Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El Proceso de Auditoria
El Proceso de Auditoria
AUDITORÍA INFORMÁTICA
EL PROCESO DE AUDITORÍA
PREFACIO
1 Nota del autor: Por supuesto que hay otras preocupaciones que en auditoría se
debería examinar, como la eficacia, la eficiencia, rentabilidad, rendimiento de la
inversión, la cultura y los temas relacionados. Estos problemas serán abordados
en auditoría de Fundamentos de TI en las columnas en los próximos números de
la revista en 2002.]
Elementos de la Auditoría de SI
El auditor puede entonces elaborar un plan de auditoría anual que enumera las
auditorías que se llevará a cabo durante el año, de acuerdo con un horario, así
como los recursos necesarios.
El proceso de auditoría
Siempre es una buena práctica tener una reunión formal de inicio de la auditoría
con la alta dirección responsable del área que se audita para establecer el
alcance, entender las preocupaciones especiales, en su caso, programar las
fechas y explicar la metodología para la auditoría. Estas reuniones permiten que
los auditados, puedan aclarar cuestiones y preocupaciones de negocio
subyacentes. Después de la reunión, registrar en un documento o minuta que
enliste los acuerdos establecidos ayudará a la auditoría a realizarse sin
problemas.
Del mismo modo, una vez finalizado el ejercicio o escrutinio de auditoría, es una
mejor práctica comunicar los resultados de la auditoría y sugerencias para la
acción correctiva a la alta dirección en una reunión formal mediante una
presentación del informe. Esto asegurará una mejor comprensión y aumentar el
entendimiento de las recomendaciones de auditoría. También da a los auditados
la oportunidad de expresar sus puntos de vista sobre las cuestiones planteadas.
La redacción de un informe después de dicha reunión donde se llegaron a
acuerdos sobre todos los asuntos de auditoría puede mejorar en gran medida la
eficacia de la auditoría.
El principal reto
Notas Finales
En este artículo se analizan las seis etapas (originalmente cuatro), así como su
relación directa con el auditor. La teoría de Nolan puede proporcionar un marco útil
para un trabajo de auditoría, especialmente para el auditor con menos experiencia
que no ha tenido una amplia exposición a una amplia gama de sistemas de TI de
organización.
Cuando Richard L. Nolan publicó primero su teoría en 1973,1 no existía tal cosa
como el microordenador. La configuración más pequeña disponible era un
miniordenador, tales como el DEC PDP - 7. Los computadores centrales fueron la
norma, dominando grandes centros de datos con aire acondicionado. Eran caros
para comprar y caros de mantener, sobre todo estos equipos funcionan en modo
batch o por lotes, con trabajos enviados para ser ejecutados durante la noche.
Mientras que algunos sistemas en tiempo real estaban disponibles, los enlaces de
comunicación requeridos eran costosos haciendo éstos sistemas viables
únicamente para determinados nichos de mercado, como las aerolíneas y la
banca.
Dentro de este contexto, sin embargo, Nolan ofrece una visión de lo que podría
suceder dentro de una organización si se redujeran los costos de procesamiento
de datos. Profética en su enfoque, muchas de sus predicciones se hicieron
realidad, primero para las grandes corporaciones y luego para las empresas más
pequeñas.
Fase I —Iniciación
Esta etapa se refiere a la primera introducción que hace la tecnología en una
organización. Si bien puede ser difícil de concebir para aquellos que trabajan en
las empresas de TI, muchas empresas pequeñas han de prosperar sin una gran
infraestructura de TI consideran que el número de pequeñas empresas que sólo
necesitan un teléfono móvil y un diario para completar su trabajo.
Fase II —Contagio
Esta es una etapa crítica del crecimiento de TI y se identifica por la proliferación de
los sistemas de la organización. Las diferentes tecnologías pueden competir para
ser dominantes en la organización, por ejemplo, la controversia de décadas de
antigüedad Mac vs PC. Hoy, deriva en debates, por ejemplo, acerca de si la
información en sí debe llevarse a cabo dentro de la organización o si la
computación y almacenamiento en la nube son las adecuadas.
El peligro de esta etapa se debe a la falta de control , los costos en espiral , y los
errores que surgen a través de la necesidad de la entrada manual de datos para
transferir información entre sistemas o controles incorrectos cuando la es la
transferencia de datos entre sistemas. Este crecimiento se produce con frecuencia
al mismo tiempo que la empresa se expande. Puede ser un facilitador del
crecimiento y, al mismo tiempo, puede convertirse en una víctima de su propio
éxito.
Una vez más, utilizando el teléfono inteligente como un ejemplo, más personas y
departamentos lo adoptaron después de ver a los primeros usuarios que se
benefician de su uso, pero no dentro de un marco institucional. Por lo tanto, ha
habido una proliferación de modelos y sistemas operativos, lo que lleva a las
incompatibilidades y las demandas de apoyo adicionales.
