido discutidos especificamente. El glosario es una extensién del texto y puede por lo tanto ser otra indicacién de las éreas en las que usted necesitard buscar referencias adicionales. A través de todo el manual, la palabra “asociacién” o el acrénimo “ISACA” se refiere a La Asociacién de Auditoria y Control de los Sistemas de Informacién, y el “instituto” o el acrénimo “ITGI” “Instituto de Gobierno de TI de los Sistemas de Informacién”. Sirvase notar también que el manual ha sido escrito usando el idioma inglés americano estindar. En este caso tradueido al idioma espafiol. EI Manual de Preparacion al Examen CISA 2008 es un documento viviente. A medida que avanza la tecnologfa, el manual seré actualizado para reflejar dichos adelantos. Posibles actualizaciones a este documento antes de la fecha del examen, podran ser obtenidas visualizadas end www isaca.org/studh CCualquier sugerencia para mejorar los materiales que se abarcan en el presente documento, o para sugerir materiales de referencia, se deben dirigir por correo a: Information Systems Audit and Control Association 3701 Algonquin Road, Suite 1010 Rolling Meadows, Illinois 60008 USA Attention: Manager Certification Study Program and Educational Development Teléfono: +1.847.253.1545 Fax: +1.847.253,1443 E-mail: education@isaca.org SOBRE EL MANUAL DE REPASO DE PREGUNTAS, RESPUESTAS Y EXPLICACIONES DE CISA. Es posible que usted desee ampliar su estudio y su preparacién para el examen usando el Manual de Repaso de Preguntas, Respuestas y Explicaciones de CISA 2008, Manual de Repaso de Preguntas, Respuestas y Explicaciones de CISA 2008 Suplemento y Manual de Repaso de Preguntas, Respuestas y Explicaciones de CISA 2008 Suplemento, EI Manual de Repaso de Preguntas, Respuestas y Explicaciones de CISA 2008,que esté constituido por 600 preguntas de estudio de eleccién miiltiple, Respuestas y Explicaciones que estén arregladas en la misma proporcién que el las dreas de andlisis de prictica de trabajo de CISA. Muchas de estas preguntas aparecieron en los manuales de CISA de Revision de Preguntas, Respuestas y Explicaciones publicados anteriormente, pero han sido redactadas nuevamente para que sean més representativas de las preguntas reales de examen y para que provean mayor claridad o un cambio en la prictica. Ademés, varias nuevas preguntas han sido agregadas para proveer una cobertura tépica més amplia, Manual de Preparacién al Examen CISA 2008, El Suplemento 2008 son el resultado de la dedicacién de ISACA cada afio para la creacién de 100 nuevas preguntas, respuestas y explicaciones para que los candidatos usen en su preparacidn para el examen de CISA. Este afio, ISACA ha seleccionado estas 100 muevas preguntas de CISA, usando el estricto proceso de revisién similar a la realizada para la seleccién de preguntas para el examen de CISA por la Junta de Certificacién de CISA. En el Suplemento 2008, Ias preguntas han sido arregladas en las proporciones del nuevo andlisis de practica de trabajo de CISA. Otro. material de estudio que esté disponible es en el CD-ROM 2008 Preguntas, Resp Explicaciones de Revisién, el cual consiste de 700 preguntas, respuestas y explicaciones incluidas en el Manual de Repaso de Preguntas, Respuestas y Explicaciones de CISA 2008 y los Suplementos del 2008. Con este producto, los candidatos CISA podrén identificar sus fortalezas y debilidades tomando varios eximenes de prueba y estableciendo los resultados por érea. Los eximenes de muestra pueden ser escogidos por area permitiendo un estudio concentrado, un area a la vez, y otras caracteristicas de clasificacién, como la omisién de la pregunta previa respondida correctamente. Las preguntas en estas publicaciones son representativas de los tipos de pregunta que han aparecido en el examen e incluyen una explicacién de las respuestas correctas e incorrectas. Las preguntas son seleceionadas por el proceso de CISA y las areas de contenido y como una prueba de muestra, Estas publicaciones son ideales para ser usadas en conjuncién con el Manual de Preparacién al Examen CISA 2008. Estos manuales pueden ser usados como fuentes de estudio en todo el proceso de estudio o como parte de una revisién final para determinar dénde usted puede necesitar estudio adicional. Se debe notar que estas preguntas y respuestas sugeridas son brindadas como ejemplos de preguntas de examen. No son preguntas reales provenientes del examen y pueden diferir en contenido de las que realmente aparecen en el examen Nota: A medida que usted usa la totalidad de los Manuales de Preparacién al examen CISA, note que los ismos abarcan un amplio espectro de temas de auditoria, control y seguridad de los sistemas de informacién. Nuevamente, no suponga que leyendo estos manuales le preparari a usted totalmente para el examen. Como las preguntas de examen a menudo se relacionan con las experiencias précticas, se le advierte a usted que debe referirse a sus propias experiencias, a otras fuentes de referencia, y sacar ‘conclusiones de la experiencia de sus colegas y de otros que hayan obtenido la designacién de CISA. Manual de Preparacidn al Examen CISA 2008, Capitulo 1 EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION ‘Manual de Preparacion al Examen CISA 2008 7 Capitulo 1: EI Proceso de Auditoria de Sistemas de Informacion 1.1 INTRODUCCION. 1.1.1 OBJETIVO ....00 112 TAREAS, 1113 DECLARACIONES DE CONOCIMIENTO. : 1.1.4 RELACION DE LAS DECLARACIONES DE TAREA CON LAS DECLARACIONES DE CONOCIMIENTO . 12 ADMINISTRACION DE LA FUNCION Dé AUDITORIA DEST. 12:1 ORGANIZACION DE LA FUNCION DE AUDITORIA DE Si 1.22 ADMINISTRACION DE LOS RECURSOS DE AUDITORIA DE SI..u..... 1.2.3 PLANEACION DE LA AUDITORIA, Planeacién Anual. " 15 Asignaciones de Auditora Individual “as 1.2.4 EFECTO DE LAS LEYES Y REGULACIONES SOBRE LA PLANIFICACION DE AUDITORIA DE St ‘ol 18 15 LS ESTANDARES ¥ LA AUDITORIA DE SI 13.1 CODIGO DE ETICA PROFESIONAL DE ISACA.... 132 MARCO DE ESTANDARES DE ISACA PARA LA AUDITORIA DE SI... Estndares de Auditoria, 133 DIRECTRICES DE ISACA PARA AUDITORIA DE SL {indice de Diretrces... 13. PROCEDIMIENTOS DE ISACA PARA AUDITORIA DE SI. Indice de Procedimientos.... 1.35 RELACION ENTRE ESTANDARES, DIRECTRICES Y PROCEDIMIENTOS... 1.4 ANALISIS DE RIESGOS. LS CONTROLES INTERNOS. 1.1 OBIETIVOS DEL CONTROL INTERNO, 1.82 OBIETIVOS DE CONTROL DE SI 153 CoBIT, mn 1.84 CONTROLES GENERALES, 183 CONTROL DE SI... 1.6 EJECUCION DE UNA AUDITORIA DE SI. 1.6.1 CLASIFICACION DE LAS AUDITORIAS... 1.6.2 PROGRAMAS DE AUDITORIA., 1.63 METODOLOGIA DE AUDITORIA 1.64 DBTECCION DE FRAUDES. 1.65 AUDITORIA BASADA ENEL RIESGO. 1.66 Riesgo y Materalidad de la Auditor 1.6.7 Evaluacion y Tratamiento del Riesgo Evaluacién de ios Riesgos de Seguridad ‘Tatar los Riesgos de Seguridad 1.6.8 TECNICAS DE EVALUACI 1.69 OBIETIVOS DE LA AUDITORIA 1.6.10 PRUEBAS DE CUMPLIMIENTO VS. PRUEBAS SUSTANTIVAS 1611 EVIDENCIA 1.6.12 ENTREVISTAS Y OBSERVACION AL PERSONAL EN EL DESEMPENO DE SUS FUNCIONES...51 6.13 MUESTREO. 3 a (6.18 USO DE LOS SERVICIOS DE OTROS AUDITORES ¥ EXPERTOS, an (6.15 TECNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA.. CAAT como Metodologia de Auditoria Continua y en Linea... 1.6.16 EVALUACION DE LAS FORTALEZAS ¥ DEBILIDADES Juzgando la Materialidad de los Hallazgos.. 1.6.17 COMUNICACION DE LOS RESULTADOS DE LA AUDITORIA. e “Manual de Manual de Preparacion al Examen CISA 2008 Estructura y Contenido de un Informe de Auditori... - z 1.6.18 ACCIONES DE LA GERENCIA PARA IMPLEMENTAR LAS RECOMENDACIONES 61 1.6.19 DOCUMENTACION DE LA AUDITORIA ... 1.7 Autoevaluacién del Control (Control Self Assessment). 1-71 Objetivos de CSA ener 1.7.2 Los Beneficios de CSA. 1.7.3 Desventajas de CSA 1.7.4 EI Rol del Auditor en CSA. 1.7.5 Impulsores de Tecnologia para el Programa de CSA. 1.7.6 Enfoque Tradicional Vs. ENFOQUE DE CSA 1.8 Cambios Emergentes en el Proceso de Auditoria de 1.8.1 Papeles de Trabajo Automatizados. 1.82 Auditoria Integrads.. 1.83 Auditoria Continua. 1.9 Capitulo 1 Estudios de Caso... 1.9.1 Estudio de Caso A Eseenario de Estudio de Caso A.. Preguntas del Estudio de Caso A.. 1.9.2 Estudio de C80 Benn Escenario de Estudio de Caso B Preguntas del Estudio de Caso B 1.9.3 Estudio de C250 C.-0.-- Escenario del Estudio de Caso C Preguntas de Estudio de Caso C... 1.10 Respuestas a las Preguntas de Prt 1.11 Respuestas a las Preguntas del Estudio de Caso. Respuestas a las Preguntas del Estudio de Caso A. Respuestas a las Preguntas del Estudio de Caso B Respuestas a las Preguntas del Caso de Estudio C 1.12 Recursos Sugeridos para Mas Estudio. Manual de Preparacion al Examen CISA 2008 3 “Manual de Manual de Preparacion al lixamen CISA 2008 Capitulo 1 SE Proceso de Auditoria de Sistemas de Intormacién 1.1 INTRODUCCION EI Proceso de Auditoria de SI es un capitulo que abarea toda la prictica de Auditorfa de ST incluyendo procedimientos y una exhaustiva metodologia que permite que un auditor de SI realice un dudito sobre ‘cualquier area dada de TI en una forma profesional. 1.1.1 OBJETIVO El objetivo de esta érea es garantizar que el candidato(a) CISA. tenga los conoeimientos necesarios para proporcionar servicios de auditoria de sistemas de informacién (SI) en conformidad con los esténdares, directrices y mejores practicas de auditoria de SI para apoyar a la organizacién a validar que su tecnologia de informacién y sus sistemas de negocio estén protegidos y controlados. Esta rea representa el 10 por ciento del examen CISA (aproximadamente 20 preguntas). 1.1.2 TAREAS Existen cinco (5) tareas dentro del érea de proceso de auditoria de SI: TI.1 Desarrollar e implementar una estrategia de auditoria de SI basada en los riesgos de la organizacién en cumplimiento con los estandares, directrices y mejores précticas de auditoria de si TL Planear a controlados. T13 _Llevar a cabo auditorfas en conformidad con los estindares, directrices y mejores précticas de auditorfa de SI para lograr los objetivos planeados de auditoria. T1.4 Comunicar los hallazgos emergentes, los riesgos.potenciales y los resultados de la auditoria a los accionistas clave. TLS Asesorar sobre la implementacién de la administracién de riesgos y las précticas de control dentro de Ia organizacién al tiempo que se mantiene la independencia. rias especificas para validar que la TI y los sistemas de negocio estén protegidos y 1.1.3 DECLARACIONES DE CONOCIMIENTO. Existen 10 declaraciones de conocimiento dentro del érea de proceso de auditorfa de SI: KS1.1 Conocimiento de los Estdndares, Directrices y Procedimientos de Auditoria de SI y del Cédigo de Etica Profesional de ISACA KS1.2 Conocimiento de pricticas y técnicas de auditoria de SI KS13 Conocimiento de técnicas para recopilar informacién y preservar la evidencia (p. ¢., observacién, investigacién, entrevista, técnicas de auditoria asistidas por computadora (CAATs), medios electrénicos) KS1.4 Conocimiento del ciclo de vida de la evidencia (p. ¢j., la recopilacién, proteccién, cadena de ‘custodia) KSL5_Conocimiento de los objetivos de control y de los controles relacionados con SI (p. ej... COBIT) KS16 Conocimiento de evaluacién del riesgos en un contexto de auditoria KS1.7 Conocimiento de técnicas de planeacién y de administracién de la auditoria KS1.8 Conocimiento de técnicas de reporte y comunicacién (p. ej... facilitacién, negociacién, resolucién de conflictos) ‘Manual do Preparacign al Examen CISA 2008 KS1.9 Conocimiento de autoevaluacién del control (CSA) KS1.10 Conocimiento de técnicas de auditoria continua 1.1.4 RELACION DE LAS DECLARACIONES DE TAREA CON LAS DECLARACIONES DE CONOCIMIENTO Las declaraciones de tarea son lo que se espera que el candidato de CISA sepa cémo hacer. Las declaraciones de conocimiento delinean lo que se espera que el candidato de CISA sepa para realizar las tareas. Las declaraciones de tarea y de conocimiento estin mapeadas aproximadamente en la figura 1.1 hasta donde es posible hacerlo. Note que a pesar de que con frecuencia hay traslape, cada declaracién de tarea generalmente mapeard varias declaraciones de conocimiento. Figura 1.1 ‘Mapeo de Tas Declaraciones de Tarea y de Conocimiento ‘Declaraciones de Tarea ‘Declaraciones de Conoeimiento TI. Desarrollar e implementar una estrategia de | KS1.1 Conocimiento de Esténdares, Directrices y auditoria de SI basada en el riesgo para la Procedimientos de SI y Cédigo de Ftica ‘organizacién en cumplimiento con los estindares | Profesional de ISACA de auditoria de SI, lineamientos y mejores | KS1.5 Conocimiento de los objetivos de control y précticas. conttoles relacionados con SI (e.g., CobiT) KS1.6 Conocimiento de evaluacién del riesgo en un contexto de auditoria KSI.7 Conocimiento de las téenicas de planeacién y administracién de auditoria KS1.9 Conocimiento de la autoevaluaciin del control (CSA) KSI.10Conocimiento de las técnicas continuas de auditoria Ti2 Planear auditorias especificas para asegurar | KS1.1 Conocimiento de Estandares, Directrices y que los sistemas de TI y de negocio estén | Procedimientos de SI y Cédigo de Etica protegidos y controlados Profesional de ISACA KS1.2 Conocimiento de pricticas y téenicas de auditoria de SI KS1.3 Conocimiento de técnicas para recopilar informacién y preservar Ja evidencia (p. ¢j., observacién, investigacién, entrevista, técnicas de auditoria asistidas por computadora (CAATS), medios electrénicos) KS1.7 Conocimiento de las téenicas de planeacién y administracién de auditoria KS19 Conocimiento de autoevaluacién del control (CSA) KS1.10Conocimiento de las téenicas continuas de auditoria 2 “Manual de Manual de Preparacién al Examen CISA 2008 ‘en conformidad con Tos itoria de TI, lineamientos y mejores précticas para cumplir con los objetivos de auditoria planeados. KSI.1 Conocimiento de Estindares, Directrices y Procedimientos de ST y Cédigo de Etica Profesional de ISACA KSI.2 Conocimiento de pricticas y téenicas de auditoria de SI KSI.3 Conocimiento de técnicas para recopilar informacion y preservar la evidencia (p. ¢j., observacién, investigacién, entrevista, técnicas de auditoria asistidas por computadora (CAATS), medios electrénicos) KSI4 Conocimiento del ciclo de vida de la evidencia (p. ej, la recopilacién, proteccién, cadena de custodia) KSI.5 Conocimiento de los objetivos de control y controles relacionados con SI (e.g,, CobiT) KSI.7 Conocimiento de las técnicas de planeacién y administracién de auditoria KSI.10 Conocimiento de las téenicas continuas de auditoria TI4 Comunicar los problemas que emergen, Tos riesgos potenciales y los resultados de auditoria a los interesados clave. KSI.1 Conocimiento de Estindares, Directrices y Procedimientos de Sl y Cédigo de Etica Profesional de ISACA KSI.5. Conocimiento de los objetivos de control y controles relacionados con SI (¢.g., CobiT) KSI.8 Conocimiento de ténicas de reporte y comunicacién (p. ej... facilitacién, negociacién, resolucién de conflictos) KSI.10Conocimiento de las téenicas continuas de auditorfa TIS Asesorar sobre la implementacién de la administracién del riesgo y las précticas de control dentro de Ia organizacién al tiempo que se ‘mantiene la independencia. KSI.1 Conoeimiento de Estindares, Directrices y Procedimientos de SI y Cédigo de Etica Profesional de ISACA KSI.5 Conocimiento de los objetivos de control y controles relacionados con SI (e.g., CobiT) KS1.6 Conocimiento de evaluacién del riesgos en un contexto de auditoria KS1.9 Conocimiento de control (CSA) KS1.10 Conocimiento de fas téenicas continuas de auditorfa autoevaluacién del 2 ADMINISTRACION DE LA FU La funcién de auditoria debe ser manejada y conducida en una forma que asegure que las diversas tareas realizadas y logradas por el equipo de auditorfa cumpliran los objetivos de la funcién de auditoria, ‘mientras se preserva la independencia y la competencia de la auditoria. Ademas, manejar la funcién de auditoria deberia asegurar las contribuciones de valor agregado a la alta gerencia respecto a la eficiente administracién ce TI al logro de los objetivos del negocio. Manual de Preparacion al Examen CISA 2008 TS 1.2.1 ORGANIZACION DE LA FUNCION DE AUDITORIA DE SI Los servicios de auditoria de $I pueden ser provistos externamente o internamente. El rol de la funcién interna de auditorfa de SI debiera establecerse en un estatuto de auditoria. La auditoria de SI puede ser parte de la auditoria intema como un grupo independiente 0 integrada dentro de una auditoria financiera u operacional (ver anexo 1.7) para proveer garantia de control relacionado con TI a Jos auditores financieros o de la gerencia; por lo tanto, el estatuto de auditoria puede incluir otras funciones de auditoria. Este estatuto deberia establecer claramente la responsabilidad y los objetivos de la direccién para la funcién de auditoria de SI y la delegacién de autoridad para la misma. Este documento deberia describir la autoridad, aleance y responsabilidades generales de la funcién de auditoria, El nivel mis alto de direccion y el comité de auditorfa, si existe esta funcién dentro de la organizacién, éeberian aprobar este estatuto. Una vez establecido, este estatuto deberia modificarse s6lo si dicho cambio puede realizarse y esta completamente justificado. Los estindares de auditoria de SI de ISACA requieren que la responsabilidad, autoridad y obligacién de rendir cuentas de la funcién de auditoria de los sistemas de informacion estén debidamente documentadas en un estatuto de auditoria o en un contrato de trabajo. ‘(Estatuto de Auditoria de SI). Se debe notar que un estatuto de auditoria es un documento abareador que cu bre toda Ia gama de actividades de auditoria en una entidad mientras que una carta de compromiso esté mis enfocada en un ejercicio particular de auditorfa que se busca que sea iniciado en una organizacién ‘con un objetivo especitico en mente. Si los servicios de auditoria de ST son provistos por una firma externa, el alcance y los objetivos de estos servicios deben ser documentados en un contrato formal o declaracién de trabajo entre la organizacion ccontratante y el proveedor de servicios. En cualquier caso, la funcién de auditoria intema debe ser independiente, y reportarse a un Comité de Auditorfa, si estuviera disponible, o al nivel mds alto de la gerencia, como por ejemplo la Junta Directiva. 