MATERIA

AUDITORÍA INFORMÁTICA

UNIVERSIDAD DEL VALLE DE MÉXICO

EL PROCESO DE AUDITORÍA

PREFACIO

La Auditoría de Sistemas de Información (SI) es una parte del proceso general de

auditoría, que es uno de los facilitadores de buen gobierno corporativo. Si bien no
existe una definición única y universal de auditoría de SI, Ron Weber ha definido
(EDP revisión - como se llamaba antes) como "el proceso de recopilación y
evaluación de las pruebas para determinar si un sistema informático (sistema de
información) Activos salvaguardias, mantiene integridad de los datos, logra las
metas organizacionales y consumo efectivos de los recursos de manera eficiente.
"1.

Los sistemas de información son el alma de cualquier negocio que dependa de la

tecnología. Como en años anteriores, los sistemas informáticos no se limitaban a
registrar las operaciones de negocios, ya que en realidad conducen los procesos
clave del negocio de la empresa. En tal escenario, los directivos de gestión y de
negocios de alto nivel tienen preocupaciones acerca de los sistemas de
información. El propósito de la Auditoría de SI es revisar y dar retroalimentación,
garantías y sugerencias. Estas preocupaciones pueden agruparse bajo tres
amplios conceptos principales:

1. Disponibilidad: ¿Los sistemas de información en los que el negocio

depende en gran medida están a disposición de la empresa en todo
momento cuando es necesario? ¿Los sistemas están bien protegidos
contra todo tipo de daños y desastres?

2. Confidencialidad: ¿La información de los sistemas sólo se comunicará a

las personas que tienen la necesidad de verla y usarla y no a otra persona?

3. Integridad: ¿La información proporcionada por los sistemas siempre es

precisa, confiable y oportuna? ¿Qué nos asegura de que ninguna
modificación no autorizada puede hacer que los datos o el software en los
sistemas?

1 Nota del autor: Por supuesto que hay otras preocupaciones que en auditoría se
debería examinar, como la eficacia, la eficiencia, rentabilidad, rendimiento de la
inversión, la cultura y los temas relacionados. Estos problemas serán abordados
en auditoría de Fundamentos de TI en las columnas en los próximos números de
la revista en 2002.]

Elementos de la Auditoría de SI

Un sistema de información no sólo es un computador. Los sistemas de

información de hoy en día son complejos y tienen muchos componentes que
integrar para hacer una solución de negocios. Las garantías sobre un sistema de
información se pueden obtener sólo si son evaluados y asegurados todos los
componentes. El eslabón más débil es la fuerza total de la cadena, reza el
proverbio. Los principales elementos de la auditoría de SI se puede clasificar en
términos generales:

1. Revisión Física y ambiental - Esto incluye la seguridad física, alimentación,

aire acondicionado, control de humedad y otros factores ambientales.

2. Revisión de la administración del sistema- Esto incluye la revisión de seguridad

de los sistemas operativos, sistemas de gestión de bases de datos , todos los
procedimientos de administración del sistema y el cumplimiento.

3. Revisión del Software – El software de aplicación de negocios podría ser la

nómina, facturación, un sistema de procesamiento de pedidos de clientes
basado en la web o un sistema de planificación de recursos empresariales que
actualmente dirige el negocio. La revisión de este tipo de software de
aplicación incluye control de acceso y las autorizaciones, las validaciones, el
error y el manejo de excepciones, flujos de procesos de negocio en el software
de aplicación y los controles y procedimientos manuales complementarios.
Además, una revisión del ciclo de vida de desarrollo del sistema debe ser
completado. .

4. Seguridad de las redes - Revisión de las conexiones internas y externas al

sistema, seguridad perimetral, opinión del firewall, las listas de control de
acceso del router, escaneo de puertos y detección de intrusiones son algunas
de las zonas típicas de la cobertura.

5. Continuidad del negocio - Esto incluye la existencia y mantenimiento de

hardware tolerante a fallos y redundantes, los procedimientos de copia de
seguridad y almacenamiento, un plan de continuidad del negocio y un plan de
recuperación en caso de desastre documentado y probado.

6. Integridad de los datos opinión - El propósito de esto es el escrutinio de los

datos en vivo para comprobar la adecuación de los controles y el impacto de
las debilidades, según testimonio de cualquiera de las revisiones anteriores.
Estas pruebas sustantivas se puede hacer usando software generalizado de
auditoría (por ejemplo, técnicas de auditoría asistida por computador).
Todos estos elementos deben ser abordados para presentar a la Gerencia una
evaluación clara del sistema. Por ejemplo, el software de aplicación puede estar
bien diseñado e implementado con todas las características de seguridad , pero la
contraseña de superusuario que por defecto trae el sistema operativo utilizado en
el servidor puede no haber sido cambiada nunca, lo que permite a alguien acceder
directamente a los archivos de datos. Esta situación anula cualquier garantía de
integridad en la aplicación. Del mismo modo, es posible que los firewalls y la
seguridad del sistema técnico se hayan implementado muy bien, pero las
definiciones de funciones y controles de acceso en el software de la aplicación
pueden haber sido tan mal diseñados e implementados que al utilizar sus ID de
usuario, los empleados pueden llegar a ver la información crítica y sensible ahora
más allá de sus roles.