Fase IV —Integración
Después de conseguir que los sistemas estén bajo control en la etapa anterior, la
organización puede desarrollar aún más la madurez de los sistemas de TI y
comenzar a consolidar los sistemas y los datos que subyacen a la funcionalidad
principal de la organización. Es en este punto que toda la experiencia del auditor
interno en la organización comienza a estar a la cabeza en una función de
asesoramiento en lugar de la vigilancia y control, seguirá desarrollando este rol en
la etapa V. Es posible que el auditor interno sea la única persona que tiene la
visión integral de todos los niveles de la organización, sobre todo si existe una
estructura de gestión descentralizada (por ejemplo, una estructura de matriz).
Los datos del sistema ERP se pueden aperturar hasta una base de usuarios más
amplia, y la organización necesita de la confianza (a través de acceso basado en
roles) que las personas saben cómo utilizar la información a la que tienen acceso.
Fase VI—Madurez
La etapa final identificada por Nolan se consigue cuando todos los sistemas dentro
de una organización se desarrollan a su estado óptimo y se puede decir que han
alcanzado una madurez tanto tecnológica y una estabilidad del sistema acorde
con la dependencia del negocio a esos sistemas. Mientras que la evaluación
comparativa externa puede proporcionar un cierto nivel de tranquilidad, también es
posible que la organización se vuelva complaciente, en cuyo caso la deriva
estratégica podría sobrevenir. Por lo tanto, el papel del auditor interno es asegurar
que la complacencia se evita o elimina.
En realidad, el ritmo del cambio tecnológico y de negocios significa que los
sistemas se deben desarrollar constantemente. Esto podría ser para mantener la
ventaja competitiva, introducir a un nuevo mercado o tomar ventaja de ( por
ejemplo ) que bajan los costos de arquitectura de TI.
Conclusión
Endnotes
1 Nolan, Richard L., “Managing the Computer Resource: A Stage Hypothesis,” Communications of the ACM,
July 1973, vol. 16, no.7, p. 399–405, http://cacm.acm.org/magazines/1973/7/11861-managing-the-computer-
resource/abstract
2 Nolan, Richard L., “Managing the Crises in Data Processing,” Harvard Business Review, March 1979, 57(2),
p.115–6, http://hbr.org/1979/03/managing-the-crises-in-data-processing/ar/1
3 King, John Leslie; Kenneth L. Kraemer; “Evolution and Organizational Information Systems: An Assessment
of Nolan’s Stage Model,” Communications of the ACM, May 1984, vol. 27 no. 5, p. 466–75,
http://dl.acm.org/citation.cfm?id=358074&dl=ACM&coll=DL&CFID=99581475&CFTOKEN=89642816
4 Aiken, Peter; M. David Allen; Burt Parker; Angela Mattia, “Measuring Data Management Practice Maturity: A
Community’s Self-Assessment,” Computer, April 2007, 40(4), p.42,
www.irmac.ca/0708/Measuring%20Data%20Management%20Practice%20Maturity.pdf
5 ISACA, CISA Review Manual 2011, USA, 2010
Andy Hollyhead, CISA, FHEA, is a senior lecturer in governance and risk management in the Centre for
Internal Audit, Governance and Risk Management at Birmingham City University (Birmingham, England, UK).
Hollyhead’s work experience includes 15 years as a programmer and business analyst for large UK
organisations, specialising in payroll systems. He is also studying for his Ph.D. in Technology Enhanced
Learning at Lancaster University (Lancaster, England, UK).
Alan Robson, CISA, CISM, is a senior academic in information systems (IS) audit in the Centre for Internal
Audit, Governance and Risk Management at Birmingham City University. Robson’s teaching career extends
more than 25 years across a range of IT and IS subjects, from the undergraduate to postgraduate level.
Enjoying this article? To read the most current ISACA Journal articles, become a member or subscribe to the
Journal.
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT
governance professionals, entitles one to receive an annual subscription to the ISACA Journal.
Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ
from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and
from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to
the originality of authors’ content.
Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other
copying, reprint or republication, permission must be obtained in writing from the association. Where
necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance
Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US
$2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume,
and first and last page number of each article. Copying for other than personal use or internal reference, or of
articles or columns not owned by the association without express permission of the association or the copyright
owner is expressly prohibited.
INTRODUCCIÓN
PLANEACIÓN DE LA AUDITORÍA
El análisis de largo y corto plazo deberá realizarse al menos una vez al año. Esto
se hace necesario para considerar incidentes de control nuevos, cambios en
tecnología, cambios en los procesos de negocio y mejoras en las técnicas de
evaluación. Los resultados de éste análisis para la planificación de las actividades
de auditorías futuras deberán revisarse por la alta gerencia, aprobadas por el
comité de auditoría, si existe, o de forma alterna por la mesa directiva, y
comunicarse a los niveles relevantes de la gerencia.
Los pasos que un auditor de SI puede tomar para obtener un entendimiento del
negocio incluyen:
El auditor que elabore el plan deberá considerar los requerimientos del proyecto
de auditoría, recursos del personal, y otras restricciones. Este ejercicio de
adecuación deberá considerar las necesidades de proyectos individuales de
auditoría así como las necesidades generales del departamento de auditoría.
TAREA