Está en la página 1de 104

Proceso

de Auditoría
de Sistemas
de Información
2016

Juan Carlos Morales, CISA, CISM, CRISC, CGEIT


Objetivos de Aprendizaje

 El objetivo de este dominio es garantizar que el candidato a CISA tenga los


conocimientos necesarios para proporcionar servicios de auditoría de
conformidad con los estándares de auditoría de TI, apoyando así a la
organización en la protección y el control de los sistemas de información.

agosto de 2016 2
Tareas del proceso de auditoría de SI

 Ejecutar una estrategia de auditoría de SI


 basada en riesgos,
 que cumpla con los estándares de auditoría de SI
 para garantizar que se auditen las áreas de riesgo clave

agosto de 2016 3
Tareas del proceso de auditoría de SI

 Planificar auditorías específicas para determinar si los sistemas de


información:
 están protegidos,
 están controlados,
 proporcionan valor a la organización

agosto de 2016 4
Tareas del proceso de auditoría de SI

 Realizar auditorías de conformidad con los estándares de auditoría de SI


para lograr los objetivos de auditoría planificados.

agosto de 2016 5
Tareas del proceso de auditoría de SI

 Comunicar los resultados de las auditorías y hacer recomendaciones a las


partes interesadas clave a través de reuniones e informes de auditoría
que promuevan el cambio cuando sea necesario.

agosto de 2016 6
Tareas del proceso de auditoría de SI

 Realizar seguimientos de las auditorías para determinar si la gerencia


tomó las medidas adecuadas de manera oportuna.

agosto de 2016 7
Conocimientos

1. Conocimiento del código de ética profesional, de los estándares, las


directrices, las herramientas y técnicas auditoría de SI.
2. Conocimientos de los conceptos de la evaluación del riesgo, y las
herramientas y técnicas de planificación, examen, informe y seguimiento.
3. Conocimiento de los procesos fundamentales del negocio (por ejemplo
compras, nóminas, cuentas por pagar, cuentas por cobrar) y el rol de SI
en estos procesos.
4. Conocimiento de los principios de control relacionados con los controles
en los sistemas de información

agosto de 2016 8
Conocimientos

5. Conocimiento de las técnicas de planificación de auditorías basadas en el


riesgo y de las técnicas de gestión de proyectos de auditoría, que
incluyen el seguimiento.
6. Conocimiento de las leyes y regulaciones aplicables que afectan al
alcance, la recopilación y la preservación de evidencias, y la frecuencia de
las auditorías.
7. Conocimiento de las técnicas de recopilación de evidencia (por ejemplo
observación, consulta, inspección, entrevista, análisis de datos, técnicas
de investigación forense, técnicas de auditoría asistida por computadora
(TAAC) usadas para reunir, proteger, y preservar la evidencia de auditoría.

agosto de 2016 9
Conocimientos

8. Conocimiento de diferentes metodologías de muestreo y otros


procedimientos analíticos de datos
9. Conocimiento de las técnicas de reporte y comunicación (por ejemplo
facilitación, negociación, resolución de conflictos, estructura de informes
de auditoría, escritura de problemas, resumen de la gerencia, verificación
de resultados.
10. Conocimientos de los sistemas y marcos de aseguramiento de calidad
(QA) de la auditoría.
11. Conocimiento de varios tipos de auditorías (por ejemplo interna, externa,
financiera) y métodos para evaluar y confiar en el trabajo de otros
auditores o entidades de control.

agosto de 2016 10
Misión de Auditoría Interna

 Auditoría Interna tiene la misión de mejorar y proteger el valor de las


organizaciones proporcionando aseguramiento objetivo, asesoría y
conocimiento basado en riesgos.

agosto de 2016 11
Definición de Auditoría Interna

 La Auditoría Interna es una actividad independiente y objetiva de


aseguramiento y consulta concebida para agregar valor y mejorar las
operaciones de una organización.
 Ayuda a una organización a cumplir sus objetivos aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos, control y gobierno.