Es importante entender que cada auditoría puede constar de estos elementos en

diferentes medidas, algunos auditorías podrán examinar sólo uno de estos
elementos o eliminar algunos de estos elementos de la auditoría. Aunque lo cierto
es que hay que hacer una revisión de todo ello, no es obligatorio hacerla para
todos ellos en una asignación. El conjunto de habilidades necesarias para cada
uno de ellos son diferentes. Los resultados de cada auditoría necesitan ser visto
en relación con el otro. Esto permitirá que el auditor y la administración puedan
conseguir la visión total de los temas y problemas. Este panorama es crítico.

Enfoque basado en riesgos

Cada organización utiliza una serie de sistemas de información. Puede haber

diferentes aplicaciones para diferentes funciones y actividades y puede haber un
número de instalaciones de computadores en diferentes ubicaciones geográficas.

El auditor se enfrenta a las preguntas de qué auditar, cuándo y con qué

frecuencia. La respuesta a esto es la adopción de un enfoque basado en el riesgo.

Si bien hay riesgos inherentes a los sistemas de información, estos riesgos

afectan diferentes sistemas de diferentes maneras. El riesgo de no disponibilidad
incluso durante una hora puede ser grave para un sistema de facturación en una
tienda ocupada. El riesgo de una modificación no autorizada puede ser una fuente
de fraudes y potenciales pérdidas para un sistema de banca en línea. Un sistema
de procesamiento por lotes o un sistema de consolidación de datos pueden ser
relativamente menos vulnerables a algunos de estos riesgos. Los entornos
técnicos en los que los sistemas se ejecutan también pueden influir en el riesgo
asociado con los sistemas.
Los pasos que se pueden seguir por un enfoque basado en el riesgo para hacer
un plan de auditoría son:

1. Un inventario de los sistemas de información en uso en la organización y

clasificarlos.
2. Determinar cuáles sistemas impactan a las funciones críticas o a los
activos, como el dinero, los materiales, los clientes, toma de decisiones, y
que tan cerca al tiempo real que operan.
3. Evaluar qué riesgos afectan a estos sistemas y la severidad del impacto en
el negocio.
4. Clasifique a los sistemas basados en la evaluación anterior para decidir la
prioridad de auditoría, los recursos, el calendario y la frecuencia.

El auditor puede entonces elaborar un plan de auditoría anual que enumera las
auditorías que se llevará a cabo durante el año, de acuerdo con un horario, así
como los recursos necesarios.

El proceso de auditoría

La preparación antes de comenzar una auditoría incluye la recolección de

información de antecedentes y la evaluación de los recursos y habilidades
necesarios para realizar la auditoría. Esto permite la asignación correcta del
personal con el tipo de habilidades que se adjudicará al compromiso.

Siempre es una buena práctica tener una reunión formal de inicio de la auditoría
con la alta dirección responsable del área que se audita para establecer el
alcance, entender las preocupaciones especiales, en su caso, programar las
fechas y explicar la metodología para la auditoría. Estas reuniones permiten que
los auditados, puedan aclarar cuestiones y preocupaciones de negocio
subyacentes. Después de la reunión, registrar en un documento o minuta que
enliste los acuerdos establecidos ayudará a la auditoría a realizarse sin
problemas.

Del mismo modo, una vez finalizado el ejercicio o escrutinio de auditoría, es una
mejor práctica comunicar los resultados de la auditoría y sugerencias para la
acción correctiva a la alta dirección en una reunión formal mediante una
presentación del informe. Esto asegurará una mejor comprensión y aumentar el
entendimiento de las recomendaciones de auditoría. También da a los auditados
la oportunidad de expresar sus puntos de vista sobre las cuestiones planteadas.
La redacción de un informe después de dicha reunión donde se llegaron a
acuerdos sobre todos los asuntos de auditoría puede mejorar en gran medida la
eficacia de la auditoría.
El principal reto

La auditoría de SI a menudo implica encontrar y registrar observaciones que

pueden ser muy técnicas. Se requiere de tal profundidad técnica para llevar a cabo
las auditorías con eficacia. Al mismo tiempo, es necesario traducir los hallazgos de
auditoría en las vulnerabilidades y los impactos de las empresas a las que los
gerentes operativos y altos directivos pueden relacionarse. Ahí está el principal
reto de la auditoría de SI.

Notas Finales

1 Weber, Ron, EDP Fundamentos de Auditoría - conceptuales y prácticas

S. Anantha Sayana, CISA, CIA es gerente general adjunto de los servicios de

auditoría corporativa con Larsen & Toubro Limited, India. Tiene más de 12 años de
experiencia en la auditoría de SI y la auditoría interna en la banca, la industria
manufacturera y los servicios que abarcan una gran variedad de aplicaciones y
plataformas técnicas. También es un ex presidente del Capítulo Mumbai ISACA.