1.2.2 ADMINISTRACION DE LOS RECURSOS DE AUDITORIA DE SI La tecnologia de SI esté cambiando constantemente. Por lo tanto, es importante que los auditores de ST mantengan su competencia por medio de la actualizacién de sus habilidades actuales y que obtengan capacitacién sobre nuevas técnicas de auditoria y dreas teenolégicas. Los estindares de auditoria de SI de ISACA requieren que el auditor de ST sea técnicamente competente (Competencia Profesional S4), teniendo las habilidades y los conocimientos necesarios para realizar el trabajo del auditor. Ademés, el auditor de SI ha de mantener su competencia técnica a través de una educacién profesional continua. Se deben tomar en consideracién las habilidades y los conocimientos cuando se planeen las auditorias y se asigne personal para tareas especificas de auditoria. Proferentemente, se deberfa diseflar un plan anual detallado de capacitacién del personal basado en la direccién de la organizacién, en términos de tecnologia y aspectos relacionados de riesgo que necesiten ser considerados. Este deberia revisarse semestralmente para asegurar que las necesidades de capacitacién estén de acuerdo con la direccién que esté tomando la organizacién de auditoria. Adicionalmente, la direccién de auditoria de SI deberia también prover los recursos necesarios de TI requeridos para efectuar debidamente las auditorias de SI de naturaleza altamente especializaia (por ejemplo, software, escéner para pruebas de vulnerabilidad de red, pruebas de penetracién) 17 "Manual de Manual de Preparacion al Examen CISA 2008 1.2.3 PLANEACION DE LA AUDITORIA. Planeacién Anual La planeacién de la auditoria esta constituida tanto por la planeacién a corto como a largo plazo. La planeacién a corto plazo toma en cuenta los aspectos relevantes de auditoria que seréin cubiertos durante el afio, mientras que la planeacién a largo plazo se refiere a los planes de auditoria que tomarén en cuenta aspectos relacionados con riesgos debido a los cambios en la direccién estratégica de TI de le organizacién que afectarén el ambiente de TI de Ia organizacién. El andlisis de los aspectos relevantes a corto y a largo plazo debe hacerse por lo menos una vez al aio. Esto es necesario para tomar en consideracién los nuevos aspectos de control, Ios cambios en el entorno del riesgo, la cambiante tecnologia, los procesos de negocio en constante cambio y las téenicas mejoradas de evaluacién, Los resultados de este anlisis para la planeacién de futuras actividades de auditoria deben set revisados por la alta direccién, y aprobados por el comité de auditoria, si existiera, 0 alternativamente por la Junta Directiva y comunicados a los niveles de direccién relevantes. Asignaciones de Auditoria Individual Ademés de la planeacién general anual, cada tarea individual de auditoria debe ser planeada adecuadamente. El auditor de SI debe entender que otras consideraciones, tales como los resultados de la evaluacién periédica de riesgos, cambios en la aplicacion de tecnologia, y aspectos de privacidad evolucionantes y requisitos regulatorios pueden afectar el enfoque general de ia auditoria. El auditor de ‘SI deberia también considerar las fechas limites establecidas para la implementacién/actualizacién de los sistemas, las teenologias actuales y futuras, requerimientos de los duefios del proceso de negocio y las limitaciones de recursos de SI. Al planear una auditoria, el auditor de SI debe tener un entendimiento general del ambiente a revisar. Esto deberia incluir una comprensién general de las diversas pricticas del negocio y de las funciones relativas al sujeto de la auditorfa, asi como también los tipos de sistemas de informacién y Ia tecnologia que soportan Ia actividad. Por ejemplo, el auditor de SI deberia estar familiarizado con el marco regulatorio en el que opera el negocio. ara realizar Ia planeacién de la auditorfa, el auditor de SI deberia realizar os pasos siguientes: © Lograr un entendimiento de la misién, 1os objetivos, el propésito y los procesos del negocio, incluyendo los requerimientos de informacién y procesamiento, tales como disponibilidad, integridad, seguridad y tecnologia del negocio y la confidencialidad de informacién. ‘© Identificar contenidos especificos tales como politicas, estindares y directrices. requeridos, procedimientos y estructura de la organizacién Realizar un andlisis de riesgos para ayudar a diseftar el plan de auditoria Llevar a cabo una revisién de los controles internos relacionados con TI. Establecer el alcance y los objetivos de la auditoria. Desarrollar el enfoque o la estrategia de auditoria. Asignar recursos humanos a la auditoria Dirigir la logistica del trabajo de auditoria Los Estindares de Auditoria de SI de ISACA requieren que el auditor de SI planee el trabajo de auditoria de SI para alcanzar los objetivos de auditoria y cumplir con los estindares profesionales de auditoria aplicables (Planeacion $5). El auditor de SI debe desarrollar un plan de auditoria que tome en consideracién los objetivos del auditado relevantes al rea auditada y a su infraestructura tecnolégica. Si “Manual de Proparacidn al Examen CISA 2008 is es necesario, el auditor de SI deberla también considerar el area bajo revisién y su relacién con la organizaci6n (estratégica, financiera y/u operativamente) y obtener informacién sobre el plan estratégico, incluyendo el plan estratégico de SI. El auditor de SI deberia tener un entendimiento de la arquitectura de tecnologia de la informacién y de la direccidn teenolégica del auditado para diseitar un plan apropiado para la tecnologfa actual y donde aplique, para la tecnologia futura del auditado. Los pasos que un auditor de SI podria tomar para lograr el entendimiento del negocio incluyen: ~ Recorrido de Tas instalaciones clave de la organizacién = Lectura de antecedentes incluyendo publicaciones de la industria, informes anuales e informes de is financieros independientes - Revisin del negocio y de los planes estratégicos de TI a largo plazo - Entrevistas a los gerentes clave para entender pormenores del negocio de informes anteriores o informes relacionados con TI (provenientes de auditorias extemas 0 internas o revisiones especificas tales como revisiones regulatorias), - Identificar las regulaciones especificas aplicables a TI - Identificar las funciones de TI o las actividades relacionadas que han sido contratadas externamente. Otro componente bésico de la planeacién es lograr correspondencia entre los recursos de auditoria disponibles y las tareas definidas en el plan de auditoria. El auditor de SI que prepare el plan deberia considerar los requerimientos del proyecto de auditoria, recursos de personal y otras limitaciones. Este ejercicio de asignacién de recursos deberia considerar las necesidades de los proyectos individuales de auditoria asi como también las necesidades generales del departamento de auditoria. 1.2.4 EFECTO DE LAS LEYES Y REGULACIONES SOBRE LA PLANIFICACION DE AUDITORIA DE SI Toda organizacién, independientemente de su tama‘io o de la industria en la que opera, deberd cumplir con un nimero de requerimientos gubernamentales y externos relacionados con las pricticas y los controles de los sistemas computarizados y con la manera en que se almacenan y se wan las computadoras, los programas y los datos. Adicionalmente, las regulaciones de negocio pueden impactar Ja forma en que los datos se procesan, se transmiten y se almacenan (bolsa de valores, bancos centrales, ete). Se debe prestar especial atencién a estos asuntos en aquellas industrias que histéricamente han tenido un marco regulatorio muy estricto. Por ejemplo, la industria bancaria en todo €] mundo tiene penalizaciones severas para las compaiiiasy para sus funcionarios en caso de que la organizacién no pueda proveer un nivel adecuado de servicio a causa de procedimientos de respaldo y recuperacién que estén por debajo de los estindares. También, en varios paises, los proveedores de servicios de Internet estén sujetos a leyes ‘especificas respecto a la confidencialidad y a la disponibilidad del servicio. Los auditores de SI deberian revisar la politica de la administracién sobre privacidad, para determninar si éta toma en cuenta los requerimientos legales y regulatorios de privacidad aplicables, inciuyendo requisitos de flujo de datos al cruzar fronteras tales como Puerto Seguro (Safe Harbor) y las directrices de a Organizacién para la Cooperacién Econémica y 1 Desarrollo (OECD) que rigen ia proteceién de la privacidad y los flujos transfrontera de datos personales. i Debido a la dependencia cada vez mayor en sistemas de informacién y en tecnologia relacionada, varios paises se estén esforzando para establecer capas adicionales de requerimientos regulatorios en relacién con las auditorfas de SI. El contenido de estas regulaciones legales trata sobre: Establecimiento de los requerimientos regulatorios Onganizacién de los requerimientos regulatorios Responsabilidades asignadas a las entidades correspondientes Correlacién con las funciones de auditoria financiera, operacional y de TT El personal de gerencia, asi como también la gerencia de auditoria en todos los niveles, deberian estar conscientes de los requerimientos externos relevantes a las metas y los planes de la organizacién y a las, responsabilidades y actividades del departamento/funcién /actividad de los servicios de informacién. Existen dos dreas principales de interés: los requerimientos legales (leyes, acuerdos regulatorios y contractuales) aplicables a la auditoria o a la auditoria de SI, y los requerimientos legales, aplicables al auditado y a sus sistemas, administracién de datos, informes, etc. Estas 4reas podrian impactar al alcance ¥ a los objetivos de Ia auditorfa. Esto Gltimo es importante para los auditores internos y externas. Los ‘asuntos legales también impactan las operaciones del negocio de las organizaciones en téminos de ‘cumplimiento con regulaciones ergonémicas, la Ley americana de Portabitidad de Seguro de Salud y Rendicién de Cuentas (HIPAA), la Proteccién de las Directivas de Datos Personales y Comercio Electrénico dentro de la Comunidad Europea, prevencién de fraude dentro de las organizaciones bancarias, etc. Un ejemplo de pricticas sblides de control, es la Ley Sarbanes-Oxley (SOX) de 2002, de los Estados Unidos, la cual requiere evaluar los controles de TI de una organizacién. Sarbanes-Oxley provee nuevas reglas, regulaciones y estindares de gobierno corporativo para compaiiias péblicas especificas que incluyen a las registradas en La Comisidn de Titulos Valores y de Bolsa de los Estados Unidos (SEC). La SEC ha ordenado el uso de una estructura de control interno reconocida. Sarbanes-Oxley requiere que las organizaciones seleccionen e implementen una estructura adecuada de control interno. COSO, Control Interno ~ Estructura Integrada, se ha convertido en la estructura mas cominmente adoptada por compafifas piblicas que buscan cuplir. Como la Ley de EEUU Sarbanes-Oxley esté dirigida a aumentar el nivel de control de los procesos de negocio y los sistemas de informacién que los soportan, los auditores de SI tienen que considerar el impacto de Sarbanes-Oxley como parte de la planeacién de la auditoria. Un ejemplo similar es el Acuerdo de Basilea II , que regula la cantidad mfima de capital para las organizaciones financieras basadas en el nivel de riesgo que enfrentan estas organizaciones. El Comité de Basilea II sobre Supervisién Bancaria recomienda condiciones que deben cumplirse , ademas de los requerimientos de capital, para manejar las exposiciones de erédito. Estas condiciones idealmente tendran como consecuencia un mejoramiento de: ~ la administracién del riesgo de crédito - la administracién del riesgo operativo - La administracién de los sistemas de informacién a través de requerimientos claramente definidos. Los siguientes son pasos que seguiria un auditor de SI para determinar el nivel de cumplimiento de una organizacién con los requerimientos externos: Identificar los requerimientos gubemamentales u otros externos relevantes que se refieran a: Datos electrénicos, datos personales, derechos de autor, comercio electrénico, firmas digitales, etc. Pricticas y controles de sistemas computarizados ‘La manera en que se almacenan las computadoras, los programas y los datos ‘Manual de Preparacion al Examen CISA 2008 7 La organizacién o las actividades de los servicios de tecnologia de la informacién las aucitorias de SI Documentar las leyes y regulaciones pertinentes Determinar si la gerencia de 1a organizacién y Ia funcién de SI han tomado en consideracién los requerimientos extemos relevantes al realizar planes y al fijar politicas, estindares y procedimientos, asi como también funciones de aplicacién del negocio. Revisar los documentos internos del departamento/funcién/actividad de SI que se ocupan del cumplimiento de las leyes aplicables a la industria Determinat el cumplimiento con los procedimientos establecidos que se ocupan de estos requerimientos. Determinar si hay procedimientos instalados para asegurar que los contratos 0 acuerdos con proveedores externos de servicios de TI reflejen cualquier requerimiento legal relacionado con las responsabilidades. Se espera que la organizacién tenga una funcién de cumplimiento legal en la que el personal de Control de SI pueda confiar. ‘Nota: A un candidate CISA no se le preguniaré sobre ninguna ley o reglamentacion especifica, pero si podra ser examinado sobre c6mo realizaria una auditoria para determinar el cumplimiento con leyes y regulaciones. Fl examen inicamente pondré a prueba el conocimiento de las pricticas globales aceptadas. UDITORIA DE 1.3.1 CODIGO DE ETICA PROFESIONAL DE ISACA La Asociacién de Auditorfa y Control de Sistemas de Informacién (ISACA) establece este Céidigo de Etica Profesional para guiar ia conducta profesional y personal de los miembros de la asociacién y/o de ‘sus profesionales certificados. Los Miembros y los profesionales certificados de ISACA deberin: 1, Apoyar la implementacién y fomentar el cumplimiento de las normas, los procedimientos y los coniroles apropiados en los sistemas de informacién. 2, Bjecutar sus labores con objetividad, diligencia y cuidado profesional, de conformidad con las normas y mejores practicas profesionales. 3. Servir en el interés de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estindares de conducta y de carder, y no involucrarse en actos que puedan desacreditar la profesién. 4, Mantener la privacidad y la confidencialidad de la informacién obtenida en el curso de su funcién a menos que la autoridad legal requiera su revelacién. Dicha informacién no seré usada para beneficio personal ni serd revelada a terceros. 5S. Mantener competencia en sus respectivos campos y se comprometeré a emprender jinicamente las actividades que puedan realizar con competencia profesional. 6, Informar a las personas adecuadas los resultados del trabajo realizado, revelando todos los hechos significativos de los que tengan conocimiento. 7. Apoyar Ia educacién profesional de los accionistas para mejorar su comprensién sobre seguridad y control de los sistemas de informacién. 1 "Manual de Manual de Preparacion al Examen CISA 2008 El no cumplir con este Cédigo de Etica Profesional puede resultar en una investigacién de la conducta de un miembro y/o del profesional certificado y, en tiltima instancia, en medidas disciplinarias. /Nota: No se espera que un eandidato CISA y cada una palabras cor Estindates, directrices y procedimientos de ruta de ay ol Cogs de Etica ISACA. Los andiloie eee ‘examinados respecto a su pi directrices o con el e6digo, con sus objetivos y sobre e6mo aplican éstos en una situacién dada, 1.3.2 MARCO DE ESTANDARES DE ISACA PARA LA AUDITORIA DE SI El cardicter especializado de Ia auditoria de sistemas de informacién, y de las habilidades y conocimientos necesarios para llevar a cabo dichas auditorias, requieren estandares aplicables globalmente que sean pertinentes de forma especifica a la auditoria de sistemas de informacién. Una de las funciones més importantes de ISACA es prover informacién (conjunto comin de conocimientos per se) para satisfacer los requisitos de conocimiento. (Ver estindar $4 Competencia Profesional.). Una de las metas de ISACA es proveer los estindares para satisfacer esta necesidad, El desarrollo y divulgacién de los Esténdares para la Auditoria de SI es la piedra angular de la contribucién profesional de la Asociacién a la comunidad de auditores. El auditor de SI necesita estar consciente que pueden cxistir estindares adicionales, 0 incluso requerimientos legales impuestos por ley que deben ser cumplidos por el auditor. Los objetivos de los Esténdares de ISACA para la Auditoria de SI son informar: ~ A los auditores de sistemas de informacién sobre el nivel minimo requerido de desemperio aceptable ‘para cumplir con las responsabilidades profesionales establecidas en el Cédigo de Etica Profesional para Jos Auditores de SI ~ A la gerencia y a otros interesados sobre las expectativas de la profesién en relacién con el trabajo de los auditores. E marco de los Estindares de Auditoria de SI de ISACA presenta miltiples niveles, como se explica a continuacién: = Los Estindares definen los requerimientos obligatorios para la auditoria y para los informes de auditoria de SI. ~ Las directrices brindan una guia para aplicar los Estindares de Auditoria de SI. El auditor de SI debe tenerlas en cuenta para determinar cémo implementar los esténdares anteriormente citados, usar su juicio profesional al aplicarlas y estar preparado para justificar cualquier diferencia de las mismas. - Los Procedimientos oftecen ejemplos de procedimientos que debe seguir un auditor de SI en una asignacién de Auditoria. Los documentos de procedimientos brindan informacién sobre la manera de cumplir con los estindares cuando se esté realizando un trabajo de auditoria de sistemas de informacion, pero no establecen requerimientos. El Cédigo de Etica Profesional de ISACA requiere que los miembros de ISACA y quienes cuentan con la certificacién CISA cumplan con los Estindares de Auditoria de SI adoptados por ISACA. El aparente incumplimiento de las mismas puede tenet como consecuencia que ISACA o una junta o comité designado por ISACA, realice una investigacién sobre la conducta de un miembro o profesional certificado CISA. Esto podria dar lugar a una medida disciplinaria. Nota: Ver ol Apéndice B en Estindares, Directrices y Provedimientos de Auditoria de SI. EI texto completo de estas directrices y procedimientos esté disponible en www.isaca.orw/standards. ‘Manual de Proparacign al Examen CISA 2008, 0 Estandares de Auditoria Los esténdares de auditoria de SI aplicables a la auditoria de Sistemas de Informacién son: —S1 Estatuto de Auditoria: ~ El propésito, responsabilidad, autoridad y obligacién de rendir cuentas de la funcién de auditoria de sistemas de informacin o tareas de auditoria de sistemas de informacién deberian estar debidamente documentados en un estatuto de auditoria o en un contrato. - El estatuto de auditorfa o contrato deberia ser establecido y aprobado por un nivel apropiado dentro de la(s) organizacién(es). 2 Independencia: ~ Independencia profesional En todos los asuntos relacionados con la auditoria, el auditor de SI deberia ser independiente del auditado tanto en actitud como en apariencia. - Independencia organizacional La funcién de auditoria de SI deberia ser independiente del area o actividad que se esté revisando para permitir la ejecucién objetiva de Ia tarea de auditoria. -S3 Etica y Esténdares Profesionales: ~ El auditor de SI deberia acatar el Cédigo de Etica Profesional de ISACA. = El auditor de SI deberia ejercer el debido cuidado profesional, incluyendo la observancia de los cestindares profesionales de auditoria aplicables. ~ $4 Competencia Profesional: = El auditor de SI deberia ser profesionalmente competente, teniendo las habilidades y los conocimientos para realizar el trabajo de auditoria asignado. = El auditor de St deberia mantener la competencia profesional a través de una apropiada educecién y capacitacién profesional continua. - 85 Planeacién: - El auditor de SI deberia planear el alcance de la auditoria de sistemas de informacién tomando en cuenta los objetivos de la auditoria y el cumplimiento con las leyes y los estindares profesionales de auditorfa aplicables. - El auditor de SI deberia desarrollar y documentar el enfoque de auditoria basado en riesgos. - El auditor de SI deberia desarroliar y documentar el plan de auditoria detallando la naturaleza, los objetivos, el tiempo, el alcance y los recursos requeridos. - El auditor de SI deberia desarrollar el programa y los procedimientos de auditoria, - 86 Ejecucién del Trabajo de Auditoria: - Supervisién — El personal de auditoria de sistemas de informacién deberia ser supervisado para proveer una certeza razonable que los objetivos de la auditoria serén alcanzados y que se observan los estindares profesionales de auditoria aplicables. - Evidencia - En el curso de la auditoria, el auditor de SI deberia obtener evidencia suficiente, confiable, y relevante para lograr los objetivos de la auditoria. Los hallazgos y las conclusiones de la auditoria deben estar respaldados por un andlisis e interpretacién apropiados de esta evidencia. = Documentacién — El proceso de auditoria deberia estar documentado, describiendo el trabajo de auditoria y 1a evidencia de auditoria que respalde los hallazgos y las conclusiones del auditor de SI. Ey ‘Manual de Manual de Preparacién al Examen CISA 2008 - $7 Informe: - El auditor de SI deberia proveer un informe, en un formato apropiado, al terminar la revisién. El informe deberia identificar la organizacién, los destinatarios, y cualquier restriccién sobre su publicacién, - E] informe de auditoria deberia establecer el alcance, los objetivos, el perfodo cubierto y la naturaleza, tiempo y extension del trabajo de auditoria realizado. ~ El informe deberia establecer los hallazgos, conclusiones y recomendaciones, asi como cualquier reserva, restriccién 0 limitacién en el aleance que tenga el auditor de SI con respecto a Ja auditoria, - El auditor de SI deberia tener evidencia suficiente y apropiada para respaldar los resultados reportados. ~ El informe del auditor de SI deberia estar firmado, fechado y ser distribuido de conformidad con los términos del estatuto de auditoria 0 contrato, cuando se emita. - $8 Actividades de Seguimiento: = Después de proveer el informe de los hallazgos y recomendaciones, el auditor de SI deberia solicitar y evaluar la informacién relevante para determinar si la direccién ha tomado las acciones apropiadas de manera oportuna. ~ $9 Irregularidades y Actos Hicitos: ~ Al planificar y ejecutar una auditoria para reducir el riesgo a un nivel minimo, el auditor de SI debe considerar el riesgo de irregularidades y actos ilicitos. - El auditor de SI deberia mantener una actitud de escepticismo profesional durante la auditoria, reconociendo Ia posibilidad de que existan declaraciones erréneas materiales debido a irregularidades y actos ilicitos, independientemente de su evaluacién de riesgo de irregularidades y actos ilicitos. ~ El auditor de ST deberia obtener un conocimiento de la organizacién y su ambiente incluyendo sus controles internos. Cuando se realizan procedimientos de auditoria para obtener un conocimiento de la organizacion y