agosto de 2016 12
Gestión de la función de auditoría de SI

 La función de auditoría debe ser gestionada y conducida en una forma


que asegure que las diversas tareas realizadas y logradas por el equipo
de auditoría cumplirán los objetivos de la función de auditoría, mientras
se preserva la independencia y competencia de la auditoría.
 La gestión de las funciones de auditoría debe garantizar a la alta dirección
las contribuciones al valor agregado respecto a la eficiente gestión de TI y
al logro de los objetivos del negocio.

agosto de 2016 13
……

 …….

agosto de 2016 14
Proceso de Auditoría Interna

Dirigir Evaluar

Desarrollar planes Desarrollar Monitorear


de auditoría recurso humano

Ejecutar auditorías conforme al plan

agosto de 2016 15
Proceso de Auditoría Interna

Dirigir
• Escribir los estatutos de auditoría
Dirigir Evaluar
• Establecer la organización
• Implementar mejora continua

Desarrollar planes Desarrollar Monitorear


de auditoría recurso humano

Ejecutar auditorías conforme al plan

agosto de 2016 16
Organización de Auditoría de SI

 Estatutos de Auditoría
 Establece responsabilidades generales de la función de Auditoría
 Define objetivos
 Delega autoridad para la función de Auditoría de SI
 Describe el alcance

agosto de 2016 17
Pregunta

 ¿Cuál de las siguientes opciones describe la autoridad general para llevar a


cabo una auditoría de SI? [Para auditoría interna]
A. El alcance de la auditoría, con las metas y los objetivos
B. Una solicitud por parte de la gerencia para realizar una auditoría
C. Los estatutos de auditoría aprobados
D. El cronograma de auditoría aprobado

agosto de 2016 18
Respuesta

La respuesta correcta es C
 Los estatutos de auditoría aprobados describen la responsabilidad,
autoridad y línea de rendición de cuentas del auditor
 El alcance de la auditoría es específico de una auditoría y no otorga
autoridad para realizar una auditoría
 Una solicitud por parte de la gerencia para realizar una auditoría no es
suficiente porque está se relacionada con una auditoría específica
 El cronograma de auditoría aprobado no otorga autoridad para realizar
una auditoría

agosto de 2016 19
Proceso de Auditoría Interna

Dirigir Evaluar

Desarrollar planes Desarrollar Monitorear


de auditoría recurso humano

Ejecutar auditorías conforme al plan

agosto de 2016 20
Proceso de Auditoría Interna

Dirigir Evaluar

Desarrollar planes de
auditoría
Desarrollar Monitorear
• Identificar áreas clave
• Análisis de riesgo recurso humano
• Asignación de recursos
• Calendarización

Ejecutar auditorías conforme al plan

agosto de 2016 21
• En un enfoque de auditoría basada en riesgos, el auditor
identifica el riesgo para la organización basado en la
naturaleza del negocio.
• Los tipo de riesgo se deben clasificar con el fin de planificar
un ciclo anual de auditoría.
Dirigirclasificar los tipos de riesgo, el auditor
• Para Evaluar
debe primero
definir el universo de las auditorías teniendo en cuenta el
plan estratégico de TI, la estructura organizacional y la matriz
de autorizaciones.
Desarrollar planes de
auditoría
Desarrollar Monitorear
• Identificar áreas clave
• Análisis de riesgo recurso humano
• Asignación de recursos
• Calendarización

Ejecutar auditorías conforme al plan

agosto de 2016 22
Proceso de Auditoría Interna

Dirigir Evaluar

Desarrollar planes de
auditoría
Desarrollar Monitorear
• Identificar áreas clave
• Análisis de riesgo recurso humano
• Asignación de recursos
• Calendarización