Para ponerse en contacto con S. Anantha Sayana, el autor de la columna de este

tema, con las observaciones o preguntas, sas-pia@powai.ltindia.com
Un poco de historia repitiéndose – La Etapas de la Teoría Nolan y el Auditor de SI
actual.

Uno de los aspectos clave de la auditoría de sistemas de información (SI) es

determinar la madurez de las tecnologías en uso dentro de una organización o
departamento. En realidad, en algunas áreas del negocio, el uso de TI es más
maduro que otras, y esto es particularmente cierto para las empresas que se han
sometido a las fusiones o adquisiciones recientes.

Las Etapas del Modelo de Crecimiento para los Sistemas de TI fueron

desarrolladas por Richard L. Nolan en la década de 1970. Aunque se ha
modificado con el tiempo y han sido sujetos a la crítica en algunos lugares, todavía
se utiliza para analizar el crecimiento de las TI dentro de una organización y es
utilizado por muchas empresas y consultores para categorizar la evolución de lo
que se conocía originalmente como departamentos de procesamiento de datos.

En este artículo se analizan las seis etapas (originalmente cuatro), así como su
relación directa con el auditor. La teoría de Nolan puede proporcionar un marco útil
para un trabajo de auditoría, especialmente para el auditor con menos experiencia
que no ha tenido una amplia exposición a una amplia gama de sistemas de TI de
organización.

La Creación y Evolución de la Teoría de Nolan

Cuando Richard L. Nolan publicó primero su teoría en 1973,1 no existía tal cosa
como el microordenador. La configuración más pequeña disponible era un
miniordenador, tales como el DEC PDP - 7. Los computadores centrales fueron la
norma, dominando grandes centros de datos con aire acondicionado. Eran caros
para comprar y caros de mantener, sobre todo estos equipos funcionan en modo
batch o por lotes, con trabajos enviados para ser ejecutados durante la noche.

Mientras que algunos sistemas en tiempo real estaban disponibles, los enlaces de
comunicación requeridos eran costosos haciendo éstos sistemas viables
únicamente para determinados nichos de mercado, como las aerolíneas y la
banca.

Dentro de este contexto, sin embargo, Nolan ofrece una visión de lo que podría
suceder dentro de una organización si se redujeran los costos de procesamiento
de datos. Profética en su enfoque, muchas de sus predicciones se hicieron
realidad, primero para las grandes corporaciones y luego para las empresas más
pequeñas.

Las etapas del modelo de crecimiento no han permanecido estáticas. En 1979

Nolan añadió otras dos etapas tal y como el modelo trató de mantenerse al día
con los acontecimientos dramáticos en la tecnología en el tiempo.2

Con el tiempo ha habido críticas a la teoría, incluyendo el supuesto de que una

organización salta de un estado a otro y la percepción de que una organización
siempre debe esforzarse por ser evaluada contra las etapas superiores (es decir,
la administración de datos y la madurez).3 Por otra parte, otros han desarrollado
modelos que se basan en el trabajo de Nolan, pero intentan paliar lo que se
considera por algunos como deficiencias. Por ejemplo, y tal vez en un guiño a la
auto-evaluación del riesgo controlado, El Modelo de Madurez en la Práctica de la
Gestión de Datos 4 es un enfoque que se ajusta a las ideas originales de Nolan,
pero la teoría se discute en el contexto de 2012 en lugar de los años de 1970.

Fase I —Iniciación
Esta etapa se refiere a la primera introducción que hace la tecnología en una
organización. Si bien puede ser difícil de concebir para aquellos que trabajan en
las empresas de TI, muchas empresas pequeñas han de prosperar sin una gran
infraestructura de TI consideran que el número de pequeñas empresas que sólo
necesitan un teléfono móvil y un diario para completar su trabajo.

La etapa de iniciación en una organización se identificó por Nolan como el punto

en el que una organización compra su primera tecnología. En la década de los
1970, fue inevitablemente una minicomputadora, ahora, con la baja en los costos
las portátiles y el uso de los teléfonos inteligentes se utilizan para muchas
funciones empresariales del día a día, este punto de partida es mucho más difícil
de determinar. Los dispositivos personales están siendo reutilizados con
frecuencia para las necesidades de la empresa. De este modo, el punto de partida
muy fácilmente puede hacerse borroso, y la creciente dependencia de TI pasa
desapercibida. Para muchas empresas pequeñas, los aspectos de la seguridad de
la información pueden no ser una preocupación importante, pero todos somos
conscientes cuando se ha perdido a un teléfono, por lo que una copia de
seguridad efectiva (incluso de contactos del teléfono / entradas de la agenda) se
hace crítica.