su ambiente, el auditor de SI debe considerar relaciones inusuales o inesperadas que pueden indicar un riesgo de falsas declaraciones materiales debido a imegulareidades y actos ilegales.. = El auditor de SI deberia obtener evidencia de auditoria suficiente y relevante para determinar si direcci6n o alguien mas dentro de la organizacién tiene conocimento de alguna irregularidad o acto ilicito real, sospechoso 0 presunto, - + El auditor de SI deberia disefiar y ejecutar procedimientos para probar qué tan apropriados son los controles intemos y el riesgo de que la direceién no respete los controles. = Cuando el auditor de SI identifique una declaracién errénea, deberia evaluar si esto pudiera ser indicativo de irregularidades o actos ilicitos. Si sospecha que asi es, el auditor de SI deberia considerar las implicaciones en relacién a otros aspectos de la revisidn y en particular en relacién a las manifestaciones de la direceién - El auditor de SI deberia obtener declaraciones escritas de la direccién al menos una vez al affo 0 con més frecuencia dependiendo del trabajo de auditoria, en las que deberia: Reconocer su responsabilidad por el disefio ¢ implementacién de controles internos para prevenir y detectar irregularidades 0 actos ilicitos. Revelar al auditor de ST los resultados de 1a evaluacién del riesgo de que existan declaraciones erréneas ‘como resiultado de irregularidades 0 actos ilicitos Revelar al auditor de SI su conocimiento de irregularidades 0 actos ilicitos que afecten la organizacién con relacién a la direccién y a los empleados que tengan roles significativos en el control interno ~ El auditor de SI deberia tomar conocimiento de cualquier presuncién o sospecha de irregularidades 0 actos ilfcitos que afecten a la organizacién que hayan sido informados por empleados, ex-empleados, reguladores y otros. - Si el auditor de SI identifica una irregularidad o acto ilicito material u obtiene informacién de que una iregularidad 0 acto ilicito material pueda existir, el auditor de SI deberia comunicar estos asuntos oportunamente al nivel apropiado de direceién "Manual de Preparacién al Examen CISA 2008, 7 - Si el auditor de SI identifica una irregularidad o acto ilicito material que involucre a la direccién o a empleados que tengan funciones significativas en el control interno, el auditor de SI deberia comunicar estos asuntos de manera oportuna a los encargados del gobiemo corporativo. - Bl auditor de SI deberfa aconsejar al nivel apropiado de direccién y a los encargados del gobierno corporativo sobre las debilidades materiales en el disefio e implementacién del control interno para prevenir y detectar irregularidades o actos ilfcitos que podrian haber sido identificados en el curso de un trabajo de auditoria. - Si el auditor de SI encuentra circunstancias excepeionales tales como falsas declaraciones 0 actos ilicitos que afecten su capacidad de continuar con el trabajo de auditorfa, el auditor de SI deberia considerar sus responsabilidades legales y profesionales aplicables dadas las cireunstancias, incluyendo el saber si existe el requerimiento de que el auditor de SI reporte a sus contratantes 0 en algunos casos a los encargados del gobierno corporativo o a las autoridades regulatorias 0 bien considerar cancelar su contrato. - El auditor de SI deberfa documentar todas las comunicaciones, planeacién, resultados, evaluaciones y conclusiones relacionadas con irregularidades materiales y actos ilicitos que hayan sido reportados a la direccién, encargados del gobierno corporativo, reguladotes y otros. ~ $10 Gobierno de T! - El auditor de SI deberia revisar y evaluar si la funcién de SI esta alineada con Ia visién, misién, valores, objetivos y estrategias de la organizacién = El auditor de ST deberia revisar si la funcién de SI tiene una declaracién clara acerca del desempeiio cesperado por el negocio (efectividad y eficiencia) y evaluar si se cumple con el mismo. ~ El auditor de SI debe revisar y evaluar la efectividad en los procesos de administracién de recursos de SI y de desempefio. = El auditor de SI deberfa revisar y evaluar el cumplimiento con los requeri de calidad de la informacién, fiduciarios y de seguridad. - El auditor de SI deberia usar un enfoque basado en riesgos para evaluar la funcién de SI - El auditor de SI deberfa revisar y evaluar el ambiente de control de la organizaci - El auditor de SI deberia revisar y evaluar los riesgos que puedan impactar de manera negativa el ambiente de ST ientos legales, ambientales, - $11 Uso de Ia evaluacién de riesgos en la planeacién de auditoria: = El auditor de SI deberia usar una téenica o enfoque apropiado de evaluacién de riesgos al desarollar el plan general de auditoria de SI y determinar las prioridades para una asignacién efectiva de recursos de auditoria. - Al planear las revisiones individuales, el auditor de SI deberia identificar y evaluar los riesgos relevantes para el drea bajo revision. - S12 Materialidad de Ia Auditoria = el auditor de SI deberia considerar la materialidad de la auditoria y su relacién con el riesgo de auditorfa mienstra determina la naturaleza, tiempo y extensién de los procedimientos de auditoria ~ Mientras planea para la auditorfa, el auditor de SI deberia considerar Ia potencial debilidad o la ausencia de controles y si dicha debilidad o ausencia de controles podria tener como consecuencia deficiencias significativas o una debilidad material en el sistema de informacién. - El auditor de SI deberia considerar el efecto acumulativo de las deficiencias o debilidades menores de control y 1a ausencia de controles para traducir en deficiencia significativa o debilidad material en el sistema de informacién. - El informe del auditor de SI debe ria revelar controles ineficaces 0 ausencia de controles y Ia significacién de las deficiencias de control y la posibilidad de que estas debilidades tengan como consecuencia una deficiencia significativa o una debilidad material. 63 "Manual de Manual de Preparacion al Examen CISA 2008 S13 Usar el Trabajo de Otros Expertos - El auditor de SI deberia, donde sea apropiado, considerar usar el trabajo de otros expertos para la auditorfa. = Bl auditor de SI deberia evaluar y quedar satisfecho con los procesos de calificaciones profesionales, competencias, experiencia relevante, recursos, independencia y control de calidad de otros cexpertos, antes del compromiso. - El auditor de SI deberia analizar, revisar y evaluar el trabajo de otros expertos como parte de la auditoria y concluir la extensién de uso y confianza en el trabajo de un experto. - Ei auditor de SI deberia determinar y concluir si el trabajo de otros expertos es adecuado y ‘completo como para permitir que el auditor de ST concluya sobre los actuales objetivos de auditoria. Dicha conclusidn debe ser claramente documentada. - El auditor de SI debe aplicar procedimientos adicionales de prueba para obtener evidencia suficiente y apropiada de auditoria en circunstancias en las que el trabajo de otros expertos no provee evidencia suficiente y apropiada de auditoria ~ El auditor de SI deberia proveer una opinién apropiada de auditoria e incluir limitacién de alcance donde la evidencia requerida no sea obtenida a través de procedimientos adicionales de prueba. ~ $14 Evidencia de auditoria - El auditor de SI deberia o btener evidencia suficiente y apropiada de auditoria para extraer conclusiones sobre las cuales basar los resultados de auditoria. ~ El auditor de SI deberia evaluar la suficiencia de la evidencia de auditoria obtenida durante el audito. = Incluye los procedimientos que realiza el auditor. = Incluye los resultados de procedimientos realizados por el auditor Juye los documentos fuente (en cualquier formato electrénico o de papel), récords e ‘que corrobora usada para soportar el éudito = Incluye hallazgos y resultados del trabajo de auditoria = Demuestra que el irabajo se realiz6 y cumple con las leyes, regulaciones y politicas aplicables. Nota: El examen de CISA no prueba st un eandidato sabe el himero especifico de un estindar de auditoria, El examen de CISA prueba cémo se aplican las directrices dentro del proceso de auditoria. 1.3.3 DIRECTRICES DE ISACA PARA AUDITORIA DE SI El objetivo de las Directrices de ISACA para la auditoria de SI es proveer informacién adicional sobre cémo cumplir con los Esténdares de ISACA para la Auditoria de SI. E1 auditor de SI deberia = Considerarlos para determinar cémo implementar los estndares citados arriba - Usar el juicio profesional para aplicarlos - Poder justificar cualquier diferencia Nota: Del candidato de CISA no se espera que sepa el niimero especifico de una directriz de auditoria de SI. El examen de CISA prucha cémo se aplican las directrices dentro del proceso de auditoria. El auditor de SI debe revisar las Directrices de Auditoria de SI de manera exkaustiva para identificar el asunto objeto que verdaderamente se necesita en el trabajo. ‘Manual de Proparacion al Examen CISA 2008, 3B Indice de Directrices Gl Uso del Trabajo de Otros Auditores, con efecto a partir del 1 de junio de 1998 G2 Requisito de Evidencia de Auditoria con efecto a partir del 1 de diciembre de 1998 G3 Uso de Técnicas de Auditoria Asistidas por Computadora (CAATs), con efecto a partir del 1 de diciembre de 1998 G4 Servicio externo de Actividades de SI para Otras Organizaciones, con efecto a partir del 1 de septiembre de 1999 GS Estatuto de Auditoria, con efecto a partir del | de septiembre de 1999 G6 ‘Conceptos de Materialidad para la Auditoria de Sistemas de Informacién, con efecto a partir del 1 de septiembre de 1999 G7 Debido Cuidado Profesional, con efecto a partir del 1 de septiembre de 1999 Gs ‘Documentacién de la Auditoria, con efecto a partir del | de septiembre de 1999 Go ‘Consideraciones de Auditoria en Casos de Irregularidades, con efecto a partir del 1 de marzo de 2000 G10 Muestreo de Auditoria, con efecto a partir del 1 de marzo de 2000 Gil Efecto de los Controles Generales de SI, con efecto a partir del 1 de marzo de 2000 Giz Relacién e Independencia Organizacional, con efecto a partir del 1 de septiembre de 2000 Gi3 ‘Uso de la Evaluacién de Riesgos en la Planeacién de la Auditoria, con efecto a partir del 1 de septiembre de 2000 Gl4 Revisién de los Sistemas de Aplicacién, con efecto a partir del 1 de noviembre de 2001 Gis Planeacién Revisada, con efecto a partir del 1 de marzo de 2002 G16 Efecto de Terceros en los Controles de TI de una Organizacién, con efecto a partir del 1 de marzo de 2002 Gi7 Efecto de Funciones ajenas a la Auditoria sobre la Independencia del Auditor de SI, con efecto a partir del | de julio de 2002 Gis Goberno de TI, con efecto a partir del 1 de julio de 2002 G9 Irregularidades y Actos Ilegales, con efecto a partir del 1 de julio de 2002 G20 _Informes, con efecto a partir del 1 de enero de 2003 G21 __Revisién de Sistemas de Planeacién de Recursos Empresariales (ERP), con efecto a partir del 1 de agosto de 2003 G22 Revisién del Comercio Electronico Negocio-a-Consumidor (B2C), con efecto a partir del 1 de agosto de 2003. G23 Revisién del Ciclo de Vida de Desarrollo de Sistemas (SDLC), con efecto a partir del 1 de agosto de 2003 G24 Banca por Intemnet, con efecto a partir del 1 de agosto de 2003 G25 Revisién de Redes Privadas Virtuales, con efecto a partir del | de julio de 2004. G26 _Revisién de Proyectos de Reingenieria de Procesos de Negocio (BPR), con efecto a partir del 1 de julio de 2004 G27 Computacién Movil, con efecto a partir del 1 de septiembre de 2004 G28 Analisis Forense Computacional, efectiva desde el | de septiembre de 2004 G29 __Revisién Post-Implementacién, efectiva desde el 1 de enero de 2005, G30 Competencia, efectiva desde el 1 de junio de 2005. G31 Privacidad, efectiva desde el 1 de junio de 2005. G32 Revisién del Plan de Continuidad de Negocio desde una Perspectiva de TI, efectiva desde el 1 de septiembre de 2005 G33 Consideraciones Generales sobre el Uso de la Internet, efectivo el 1 de marzo de 2006. G34__Responsabilidad, Autoridad e Imputabilidad, efectivo el 1 de marzo de 2006. G35 Actividades de seguimiento, efecto el 1 de marzo de 2006. G36 Controles Biométricos, efecto el 1 de marzo de 2007. uF ‘Manual de Manual de Preparacion al Examen CISA 2008 ‘Nota: El candidato a CISA debe estar familiarizado con Ia seccién en las Directrices de Auditoria de SI relacionados con el “Contenido de la Carta Constitutiva de Auditoria (G5). * Son también importantes lis “Consideraciones de Auditorfa para las Irregularidades” (G9) en relacién con el estandar (Irregularidades y Actos ilegales” (S9) con el fin de reportar irregularidades tales como el fraude. ‘+ El Anditor de SI debe estar familiarizado con la Directriz de Auditoria de SI relacionada con Mantener la independencia “Efecto del Rol de No Auditar sobre la Independencia del Auditor de SI” (Gi7)y el estindar relacionado “Independencia” (S2).. © Conocimiento de “Las Actividades de Seguimiento (G35) deben ser ademés identificadas por el auditor de SI en las Directrices de Auditoria de SI. 1.3.4 PROCEDIMIENTOS DE ISACA PARA AUDITORIA DE SI Los procedimientos desarrollados por la Junta de Estindares de ISACA proven ejemplos de procesos que un auditor de SI posiblemente podria seguir en un trabajo de auditorfa, Para determinar si algin procedimiento especifico es apropiado, el auditor de SI debe aplicar su propio juicio profesional a la situacién particular. Los documentos de procedimientos proven informacién sobre cémo satisfacer los estindares al realizar un trabajo de auditoria de SI, pero no establecen requerimientos. No es obligatorio que el auditor de SI siga estos procedimientos; sin embargo, al seguir estos procedimientos el auditor tendré la certeza de que esta siguiendo los estindares. Indice de Procedimientos P1 Evaluacién de Riesgos de SI, efectivo desde el 1 de Julio de 2002 P2 Firmas Digitales, efectivo desde el 1 de julio de 2002 P3 Deteccién de Intrusos, efectivo desde el 1 de agosto de 2003 P4 Virus y Otros Cédigos Maliciosos, efectivo desde ¢] 1 de agosto de 2003 PS Autoevaluacién de Control de Riesgos, efectivo desde el 1 de agosto de 2003 P6 Firewalls, efectivo desde el | de agosto de 2003 P7 Imregularidades y Actos Ilegales, efectivo desde el | de noviembre de 2003 P8 Evaluacién de la Seguridad - Prueba de Penetracién y Anilisis de Vulnerabilidades, efectivo desde el 1 de septiembre de 2004 9 Evaluacién de los Controles de la Direecién sobre las Metodologias de Encripci6n, efectivo desde el 1 de enero de 2005. P10 Control de Cambios de Aplicacién del Negocio, efectivo al 1 de octubre de 2006. 1.3.5 RELACION ENTRE ESTANDARES, DIRECTRICES Y PROCEDIMIENTOS Los estindares definidos por ISACA deben ser cumplidos por el auditor de SI. Las directrices proven una guia sobre cémo puede el auditor implementar los esténdares en diversas tareas de auditoria. Los procedimientos proveen ejemplos de pasos que puede realizar el auditor para implementar los estindares “Manwal de Preparacion al Examen CISA 2008 z ‘en una tarea especifica de auditoria. Sin embargo, el auditor de SI deberia hacer uso de su juicio profesional cuando use las directrices y los proc 1.4 ANALISIS DE RIESGOS El anilisis de riesgos es parte de Ia planeacién de auditoria y ayuda a identficar los riesgos y las -vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlos. Entender la relacién entre riesgo y control es importante para los profesionales de auditoria de SI y de control, al evaluar. los procesos de negocio relacionados con TI utilizados por una organizacién. Los auditores de SI deben ser capaces de identificar y diferenciar los tipos de riesgo y los controles usados para mitigarlos. Deben tener conocimiento de los riesgos comunes del negocio, riesgos de TI relacionados y controles relevantes. También deben ser capaces de evaluar el andlisis de riesgos y las técnicas de administracién usadas por los directivos del negocio asi como evaluar el riesgo como ayuda para determinar e| enfoque y planear el trabajo de auditoria. Ademés de un entendimiento de los riesgos y los controles del negocio, los auditores de SI deben entender que existe riesgo dentro del proveso de auditorfa Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas distintas para diferentes personas. Tal vez una de las definiciones de riesgo mas sucintas usadas en el negocio de seguridad de Ia informacin es la provista por las Directrices para la Administracién de Seguridad de TT publicadas por la Organizacién Internacional de Estandarizacién (ISO): “El potencial de que una amenaza determinada explote las vulnerabilidades de un activo (G3) 0 grupo de activos ocasionando pérdida 0 dafio a la organizacién."” (ISOMEC PDTR 13335-1) Esta definicién es usada cominmente por la industria de TI ya que coloca al riesgo en un contexto organizacional usando los conceptos de activos y pérdida de valor - términos que los directives del negocio comprenden fécilmente-. Los riesgos del negocio son la probabilidad de aquellas amenazas que pueden tener un impacto negativo sobre los actives, procesos u objetivos de un negocio u organizacién especifica. La naturaleza de estas amenazas puede ser financiera, regulatoria u operacional, y puede surgir como resultado de la interaccién del negocio con su medio, 0 como resultado de las estrategias, sistemas, asi como tecnologia, procesos, procedimientos e informacién particulares usados por el negocio. El auditor de SI esti a menudo enfocado en asuntos de alto riesgo asociados con la confidencialidad, disponibilidad o integridad de informacién sensitiva y critica, y con los sistemas y procesos subyacentes de informacién, que generan, almacenan y manipulan dicha informacién. Al revisar este tipo de riesgos, los auditores de SI a menudo evaluarin la efectividad del proceso de administracién de riesgos que usa una organizacién. EI proceso de evaluacién del riesgo se caracteriza como un ciclo de vida iterative que comienza identificando los objetivos del negocio, los activos de informacién y los sistemas 0 recursos de informacién subyacentes que generan /almacenan, usan o manipulan los activos clave (hardware, software, bases de datos, redes, instalaciones, personas, etc.) para lograr estos objetivos. El mayor grado de esfuerzo de administracién de riesgos puede entonces estar dirigido a los que se consideran mas sensitivos 0 criticos para la organizacién. Una vez que los activos de informacién sensitiva y/o critica estin identificados, se realiza una evaluacién de riesgos para identificar las amenazas, determinar la % “Manual de Manual de Preparacion al Examen CISA 2008 probabilidad de ocurrencia y el impacto resultante y las medidas adicionales que mitigarian este impacto a un nivel aceptable para la gerencia. Luego, durante la fase de mitigacién de riesgos, se identifican los controles para mitigar los riesgos identificados. Estos controles son contramedidas para la mitigacién de riesgos que buscan prevenir 0 reducir la probabilidad de ocurrencia de un evento de riesgo, detectar la ocurrencia del mismo, minimizar cl impacto o transferir el riesgo a otra organizacién. La evaluaci6n de contramedidas deberia realizarse mediante un anélisis costo — beneficio, en el que los controles para mitigar riesgos se seleccionan de manera que se logre reducir los riesgos hasta un nivel aceptable para la direccién. Este proceso de andlisis puede basarse en cualquiera de las siguientes opciones: ~ El costo del control comparado con el beneficio de minimizacién del riesgo - La tolerancia a riesgos de la gerencia (p. ¢j..el nivel de riesgo residual que la gerencia est preparada para aceptar) = Los métodos preferidos de reduccién de riesgos (p. ej... eliminar el riesgo, minimizar la probabilidad de ‘ocurrencia, minimizar el impacto, transferir /asegurar) La fase final se relaciona con el monitoreo de los niveles de desempeiio de los riesgos administrados cuando se presenten cambios significativos en el entomo, que iniciarian una reevaluacién de riesgos, resultando en cambios a su ambiente de control. Ello abarca tres procesos ~ evaluacién de riesgos, mitigacin de riesgos y reevaluacién de riesgos- para determinar si los riesgos se estén mitigando hasta un nivel aceptable para la gerencia. De debe notar que, para ser efectiva, la evaluacién del riego debe ser un proceso continuo en una organizacién que se esfuerza por identificar y evaluar constantemente los riesgos amedida que éstos surgen y evolucionan. Desde 1a perspectiva del auditor, el andlisis de riesgos tiene més de un propésito: Apoya al auditor en la identificacidn de riesgos y amenazas para un ambiente de TI y los sistemas de SI que necesitan ser tratados por a direccién asi como los controles internos especificos del sistema. Dependiendo del nivel de riesgo, este andlisis apoya al auditor en Ia seleccién de