Ejecutar auditorías conforme al plan

agosto de 2016 23
Pregunta

 ¿Cuál de los siguientes es el PRIMER paso a realizar antes de la creación de


una clasificación de riesgo para el plan anual de auditoría?
A. Priorizar el riesgo identificado
B. Definir el universo de auditoría
C. Identificar controles críticos
D. Determinar el método de prueba

agosto de 2016 24
Respuesta

La respuesta correcta es B
 En un enfoque de auditoría basado en riesgos, el auditor identifica el
riesgo para la organización basado en la naturaleza del negocio.
 Los tipos de riesgo se deben clasificar con el fin de planificar un ciclo anual
de auditoría.
 Para clasificar los tipo de riesgo, el auditor debe primero definir el
universo de las auditorías teniendo en cuenta el plan estratégico de TI, la
estructura organizacional y la matriz de autorizaciones.

agosto de 2016 25
Proceso de Auditoría Interna

Dirigir Evaluar

Desarrollar
recurso humano
Desarrollar planes • Definir marco de referencia Monitorear
de auditoría • Desarrollar competencias

Ejecutar auditorías conforme al plan

agosto de 2016 26
Proceso de Auditoría Interna

Dirigir Evaluar

Desarrollar planes Desarrollar Monitorear


de auditoría recurso humano

Ejecutar auditorías conforme al plan


Planeación Trabajo de Campo Reporte y Cierre
• Comunicación inicial • Reunión de apertura • Preparar borrador
• Términos de referencia • Identificar hallazgos • Reunión de cierre
• Programa de auditoría • Papeles de trabajo • Emitir reporte final
• Plan de logística • Comunicación con el • Encuesta de satisfacción
• Plan del trabajo de campo auditado • Evaluaciones

agosto de 2016 27
Proceso de Auditoría Interna

Dirigir Evaluar
• Una vez que el proceso de negocio es identificado, el auditor
de SI debe identificar los objetivos de control y las
actividades que deben ser validadas en la auditoría.

Desarrollar planes Desarrollar Monitorear


de auditoría recurso humano

Ejecutar auditorías conforme al plan


Planeación Trabajo de Campo Reporte y Cierre
• Comunicación inicial • Reunión de apertura • Preparar borrador
• Términos de referencia • Identificar hallazgos • Reunión de cierre
• Programa de auditoría • Papeles de trabajo • Emitir reporte final
• Plan de logística • Comunicación con el • Encuesta de satisfacción
• Plan del trabajo de campo auditado • Evaluaciones

agosto de 2016 28
Proceso de Auditoría Interna

Dirigir Evaluar

Desarrollar planes Desarrollar Monitorear


de auditoría recurso humano

Ejecutar auditorías conforme al plan


Planeación Trabajo de Campo Reporte y Cierre
• Comunicación inicial • Reunión de apertura • Preparar borrador
• Términos de referencia • Identificar hallazgos • Reunión de cierre
• Programa de auditoría • Papeles de trabajo • Emitir reporte final
• Plan de logística • Comunicación con el • Encuesta de satisfacción
• Plan del trabajo de campo auditado • Evaluaciones

agosto de 2016 29
Pregunta

 Al realizar una auditoría basada en el riesgo, ¿cuál evaluación de riesgos


realiza inicialmente el auditor de SI?
A. Evaluación de riesgos de detección
B. Evaluación de riesgos de control
C. Evaluación de riesgos inherentes
D. Evaluación de riesgos de fraude

agosto de 2016 30
Respuesta

La respuesta correcta es C
 Para realizar una auditoría exitosa es importante comprender los procesos
del negocio y conocer los riesgos inherentes que pueden ocurrir debido a
la naturaleza del negocio.