Dentro de las organizaciones más grandes, un nivel básico de infraestructura de TI

es seguro de encontrar. Sin embargo, la etapa I también se puede aplicar a
cualquier tecnología emergente. Es muy raro que una tecnología innovadora se
introduzca por política. En cambio, la introducción es iniciada generalmente por
éxitos pequeños en grupos de empleados de la organización y se actúa
individualmente. Por ejemplo, considere el despliegue inicial de los teléfonos
inteligentes en las organizaciones. Originalmente, estos fueron adquiridos por las
personas que vieron el potencial de estos dispositivos para su productividad
personal, pero esperan que sea capaz conectar estos a la red corporativa, muy a
menudo con poca preocupación por los problemas de seguridad en torno a los
dispositivos móviles.

Es el auditor interno quien tiene un papel en la identificación de estos primeros

accesos. Pueden identificar las mejores prácticas y proponer la adopción de otras
áreas. Si bien esto puede ser una buena manera de difundir la información, puede
también inadvertidamente conducir a muchos de los problemas tratados en la
etapa II.

Por el contrario, la auditoría interna podría identificar nuevas tecnologías y trabajar

con la organización para promover el desarrollo de la regulación y control. Si esto
sucede en paralelo con la adopción de la tecnología en lugar de que sea después
de la implementación, las dificultades de la fase II podrían reducirse en gran
medida.

Fase II —Contagio
Esta es una etapa crítica del crecimiento de TI y se identifica por la proliferación de
los sistemas de la organización. Las diferentes tecnologías pueden competir para
ser dominantes en la organización, por ejemplo, la controversia de décadas de
antigüedad Mac vs PC. Hoy, deriva en debates, por ejemplo, acerca de si la
información en sí debe llevarse a cabo dentro de la organización o si la
computación y almacenamiento en la nube son las adecuadas.

En los primeros días de la informática, los proveedores estaban dispuestos a

asegurar que sus clientes estaban " asegurados" en sus tecnologías, sistemas y
formatos de archivos de datos. Incluso los acuerdos sobre la secuencia para la
clasificación alfanumérica y el almacenamiento de los datos eran propietarios, con
ASCII (DEC) y EBCDIC formatos utilizados por ICL e IBM. Muchos de nosotros
hemos experimentado la frustración de los diferentes formatos de datos, pero hoy
en día los datos a menudo se pueden convertir entre los sistemas. Los lenguajes
con esquemas de marcado extensible (XML) y la mejora de los estándares de
calidad de datos han contribuido de manera significativa dentro de esta área.

El peligro de esta etapa se debe a la falta de control , los costos en espiral , y los
errores que surgen a través de la necesidad de la entrada manual de datos para
transferir información entre sistemas o controles incorrectos cuando la es la
transferencia de datos entre sistemas. Este crecimiento se produce con frecuencia
al mismo tiempo que la empresa se expande. Puede ser un facilitador del
crecimiento y, al mismo tiempo, puede convertirse en una víctima de su propio
éxito.
Una vez más, utilizando el teléfono inteligente como un ejemplo, más personas y
departamentos lo adoptaron después de ver a los primeros usuarios que se
benefician de su uso, pero no dentro de un marco institucional. Por lo tanto, ha
habido una proliferación de modelos y sistemas operativos, lo que lleva a las
incompatibilidades y las demandas de apoyo adicionales.

El papel de la auditoría interna en esta etapa puede ser como la de un perro

pastor, ofreciendo garantías de que numerosos sistemas dispares tienen controles
adecuados. Con frecuencia, el auditor interno está en una posición única para
reconocer que las sinergias son posibles debido a su ámbito organizativo más
amplio. Esto puede ser particularmente relevante para las auditorías integradas
que “combinan los pasos de auditoría tanto financiera como operativa " 5. Al
identificar estas sinergias, el auditor interno puede ayudar al progreso de la
organización a través de este caótico escenario y en estado III. Si una
organización no puede hacer esto, hay riesgos significativos para el éxito a largo
plazo tanto para la función de TI dentro de una organización y de la propia
organización.

Fase III —Control

Desde una perspectiva de gestión, después de haber visto la proliferación de los
sistemas presentes en el estadio II (y su utilidad), la necesidad de introducir
controles puede ser identificada, no sólo en el número de sistemas, sino también
en los presupuestos asociados con estos sistemas. La necesidad de este control ,
posiblemente, puede ser reconocido a través de una auditoría interna , la
identificación de que a pesar de los primeros éxitos de la etapa I y la masa (pero
no controlada ) la proliferación de la fase II , la tecnología se nos está convirtiendo
en un gigante . Por ejemplo, se puede producir una recuperación del negocio en
caso de un incidente y la continuidad después de un desastre, lo que demuestra
un riesgo intolerable para la organización el simplemente tener demasiados
sistemas para tratar de recuperarse en un tiempo limitado.

Los objetivos de de recuperación en el tiempo (RTO) y los objetivos de punto de

recuperación (RPO) se hacen imposibles de alcanzar, como la falta de
estandarización de los procedimientos significa que la recuperación se convierte
en excesivamente compleja y la ventana de interrupción es demasiado grande
para ser tolerado por el negocio.