ciertas areas para examinar. Ayuda al auditor en su evaluacién de los controles durante la planeacién de la auditoria. Apoya al auditor a determinar los objetivos de Ia auditoria. Soporta decisiones de la auditorfa basada en riesgos. también son conocidos como controles internos. Los controles internos son desarrollados para prover una certeza razonable de que se aleanzarén los objetivos de negocio de una organizacién y que los eventos de riesgo no deseados serdn cvitados 0 detectados y corregidos. Las actividades de control intemo y los procesos que las soporten pueden ser manuales © manejados por recursos de informacién automatizados. Estos operan en todos los niveles dentro de una organizacién para mitigar su exposicién a riesgos que potencialmente podrian impedirle alcanzar sus objetivos de negocio. La junta directiva y la alta direccién son responsables de establecer la cultura apropiada para facilitar un sistema efectivo y eficiente de control interno y de supervisar continuamente la efectividad del sistema de control interno, aunque toda persona dentro de una organizacién debe participar en este proceso. Manual de Prepara 7 Existen dos aspectos clave que el control debe atender: qué deberia lograrse y qué deberia evitarse. Los controles internos no sélo tratan los objetivos de negocio /operativos, sino que también deberfan estar preparados a través de la prevencién, deteccién y corres Los elementos de control que deberian ser considerados al evaluar ta fortaleza de un control, estén clasificados como preventivos, detectivos 0 correctivos de acuerdo a su naturaleza, La Figura 1.2 muestra las categorias de control, funciones y usos. Minual de Manual de Preparacion al Examen CISA 2008 Figura 1.2 ‘CLASIFICACION DE LOS CONTROLES CLASE, FUNCION, EJEMPLOS Preventivos| ¢ Detectar problemas antes de que ‘e Emplear sélo personal calificado surjan © Segropar funciones (factor disuasivo) Monitorear tanto las operaciones | © Controlar el acceso fisico a las, como el ingreso de datos instalaciones ‘Tratar de predecir problemas ‘© Usar documentos bien disefiados potenciales antes de que estos (prevenir errores) ‘ocurran y hacer ajustes ‘© Establecer procedimientos adecuados Impedir que ocurra un error, una para la autorizacién de transacciones ‘omisién 0 un acto malicioso ‘© Completar las validaciones de edicién programadas © Usar software de control de acceso que permita que s6lo el personal autorizado tenga acceso a archivos sensitivos. Detectivos [+ Usar controles que detecten y © Hash Totals reporten que ha ocurrido un error, | © Puntos de verificacién en los trabajos una omisién o un acto malicioso Gobs) de produecién © Controles de eco en las telecomunicaciones © Mensajes de error sobre etiquetas de cintas © Doble verifice de célculos © Reportes periddicos de desempefio con variaciones © Reportes de cuentas vencidas © Funciones de auditoria intema © Revisién de registros de actividad para detectar intentos de acceso no autorizado Correctivos|* Minimizar el impacto de una. ‘* Planeacién de contingencias amenaza Remediar problemas descubiertos por los controles detectivos Identificar la causa de un problema Corregir los errores resultantes de un problema Modificar eVlos sistema(s) de procesamiento para minimizar gcurrencias futuras del problema. ‘© Procedimientos de respaldo ‘© Procedimientos de segunda ejecucién de programas ‘Nota: Un candidato a CISA debe conocer las diferencias entre Tos controles preventivos, de deteccion y correctivos. Un ejemplo de una pregunta en el examen seria: Cual de los siguientes controles detectaria MEJOR. ‘Manual de Preparacion al Examen CISA 2008 w 1.5.1 OBJETIVOS DEL CONTROL INTERNO Estos tipos de controles incluyen los controles relacionados con el ambiente de tecnologia, Los tipos de contoles incluyen: = Controles de contabilidad interma ~ Primariamente dirigidos alas operaciones contables, como por ejemplo la salvaguarda de los activos y la confiabilidad de los registro financieros. = Controles operacionales ~ Dirigidos a las operaciones, funciones y actividades cotidianas para asegurar que la operacion esta cumpliendo los objetivos del negocio = Controles administrativos ~ se ocupa de la eficiencia operacional en un érea funcional y el acatamiento de Is polities de administracién que incluye los controles operacionales. Estos pueden describirse como que soportan los controles operacionales especificamente concemnidos con la eficiencia operacional y el acatamiento de la politica organizacional Los objetivos de control interno son declaraciones del resultado deseado o del propésito a ser alcanzado con Ia implementacién de actividades de control (procedimientos). Por ejemplo, los objetivos de control incluyen: Salvaguarda de los activos de TI ‘Cumplimiento con tas politicas corporativas y requerimientos legales Autorizacién y autenticacién Confidencialidad Exactitud e integridad los datos Confiabilidad de los procesos Disponibilidad de los servicios de TL Eficiencia y economia de las operaciones. Proceso de administracién de cambios para TI los sistemas relacionados 1.5.2 OBJETIVOS DE CONTROL DE SI Los objetivos de control interno se aplican a todas las areas, ya sean manuales, automatizadas, © una combinacién de las mismas (ie. revisiones de logs). Por lo tanto, conceptualmente, los objetivos de control en un ambiente de SI permanecen sin cambios respecto de los de un ambiente manual. Sin embargo, las caracteristicas de control pueden ser diferentes. Por lo tanto, los objetivos de control interno deben ser tratados en una forma especifica para los procesos relacionados con SI. Los objetivos de control de SI pueden incluir: Salvaguarda de activos. La informacién en los sistemas automatizados esté protegida contra accesos inadecuados y se la mantiene actualizada. Asegurar la integridad de los ambientes de sistemas operativos en general, incluyendo la administracién y ‘operaciones de la red. Asegurar la integridad de los ambientes de sistemas de aplicaci6n sensitivos y criticos, inciuyendo informacién contable /financiera y gerencial (objetivos de informaci6n) a través d Auutorizacién para el ingreso de datos - Cada transaccién es autorizada e introducida una sola vez - Validacién del input. Cada input es validado y no causaré impacto negativo al procesamiento de las transacciones 30 ‘Manual de Manual de Preparacin al Examen CISA 2008 Exactitud e integridad del procesamiento de transacciones ~ Todas las transacciones son registradas ¢ ingresadas en la computadora en el periodo correcto Confiabilidad de las actividades de procesamiento de informacién en general Exactitud, integridad y seguridad de la informacién de salida Integridad de la base de datos ‘Asegurar la identificacién y autenticacién apropiada de los usuari as{ como también soporte de infraestructura) ‘Aseguramiento de eficiencia y efectividad en las operaciones (objetivos operativos) ‘Cumplimiento con los requerimientos de los usuarios, con las politicas y procedimientos organizacionales ¥ con las leyes y reglamentaciones aplicables (objetivos de cumplimiento) ‘Aseguramiento de la disponibilidad de los servicios de TI desarrollando planes de continuidad del negocio y de recuperacién de desastres Aumento de la proteccién de datos y sistemas desarrollando un plan de respuesta a incidentes Aseguramiento de la integridad y confiabilidad de los sistemas implementando procedimientos efectivos de administracién de cambios de los recursos de SI (usuarios finales A través de ISACA, el Instituto de Gobierno de TI (ITGI) publica un marco de gobierno y control de TL {que incorpora buenas pricticas de administracién de TI - Objetivos de Control para la Informacién y Tecnologias Relacionadas (CobiT®). CobiT es el marco principal de la industria para el Gobierno, control y aseguramiento de la informacién y tecnologias relacionadas. 1.5.3 COBIT CobiT soporta el gobiemo de TI dando un marco para asegurar que TI esté alineado con el negocio, TI habilita el negocio y maximiza los beneficios, los recursos de TI se usan responsablemente y los riesgos de TI son manejados de manera apropiada. CobiT prove buenas précticas en todo un dominio y marco de proceso y presenta actividades en una estructura manejable y Wégica. CobiT tiene un marco con un conjunto de 34 procesos de TI agrupados en cuatro dominios: planeacién y organizacién, adquisicién © implementaci6n, entrega y soporte, y monitoreo y evaluacién. Adaptando y usando estas précticas, a partir de los 34 procesos relevantes de TI, las organizaciones pueden asegurar que han implementado un sistema de gobierno de TI y controles relacionados como se requiere para su entomo de TI. Respaldando estos procesos de TI existen més de 200 objetivos detallados de control necesarios para una implementacién efectiva. El componente de los objetivos de control en CobiT provee un marco de referencia sobre cudles controles deben estar instalados mientras que las Précticas de Control de CobiT: Gufa para lograr los Objetivos de Control para Gobiemo Exitoso de TI facta la implementacién de estos controles, CobiT provee buenas pricticas en todo un dominio y marco de proceso y presenta actividades en una estructura manejable y légica. Las buenas pricticas de CobiT representan ei consenso de los expertos. Las buenas précticas de CobiT estén més fuertemente enfocadas al control, menos a la ejecucién, Estas practicas ayudarin a optimizar las inversiones habilitadas por TI, aseguraran ala entre de servicio y proveerdn una medida contra la cual comparar cuando las cosas salen mal. Para que TI tenga éxito para entregar requerimientos del negocio, la gerencia debe instalar un sistema de control interno 0 marco. El marco de control de COBIT contribuye a estas necesidades de las siguientes maneras: = Haciendo un enlace con los requerimientos del negocio - Organizando las actividades de TI en un modelo de proceso generalmente aceptado 37 = Identificando los principales recursos de TI a ser apalancados = Definiendo los objetivos de control de la gerencia a ser considerados La orientacién de negocio de COBIT esté constituida por metas de negocio que vinculan con las metas de TI, proveyendo métrica y modelos de madurez para medir su logro, e identificando las responsabilidades del negocio asoviadas y los dueftos del proceso de TI. En resumen, para prover la informacién que necesita la empresa para lograr sus objetivos, los recursos de TI necesitan ser manejados por un conjunto de procesos agrupados naturalmente. COBIT utiliza como referencia primaria, 36 estandares y reglamentos principales relativos a TI. CobiT esti dirigido a la direccién y al personal que provee servicios de informacién, departamentos de control, funciones de auditoria y lo que es més importante, a los propietarios de los procesos de negocio que usan los procesos de TT para garantizar la confidencialidad, la integridad, y la disponibilidad de informacion sensitiva y critica, ITGI también ha publicado la Guia de Implementacién de Gobiemo de TI, para facilitar a las empresas la implementacién del Gobiemo de TI utilizando el marco de COBIT. COBIT Quickstart™ offece los elementos esenciales de COBIT para pequefias y medianas empresas. COBIT Online® ofrece todos los componentes de COBIT por Internet para que los usuarios adapten y configuren los componentes de COBIT a sus necesidades especificas. El curso en linea recientemente publicado COBIT Foundation Course® y examen es una solucién de ensefianza-aprendizaje electrénico (e-learning) aplicable a los auditores de TI, gerentes de TI, profesionales de calidad de Tl, directivos de TI, desarrolladores de TI, profesionales del proceso y gerentes en las firmas que proven servicios de TI. Ellos pueden ser usados para entender COBIT en un nivel de fundacién y ayudar a la aplicacion de COBIT en la préctica. COBIT provee un marco comprehensivo para administracién y entrega de servicios de alta calidad basados en TI. COBIT fija las mejores pricticas para el proceso de creacién de valor. Val TI agrega las mejores pricticas para medir de manera no ambigua, monitorear y optimizar la realizacién de valor de negocio a partir de inversién en TI. Val TI complementa a COBIT desde una perspectiva de negocio y financiera y ayudaré a los que tienen un interés en la entrega de valor de TI. El marco de Val TI presenta pricticas clave de administraciOn para tres procesos: gobierno de valor, administracién de cartera y administracién de inversién, [Nota: A un candidaio CISA no see pedird que identifique especificamente el proceso de aseguramiento de Cosi, los dominios de Cos\T 0 el conjunto de process de TI definidos en cada uno de ellos. Sin embargo, los eandidatos deben saber qué es un marco de referencia, qué hace por qué se usa en las empresas. El conocimiento de la existencia, estructura y_principios clave de los esténdares. més importantes y marcos de referencia relacionados con el zobiemo, el aseguramiento y Ia seguridad de TL serin también ventajosos. Con!T se puede usar como material complementario de estudio para comprender los objetivos y prineipios de control que estin detallados en este material de repaso. Favor referirse al Apéndice A para referencias de comparacin entre los dominios de certificacién de CISA y el marco de Cost. 3 ‘Manual de Manual de Preparacion al Examen CISA 2008 1.5.4 CONTROLES GENERALES Los controles incluyen politicas, procedimientos y pricticas (tareas y actividades) que son establecidos por la gerencia para prover garantia razonable de que se alcanzarin objetivos especificos. Los controles generales son aplicables a todas las areas de la organizacién, incluyendo infraestructura y servicios de soporte de TI. Estos incluyen politicas, procedimientos y pricticas establecidas por la direecién para tener una garantia razonable de que se alcanzardn los objetivos especificos. Los controles generales incluyen: Controles internos de contabilidad que estén principalmente dirigidos a las operaciones de contabilidad. Ellos se refieren a la salvaguarda de activos y a la confiabilidad de los registros financieros Controles operativos que se ocupan de las operaciones, funciones y actividades cotidianas y aseguran que Ia operacién esté cumpliendo los objetivos del negocio Controles administrativos que se ocupan de la eficiencia operativa en un area funcional y la adherencia a las politicas de la direccién, Los controles administrativos dan soporte a los controles operativos que se ocupan especificamente de la eficiencia operativa y de la adherencia a las politicas organizacionales. Politicas y procedimientos organizacionales de seg logica para asegurar la debida autorizacién de transacciones y actividades Politicas generales para el disefio y uso de documentos y registros adecuados para ayudar a asegurar el registro apropiado de las transaceiones — pista de auditoria de transacciones Procedimientos y funciones para asegurar la proteccién adecuada en el acceso y el uso de activos € instalaciones Politicas de seguridad fisica y légica para todos los centros de datos (p. ¢j., servidores ¢ infraestructura de telecomunicaciones) 1.5.5 CONTROL DE SI Cada procedimiento de control general puede ser traducido en un procedimiento de control especifica de SI. Un sistema de informacién bien disefiado deberia contar con controles construidos en el mismo para todas sus funciones sensitivas 0 criticas. Por ejemplo, el procedimiento general para asegurar la adecuada custodia del acceso a los activos © instalaciones puede traducirse en un conjunto de procedimientos de control relacionado con sistemas de informacién, que abarque controles de acceso a los programas de computacién, datos y equipos de cémputo. El auditor de SI deberia entender los objetivos basicos de control que existen para todas las funciones. Los procedimientos de control de $I incluyen: Estrategia y direccién Organizacién general y administrativa Acceso a los recursos de TI, incluyendo datos y programas Metodologias de desarrollo de sistemas y control de cambios, Procedimientos de operacién Programacién de sistemas y funciones de soporte técnico Procedimientos de aseguramiento de calidad Controles de acceso fisico Planeacién de continuidad del negocio/recuperacién de desastres Redes y comunicaciones Administracién de la base de datos Manual de Preparacion al Examen CISA 2008 3 Proteccién y mecanismos de deteccién contra ataques internos y externos El auditor de SI debe entender los conceptos de los procedimientos de control de SI y cémo aplicarlos en Ja planeacién de una auditoria ‘Nota: Los controles de SI enumerados en esta seccidin deben ser considerados por el candidato a CISA dentro del area de prictica de trabajo relacionad, ie., Proteccin de los Activos de Informacién. UCION DE A AUDITORIA DE La auditoria puede definirse como un proceso sistemitico por el cual un equipo o una persona competente ¢€ independiente obtiene y evalia objetivamente Ia evidencia respecto a las afirmaciones acerca de un proceso con el fin de formarse una opinién sobre el particular e informar sobre el grado de cumplimiento en dicha afirmacién es implementada. La auditoria de SI puede definirse como cualquier auditoria que abarca la revisién y evaluacién (parcial o total) de los sistemas automatizados de procesamiento de informacién, procesos relacionados no automatizados y las interfaces entre ellos. Para realizar una auditoria, se requieren varios pasos. Una planeacién adecuada es el primer paso necesario para reelizar auditorias de SI efectivas. Para usar efectivamente los recursos de auditoria de SI, las organizaciones de auditorfa, deben evaluar todos los riesgos de las areas generales y de aplicacién y servicios relacionados a auditar y luego desarrollar un programa de auditoria que comprenda objetivos y procedimientos de auditoria que satisfagan los objetivos de auditoria. El proceso de auditoria requiere que el auditor de SI recolecte evidencia a través de pruebas de anditoria, evalie las fortalezas y debilidades de los controles basindose en la evidencia reunida y prepare un informe de auditoria que presente en una forma objetiva dichos asuntos a la gerencia. La gerencia de auditoria debe asegurarse de que haya disponibilidad de recursos de auditoria adecuados y una agenda para llevar a cabo las auditorias y, en el caso de una auditoria interna de SI, para reali revisiones de seguimiento respecto al avance de las acciones correctivas emprendidas por la ditecci6n. Una discusion sobre auditoria deberia incluir el aleance, los objetivos, criterios y procedimientos de uditorfa, la evidencia, conclusions y opiniones, ¢ informe a la gerencia después de discusién con los dueftos clave del proceso. Las restricciones del auditado pueden incluir: ~ Reciente rotacién 0 no disponibilidad de empleado ~ infraccién de las fechas tope o fecha de procesamiento efclico - ausencia general de conocimientos o de documentacién Para entender estas restricciones sobre la realizacién de una auditoria, el auditor de SI debe tener un buen entendimiento de las técnicas generales de administracién de proyectos. A menudo, estas restrieciones pueden ser minimizadas o evitadas mediante una planeacién adecuada. Las téenicas de administracién de proyectos para gestionar y administrar proyectos de auditoria, ya sea automatizado manual, incluyen los siguientes pasos basicos: 4 “Manual de Manual de Preparacién al Examen CISA 2008 - Desarrollar un plan detallado ~ El plan debe dispersar los pasos de auditoria necesarios en toda la linea de tiempo. Se deben hacer estimados realistas de los requerimientos de tiempo para cada tarea con la debida consideracién a la disponibilidad del auditado. - Reportar actividad de proyecto contra el plan — Deberia haber algin tipo de sistema de reporte instalado de modo que los auditores de $I puedan reportar su progreso real contra los pasos planeados de auditoria, = Ajustar el plan y emprender accién correctiva — se deberian medi los logros reales contra el plan establecido de manera continua. Se deberfan hacer cambios en las asignaciones del auditor de SI 0 en los cronogramas planeados, a medida que se requiera. 