agosto de 2016 31
Aspectos a considerar

 Comprensión general del ambiente


 Procesos del negocio
 Sistemas de información y tecnología
 Cambios en los procesos del negocio
 Cambios tecnológicos

agosto de 2016 32
Pasos de la planeación de auditoría

• Obtener un entendimiento de la misión, objetivos, propósito y procesos


del negocio
• Identificar políticas, estándares, directrices, procedimientos y estructura
organizacional
• Evaluar relevancia y gestión de privacidad
• Realizar un análisis de riesgos
• Llevar a cabo una revisión del control interno
• Establecer el alcance y los objetivos de la auditoría
• Desarrollar el enfoque o la estrategia de auditoría
• Asignar los recursos de personal para la auditoría y dirigir la logística del
trabajo de auditoría

agosto de 2016 33
Leyes y regulaciones

• Identificar los requerimientos externos


• Documentar las leyes y regulaciones pertinentes
• Evaluar si la administración y la función de SI han considerado los
requerimientos externos relevantes
• Revisar los documentos internos del departamento de SI que se apegan a
las leyes aplicables
• Determinar el cumplimiento con los procedimientos establecidos

agosto de 2016 34
Código de Ética Profesional de ISACA

• ISACA establece este Código de Ética Profesional para guiar la conducta


profesional y personal de los miembros y/o poseedores de certificaciones
de la asociación
• El incumplimiento de este Código de Ética Profesional puede acarrear una
investigación de la conducta de un miembro y/o titular de la certificación y,
en última instancia, medidas disciplinarias

agosto de 2016 35
Código de Ética Profesional de ISACA

1. Apoyar la implementación y promover el cumplimiento con estándares y


procedimientos apropiados del gobierno y gestión efectiva de los
sistemas de información y la tecnología de la empresa, incluyendo la
gestión de auditoría, control, seguridad y riesgos.
2. Llevar a cabo sus labores con objetividad, debida diligencia y
rigor/cuidado profesional, de acuerdo con estándares de la profesión.
3. Servir en beneficio de las partes interesadas de un modo legal y honesto
y, al mismo tiempo, mantener altos niveles de conducta y carácter, y no
involucrarse en actos que desacrediten a la profesión o a la Asociación

http://www.isaca.org/Certification/Code-of-Professional-Ethics/Pages/default.aspx

agosto de 2016 36
Código de Ética Profesional de ISACA

4. Mantener la privacidad y confidencialidad de la información obtenida en


el curso de sus deberes a menos que la divulgación sea requerida por una
autoridad legal. Dicha información no debe ser utilizada para beneficio
personal ni revelada a partes inapropiadas
5. Mantener la competencia en sus respectivos campos y asumir sólo
aquellas actividades que razonablemente esperen completar con las
habilidades, conocimiento y competencias necesarias
6. Informar los resultados del trabajo realizado a las partes apropiadas,
revelando todos los hechos significativos sobre los cuales tengan
conocimiento
7. Apoyar la educación profesional de las partes interesadas para que
tengan una mejor comprensión del gobierno y la gestión de los sistemas
de información y la tecnología de la empresa, incluyendo la gestión de la
auditoría, control, seguridad y riesgos

agosto de 2016 37
Estándares, directrices y procedimientos

• Estándares
 Deben ser cumplidos por los Auditores de SI

• Directrices
 Proveen una guía sobre cómo implementar los estándares

• Procedimientos
 Proveen ejemplos para la implementación de los estándares

agosto de 2016 38
Estándares

agosto de 2016 39
Objetivos de los estándares

• Informar a la administración y a otros interesados sobre las expectativas


de la profesión en relación con el trabajo de los auditores
• Informar a los auditores de SI del nivel mínimo de desempeño requerido
y aceptable para cumplir con las responsabilidades profesionales
establecidas en el Código de Ética de ISACA

agosto de 2016 40
Estándares de auditoría y aseguramiento de SI

 Estándares generales
 Estándares de desempeño
 Estándares de reportes

agosto de 2016 41
Estándares generales (serie 1000)

 Los principios de orientación según los cuales operan los profesionales de


auditoría y aseguramiento de SI.
 Se refieren a la realización de todas las asignaciones y se ocupan de la
ética, independencia, objetividad, debido cuidado, conocimiento,
competencia y habilidad de los profesionales de auditoría y
aseguramiento de SI.

agosto de 2016 42
Estándares de desempeño (serie 1200)

 Se refieren a la realización de la asignación; es decir, planificación y


supervisión, alcance, riesgo e importancia, movilización de recursos,
gestión de supervisión y asignaciones, evidencia de auditoría y
aseguramiento, y la puesta en práctica del juicio profesional y debido
cuidado.