En una inspección inicial, se puede considerar que esta etapa es donde la

auditoría interna debe entrar en el proceso. Este no es el caso; la auditoría interna
ya haya propuesto controles que ahora tienen que formalizarse y, sobre todo ,
aplicado y supervisado . Si una organización no impone control ( con la garantía
de la auditoría interna ) , no sólo no progresa, pero puede deslizarse fácilmente de
nuevo a la fase II , como áreas individuales una vez más la implementación de
soluciones de TI dispares y sin autoridad en la organización .
Continuando con el ejemplo del smartphone, en esta etapa los auditores interna
deberían haber identificado los problemas asociados con la multitud de diferentes
dispositivos en uso. Ellos también pueden recomendar el control sobre el uso de
los dispositivos o sugerir una política de compra de la organización. Estas
recomendaciones no sólo deben ser dirigidas al dispositivo actual, sino también en
su uso, moviendo así la tecnología hacia adelante, a la etapa IV.

Fase IV —Integración

Después de conseguir que los sistemas estén bajo control en la etapa anterior, la
organización puede desarrollar aún más la madurez de los sistemas de TI y
comenzar a consolidar los sistemas y los datos que subyacen a la funcionalidad
principal de la organización. Es en este punto que toda la experiencia del auditor
interno en la organización comienza a estar a la cabeza en una función de
asesoramiento en lugar de la vigilancia y control, seguirá desarrollando este rol en
la etapa V. Es posible que el auditor interno sea la única persona que tiene la
visión integral de todos los niveles de la organización, sobre todo si existe una
estructura de gestión descentralizada (por ejemplo, una estructura de matriz).

Hoy en día, la integración conduce inevitablemente a la consideración de los

sistemas de planificación de recursos empresariales (ERP). El mercado de éstos
ha crecido rápidamente en los últimos 20 años, y muchos proveedores ofrecen
servicios a las pequeñas y medianas empresas (PYME). Es posible, por tanto, que
una organización que experimenta un crecimiento rápido puede ser capaz de
saltar por encima de estadios I a IV sin la gran cantidad de sistemas asociados a
las fases II y III, y con un mayor control de los costos, lo que es especialmente
necesario en las PYME.

La auditoría interna puede tener la tentación de confiar únicamente en los informes

estándar generados por los sistemas ERP en sí. Es esencial que la independencia
del auditor, incluyendo la independencia de los propios sistemas, se mantiene. Los
auditores internos tienen ahora la posibilidad de acceder a grandes repositorios de
datos, esto hace que sea imprescindible que consideren el uso de herramientas
automatizadas (por ejemplo, técnicas de auditoría con ayuda de computadora
[CAAT]) para analizar los datos disponibles. La dificultad puede ahora residir en la
identificación y obtención de los conjuntos de datos necesarios y procedimientos
para análisis que han de aplicarse sobre ellos, en lugar de asegurar la pertinencia
y la exactitud de los datos de los datos.

Fase V — Administración de Datos

La etapa de administración de datos es menor a un cambio tecnológico , y más a

un cambio de cultura filosófica dentro de la organización . La cuestión de la
propiedad de los datos (DO) es lo que está a la vanguardia durante esta etapa. En
lugar de que los datos sean propiedad del departamento de TI (o proveedor
externo), los usuarios tienen la propiedad de los datos. La auditoría interna puede
ayudar a definir el concepto de DO en el contexto específico de la organización y
la asignación de una persona responsable de la propiedad, el acceso y la
protección de los activos de información.

Los datos del sistema ERP se pueden aperturar hasta una base de usuarios más
amplia, y la organización necesita de la confianza (a través de acceso basado en
roles) que las personas saben cómo utilizar la información a la que tienen acceso.

En esta etapa, el rol del auditor interno se ha desplazado a la de un policía con la

el fin de asegurar que los datos y recursos de información se están utilizando con
eficacia y correctamente por la organización, cumpliendo con los marcos
normativos externos y las mejores prácticas.

Continuando con el ejemplo de dispositivo móvil, hay una necesidad de que el

auditor interno garantice que los usuarios de forma individual aprecian las
cuestiones de los datos que son removidos de la organización y la importancia de
la sincronización de los datos, garantizando así la integridad de toda la
organización. La aparición de almacenamiento en la nube puede ayudar a este
nivel, lo que permite una clara demarcación de la custodia de los datos, el titular
de los datos y los datos de usuario con independencia de su ubicación y
dispositivo de acceso.

Fase VI—Madurez

La etapa final identificada por Nolan se consigue cuando todos los sistemas dentro
de una organización se desarrollan a su estado óptimo y se puede decir que han
alcanzado una madurez tanto tecnológica y una estabilidad del sistema acorde
con la dependencia del negocio a esos sistemas. Mientras que la evaluación
comparativa externa puede proporcionar un cierto nivel de tranquilidad, también es
posible que la organización se vuelva complaciente, en cuyo caso la deriva
estratégica podría sobrevenir. Por lo tanto, el papel del auditor interno es asegurar
que la complacencia se evita o elimina.
En realidad, el ritmo del cambio tecnológico y de negocios significa que los
sistemas se deben desarrollar constantemente. Esto podría ser para mantener la
ventaja competitiva, introducir a un nuevo mercado o tomar ventaja de ( por
ejemplo ) que bajan los costos de arquitectura de TI.