1.6.1 CLASIFICACION DE LAS AUDITORIAS El auditor de SI deberia entender los diversos tipos de auditorias que pueden efectuarse interna o extemamente, y los procedimientos de auditoria asociados con cada uno de ellos: ‘Auditorfas financleras - El propésito de una auditoria financiera es determinar Ia exactitud de los estados financieros de una organizacién. Una auditoria financiera a menudo implicaré pruebas sustantivas detalladas, aunque cada vez més, los auditores estin poniendo mas un método de auditoria basado en riesgo y control. Este tipo de auditoria se relaciona con la integridad y confiabilidad de la informacién financiera, ‘Auditorias Operativas - Una auditorfa operativa esté disefiada para evaluar la estructura del control intemo en un proceso o rea determinada. Las auditorias de SI de controles de aplicacién o de sistemas de seguridad légica, son algunos ejemplos de auditorias operativas. ‘Auditorias integradas - Una auditoria integrada combina pasos de auditoria financiera y operativa. También se realiza para evaluar los objetivos generales dentro de una organizacién, relacionados con la informacién financiera y Ia salvaguarda de activos, la eficiencia y el cumplimiento. Una auditoria ‘ntegrada puede ser ejecutada por auditores externas o internos e incluiria tanto pruebas de cumplimiento alos controles internos como pruebas sustantivas. ‘Auditorias administrativas — Estas estin orientadas a evaluar aspectos relacionados con la eficiencia de Ja productividad operativa dentro de una organizacién. Auditorias de SI - Este proceso recolecta y evaléa la evidencia para determinar si los sistemas de informacién y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y la disponibilidad de los datos y del sistema, proveen informacién relevante y confiable, logran de forma efectiva las metas organizacionales, usan eficientemente los recursos y tienen en efecto controles internos que proveen una certeza razonable que los objetivos de negocio, operacionales y de control seran aleanzados y que los eventos no deseados serdn prevenidos 0 detectados y corregidos de forma oportuna. ‘Auditorias especializadas — Dentro de la categoria de las auditorias de sistemas de informacién, existen tun mimero de revisiones especializadas que examinan areas tales como los servicios realizados por terceros, En vista de que los negocios dependen cada vez més de servicios prestados por terceros, es ‘importante que se evalien los controles internos en estos ambientes. La declaracién sobre Estindares de ‘Auditoria (SAS) 70, titulada “Informes sobre el Procesamiento de las Transacciones por Organizaciones de Servicio” es un esténdar de auditoria ampliamente conocido desarrollado por el Instituto Americano de Contadores Pablicos Certificados (AICPA). SAS 70, define los esténdares profesionales usados por un auditor de servicios para evaluar los controles intemnos de una organizacién de servicios. Este tipo de auditorfa se ha vuelto cada vez més relevante debido a la actual tendencia de contratar externamente (outsourcing) procesos financieros y de negocios a terceros proveedores de servicios que en algunos casos pueden operar en diferentes jurisdicciones o incluso en diferentes paises. Se debe notar que una revisién del tipo 2 SAS 70 es una variacién mas exhaustiva de una revisiOn regular SAS 70, que a menudo se requiere en relacién con revisiones regulatorias. Muchos otros paises tienen su propio equivalente de ese estindar. Una auditoria tipo SAS 70 es importante porque significa que una organizacién de servicios ha pasado por una auditoria profunda de sus actividades de control, que incluyen generalmente controles de tecnologia de informacién y procesos relacionados. Las revisiones de tipo SAS70 proven directrices que ‘Manual de Preparacin al Examen CISA 2008, es permiten a un auditor independiente (auditor de servicios) emitir una opinién sobre la descripcin de ccontroles de una organizacion de servicios a través del informe de un auditor de servicios, en el que luego el auditor de la entidad que utiliza los servicios de la organizacién de servicios puede basarse. ‘Auditorias forenses ~ Tradicionalmente, la auditoria forense ha sido definida como una auditoria ‘especializada en descubrir, revelar y dar seguimiento a fraudes y crimenes. El propésito primario de dicha revisién era el desarrollo de evidencia para ser revisada por autoridades policiales y judiciales. En afjos recientes, el profesional forense ha sido llamado a participar en investigaciones relacionadas con fraude corporativo y crimen cibernético. En los casos en que los recursos de computadora puedan haber sido mal empleados, una investigacién adicional es necesaria para recopilar evidencia de posible actividad ‘criminal que puede luego ser reportada a las autoridades competentes. Una investigacién forense de ‘computadora incluye el andlisis de dispositivos electrénicos, tales como computadoras, teléfonos, PDAS, discos, switches, routers, hubs y otro equipo electrénico. El auditor de SI que posea las habilidades necesarias puede asistir al gerente de seguridad de informacién en la realizacién de las investigaciones forenses y Hlevar a cabo la auditoria de los sistemas para asegurar que se cumplan los procedimientos de recoleecién de evidencia para Ia investigacién forense. La evidencia electrinica es vulnerable a alteraciones. Por lo que es necesario manejarla con extremo cuidado y se deben asegurar controles para asegurar que no pueda ocurrir ninguna manipulacién. Se debe establecer una cadena de custodia de cevidencia para cumplir con los requerimientos legales. La evidencia de computadora manejada de manera inadecuada puede ser considerada inadmisible por las autoridades judiciales. La consideracién més importante para un auditor forense es la de obtener una imagen completa (bit-stream) de! dispositivo objetivo y examinar esa imagen sin alterar los sellos de fecha u otra informacion atribuible a los archivos examinados. Ademds, las herramientas y técnicas de auditoria forense, tales como el mapeo de datos para la evaluacién de riesgos de privacidad y seguridad y Ja busqueda de propiedad intelectual para la proteceién de datos, también se estén usando para prevencién, cumplimiento y aseguramiento. 1.6.2 PROGRAMAS DE AUDITORIA Los programas de auditoria para auditorfas financieras, operativas, integradas, administratives y de sistemas de informacién se basan en el alcance y el objetivo de la asignacién en particular. Los auditores de SI evalian a menudo las funciones y los sistemas de TI desde perspectivas diferentes, tales como la seguridad (confidencialidad, integridad y disponibilidad), la calidad (efectividad, eficiencia), fiduciaria (cumplimiento, confiabilidad), el servicio y la capacidad. Es importante subrayar que el programa de trabajo de auditoria es la estrategia y el plan de auditoria -éste identifica el alcance, los objetivos y los procedimientos de auditoria para lograr evidencia suficiente y competente para obtener y sustentar las conclusiones y opiniones de auditoria Los procedimientos generales de auditoria son los pasos bisicos en la ejecucién de una auditoria y habitualmente incluyen lo siguiente: - Obtencién y documentacién del conocimiento sobre el drea/objeto de la auditoria ~ Evaluacién de riesgos y planeacién general de la auditorfa y cronograma - Planeacién detallada de auditoria = Revisién preliminar del rea /objeto de la auditoria, ~ Evaluacién del drea /objeto de la auditoria - Verificacién y evaluacién de la correccién de los controles disefiados para cumplir los objetivos de control. - Pruebas de cumplimiento (pruebas de la implementacién de controles y su aplicaci6n consistente) w ‘Manual de Manual de Preparacion al Examen CISA 2008 - Prucbas sustantivas (que confirmen la exactitud de la informacién) - Informe (comunicacién de los resultados) ~ Seguimiento en casos en los que hay una funcién de auditoria interna El auditor de SI debe entender los procedimientos para Ia prueba y evaluacién de los controles de SI Estos procedimientos podrian incluir: E] uso de software generalizado de auditoria para examinar el contenido de los archivos de datos (incluyendo los registros (logs) del sistema) El uso de software especializado para evaluar el contenido de los archivos de parimetros de la base de datos y de aplicacién del sistema operativo (o detectar deficiencias en el establecimiento de parametros del sistema) ‘Técnicas de elaboracién de diagramas de flujo para la documentacin de aplicaciones automatizadas y del proceso de negocio El uso de registros / reportes de auditoria disponibles en los sistemas operativos /de aplicacién Revisién de la documentacion Observacién El auditor de SI debe tener un entendimiento suficiente de estos procedimientos que le permitan planear pruebas apropiadas de auditoria, 1.6.3 METODOLOGIA DE AUDITORIA Una metodologia de auditoria es un conjunto de procedimientos documentados de auditoria disefiados para alcanzar los objetivos de auditoria plancados. Sus componentes son una declaracién del aleance, una declaracién de los objetivos de la auditoria y una dectaracién de los programas de auditorfa ‘La metodologia de auditoria deberia ser establecida y aprobada por la gerencia de auditoria para lograr ‘consistencia en el enfoque de auditoria, Esta metodologia deberia ser formalizada y comunicada a todo el personal de auditoria. La Figura 1.3 enumera las fases de una auditoria tipica. Un producto temprano y critico del proceso de auditoria deberia ser un programa de auditoria que sea una guia para la ejecucién y documentacién de todos los pasos siguientes de auditoria y la extension y tipo de evidencia revisada. Figura 1.3 a Fases dela Auditoria Fase de auditoria : Deseripeion Sujeto de la auditoria car el drea que serd auditada Objetivo dela auditoria |» Identificar el propésito de la auditoria. Por ejemplo, un objetivo podria ser determinar que los cambios al cédigo fuente de los programas se realicen en un ambiente bien definido y controlado. ‘Alcance dela auditoria |e Identificar los sistemas especificos, la funcién o unidad de la| organizaci6n a ser incluida en la revisién. Por ejemplo, en el ejemplo de cambios a un programa, Ia declaracién de alcance podria limitar la revision a un solo sistema de aplicacién o a un periodo limitado de’ tiempo. ‘Manual de Preparaciin al Examen CISA 2008 7 Planeacién de Auditorla | Identificar las habilidades y recursos técnicos que se necesitan. Preliminaro Preauditoria |e Identificar as fuentes de informacién para probarlas o revisarlas tales como organigramas funcionales, politicas, esténdares, procedimientos y documentos de trabajo de auditorias previas. ‘¢ _Identificar la ubicacién o las instalaciones que sordn auditadas. Procedimientos de © Identificar y seleccionar el método de auditoria para v Auditoria y pasos para la probar los controles. recopilaci6n de datos © Identificar una lista de personas para entrevistar © Identificar y obtener politicas, estindares, y directrices de los departamentos para su revisién. © Desarrollar herramientas y metodologias de auditoria para comprobar verificar los controles. Procedimientos para © Especifica de la organizacion evaluar la prueba o revisar los resultados Procedimientos de © Especifica de la organizacion comunicacién con la gerencia Elaboracién del informe de |» Identificar los procedimientos de la revision de seguimiento auditoria © Identificar los procedimientos para evaluar/probar la eficiencia y cefectividad operativa © Identificar los procedimientos para probar los controles © Revisar y evaluar la correccién de los documentos, las politicas y los procedimientos. ‘A pesar que un programa de auditoria no sigue necesariamente un conjunto especifico de pasos, el auditor de SI generalmente seguirfa, como un minimo curso de accién, pasos secuenciales del programa para obtener un entendimiento de la entidad que se esta auditando, evaluar la estructura de control y probar los controles. Cada departamento de auditoria deberia disefiar y aprobar una metodologia de auditoria, asf como también los pasos minimos a ser observados en cualquier asignacién de auditoria. Todos los planes, programas, actividades, pruebas, hallazgos ¢ incidentes de auditoria deberin estar debidamente documentados en papeles de trabajo. Su formato y medios de papeles de trabajo son opcionales, pero la debida diligencia y las mejores précticas requieren que los documentos de trabajo estén fechados, inicializados, con paginas numeradas, sean relevantes, completos, claros, autoexplicatorios y debidamente etiquetados, archivados y mantenidos en custodia. Los papeles de trabajo no tienen necesariamente que estar impresos en papel. Los auditores de SI deberian considerar en particular cémo mantener evidencia de prueba de auditoria para preservar su valor de prueba en respaldo de los resultados de auditorfa. Los documentos de trabajo se pueden considerar los puentes o interfaces entre los objetivos y el informe final de auditoria. Estos debieran proveer una transicién impecable — pudiendo ser rastreados y los responsables del trabajo identificados — desde los objetivos hasta el informe y desde el informe hasta los objetivos. El informe de auditoria, en este contexto, puede ser visualizado como sélo un papel de trabajo en particular. 3 ‘Manual de Manual de Preparacign al Examen CISA 2008 Pregunta de Préctica 1-1 {Cuil de lo siguiente describe MEJOR las primeras etapas de una au Ob servar las instalaciones organizacionales clave Evaluar el entorno de ST Entender el proceso del negocio y el entorno aplicable a la revisién Revisar los informes de auditoria de SI anteriores yopP Ver las respuestas y explicaciones a las preguntas de prictica al final del capitulo 1.6.4 DETECCION DE FRAUDES El uso de tecnologia de la informacién para el negocio ha beneficiado inmensamente a las empresas en. ‘términos de una calidad de entrega de informaciOn significativamente mayor. Sin embargo, el uso extendido de la tecnologia de informacién y de Intemet adolece de riesgos que permiten que se perpetren cerrores y fraudes. La gerencia es el principal responsable de establecer, implementar y mantener un marco y un disofio de controles de TI para alcanzar los objetivos de control intemo. Un sistema bien disefiado de control interno provee buenas oportunidades para disuadir y /o la deteccién oportuna de fraudes. Los controles internos pueden fallar, en casos en que dichos controles son burlados explotando vulnerabilidades 0 a través de debilidades en los controles 0 la complicidad de personas. La legislacién y regulaciones relativas al gobierno corporativo asignan responsabilidades importantes sobre la direccién, los auditores y el comité de auditoria con respecto a la deteccién y revelacién de ‘cualquier fraude, tenga o no materialidad. El auditor de SI deberia observar y ejercer el debido cuidado profesional (Estindar de ISACA $3) en todos los aspectos de su trabajo. Los auditores de SI a los que se les confia funciones de aseguramiento deberfan asegurarse de tener un cuidado razonable al realizar su trabajo y estar alertas a las posibles oportunidades que permiten que un fraude se materialice. ‘Ain cuando se deberia entender que la presencia de controles internos no elimina por completo el fraude, Jos auditores de SI deberian estar conscientes y ser diligentes con respecto a la posibilidad y a los medios de perpetrar fraudes, especialmente explotando las vulnerabilidades y pasando por alto los controles en el entomo de TI. Los auditores de SI deberian tener conocimientos sobre fraudes e indicadores de fraude y, durante la ejecucién de un trabajo de auditoria, estar alertas a la posibilidad de fraudes y errores. Ademas de instituir y de mantener un sistema de controles intemos, la direccién busca asegurarse por medio de los auditores de SI sobre el estado de los controles intemnos por su capacidad de disuadir y detectar fraudes y recomendaciones para mejorar los controles internos. Cuando en el curso del trabajo regular de aseguramiento el auditor de SI se encuentra con cualquier instancia de fraude o indicadores de fraude, el auditor de SI puede, después de una evaluacién cuidadosa, comunicar la necesidad de una investigacién detallada a las autoridades competentes. En el caso que el auditor identifique un fraude mayor o donde el riesgo asociado con la deteccién sea elevado, la direecién de auditoria deberia también considerar informar oportunamente al comité de auditoria. ——Wianual de Preparacion al Examen CISA 2008 3 Con respecto a la prevencién de fiaudes, el auditor de SI debe estar conciente de los requerimientos legales potenciales que conciernen a la implementacién de procedimientos especificos de deteccién de fraude y al reporte a las autoridades. 1.6.5 AUDITORIA BASADA EN EL RIESGO Cada vez, més organizaciones estin cambiando a un método de auditoria basado en riesgos que usualmente esté adaptado para desarrollar y mejorar el proceso de auditoria continua, Este método se usa para evaluar riesgos y para apoyar Ia decisién del auditor de SI de realizar ya sean pruebas de cumplimiento 0 pruebas sustantivas. Es importante enfatizar que el método de auditoria basado en gos apoya eficientemente al auditor a determinar la naturaleza y la extensién de las pruebas. Dentro de este concepto, el riesgo inherente, el riesgo de control 0 el riesgo de deteccién no deberian ser motivo de gran preocupacién, a pesar de algunas debilidades. En un enfoque de auditoria basado en riesgos, los Auditores de SI no se basan s6lo en el riesgo, sino que también se basan en los controles internos y operativos asi como en sus conocimientos de la empresa o del negocio. Esta decisién de ‘evaluacién por tipo de riesgo puede ayudar a relacionar el andlisis de costo! beneficio del control con el riesgo conocido, permitiendo selecciones practicas. Los riesgos del negocio son las preocupaciones sobre los probables efectos de un evento incierto en el logro de objetivos establecidos. La naturaleza de estos riesgos puede ser financiera, regulatoria u operativa, y puede también incluir riesgos derivados de tecnologias especificas. Por ejemplo, una compafifa de aviacién est sujeta a extensas reglamentaciones de seguridad y a cambios econémicos, impactando ambos la continuidad de las operaciones de la compaiiia. En este contexto, la disponibilidad de servicios de TI y su confiabilidad es critica, ‘Al entender la naturaleza del negocio, los auditores de SI pueden identificar y clasificar los tipos de riesgos que determinarén mejor el modelo de riesgo o la metodologia para llevar a cabo la auditeria, La ‘evaluacién del modelo de riesgo puede ser tan simple como ponderar los tipos de riesgo asociados con el negocio € identificar los riesgos en una ecuacién. Por otra parte, el anilisis de riesgos puede ser un esquema donde a los riesgos s¢ les ha dado pesos de manera elaborada basados en la naturaleza del negocio o en la importancia del riesgo. En la Figura 1.4 se puede apreciar un esquema sencillo de un enfoque de auditoria basado en riesgos. ww "Manual de Manual de Preparacion al Examen CISA 2008 Figura 1.4 a ~ Enfoque de Auditoria basado en Riegos ERE Recopilar Informacion y Planear © Conocimiento del negocio y de la industria * Estatutos regulatorios © Resultados de auditoria de afios anteriores * Evaluaciones del riesgo inherente + _Informacién financiera reciente Lograr Entendimiento del Control Inferno Ambiente de control © Evaluacién del riesgo de control Procedimientos de control © Couto del riesgo total Evaluaciin de riesgo de deteccién Efectuar Pruebas de Cumplimiento © Comprobar las politicas y procedimientos_* Comprobar la segregacidn de funciones Bfectuar Pruebas Sustantivas # Procedimientos analiticos © Otros procedimientos sustantivos + Pruebas detalladas de saldos de cuentas de auditoria ‘Concluir la Auditorfa ¢ _Desarrollar recomendaciones __e_Redactar el informe de auditor Preguntas de practica 1-2. Al realizar una auditoria basada en el riesgo, ;euél evaluacién del riesgo realiza inicialmente el auditor de SI? A. Evaluacién del riesgo de deteccién B. Evaluacién del risgo de control CC. Evaluacién del riesgo inherente D. Evaluacién del riesgo de fraude 1-3. Mientras desarrolla un programa de auditoria basado en el riesgo, jen cual de lo siguiente es MAS probable que el auditor de SI se concentre? A. los procesos del negocio B. las aplicaciones criticas de T1 C. los controles operacionales D, las estrategias del negocio 1.6.6 Riesgo y Materialidad de la Auditoria El riesgo de auditoria puede ser definido como el riesgo que la informacién/reporte financiero pueda contener errores materiales que pueden pasar sin ser detectados durante el curso de la auditorfa, El auditor ‘Manual de Preparacion al Examen CISA 2008 7 de SI debe también tomar en cuenta, si fuera aplicable, otros factores relevantes para la organizacién: datos de cliente, disponibilidad de los servicios prestados, asi como también la imagen corporativa y péblica, como en el eso de las organizaciones o fundaciones piblicas. El riesgo de auditoria se puede categorizar como: Riesgo inherente — El riesgo que exista un error que podria ser material o significativo cuando se combina con otros errores encontrados durante la auditoria, suponiendo que no existen controles ‘compensatorios relacionados. EI riesgo inherente puede también eategorizarse como la posibilidad de una afirmacién equivocada en ausencia de controles relacionados. Por