agosto de 2016 43
Estándares de reportes (serie 1400)

 Se refieren a los tipos de reportes, medios de comunicación y a la


información comunicada.

agosto de 2016 44
Estándares generales (serie 1000)

 1001 Estatuto de la función de auditoría


 1002 Independencia organizacional
 1003 Independencia profesional
 1004 Expectativa razonable
 1005 Debido cuidado profesional
 1006 Competencia
 1007 Afirmaciones
 1008 Criterios

agosto de 2016 45
1001 Estatuto de la función de auditoría

Declaraciones
 1001.1 La función de auditoría y aseguramiento de SI documentará la
función de la auditoría de manera adecuada en un estatuto de la función
de auditoría, que indique propósito, responsabilidad, autoridad y
rendición de cuentas.
 1001.2 La función de auditoría y aseguramiento de SI debe tener el
estatuto de la función de auditoría acordado y aprobado en el nivel
adecuado dentro de la empresa.

agosto de 2016 46
1002 Independencia organizacional

Declaraciones
 1002.1 La función de auditoría y aseguramiento de SI será independiente
del área o actividad que se revise para permitir la ejecución objetiva de la
asignación de auditoría y aseguramiento.

agosto de 2016 47
1003 Independencia profesional

Declaraciones
 1003.1 Los profesionales de auditoría y aseguramiento de SI deben ser
independientes y objetivos, tanto en actitud como en apariencia, en todos
los asuntos relacionados con las asignaciones de auditoría y aseguramiento.

agosto de 2016 48
Pregunta

 Mientras se desarrolla un programa de auditoría basado en el riesgo, ¿en


cuál de los siguientes es MÁS probable que el auditor de SI se concentre?
A. Los procesos del negocio
B. Las aplicaciones críticas de TI
C. Los controles operacionales
D. Las estrategias del negocio

agosto de 2016 49
Respuesta

La respuesta correcta es A
 Un enfoque de auditoría basado en riesgos se concentra en la
comprensión de la naturaleza del negocio y en ser capaz de identificar y
categorizar el riesgo.
 Los riesgos del negocio tienen impacto en la viabilidad a largo plazo de un
negocio específico. Por lo tanto, un auditor de SI que use un enfoque de
auditoría basado en riesgos debe ser capaz de comprender los procesos
del negocio.

agosto de 2016 50
1004 Expectativa razonable

Declaraciones
 1004.1 Los profesionales de auditoría y aseguramiento de SI deben tener
una expectativa razonable de que la asignación puede ser realizada de
conformidad con los estándares de auditoría y aseguramiento de SI y,
cuando se requiera, otros estándares industriales o profesionales adecuados
o regulaciones aplicables, y brindar una conclusión u opinión profesional.

agosto de 2016 51
1004 Expectativa razonable

Declaraciones
 1004.2 Los profesionales de auditoría y aseguramiento de SI deben tener
una expectativa razonable de que el alcance de la asignación permite la
conclusión sobre el tema y abordar cualesquiera restricciones.

agosto de 2016 52
1004 Expectativa razonable

Declaraciones
 1004.3 Los profesionales de auditoría y aseguramiento de SI deben tener
una expectativa razonable de que la dirección entiende sus obligaciones y
responsabilidades en relación a la provisión de información apropiada,
relevante y oportuna requerida para realizar la asignación.

agosto de 2016 53
1005 Debido cuidado profesional

Declaraciones
 1005.1 Los profesionales de aseguramiento y auditoría de SI deben ejercer
el debido cuidado profesional, que incluye la observancia de los estándares
de auditoría profesional, al planificar, realizar y presentar los reportes sobre
los resultados de las asignaciones.

agosto de 2016 54
1005 Debido cuidado profesional

Declaraciones
 1005.1 Los profesionales de aseguramiento y auditoría de SI deben ejercer
el debido cuidado profesional, que incluye la observancia de los estándares
de auditoría profesional, al planificar, realizar y presentar los reportes sobre
los resultados de las asignaciones.