Por lo tanto, a pesar de que parecía imposible de lograr, la etapa de madurez de

TI es algo a lo que la organización debe esforzarse continuamente, y la carta
compromiso del comité de dirección de TI puede identificar la realización de esta
etapa como un objetivo estratégico, permanente y orgánico.

Conclusión

Como se ha demostrado, las tecnologías de TI se someten a una serie de etapas

incrementales. En cada etapa, factores internos y externos impulsan el cambio
hacia delante, y en general, el papel de la auditoría interna es para asegurar que
esto ocurre de una manera controlada. Al asociar una organización o
departamento con una etapa particular de el modelo, un auditor puede identificar
las acciones necesarias para impulsar la tecnología a los niveles más altos, con
tendencia hacia la madurez. Por lo tanto, el modelo de Nolan ofrece una
herramienta útil para el auditor cuando se habla de la planificación estratégica a
largo plazo como parte de la función de auditoría de TI de la institución, lo que
garantiza que la alta dirección reconoce el riesgo de adopción descontrolada de TI
y aprovechar las oportunidades de seguir adelante con una coherente y
estructurada estrategia de TI.

Endnotes
1 Nolan, Richard L., “Managing the Computer Resource: A Stage Hypothesis,” Communications of the ACM,
July 1973, vol. 16, no.7, p. 399–405, http://cacm.acm.org/magazines/1973/7/11861-managing-the-computer-
resource/abstract
2 Nolan, Richard L., “Managing the Crises in Data Processing,” Harvard Business Review, March 1979, 57(2),
p.115–6, http://hbr.org/1979/03/managing-the-crises-in-data-processing/ar/1
3 King, John Leslie; Kenneth L. Kraemer; “Evolution and Organizational Information Systems: An Assessment
of Nolan’s Stage Model,” Communications of the ACM, May 1984, vol. 27 no. 5, p. 466–75,
http://dl.acm.org/citation.cfm?id=358074&dl=ACM&coll=DL&CFID=99581475&CFTOKEN=89642816
4 Aiken, Peter; M. David Allen; Burt Parker; Angela Mattia, “Measuring Data Management Practice Maturity: A
Community’s Self-Assessment,” Computer, April 2007, 40(4), p.42,
www.irmac.ca/0708/Measuring%20Data%20Management%20Practice%20Maturity.pdf
5 ISACA, CISA Review Manual 2011, USA, 2010

Andy Hollyhead, CISA, FHEA, is a senior lecturer in governance and risk management in the Centre for
Internal Audit, Governance and Risk Management at Birmingham City University (Birmingham, England, UK).
Hollyhead’s work experience includes 15 years as a programmer and business analyst for large UK
organisations, specialising in payroll systems. He is also studying for his Ph.D. in Technology Enhanced
Learning at Lancaster University (Lancaster, England, UK).

Alan Robson, CISA, CISM, is a senior academic in information systems (IS) audit in the Centre for Internal
Audit, Governance and Risk Management at Birmingham City University. Robson’s teaching career extends
more than 25 years across a range of IT and IS subjects, from the undergraduate to postgraduate level.

Enjoying this article? To read the most current ISACA Journal articles, become a member or subscribe to the
Journal.

The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT
governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ
from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and
from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to
the originality of authors’ content.

© 2012 ISACA. All rights reserved.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other
copying, reprint or republication, permission must be obtained in writing from the association. Where
necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance
Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US
$2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume,
and first and last page number of each article. Copying for other than personal use or internal reference, or of
articles or columns not owned by the association without express permission of the association or the copyright
owner is expressly prohibited.
INTRODUCCIÓN

El Proceso de auditoría (CISA Review Manual 2006)

ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA DE SISTEMAS DE

INFORMACIÓN

El rol del la función de auditoría de sistemas de información (SI) debe ser

establecida por una escritura de constitución, este documento incorpora la
institución y especifica los derechos y funciones, asimismo incorpora los artículos
y el certificado de la incorporación. La auditoría de SI es más probable que sea
parte de auditoría interna, por lo tanto la escritura de constitución incluirá todas
aquellas funciones de auditoría.

Esta carta o escritura debe establecer claramente las responsabilidades y

objetivos asociados, la delegación de autoridades para, la función de auditoría SI.
Este documento debe remarcar la autoridad general, alcance y responsabilidades
de la función de auditoría. El documento debe ser aprobado por el nivel más alto
de la administración y por el comité de auditoría.

Una vez establecido este documento, puede cambiar solo si el cambio es

justificable a fondo.

Los estándares de auditoría de SI de la ISACA solicitan que la responsabilidad, la

autoridad y lo sustantivo de la función de auditoría de SI están documentadas de
forma adecuada en una escritura de constitución o carta compromiso.