ejemplo, los célculos complejos tienen mids probabilidades de ser expresados erréneamente que los célculos sencillos y el dinero en efectivo tiene més probabilidades de ser robado que un inventario de carbén, Los Tiesgos inherentes existen independientemente de una auditoria y pueden ocurrir debido a la naturaleza del negocio. Riesgo de control — El riesgo que exista un error material que no sea prevenido ni detectado ‘oportunamente por el sistema de controles internos. Por ejemplo, el riesgo de control asociado con la revisién manual de las pistas de auditoria (logs) de computadora puede ser alto porque las actividades ‘que requieren investigacién a menudo generan errores ficilmente debido al volumen de la informacién registrada en las pistas de auditoria. El riesgo de control asociado con procedimientos computarizados de validacién de datos es por lo general bajo si los procesos se aplican consistentemente. Riesgo de deteccién — El riesgo que un auditor de SI use un procedimiento inadecuado de prueba y ‘concluya que no existen errores materiales cuando en realidad existen. La deteccién de un error no seria determinada durante la fase de evaluaci6n de riesgos de una auditoria. Sin embargo, la identifieacién del riesgo de deteccién evaluaria y determinarfa mejor la capacidad del auditor para probar, identificar y recomendar la correcci6n de errores materiales como resultado de tna prueba. Riesgo general de auditorfa — La combinacién de las categorias individuales de riesgos de auditoria evaluados para cada objetivo de control especifico. Un objetivo al formular el enfoque de auditoria es limitar el riesgo de auditoria en el drea bajo revisién de modo que el riesgo total de auditoria esté a un nivel suficientemente bajo al finalizar el examen, Otro objetivo es evaluar y controlar esos riesgos para alcanzar el nivel deseado de certeza tan eficientemente como sea posible. El riesgo de auditoria se usa también a veces para describir el nivel de riesgo que un auditor de ST esté preparado a aceptar durante una asignacién de auditoria, El auditor puede fijar como meta un nivel de riesgo y ajustar la cantidad de trabajo detallado de auditoria para minimizar el riesgo total de auditoria, ota: No debe confundirse el riesgo de auditoria con el riesgo de muestreo estadistico, el cual es el esgo de que se establezcan supuestos incorrectos sobre las earacteristicas de una poblacién de la que se ‘lecciona una muestra. La palabra material, cuando esta asociada con cualquiera de estos componentes de riesgo, se refiere a un error que deberia ser considerado significative por cualquier parte a la que le conciema el punto en cuestion. Las consideraciones de materialidad, combinadas con una comprensién del riesgo de audi son conceptos esenciales para la planeacién de las reas a ser auditadas ast como también las pruebas especificas a ser efectuadas en una auditoria determinada. El andlisis de qué ¢s material es un asunto de juicio profesional e incluye la consideracién del efecto sobre Ia organizacién como un todo, y de errores, ‘omisiones, irregularidades y actos ilegales que pueden surgir como resultado de debilidades de control en el area que esté siendo auditada, Especificamente, esto significa que una debilidad de control interno o un conjunto de debilidades de control interno combinadas, dejan a la organizacién altamente susceptible a que ocurra una amenaza (por a Manual de Manual de Preparacion al Examen CISA 2008 ejemplo, pérdida financiera, interrupcién del negocio, pérdida de la confianza de los clientes, et.). El auditor de SI deberia preocuparse de determinar la materialidad de los puntos en cuestién a través de un enfoque de auditoria basado en riesgos para evaluar los controles internos. El Auditor de SI deberia tener un buen entendimiento de estos riesgos de auditoria al planificar una auditoria. Una muestra de auditoria puede no detectar todos los errores potenciales en una poblacién. ‘Sin embargo, usando procedimientos apropiados de muestreo estadistico o un fuerte proceso de control de calidad, la probabilidad del riesgo de deteccién podria minimizarse De manera similar, al evaluar los controles internos, el auditor de SI deberia darse cuenta de que es posible que un sistema determinado no detecte un error menor. Sin embargo, ese error especifico, ‘combinado con otros, podria llegar a ser material para la totalidad del sistema. El concepto de materialidad requiere un juicio acertado de parte del auditor de SI. El auditor de SI puede 1-5 Un auditor de SI que realiza una revisién de los controles de una aplicacién encuentra una debilidad en el software de sistema que podria tener un impacto material sobre la aplicacién. El auditor de SI deberia: [A Ignorar estas debilidades de control, ya que una revisién de software de sistema esté més alld del alcance de esta revisién B. Realizar una revisién detallada del software de sistema y reportat las debilidades de control CC. Incluir en el reporte una declaracién de que la auditoria se limité a una revisién de los controles de I aplicacién D. Revisar los controles de software del sistema que son relevantes y recomendar una revisién detallada del software del sistema. w 1.6.7 Evaluacién y Tratamiento del Riesgo Evaluacién de los Riesgos de Seguridad Para desarrollar una comprensién més completa del riesgo de auditoria, el auditor de SI debe también ‘entender cémo la organizacion que esta siendo auditada encara la evaluacién y el tratamiento del riesgo. Las evaluaciones del riesgo deben identificar, cuantificar y categorizar los riesgos contra criterios para aceptacién del riesgo y objetivos relevantes para la organizacién. Los resultados deben guiar y determinar Ja accién apropiada de la gerencia y las prioridadwes para manejar los riesgos de seguridad de informacién y para implementar controies seleccionados para proteger contra estos riesgos. ‘La evaluacién del riesgo debe incluir el método sistematico de estimar la magnitud de los riesgos (andlisis del riesgo) y el proceso de comparar los riesgos estimados contra los criterios de riesgo para detemminar la significacién de los riesgos (evaluacién del riesgo). Las evaluaciones del riesgo deben también realizarse periddicamente para ocuparse de los cambios en el entorno, los requerimientos de seguridad y en la situacién del riesgo, (e.g., en los actives, las amenazas, vulnerabilidades, impactos), y cuando ocurren cambios significativos. Estas evaluaciones del riesgo deben emprenderse en una forma metédica capaz de producir resultados comparables y reproducibles. La evaluacién del riesgo de la seguridad de informacién debe tener un alcance claramente definido para ser efectiva y debe incluir relaciones con las evaluaciones del riesgo en otras dreas, si fuera apropiado. El alcance de una evaluacién del riesgo puede ser o bien toda la organizacién, parte de la organizacién, un sistema de informacién individual, componentes especificos del sistema, o servicios en los que esto es practicable, realista ya iti ‘Tatar los Riesgos de Seguridad ‘Antes de considerar el tratamiento de un riesgo, la organizacién debe decidir los criterios para determinar silos riesgos pueden o no aceptarse. Los riesgos pueden ser aceptados si, por ejemplo, se determina que el riesgo es bajo 0 que el costo del tratamiento no es eficiente en costo para la organizacién. Dichas decisiones deben ser registradas. Cada uno de los riesgos identificados en la evaluacién del riesgo necesita ser tratado. Las posibles opciones para tratamiento del riesgo incluyen: ~ _aplicar los controles apropiados para reducir los riesgos; = aceptar los riesgos a sabiendas y objetivamente, a condicién que los mismos satisfagan claramente la politica y los criterios de la organizacién para aceptacién de riesgos; = evitar los riesgos no permitiendo acciones que causaran que ocurrieran los riesg0s; = transferir los riesgos asociados a otras partes, e.g. aseguradores o proveedores. ara los riesgos en los que la decisién de tratamiento del riesgo ha sido aplicar los controles apropiados. Los controles deben ser seleccionados para asegurar que los riesgos se reduzcan a un nivel aceptable tomando en cuenta: los requerimientos y limitaciones de la legislacién y las regulaciones nacionales ¢ internacionales; “Manual de Manual de Preparacié = los objetivos de la organizacién ~ los requerimientos y limitaciones operacionalesla efectividad del costo (la necesidad de balancear Ia inversion en implementacién y operacién de los controles contra el aflo probable que resulte de las fallas de seguridad). Los controles pueden ser seleccionados de esta norma y de otros conjuntos de controles, 0 se pueden diseflar nuevos controles para satisfacer las necesidades especificas de la organizacién. Es necesario reconocer que algunos controles pueden no ser aplicables a todos los sistemas o entomos de informacién, podrian no ser practicables para todas las organizaciones. Los controles de seguridad de informacién deben ser considerados en los sistemas y en la etapa de ‘especificacién de los requerimientos y disefto del proyecto. El no hacerlo puede tener como consecuencia ‘costos adicionales y soluciones menos eficaces y, en el peor escenario, la incapacidad de lograr la seguridad adecuada, Se debe tener presente que ningin conjunto de controles puede lograr total seguridad, y que s¢ debe implementar més acciones de la gerencia para monitorear, evaluar, y mejorar Ia eficiencia y la eficacia de los controles de seguridad para soportar los objetivos de la organizacisn. 1.6.8 TECNICAS DE EVALUACION DE RIESGOS ‘Al determinar cuales areas funcionales deberian ser auditadas, el auditor de SI podria enfrentarse con una gran variedad de sujetos de auditoria. Cada uno de ellos puede representar diferentes tipos de riesgo de auditoria, El auditor de SI deberia evaluar estos candidatos con diferentes riesgos para determinar cuales son las areas de alto riesgo que deberian ser auditadas. Existen muchas metodologias disponibles de evaluaci6n de riesgos, automatizadas y no automatizadas, de las que puede escoger el auditor de SI. Estas van desde clasificaciones sencillas de alto, medio y bajo, en base al juicio profesional del auditor de SI, hasta cdlculos complejos y aparentemente cientificos para prover una clasificacién numérica del riesgo. Uno de estos enfoques de evaluacién de riesgos es un sistema de puntuacién que es itil para priorizar auditorfas con base en una evaluacién de factores de riesgo. Este considera variables tales como la complejidad técnica, el nivel de procedimientos de control establecidos y el nivel de pérdida financiera. Estas variables pueden o no ser ponderadas. Los valores de riesgo se comparan entre si y las auditorias se programan en consecuencia. Otra forma de evaluacién del riesgo es dependiente del juicio profesional, ‘en la que una decisién independiente es tomada con base en el conocimiento del negocio, las directivas de la direccién ejecutiva, las perspectivas historicas, las metas del negocio y los factores ambientales. ‘También se puede utilizar una combinacién de técnicas. Los métodos de evaluacién de riesgos pueden ‘cambiar y desarrollarse a través del tiempo para satisfacer las necesidades de la organizacién. El auditor de SI deberfa considerar el nivel de complejidad y detalle apropiados para la organizacién que se esté auditando, El uso de evaluaci6n de riesgos para determinar las dreas que seran auditadas: permite que la direccién asigne de manera efectiva los recursos limitados de auditoria. ‘asegura que se haya obtenido informacién relevante de todos los niveles de direecién, incluyendo las juntas directivas, los Auditores de SI y la direecién de dreas funcionales. En general, esta informacion ‘apoya a la direccién a cumplir efectivamente sus responsabilidades y asegura que las actividades de auditoria estén dirigidas a las éreas de alto riesgo del negocio, lo cual agregard valor a la direccién. Manual de Preparacion al Examen CISA 2008 5 establece las bases para administrar el departamento de auditoria de manera efectiva provee un resumen de cémo se relaciona el sujeto individual de la auditoria con el resto de la ‘organizacién asi como también con los planes de negocios. 1.6.9 OBJETIVOS DE LA AUDITORIA Los objetivos de auditoria se refieren a las metas especificas que deben cumplirse por parte de la auditoria, En contraste, un objetivo de control se refiere a cémo deberia funcionar un control interno,. Una auditoria puede incorporar, y generalmente lo hace, varios objetivos de auditoria, Los objetivos de auditorfa se enfocan a menudo en validar que existen controles internos para minimizar los riesgos del negocio, y que estos funcionen como se espera. Estos objetivos de auditoria incluyen el aseguramiento del cumplimiento con requerimientos legales y regulatorios asi como también la confidencialidad, integridad, confiabilidad y disponibilidad de recursos de informacién y de Tl. La gerencia de auditoria puede dar al auditor de SI un objetivo general de control para revisar y evaluar al llevar a cabo una auditoria. Un elemento clave en la planeacién de la auditoria de sistemas de informacién es traducit los objetivos de auditoria basicos y de amplio alcance en objetivos especificos de auditoria de sistemas de informacién. Por ejemplo, en una auditoria financiera/operacional, un objetivo de control interno podria ser esegurar que las transacciones sean debidamente registradas en las cuentas del libro mayor del sistema contable. Sin embargo, en Ia auditoria de sistemas de informacién, el objetivo podria ampliarse para asegurar que existen funciones de edicién para detectar los errores en la codificacién de las transacciones que podrian ‘ener un impacto en las actividades de registro de las cuentas. El auditor de SI debe tener un entendimiento de c6mo se pueden traducir los objetivos generales de auditoria en objetivos especificos de control de los sistemas de informacién. La determinacién de los objetivos de una auditoria es un paso critico en la planeacién de una auditoria de SI. Uno de los propésitos bésicos de cualquier auditoria de SI es iden controles relacionados que tratan el objetivo. jcar los objetivos de control y los Por ejemplo, la revisién inicial de un sistema de informacién llevada a cabo por un auditor de SI deberia identificar los controles clave. El auditor de SI deberia entonces decidir si prueba estos controles para verificar su cumplimiento. El auditor de SI deberia identificar los controles clave tanto generales como los de aplicacién después de entender y de documentar los procesos del negocio y las aplicaciones/funciones que soportan estos procesos y Ios sistemas de soporte en general. Sobre la base de ese entendimiento, el auditor de SI deberia identificar los puntos clave de control. De manera alternativa, un auditor de SI puede ayudar on fa evaluacién de la integridad de los datos de un informe financiero, la cual es conocida como prueba sustantiva, a través de téonicas de auditoria esistidas por computadora, 7 ‘pr ETRE TAS SESS UST 1.6.10 PRUEBAS DE (CUMPLIMIENTO VS. PRUEBAS SUSTANTIVAS Li prueba de cumplimiento es la ecolescién de evideneia con el fn de comprobar el cumplimiento de ting organizaci6n con los procedimientos de control. Esto difiere de le prueba sustantiva, en la que la videncia se recoge para evaluar la integridad de transacciones jindividuales, datos u otra informacion. Una prueba de cumplimiento determina si los controles ‘estén siendo aplicados de manera que cumplen ‘con las politicas y los procedimientos de la direccién. Por ejemplo, si al auditor de SI le preocupa si los. co ie as biblioteas (Hbray) de programas de producci6n esti funcionando oorectarient, el corr de $I podria seleccionar una muestra de programas para determinar si Tes versiones fuente y apjeto ‘son las mismas. El objetivo amplio de cualquier prueba de eumplimiento es el de proveer a los obeto on aS una eatezarazonable de que un control en particular sobre el cual el auditor de SI planes poner su confianza ‘esté operando como el ‘auditor de SI lo percibié en la evaluacién preliminar. £s importante que el auditor de SI entenda el objetivo especifico de una prueba de cumplimiento y del control que se esta probando. Las pruebas de cumplimiento pueden usarse para probar la existencia y coed de an proceso definido, el cual puede incluir una pista de evidencia documental y/o ‘automatizada, por ejemplo, para proveer Ta certeza de que sélo se realizan ‘modificaciones autorizadas @ los programas de produccién. ‘Una prusba sustantiva fundamenta la integridad de un procesamiento real. Provee evidencia de 1a validez t integridad. de los saldos en los estados financiers y de las transaeciones que respaldan dichos saldos Los anditores de SI podrian usar pruebas sustantivas para comprobar si hay errores monetarios que festen directamente & los saldos de los estados financieros u otros datos relevantes de la organizaci6n. ‘Adicionalmente, un auditor de SI podria desarrollar una prueba sustantiva para determinar si los registros dal inventario de la libreria de cintas son correctos. Para realizar esta prueba, el auditor de SI podria realizar un inventario completo 0 podria usar una muestra estadistica, que Je permita llegar a una conclusién respecto de la exactitud de todo el inventario. Existe una correlacién directa entre el nivel de los controles intemnos y Ja cantidad de pruebas sustantivas requeridas. Si los resultados de las prucbas a los controles (pruebas de cumplimiento) revelaran la presencia de controles internos adecuados, entonces el auditor de SI tiene una justificacién para Trinimizar los procedimientos sustantivos. De manera inversa, si la prueba a los controles revelara Uebilidades en los controles que podrian generar dudas sobre Ia integridad, exactitud o validez de las ‘cuentas, las pruebas sustantivas pueden responder esas dudas. El auditor de SI podria también decidir durante Ia evaluacién preliminar de los controles, incluir algunas pruebas sustantivas, silos resultados de esta evaluacién prefiminar indican que los controles implementados no son confiables o no existen. La Figura 1.5 muestra la relacién entre las pruebas de cumplimiento y las pruebas sustantivas y deseribe las dos categorias de pruebas sustantivas. Manual de Preparactén al Examen CISA 2008 a7 Figura 15 _ Fintender el Ambiente de Control y el Flujo de as Transacciones R el sistema para identificar los controles| Probar el cumplimiento para determinar si los controles estan funcionando Evaluar los controles para determinar una base de confianza Ja naturaleza, aleance y_el momento para las pruebas sustantivas Usar dos tipos de pruebas sustantivas para evaluar la validez de fos datos Probar saldos y transacciones Realizar procedimienios analiticos de revision ‘Nota’ El auditor de SI debe tener conocimientos sobre Cando realizar las pruebas de cumplimiento o las pruebas sustantivas 1.611 EVIDENCIA La evidencia es cualquier informacién usada por el auditor de SI para determinar si la entidad o los datos aque estin siendo auditados cumplen con los eriterios u objetivos establecidos, y soporta las conclusiones de auditoria. Es un requisito que las conclusiones del auditor se basen en evidencia suficiente, relevante y ‘competente. Al planear el trabajo de auditoria de SI, el auditor de SI debe tomar en cuenta el tipo de evidencia de auditoria a ser recopilada, su uso como evidencia de auditoria para alcanzar los objetivos de auditoria y su diferente nivel de confiabilidad. La evidencia de auditor‘a puede incluir observaciones del auditor de SI (notificados a Ja gerencia), notas de las entrevistas, material extractado de la correspondencia y dacumentacién interna, o los contratos con socios externos © los resultados de los procedimientos de prueba de auditoria. Aun cuando toda la evidencia apoyard al auditor de SI en el desarrollo de las conclusiones de la auditoria, alguna evidencia es més confiable que otra. Las reglas de evidencia y suficiencia asi como también de competencia de la cevidencia se deben tomar en cuenta, como lo requieren los estindares de auditoria. Nota: El conocimiento del ciclo de vida de la evidencia es dificil de probar en el examen de CISA a causa de las diversas leyes y regulaciones que rigen la recoleccién, proteccién y cadena de custodia de la evidencia. Este t6pico, a pesar de ser relevante para el auditor de SI, corrientemente no es probado en el examen de CISA. w "Manual de Manual de Preparacion al Examen CISA 2008 Los determinantes para evaluar la confiabilidad de la evidencia de auditoria incluyen: Independencia del proveedor de Ia evidencia - La evidencia obtenida de fuentes externas es mas ‘confiable que la obtenida dentro de la organizacién. Esta es la raz6n por la cual se usan