agosto de 2016 55
1006 Competencia

Declaraciones
 1006.1 Los profesionales de auditoría y aseguramiento de SI, junto con otras
personas que ayudan en la asignación, deben poseer las habilidades y la
competencia adecuadas para realizar las asignaciones de auditoría y
aseguramiento de SI y ser profesionalmente aptos para realizar el trabajo
requerido.

agosto de 2016 56
1006 Competencia

Declaraciones
 1006.2 Los profesionales de auditoría y aseguramiento de SI, junto con otras
personas que ayudan en la asignación, deben poseer el conocimiento
adecuado sobre el tema.

agosto de 2016 57
1006 Competencia

Declaraciones
 1006.3 Los profesionales de auditoría y aseguramiento de SI deben
mantener la aptitud profesional mediante la capacitación y el
entrenamiento profesional continuo y adecuado.

agosto de 2016 58
1007 Afirmaciones

Declaraciones
 1007.1 Los profesionales de auditoría y aseguramiento de SI deben revisar
las afirmaciones con las que el tema será evaluado para determinar que
dichas afirmaciones sean capaces de ser auditadas y que las afirmaciones
sean suficientes, válidas y relevantes.
 Por ejemplo “Todos los cambios al sistema que se promueven a Producción
se registran en el control de cambios.

agosto de 2016 59
1008 Criterios

Declaraciones
 1008.1 Los profesionales de auditoría y aseguramiento de SI deben
seleccionar criterios con los que será evaluado el tema, que sean objetivos,
completos, relevantes, medibles, comprensibles, ampliamente reconocidos,
autorizados y comprendidos por, o disponibles para, todos los lectores y
usuarios del reporte.

agosto de 2016 60
1008 Criterios

Declaraciones
 1008.2 Los profesionales de auditoría y aseguramiento de SI deben
considerar la fuente de los criterios y centrarse en aquellos emitidos por
organismos autorizados relevantes antes de aceptar criterios menos
reconocidos.

agosto de 2016 61
Estándares de desempeño (serie 1200)

 1201 Planificación de la asignación


 1202 Evaluación de riesgo en planificación
 1203 Desempeño y supervisión
 1204 Materialidad
 1205 Evidencia
 1206 Uso del trabajo de otros expertos
 1207 Irregularidades y actos ilegales

agosto de 2016 62
1201 Planificación de la asignación

Declaraciones
 1201.1 Los profesionales de auditoría y aseguramiento de SI deben
planificar cada asignación de auditoría y aseguramiento de SI para abordar:
 Objetivo(s), alcance, cronograma y productos
 Cumplimiento con los estándares de auditoría profesional y leyes
aplicables
 Uso de un enfoque basado en riesgo, cuando sea apropiado
 Problemas específicos a la asignación
 Requerimientos de reportes y documentación

agosto de 2016 63
1201 Planificación de la asignación

Declaraciones
 1201.2 Los profesionales de auditoría y aseguramiento de SI deben
desarrollar y documentar un plan de proyecto de la asignación de auditoría
o aseguramiento de SI, que describa:
 La naturaleza de la asignación, los objetivos, el cronograma y los
requerimientos de los recursos
 Los plazos y el alcance de los procedimientos de auditoría para finalizar
la asignación

agosto de 2016 64
1202 Evaluación de riesgo en planificación

Declaraciones
 1202.1 La función de auditoría y aseguramiento de SI debe utilizar un
enfoque de evaluación de riesgo adecuado y metodología de respaldo para
desarrollar el plan completo de auditoría de SI y determinar las prioridades
para la asignación efectiva de los recursos de auditoría de SI.

agosto de 2016 65
1202 Evaluación de riesgo en planificación

Declaraciones
 1202.2 Los profesionales de auditoría y aseguramiento de SI deben
identificar y evaluar el riesgo relevante al área de revisión, cuando planifican
asignaciones individuales.