ADMINISTRACIÓN DE RECURSOS DE AUDITORÍA DE SI

Los auditores de SI son un recurso limitado y la tecnología asociada a SI sufre

constantes cambios. Por lo tanto, es importante que los auditores mantengan sus
competencias a través de actualizaciones para las habilidades existentes y
obtengan capacitación directa a nuevas técnicas de auditoría y de áreas
tecnológicas. Específicamente, el auditor de SI debe entender las técnicas para la
gestión de proyectos de auditoría con miembros del personal apropiados y
capacitados. Los estándares de auditoría de SI de ISACA requieren del auditor SI:
es técnicamente competente, posee las habilidades y conocimiento necesarios
para el desempeño del trabajo del auditor. Además, el auditor de SI mantiene la
competencia técnica mediante educación profesional de forma continua. Habilidad
y conocimiento deben ser considerados en la planeación de auditoría así como
para la asignación específica de personal a las auditorías.
De forma preferente debería desarrollarse un programa específico de capacitación
para el año en curso basado en la directriz organizacional en términos de
tecnología y riesgos asociados que requieran ser abordados. Esto debiera
revisarse al menos una vez al año para asegurar que las necesidades de
entrenamiento o capacitación están alineadas a la dirección que está tomando de
la organización de la auditoría. Adicionalmente, la gerencia de la auditoría de SI
deberá proveer los recursos necesarios de TI (tecnologías de información)
necesarios para un desempeño apropiado las auditorías de SI de naturaleza
altamente especializadas. (e.g. escaneo de software para pruebas de intrusión a
red, pruebas de penetración…).

PLANEACIÓN DE LA AUDITORÍA

La Planeación de Auditoría contempla tanto la programación a corto como a largo

plazo. El corto plazo considera aquellos hallazgos de auditoría que serán cubiertos
durante el año en curso, donde el largo plazo se relaciona a planes de auditoría
que considerarán incidentes relacionados a riesgos que impliquen cambios en la
dirección de la estrategia de la organización de TI que afecten el ambiente de TI
de la organización.

El análisis de largo y corto plazo deberá realizarse al menos una vez al año. Esto
se hace necesario para considerar incidentes de control nuevos, cambios en
tecnología, cambios en los procesos de negocio y mejoras en las técnicas de
evaluación. Los resultados de éste análisis para la planificación de las actividades
de auditorías futuras deberán revisarse por la alta gerencia, aprobadas por el
comité de auditoría, si existe, o de forma alterna por la mesa directiva, y
comunicarse a los niveles relevantes de la gerencia.

Adicionalmente a toda la planeación anual, cada compromiso de auditoría

individual debe ser adecuadamente planificado. El auditor de SI deberá entender
que otras consideraciones tales como la valoración de riesgos por la gerencia,
problemas de privacidad, y requerimientos regulatorios puedan impactar el
enfoque general de la auditoría.

El auditor de SI deberá considerar plazos establecidos para mejoras de los

sistemas, implementaciones, tecnologías actuales y futuras, requerimientos de los
dueños de proceso de negocio, y limitantes de recursos de SI.
Cuando se planifique el compromiso, el auditor deberá tener un entendimiento
amplio del ambiente a revisar. Esto deberá incorporar un entendimiento general de
diversas prácticas de negocio y funciones asociadas al tema de la auditoría, así
como de los sistemas de información y la tecnología soporte a la actividad. Por
ejemplo, el auditor debe estar familiarizado con el ambiente regulatorio donde
opera el negocio. Para el desempeño de la planeación de la auditoría. El auditor
de SI deberá desempeñar los siguientes pasos en orden de:

 Obtener un entendimiento de la misión de un negocio, objetivos, propósitos

y procesos, lo cual incluye requerimientos de información y procesamiento,
tales como disponibilidad, integridad, seguridad y tecnología del negocio.
 Identificar contenidos vertidos, tales como políticas, estándares y guías
relacionadas, procedimientos y estructuras de la organización.
 Evaluar la valoración del riesgo y analizar cualquier impacto sobre la
privacidad realizada por la gerencia.
 Desarrollar un análisis de riesgos
 Conducir una revisión del control interno
 Definir el alcance de la auditoría y los objetivos de la misma
 Desarrollar el enfoque de auditoría o estrategia de auditoría
 Asignar recursos del personal a la auditoría y dirigir la logística del
compromiso

Los estándares para Auditoría de SI de ISACA, requieren que el auditor de SI

planeé el trabajo de auditoría para dirigir los objetivos de la auditoría y para
cumplir con los estándares aplicables de la profesión. El plan desarrollado por el
auditor considerará los objetivos relevantes para el auditado y para su
infraestructura tecnológica. Si esto aplica, deberá considerar también el área bajo
revisión y su relación con la organización (estratégicamente, financieramente y
operacionalmente) y obtener información del plan estratégico, incluyendo el plan
estratégico para SI. El auditor de SI deberá contar con un entendimiento de la
información de arquitectura y la directriz tecnológica del auditado para un diseño
de plan apropiado para el presente y donde sea apropiado, para el futuro de la
tecnología del auditado.