las cartas de ‘confirmacién para verificar los saldos de las cuentas por cobrar. Adicionalmente, los contratos 0 acuerdos firmados con partes externas podrian ser considerados confiables si los documentos originales se ponen a disposiciones para revisién. Credenciales de la persona que suministra la informaciéa o evidencia - El auditor de SI deberia siempre considerar las credenciales y las responsabilidades funcionales de las personas que suministran Ia informacién independientemente de si estas personas son internas o extermas a la organizaciénEste aspecto también puede considerarse respecto del auditor de SI. Si un auditor de SI no tiene un buen ‘entendimiento del drea técnica que esti en revisién, Ia informacién recopilada de las pruebas en esa érea puede no ser confiable, especialmente si el auditor de SI no entiende la prueba por completo. Objetividad de Ia evidencia - La evidencia objetiva es més confiable que la evidencia que requiere opinién o interpretacién considerable. La revisién de inventario de medios de un auditor de SI es una evidencia objetiva y directa. El andlisis de un auditor de SI de la eficiencia de una aplicacién, basado en discusiones con determinado personal, puede no ser una evidencia de auditoria objetiva. ‘Tiempo de disponibilidad de la evidencia ~ El auditor de SI deberia considerar el tiempo durante el cual la informacién existe o esta disponible al determinar la naturaleza, el tiempo y la extensién de las pruebas de cumplimiento y, si fuera aplicable, las pruebas sustantivas. Por ejemplo, la evidencia de auditoria procesada por intercambio electrénico de datos (EDI), procesamiento de imagen de documentos (DIP) y sistemas dindmicos, tales como hojas de trabajo pueden no ser rescatables después de un periodo de tiempo determinado si los cambios a los archivos no son controlados 0 si los archivos no son respaldados. El auditor de SI reine una variedad de evidencias durante Ia auditoria, Algunas de ellas pueden ser relevantes para los objetivos de la auditoria, mientras que otras evidencias pueden ser consideradas periféricas. El auditor de SI deberia enfocarse en los objetivos generales de la revision y no en la naturaleza de la evidencia recopilada. El auditor de SI deberé evaluar tanto la calidad como Ia cantidad de la evidencia. La Federacion Intemacional de Contadores (IFAC) se refiere a estas dos caracteristicas como competencia (Calidad) y suficiencia (Cantidad). La evidencia es competente cuando es tanto valida como relevante. Con base en el jucio de auditoria se determina cudndo se logra la suficiencia, de la misma manera que se determina la competencia de la evidencia, Es importante que los auditores de SI tengan un entendimiento de las reglas de la evidencia, ya que es posible que encuentren una variedad de tipos de evidencia, La recoleccién de evidencia es un paso clave en el proceso de auditoria, El auditor de SI debe estar consciente de las diversas formas de evidencia de auditorfa y de eémo puede ser recopilada y revisada. El auditor de SI deberia entender el estindar de auditoria $6 y S14 y deberia obtener evidencia suficiente cuya naturaleza soporte los hallazgos de auditoria. ‘Nota: Un candidato a CISA, dado un escenario de auditoria, debe poder determinar qué tipo de técnica de recoleceién de evidencia seria mejor. Las siguientes son técnicas para la recopilacién de evidenci Revision de las estructuras organizacionales de los Sistemas de Informacién - Una estructura ‘organizacional que provee una adecuada separacién o segregacién de funciones es un control general clave en un ambiente de sistemas de informacién, El auditor de SI_deberia entender los controles ‘Manual de Preparacion al Examen CISA 2008 w generales de la organizacién y ser capaz de evaluarlos en la organizacién que audita. Donde haya un fuerte énfasis en un procesamiento distribuido cooperativo o en la computacién de usuario final, las funciones de SI pueden estar organizadas un poco diferente de la organizacién “clésica” de SI, constituida por funciones operativas y de sistemas separadas. El auditor de-SI deberia poder revisar estas estructuras ‘organizacionales y determinar el nivel de control que proveen. Revision de las politicas y procedimientos de SI - Un auditor de SI deberia revisar si se cuenta con politicas y procedimientos apropiados establecidos, determinar si el personal entiende las politicas y procedimientos implementados y asegurar que éstos se estén cumpliendo, El auditor de SI deberia Verificar que la direccién asume plena responsabilidad por la formulacién, desarrollo, documentacién, publicacién y control de las politicas que abarcan propdsitos y directivas generales. Asi mismo, se deberian llevar a cabo revisiones regulares de las politicas y de los procedimientos para asegurar que siguen siendo adecuados. Revision de los estindares de SI — Primero, el auditor de SI deberia entender los estindares vigentes existentes dentro de la organizacién. Revisién de la documentacién de SI — Un primer paso al revisar la documentacién para un sistema de informacién es entender Ia documentacién existente vigente con que cuenta la organizacién, Esta documentacién podria ser mantenida en forma de copia dura, o almacenada electrénicamente (e.g. images de documentos almacenadas en la red corporativa interna). Si esto iltimo fuera el caso, el auditor de SI deberia evaluar los controles para preservar la integridad de los documentos. El auditor de SI deberia buscar que exista un nivel minimo de documentacién de los sistemas de informacién que podra inclu: Documentos de inicio del desarrollo de sistemas (por ejemplo, estudio de factibilidad) Documentacién suministrada por proveedores externos de aplicacién Contratos de nivel de servicio con proveedores externos de TI Requerimientos funcionales y especificaciones de disefio Planes e informes de pruebas Programa y documentos de operaciones Registros (logs) e historial de cambio a programas Manuales del usuario Manuales de operacién Documentos relacionados con la seguridad (por ejemplo, planes de seguridad, evaluacién del riesgo) Planes de Continuidad del Negocio Informes de aseguramiento de calidad Reportes sobre métrica de seguridad Entrevistas al Personal Apropiado - Las técnicas de entrevista contituyen una habilidad importante para el auditor de SI. Las entrevistas deberian ser organizadas de antemano con objetivos claramente ‘comunicados, deberian seguir un patrén fijado y deberfan ser documentadas por medio de notas de entrevista. Un buen método es un formulario de entrevista o lista de verificacién preparada por un auditor de SI. El auditor de SI deberia recordar siempre que el propésito de dicha entrevista es recopilar evidencia de auditoria. Las entrevistas al personal tienen naturaleza de descubrimiento y nunca deber ser acusatorias. Si estas notas fueran necesarias para soportar conclusiones, el auditor de SI debe'ria verificar Ia exactitud de las notas con la entrevistada. ‘¢ Observacién de Procesos y del Desempefio de los Empleados - La observacién de procesos es una ‘técnica clave de auditoria para muchos tipos de revisiones. El auditor de SI no deberia ser obsiructivo al realizar sus observaciones y deberfa documentar todo con suficiente detalle como para poder presentarlo, si se requiere, como evidencia de auditoria en una fecha posterior. En algunas situaciones, la publicacién del reporte de auditoria puede no ser lo suficientemente oportuno como para usar esta observacién como evidencia. Esto puede necesitar que se emita un reporte interino a la gerencia del area que se esté auditando. El auditor de SI puede también querer considerar si la 30 “Manual de Manual de Preparacién al Examen CISA 2008 evidencia documentaria seria stil como evidencia (e.g. fotografia de una habitacién de servidores con las puertas totalmente abiertas). Todas estas téonicas mencionadas de recoleccién de evidencia, son parte de una auditoria, pero una auditoria no es considerada sélo un trabajo de revisién. Una auditoria incluye examen que incorpora por necesidad, la comprobacién de los controles y la evidencia de auditoria, y por fo tanto incluye los resultados de las pruebas de auditoria. Los auditores de SI deberian reconocer que con las técnicas de desarrollo de sistemas (CASE) o ereacién de prototipos, no se requeriré la documentacién de sistemas tradicionales o estaré en una forma automatizada en vez de estar en papel. Sin embargo, el auditor de SI deberia buscar esténdares y practicas de documentacién dentro de la organizacién de SI EL auditor de SI deberia poder revisar la documentacién para un sistema dado y determinar si el mismo sigue los estandares de documentacién de la organizacién. Ademés, el auditor de SI deberia entender los enfoques actuales de desarrollo de sistemas, tales como los métodos orientados a objetos, herramientas CASE 0 creacién de prototipos y cémo se genera la documentacién. El auditor de SI deberia reconocer ‘otros componentes de la documentacién de los sistemas de informacién tales como especificaciones de base de datos, descripcién de archivos o listados de programas autodocumentados. 1.6.12 ENTREVISTAS Y OBSERVACION AL PERSONAL EN EL DESEMPENO DE SUS FUNCIONES La Observacién al personal en el desempefio de sus funciones ayuda a un auditor de ST a identificar: Fanciones reales — La observacién podria ser una prueba adecuada para asegurar que la persona asignada y autorizada para realizar una funcién en particular es la persona que esti realmente haciendo el trabajo. Esto permite al auditor de SI contar con una oportunidad de presenciar cémo se entienden y ponen en prictica las politicas y procedimientos. Dependiendo de la situacién especifica, los resultados de este tipo de prueba deben ser comparados con los respectivos derechos de acceso l6gico. Procesos /procedimientos reales — La ejecucién de un tecorrido de proceso /procedimiento permite que l auditor de SI obtenga evidencia de cumplimiento y observe desviaciones, si las hubiera. Este tipo de observacién podria probarse que ¢s itil para los controles fisicos. Concientizacién sobre seguridad ~ Se debe observar el grado de concientizacién sobre seguridad que una persona tiene para verificar la comprensién y la préctica de buenas medidas de seguridad preventivas y de deteccién para salvaguardar los activos y datos de la compafifa. Este tipo de informacién podria ser ‘complementado con un examen de entrenamiento de seguridad anterior y planeado. Lineas de reporte- Las lineas de reporte deben observarse para asegurar que se practiquen las responsabilidades asignadas y una segregacién adecuada de funciones. A menudo, los resultados de este tipo de pruebas deben ser comparados con los respectivos derechos de acceso ldgico. Las entrevistas al personal y a la direccién de procesamiento de informacién deberian proveer una certeza adecuada que el personal tiene las destrezas técnicas requeridas para realizar su trabajo. Este es un factor importante que contribuye a que la operacién sea efectiva y eficiente. “Manual de Preparacign al Examen CISA 2008 37 1.6.13 MUESTREO EI muestreo es usado cuando las consideraciones de tiempo y de costo impiden una verificacién total de todas las transacciones 0 eventos en una poblacién definida previamente. La poblacién estd constituida por la totalidad de los elementos que es necesario examinar. Una muestra es un subconjunto de miembros de la poblacién, El muestreo se usa para inferir caracteristicas de una poblacién, con base en los resultados del examen de las caracterfsticas de una muestra de la misma. Los dos enfoques generales para muestreo de auditoria son el estadistico y el no estadistico: 1. Muestreo Estadistico - Es un enfoque objetivo para determinar el tamafo y los criterios de seleccién de la muestra. El muestreo estadistico usa las leyes mateméticas de la probabilidad para: a) calcular el tamafio de la muestra, b) seleccionar los objetos de la muestra y c) evaluar los resultados de la muestra y hacer la inferencia, Con el muestreo estadistico, el auditor de SI decide cuantitativamente el grado de aproximacién con que la muestra deberia representar a la poblacién (determinando la precisién de la muestra), y el nimero de veces en 100 que la muestra deberia representar a la poblacién (confiabilidad 0 nivel de confianza). Esta estimacién ser representada como un porcentaje. Los resultados de una muestra estadistica valida son cuantificables matematicamente 2. Muestreo No Estadistico (al que a menudo se hace referencia como muestreo de criterio) -El método de muestreo, el nimero de elementos que serdn examinados de una poblacién (tamaio de la muestra) y cules elementos seleccionar (seleccién de Ia muestra) son determinados en base al j del auditor. Estas decisiones estén basadas en el criterio subjetivo respecto de cuéles items/transacciones tienen mayor materialidad y mayor riesgo. Al utilizar métodos de muestreo estadistico 0 no estadistico, el auditor de SI deberfa disefiar y seleccionar una muestra de auditoria, ejecutar procedimientos de auditoria y evaluar los resultados de la muestra para ‘obtener evidencia de auditoria suficiente, confiable, relevante y itil. Estos métodos de muestreo requicren que el auditor de SI utilice su criterio cuando defina las caracterfsticas de la poblacién y por lo tanto, estén sujetos al riesgo de que el auditor de ST obtenga una conclusién equivocada de la muestra (riesgo de muestreo). Sin embargo, el muestreo estadistico permite que el auditor de SI cuantifique la probabilidad de error (nivel de confianza). Para que una muestra sea estadistica, cada elemento en la poblacién deberfa tener la misma oportunidad o probabilidad de ser seleccionado. Dentro de estos dos enfoques generales para muestreo de auditoria, existen dos métodos principales de muestreo usados por los auditores de SI -muestreo de atributos y muestreo de variables. El muestreo de atributos se aplica en general en pruebas de cumplimiento, se ocupa de la presencia o la ausencia del atributo y provee conclusiones que se expresan en tasas de incidencia. El muestreo de variables, aplicado ‘en general en pruebas sustantivas, se ocupa de las caracteristicas de la poblacién que varian, tales como la cantidad de dinero y peso, (0 cualquier otra medida) y provee conclusiones relacionadas con desviaciones de la norma. El muestreo de atributos se refiere a tres tipos diferentes pero relacionados de muestreo proporcional: 1, Muestreo de Atributos (también conocido como muestreo de atributos de tamafio de muestra fija 0 muestreo de estimacién de frecuencia). Es un modelo de muestreo que se usa para estimar la tasa (porcentaje) de ocurrencia de una caracteristica especifica (atributo) en una poblacién. Responde a la 3 Manual de Manual de Preparacign al Examen CISA 2008 pregunta de “zeudntos?”. Un ejemplo de un atributo que podria ser comprobado es el de firmas de aprobacién en los formularios de solicitud de acceso a la computadora. 2. Muestreo Parar o Seguir Es un modelo de muestreo que ayuda a prevenir el muestreo excesivo de un atributo permitiendo que una prueba de auditoria sea detenida lo antes posible. Se usa cuando el auditor de SI considera que se encontrarén relativamente pocos errores en una poblacién. 3. Muestreo de Descubrimiento - Es un modelo de muestreo que puede usarse cuando la tasa de ‘ocurrencia que se espera es extremadamente baja. El muestreo de descubrimiento se usa a menudo cuando el objetivo de la auditoria es buscar (descubrir) un ftaude, la violacién de reglamentos u otra icregularidad. El muestreo de variables, también conocido como muestreo de estimacién monetaria o de estimacién media, es una téenica usada para estimar el valor monetario o de alguna otra unidad de medida, como el peso, de una poblacién a partir de una porcién de muestra de la misma. Un ejemplo de mucstreo de variables ¢s una revisién del balance de la organizacién en busca de transacciones materiales y una revisién del programa que lo produjo. El muestreo de variables se refiere a un mimero de tipos diferentes de modelos de muestreo cuantitativo: 1. Promedio Estratificado por Unidad - Es un modelo estadistico en el cual la poblacién esta dividida fen grupos y se extraen muestras de los diferentes grupos. El muestreo de promedio estratificado se usa para produeir un tamaiio total més pequefio de muestra, en comparacién con el promedio no estratifieado por unidad. 2. Promedio No Estratificado por Unidad - Es un modelo estadistico por el cual el promedio de Ia muestra es calculado y proyectado como un total estimado. 3. Estimacién de Diferencia - Es un modelo estadistico usado para estimar la diferencia total entre los valores auditados y los valores segiin libros (no auditados) basada en las diferencias obtenidas a partir de observaciones de la muestra. Para realizar un muestreo de atributos o de variables, es necesario entender los siguientes términos de muestreo estadistico: Coeficiente de confianza (también conocido como nivel de confianza o factor de confiabilidad) - Esta cifra es una expresién porcentual (90 por ciento, 95 por ciento, 99 por ciento, etc.) de la probabilidad de que las caracteristicas de la muestra sean una representacién veraz de la poblacién. En general, un Coeficiente de confianza de 95 por ciento esta considerado como un grado elevado de seguridad. Si el auditor de SI sabe que los controles intenos son fuertes, el coeficiente de confianza puede ser reducido. CCuanto mayor es el coeficiente de confianza, mayor es el tamafio de la muestra. Nivel de riesgo - Esta cifta es igual a uno menos el coeficiente de confianza. Por ejemplo, si el coeficiente de confianza es 95 por ciento, el nivel de riesgo es 5 por ciento (100 por ciento menos 95 por ciento). Precisién - Esta cifra, establecida por el auditor de ST, representa la diferencia aceptable de rango entre la muestra y Ia poblacién real. Para un muestreo de atributos, esta cifra se expresa como un porcentaje. Para e] muestreo de variables, esta cifra se expresa como una suma monetaria 0 como un niimero. Cuanto mayor es la precisién, mas pequefio es el tamatio de la muestra, y mayor es el riesgo de que montos muy altos de error total pasen inadvertidos. Cuanto menor es la precisién, mayor es el tamaiio de la muestra, Un nivel muy bajo de precisién puede conducir a un tamafio de muestra innecesariamente grande. ‘Tasa de error esperado - Expresado como un porcentaje, este valor es un estimado de los errores que pueden existir. A mayor tasa de error esperado, mayor es el tamaiio de la muestra. Esta tasa se aplica a las formulas de muestreo de atributos, no asia las formulas de muestreo de variables. Media de la muestra - Es la suma de todos los valores de la muestra, dividida entre el tamaiio de Ia muestra, Mide el valor promedio de la muestra. ‘Manual de Preparacion al Examen CISA 2008 Es) Desviacién esténdar de la muestra - Calcula la varianza de los valores de la muestra a partir de la media de la muestra. Mide la extensién o dispersi6n de los valores de la muestra. ‘asa tolerable de error - Describe el valor maximo de error o el nimero de errores que pueden existir sin que una cuenta esté materialmente equivocada. La tasa tolerable se usa para el limite superior planeado del rango de precisiOn para Ia prueba de cumplimiento. Se expresa como porcentaje. El rango de precisién 0 precisién significan lo mismo cuando se usan en pruebas sustantivas. Desviaeién esténdar de Ia poblacién - Es un concepto matemético que mide la relacién con la distribucién normal. Cuanto mayor es la desviacién estindar, mayor es el tamafto de la muestra. Esta figura se aplica a las férmulas de muestreo de variables, pero no a las frmulas de muestreo de atributos. Los pasos clave en la construccién y seleccién de una muestra para una prueba de auditorfa incluyen: Determinar los objetivos de la prueba Definir la poblacién de la que se obtendra la muestra Determinar el método de muestreo, como muestreo de atributos vs. muestreo de variables Calcular el tamafio de la muestra Seleccionar la muestra Evaluar la muestra desde una perspectiva de auditoria. Es importante saber que existen herramientas para analizar la totalidad de los datos, no s6lo aquellas disponibles a través de técnicas de auditoria asistidas por computadora. 