Los pasos que un auditor de SI puede tomar para obtener un entendimiento del
negocio incluyen:

 Recorrer las instalaciones clave de la organización

 Revisar material documental soporte, incluyendo publicaciones de la
industria, reportes anuales y reportes de análisis financiero independientes
  Revisar los planes estratégicos a largo plazo de SI
 Entrevistar a gerentes clave para entender los problemas del negocio
 Revisar reportes anteriores

Otro componente básico de la planeación es la adecuación de los recursos de

auditoría disponibles para las tareas como han sido definidos en el plan de
auditoría.

El auditor que elabore el plan deberá considerar los requerimientos del proyecto
de auditoría, recursos del personal, y otras restricciones. Este ejercicio de
adecuación deberá considerar las necesidades de proyectos individuales de
auditoría así como las necesidades generales del departamento de auditoría.

EFECTOS DE LAS LEYES Y REGULACIONES EL LA PLANEACIÓN DE LA

AUDITORÍA

Cada organización, no obstante su tamaño o el ramo de la industria donde opera,

debe cumplir con un número de requerimientos gubernamentales y externos,
relacionados con las prácticas de sistemas computacionales y controles, y con las
maneras en que las computadoras programas, y datos son almacenados y
utilizados. Adicionalmente las regulaciones pueden impactar las formas en que los
datos son procesados, transmitidos y almacenados (intercambio de acciones,
bancos centrales, etc.)

Debe darse atención especial a estos temas en aquellas industrias que

históricamente han sido reguladas de forma cercanamente. Por ejemplo, en la
industria financiera mundial, tienen graves penalizaciones para las compañías y
sus funcionarios si la compañía no pueda proveer un nivel de servicio adecuado
derivado de deficientes procedimientos de respaldo y recuperación. También, los
proveedores del servicio de Internet son sujetos en varios países a leyes
específicas con relación a confidencialidad y disponibilidad del servicio.

Los auditores de SI deberán revisar la política de privacidad establecida por la

gerencia para comprobar si se toma en cuenta los requerimientos aplicables a las
leyes y regulaciones para la privacidad, incluyendo el flujo transfronterizo de datos
tales como las pautas del Safe Harbor y los de la OCDE (Organization of
Economic Cooperation and Development) que regulan la protección y la privacidad
en flujos transfronterizos de los datos personales.

Varios países derivado de creciente dependencias de sistemas de y tecnología

relacionada están haciendo esfuerzos para adicionar niveles o capas de
requerimientos regulatorios acerca de auditoría de SI. Los contenidos de estas
regulaciones legales consideran:

 Establecimiento de requerimientos regulatorios

 Organización de requerimientos regulatorios
 Responsabilidades asignadas a las entidades correspondientes
 Correlación con las funciones financieras, operacionales y de auditoría de
TI.

El personal de la gerencia, a todos sus niveles, deben ser conscientes de los

requerimientos externos que son relevantes para las metas y planes de la
organización y de las responsabilidades y actividades del
departamento/función/actividad de servicios de información.

Existen dos áreas principales de atención: Los requerimientos legales (leyes,

acuerdos legales y contractuales) asociados en auditoría o auditoría de SI y
requerimientos legales asociados al auditado y sus sistemas, a la administración
de datos, reportes, etc. Estas áreas pueden impactar en el alcance y en los
objetivos de la auditoría. Esto último es importante para los auditores internos y
externos. Las cuestiones jurídicas también impactan las operaciones de negocio
de la organización en términos de cumplimiento con regulaciones ergonómicas.
Un ejemplo es la ley HIPAA (US Health Insurance Portability and
Accountability Act) que está enfocada en la regulación.

Un ejemplo de prácticas de control robustas, es la Ley Sarbanes-Oxley (SOX Act)

del 2002 de los EEUU. Esta ley requiere de las organizaciones una evaluación de
su control interno de TI. SOX prevé nuevas reglas de gobierno corporativo, así
como estándares y regulaciones específicas para empresas públicas, lo que
incluye a las compañías solicitantes de registro de la Security and Exchange
Comission (SEC). La SEC ha obligado el uso de reconocidos marcos de referencia
para el control interno. SOX requiere a las organizaciones seleccionar e
instrumentar un marco de control interno adecaudo. COSO, Internal Control –
Integrated Framework, ha sido el marco de referencia más comúnmente adoptado.
Los auditores de SI tienen que considerar el impacto de Sarbanes-Oxley como
parte de la planeación de auditoría.

TAREA

ELEMENTO PARA INVESTIGACIÓN PARA EL INTEGRADOR PLANEACIÓN

DE LA AUDITORÍA.
El alumno investigará lo siguiente:

Revise las leyes, tratados o regulaciones que son aplicables en México. De

aquellos elementos que identifique generará un resumen para contar con el
concepto y logre dar una explicación de cada una. Tome en consideración la
industria donde se desarrolla para enfocar su investigación y logre integrar a su
trabajo integrador.