1.6.14 USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS Debido a Ia poca disponibilidad de auditores de ST y a la necesidad de especialistas de seguridad de TI y de otros expertos en el asunto objeto para llevar a cabo auditorias de areas altamente especializadas, cl departamento de auditoria o los auditores a los que se les confié el suministro de garantia pueden requerir lor servicios de ottos auditores o expenes. Citimamente, la sleccion de servicios de garann y de seguridad de SI es cada vez mAs una préctica comin. Los expertos externos podrian incluir expertos en tecnologias especificas, tales como cajeros autométicos (ATM), inalémbricos, integracién de sistemas y conocimientos digitales forenses, o expertos en la materia tales como especialistas en una industria o rea de especializacién en particular, tales como banca, comercio de titulos-valores, seguros, expertos legales, etc, Cuando se propone que una parte o la totalidad de los servicios de auditoria de SI sea proveido por otro proveedor extemno de servicios, se deberia considerar lo siguiente respecto al uso de servicios de otros auditores y expertos: © Restricciones sobre outsourcing de servicios de auditoria /seguridad dispuestas por leyes y regulaciones Contrato de auditoria o estipulaciones contractuales Impacto sobre el riesgo de auditoria de SI y la responsabilidad profesional Independencia y objetividad de otros auditores y expertos Competencia profesional, calificaciones y experiencia Alcance del trabajo que se propone que sea sometido a outsourcing y método Controtes de supervisién y de gerencia de auditoria Método y modalidades de comunicacién de los resultados del trabajo de auditoria Cumplimiento de las estipulaciones legales y regulatorias ‘Cumplimiento de los estindares profesionales aplicables ot "Manual de Manual de Preparacién al Examen CISA 2008 Basado en la naturaleza de Ia asignacién, lo siguiente también puede requerir consideracién especi © Verificaciones de testimonios/ referencias y antecedentes Acceso a los sistemas, las premisas y los registros Restricciones de confidencialidad para proteger Ia informacién relacionada con el cliente Uso de CATS y de otras herramientas a ser usadas por el proveedor extemno de servicios de auditoria Estandares y metodologias para la ejecucién de trabajo y documentaciéon El auditor de SIo Ia entidad que hace el outsourcing de los servicios deberia monitorear la relacion para asegurar la objetividad e independencia durante toda la vigencia del acuerdo. Es importante entender que a menudo, a pesar que una parte o la totalidad del trabajo de auditoria puede ser delegado a un proveedor externo de servicios, la responsabilidad profesional relacionada no es necesariamente delegada. De ahi que, es responsabilidad del auditor de SI o de la entidad que emplea los servicios de proveedores externos de servicios: Comunicar claramente los objetivos, el alcance y la metodologia de la auditoria a través de un contrato formal ‘ Establecer un proceso de monitoreo para revisién regular del trabajo del proveedor externo de servicios con respecto a planeacién, supervisién, revisién y documentaci6n. ‘ Determinar la utilidad y la correccién de los informes de dichos proveedores externos y determinar el impacto de los hallazgos significativos sobre los objetivos generales de auditoria. ‘Nota: El auditor de SI debe estar fumiliarizado con el Estandar de Auditoria de ISACA sobre “Realizacion del ‘Trabajo de Auditoria” (S6) y la Directriz de Auditoria de SI “Usando el ‘Trabajo de Otros Auditores” (G1) que se ‘concentra en los Derechos de Acceso al Trahajo de Otros Auditores o Expertos. 1.6.15 TECNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA, Durante la ejecucién de la auditoria, el auditor de SI debe obtener evidencia suficiente, relevante y itil para lograr de manera efectiva los objetivos de la auditoria. Los hallazgos y conclusiones de la auditoria deberian ser sustentados por un andlisis e interpretacién apropiados de la evidencia. En la actualidad, los ambientes de procesamiento de informacién plantean un duro desafio al auditor de SI para la recopilacién de evidencia suficiente, relevante y titil ya que la evidencia existe en medios magnéticos. Las CAATs son herramientas importantes para el auditor de SI para recolectar informacién de estos ambientes, Cuando los sistemas tienen diferentes entomos de hardware y de software, diferente estructura de datos, formatos de registro, funciones de procesamiento, et., es casi imposible para los auditores recopilar evidencia sin una herramienta de software para recolectar y analizar los registros. Las CAATs también permiten a los auditores de ST, durante el desarrollo de la auditoria, reunir informacién de manera independiente. Las CAATS proveen un medio para accesar y analizar los datos para un objetivo predeterminado de auditorfa y para reportar los hallazgos de auditoria enfatizando la confiabilidad de los registros producidos y mantenidos en el sistema. La confiabilidad de la fuente de informacién usada reafirma los hallazgos generados. Las CAATS incluyen muchos tipos de herramientas y técnicas, tales como software generalizado de auditoria (GAS), software utilitario, datos de prueba, rastreo y mapeo de software de aplicacién y sistemas expertos. anual de Preparacidn al Examen CISA 2008 Es EI GAS se refiere al software estindar que tiene la capacidad de leer y accesar datos directamente de diversas plataformas de base de datos, sistemas de archivos planos y formatos ASCII. GAS provee al auditor de SI de un medio independiente para obtener el acceso a datos para su andlisis y la habilidad para usar software de alto nivel para resolucién de problemas, que ejecuta funciones sobre los archivos de datos. Sus caracteristicas incluyen célculos matemiaticos, estratifieacién, andlisis estadistico, verifieacién de secuencia, verificacién de duplicados y recélculos. Las funciones siguientes son cominmente soportadas por el GAS: Acceso a archivos — Permite la lectura de diferentes formatos de registro y estructuras de archivos Reorganizacion de archivos — Permite la indexacién, clasificacién, fusién y vinculacién con otros archivos Seleccién de datos ~ Permite condiciones de filtrado y criterios de seleccién globales Funciones estadisticas — Permite el muestreo, estatificacién y andlisis de frecuencia Funclones aritméticas — Permite operadores y funciones aritméticas Pregunta de Préctica 1-6 Eluso PRIMARIO de software generalizado de auditoria (GAS) es: probar los controles integrados en los programas probar el acceso no autorizado a los datos extraer datos de relevancia para la auditoria reducir la necesidad de dar comprobantes para las transacciones pORP El uso efectivo y eficiente del software requiere un entendimiento de sus capacidades y limitaciones. EI software utilerfa es el subconjunto de software, como por ejemplo los generadores de_informes del sistema de administracién de la base de datos, que proven evidencia a los auditores sobre Ia efectividad de los controles del sistema. La prueba de datos de prueba involucra que los auditores usen un conjunto de datos como muestra para evaluar si existen errores Idgicos en un programa y si el programa satisface sus objetivos. La revisién de un sistema de aplicacién proveeré informacién sobre los controles intemos construidos en el sistema. El sistema experto de auditoria dard indicaciones e informacién valiosa para los auditores de todos los niveles mientras ejecutan Ia auditoria, porque el sistema basado en consultas (query-based system) esta creado sobre la base de conocimientos de auditores o gerentes del més alto nivel Estas herramientas y téenicas se pueden usar para efectuar diversos procedimientos de auditeria que incluyen: Procedimientos de revisin anal Pruebas de cumplimiento de controles generales de SI Pruebas de cumplimiento de controles de aplicaciénde ST Evaluaciones de vulnerabilidad de la red y del SO Pruebas de penetracién Pruebas de seguridad de apticacién y escaneos de seguridad del cédigo fuente El auditor de SI deberia tener un entendimiento profundo de las CAATS y saber dénde y cudndo aplicarlas. Favor referirse a G3: Directrices de ISACA sobre Téecnias de Auditoria Asistidas por ‘Computadora, 6 Manual de Manual de PreparaciOn al Examen CISA 2008 Como cualquier otro proceso, un auditor de SI deberia ponderar el costo /beneficio de las CATs antes de invertir esfuerzo, tiempo y gasto de comprarlos o desarrollarlos. Los aspectos a considerar incluyen: Facilidad de uso, tanto para el personal de auditoria existente y futuro Requerimientos de entrenamiento idad de la codificacién y del mantenimiento Flexibilidad de uso Requerimientos de instalacién Eficiencia de procesamiento (en particular con CAAT para PC) Esfuerzo requerido para introducir los datos fuente en las CAATS para su andlisis ‘Asegurar la integridad de los datos importados salvaguardando su autenticidad Registrar el sello de hora de los datos cargados en puntos criticos de procesamiento para sostener la credibilidad de la revision Obtener permiso para instalar el software en los servidores del auditado Confiabilidad del software Confidencialidad de los datos que se estin procesando, Cuando se estén desarrollando las CAATS, los siguientes son ejemplos de documentacién que se debe cconservar: Informes en linea detallando los asuntos de alto riesgo para revisin Listados de programas con comentarios Diagramas de flujo Informes de muestras Descripcién de registros y de archivos Definiciones de campos Instrucciones de operacién Deseripcién de documentos fuente aplicables La documentacién de las CAATs deberia estar referenciada al programa de auditoria e identificar claramente los procedimientos y los objetivos de auditoria que se satisfacen. Cuando se solicita acceso a los datos en produceién para usarlos con CAATS, el auditor de SI deberia solicitar acceso de lectura solamente. Cualquier manipulacién de datos que haga el auditor de SI deberia ser hecha en copias de los archivos de produccién en un ambiente controlado que garantice que los datos de produccién no estin expuestos a una actualizacién no autorizada. La mayoria de los CAATS proveen la descarga de los datos de produceién de los sistemas de produccién a una plataforma independiente y luego proven la realizacién del andlisis a partir de la plataforma independiente, aislando de ese modo los sistemas de producci‘no de cualquier impacto adverso. CAATs como Metodologia de Auditorfa Continua y en Linea Una de las ventajas cada vez més importantes de CAAT es su capacidad de mejorar la eficiencia de la auditoria, en particular en ambientes sin papeles, por medio de las téenicas de auditoria continua y en linea. Para esto, los auditores de SI deben desarrollar técnicas de auditoria apropiadas para ser usadas con sistemas computarizados avanzados. Ademds, deben estar involucrados en la creacién de sistemas avanzados desde las primeras etapas de desarrollo e implementacién, y deben hacer mayor uso de las herramientas automatizadas que sean adecuadas usarse en el entomo automatizado de su organizaciOn. Esto esté en la forma de enfoque de auditoria continua (para informacién mds detallada sobre auditoria continua en linea, vea el capitulo 3.~SAdministracién del Ciclo de Vida de Sistemas e Infraestructura). ‘Manual de Preparacion al Examen CISA 2008 5 1.6.16 EVALUACION DE LAS FORTALEZAS Y DEBILIDADES EI auditor de SI revisara la evidencia recopilada durante la auditoria para determinar si las operaciones revisadas estin bien controladas y son efectivas. Esta es también un area que requiere el juicio y la experiencia del auditor de $I. El auditor de SI debe evaluar las fortalezas y debilidades de los controles evaluados y Iuego determinar si son efectives para cumplir Ios objetivos de control establecides como parte del proceso de planeacién de Ta auditoria ‘A menudo se utiliza una matriz de control para determinar el nivel apropiado de los controles. Los tipos conoeidos de error que pueden ocurrir en el érea bajo revisidn, se colocan en el eje superior y los controles conocidos para detectar o para corregir los errores, en el eje lateral. Luego, usando un método de categorizacién, se lena la matriz. con las medidas apropiadas. Cuando se haya completado, la matriz ilustrard las éreas donde los controles son débiles o faltan. En algunas instancias, un control fuerte puede compensar un control débil en otra dea. Por ejemplo, si el auditor de SI encuentra debilidades en un reporte de errores de transaccién de sistemas, el auditor de SI puede hallar que un proceso detallado de balanceo manual de las transacciones compensa la debilidad del reporte de errores. El auditor de SI deberia estar consciente de controles compensatorios en éreas donde los controles han sido identificados como débiles. “Mientras que una situacién de control compensatorio ocurre cuando un contro! més fuerte soporta a uno mis débil, los controles solapados son dos controles fuertes. Por ejemplo, si un centro de datos emplea un sistema de tarjetas Tlave para controlar el acceso fisico y un guardia dentro de la puerta requiere que los empleados muestren su tarjeta llave 0 su tarjeta de identificacién, existe control solapado. Cualquicra de los controles podria ser adecuado para restringir el acceso y los dos se complementan entre si Normalmente, un objetivo de control no se alcanza considerando que un control es adecuado. Por el contrario, el auditor de SI llevard a cabo una variedad de procedimientos de prueba y evaluara cémo estos se relacionan entre si. Un auditor de SI deberia siempre revisar si existen controles compensatorios antes de reportar una debilidad de control. El auditor de SI puede encontrar que no todos los procedimientos de control estén establecidos pero deberia evaluar la totalidad de los controles considerando las fortalezas y las debilidades de los procedimientos de control. Juzgando la Materialidad de los Hallazgos El concepto de materialidad es un tema clave al decidir qué hallazgos evar al informe de auitoria. La clave para determinar la materialidad de los hallazgos de la auditoria es la determinacién de qué seria significativo para los diferentes niveles de direccién. La determinacién requiere juzgar el efecto potencial el hallazgo si no se realizan acciones correctivas. Una debilidad en los controles de seguridad de acceso fisico en un sitio de cémputo distribuido remoto puede ser significativa para la direccién del sitio, pero no ser§ necesariamente material para la alta direccin en Is oficina central. Sin embargo, puede haber otros asuntos en el sitio remoto que serian materiales para la alta gerencia, El auditor de SI debe usar su buen juicio al decidir cudles hallazgos presentar a los distintos niveles de direccién. Por ejemplo, el auditor de SI puede encontrar que el formulario de intercambio para el envio de cintas al lugar de almacenamiento externo, no esti debidamente firmado por la direceién como lo 38 ‘Manual de Manual de Preparacién al Examen CISA 2008 requieren los procedimientos. Sin embargo, si el auditor de SI encuentra que la direceién presta de otro ‘modo atencién a este proceso y que no ha habido problemas en esta srea, el auditor de SI puede decidir {que la falla de firmar los documentos de intereambio no es lo suficientemente material como para llamar Ia atencién de la alta direccién. El auditor de SI podria decidir discutir esto ‘nicamente con la direccién local de operaciones. Sin embargo, puede haber otros problemas de control que harén que el auditor de SI llegue a la conclusién que éste es un error material, porque puede conducir a un problema de control mayor en otras areas. El auditor de SI deberfa juzgar siempre cudles hallazgos son materiales para los distintos niveles de la direccién y deberfa reportarlos en consecuencia, 1.6.17 COMUNICACION DE LOS RESULTADOS DE LA AUDITORIA La entrevista final, Hevada a cabo al final de la auditoria, prove al auditor de SI la oportunidad de iscutir los hallazgos y las recomendaciones con la direccién, Los objetivos y el alcance de la auditoria pueden ser discutidos y el proceso de auditoria de SI puede ser explicado. Durante la entrevista final, ef auditor de SI deberia: Asegurarse de que los hechos presentados en el informe estén correctos, Asegurarse de que las recomendaciones sean realistas y eficientes desde el punto de vista de los costos, y 10 lo fueran, buscar alternativas negociando con la gerencia del auditado, Sugerir fechas de implementacién para las recomendaciones acordadas, Con frecuencia solicitardn al auditor de SI que presente los resultados del trabajo de auditorfa a los distintos niveles de la direccién. El auditor de SI deberfa tener un profundo entendimiento de las técnicas de presentacién necesarias para comunicar estos resultados. Las técnicas de presentacién podrian incluir las siguientes: ‘Resumen Ejecutivo - Un informe conciso y ficil de leer, que presenta los hallazgos a la direccién en una forma comprensible. La mayoria de los ditectores ejecutivos no estin muy familiarizados con la jerga de ‘computacién; por lo tanto, los resimenes ejecutivos deberian minimizar el uso de terminologia compleja. Los hallazgos y las recomendaciones deberian ser comunicados desde una perspectiva de negocio. Los anexos detallados pueden ser de naturaleza més técnica ya que la direcci6n de operaciones requeriré el detalle para corregir las situaciones que se informan. Presentacién Visual — Esto puede incluir transparencias, diapositivas o gréficas de computadora. Los Auditores de SI deberian estar conscientes de que al final, ellos son los responsables frente a la alta direccién y el Comité de Auditoria de la Junta Directiva. Los Auditores de SI deberian sentirse en libertad para comunicar los asuntos o preocupaciones a dicha direccién. Un intento de negar acceso por niveles inferiores a la alta direccién limitaria la independencia de la funcién de auditoria. ‘Antes de comunicar los resultados de una auditoria a la alta direccién, el auditor de SI deberia diseutir los. hallazgos con el personal directivo de la entidad auditada. El propdsito de dicha discusién es el de llegar a.un acuerdo sobre los hallazgos y desarrollar un curso de accién correctiva. En el caso de que exista un desacuerdo, el auditor de ST deberia profundizar sobre la importancia del hallazgo y los riesgos y el efecto de no corregir la debilidad de control. En algunas ocasiones la direccién del drea auditada puede requerir cl apoyo del auditor de SI para implementar las mejoras recomendadas al control. El auditor de SI deberia comunicar la diferencia entre el rol de un auditor y el de un consultor, y explicar cuidadosamente cémo el apoyar al auditado puede afectar adversamente su independencia como auditor de SI Una vez que se han logrado acuerdos con el auditado, la gerencia de auditoria de SI deberia enviar un corto resumen a la alta direccién de la organizacién auditada. Periédicamente, se debe proporcionar un resumen de las actividades de auditoria al comité de auditoria. Los comités de auditoria estén tipicamente ‘Manual de Preparacion al Examen CISA 2008 9 ‘compuestos por personas que no trabajan directamente para la organizacién y de ese modo proveen a los auditores un camino independiente para reportar los hallazgos sensitivos. Estructura y Contenido de un Informe de Auditoria Los informes de auditoria son el producto final del trabajo de auditoria de SI. Son usados por el auditor de SI para reportar a la direccién sus hallazgos y recomendaciones. El formato exacto de un informe de auditoria varia en cada organizacién. Sin embargo, el auditor de SI experimentado deberia entender los ‘componentes bisicos de un informe de auditoria y cémo éste comunica los hallazgos de auditoria a la direceién. ‘Nota: El auditor de SI debe familiarizarse con las normas de Actividades de Reporte ST y de Seguimiento Slide ISACA. No existe un formato especifico para un informe de auditoria de SI, sin embargo, las politicas y los procedimientos de auditoria de la organizacién generalmente dictarén el formato. No obstante, los informes de auditoria usualmente tendran la estructura y contenido siguientes: Una introduccién al informe, incluyendo una declaracién de los objetivos, limitaciones para la auditoria y alcanee, el periodo cubierto por la auditoria y una declaracién general sobre el carécter y la extension de Jos procedimientos de auditoria realizados y los procesos examinados durante la auditoria, declaracién sobre la metodologia de la auditoria de SI y directrices seguidas. Una buena prictica es incluir hallazgos de auditoria en anexos separados. Estos hallazgos pueden ser agrupados en anexos por materialidad y/o receptor pretendido. . La conclusién y la opinién generales del auditor de SI respecto a si los controles y_procedimientos examinados durante la auditoria son los adecuados, y los riesgos potenciales reales idemtficados como consecuencia de las deficiencias detectadas. Las reservas 0 calificaciones del auditor de SI con relacién a la auditoria. Estas pueden declarar que se encontrs que los controles © procedimientos examinados son adecuados o inadecuados. El balance del informe de auditoria deberia respaldar dicha conclusin y toda la evidencia recopilada durante la auditoria