agosto de 2016 66
1202 Evaluación de riesgo en planificación

Declaraciones
 1202.3 Los profesionales de auditoría y aseguramiento de SI deben
considerar el riesgo del tema, el riesgo de la auditoría y la exposición relativa
de la empresa.

agosto de 2016 67
1203 Desempeño y supervisión

Declaraciones
 1203.1 Los profesionales de auditoría y aseguramiento de SI deben llevar a
cabo el trabajo en conformidad con el plan de auditoría de SI aprobado para
cubrir el riesgo identificado y dentro del cronograma acordado.

agosto de 2016 68
1203 Desempeño y supervisión

Declaraciones
 1203.2 Los profesionales de auditoría y aseguramiento de SI deben
proporcionar supervisión al personal de auditoría de SI sobre quienes tienen
responsabilidad de supervisión, para lograr los objetivos de la auditoría y
cumplir con los estándares de auditoría profesional aplicables.

agosto de 2016 69
1203 Desempeño y supervisión

Declaraciones
 1203.3 Los profesionales de auditoría y aseguramiento de SI deben aceptar
sólo tareas que estén dentro de su conocimiento y habilidades o para las
que tengan una expectativa razonable de adquirir las habilidades durante la
asignación o lograr la tarea bajo supervisión.

agosto de 2016 70
1203 Desempeño y supervisión

Declaraciones
 1203.4 Los profesionales de auditoría y aseguramiento de SI deben obtener
evidencia suficiente y apropiada para lograr los objetivos de la auditoría. Los
hallazgos y las conclusiones de la auditoría deben ser respaldados por un
análisis e interpretación apropiados de esta evidencia.

agosto de 2016 71
1203 Desempeño y supervisión

Declaraciones
 1203.5 Los profesionales de auditoría y aseguramiento de SI deben
documentar el proceso de auditoría, describiendo el trabajo de auditoría y la
evidencia de auditoría que respalda los hallazgos y las conclusiones.

agosto de 2016 72
1203 Desempeño y supervisión

Declaraciones
 1203.6 Los profesionales de auditoría y aseguramiento de SI deben
identificar y concluir acerca de los hallazgos.

agosto de 2016 73
1204 Materialidad

Declaraciones
 1204.1 Los profesionales de auditoría y aseguramiento de SI deben
considerar las debilidades potenciales o ausencias de controles mientras
planifican una asignación y si esas debilidades o ausencias de controles
pudieran resultar en una deficiencia significativa o una debilidad material.

agosto de 2016 74
1204 Materialidad

Declaraciones
 1204.2 Los profesionales de auditoría y aseguramiento de SI deben
considerar la materialidad de la auditoría y su relación con el riesgo de la
auditoría, determinando, a su vez, la naturaleza, los plazos y el alcance de
los procedimientos de la auditoría.

agosto de 2016 75
1204 Materialidad

Declaraciones
 1204.3 Los profesionales de auditoría y aseguramiento de SI deben
considerar el efecto acumulativo de las deficiencias o debilidades menores
de control y si la ausencia de controles se traduce en una deficiencia
significativa o debilidad material.

agosto de 2016 76
1204 Materialidad

Declaraciones
 1204.4 Los profesionales de auditoría y aseguramiento de SI deben divulgar
la siguiente información en el reporte:
 Ausencia de controles o controles ineficaces
 Importancia de las deficiencias de control
 Probabilidad de que estas debilidades ocasionen una deficiencia
significativa o debilidad material

agosto de 2016 77
1205 Evidencia

Declaraciones
 1205.1 Los profesionales de auditoría y aseguramiento de SI deben obtener
evidencias suficientes y apropiadas para llegar a conclusiones razonables
sobre las cuales basar los resultados de la asignación.

agosto de 2016 78
1205 Evidencia

Declaraciones
 1205.2 Los profesionales de auditoría y aseguramiento de SI deben evaluar
la suficiencia de la evidencia obtenida para respaldar las conclusiones y
lograr los objetivos de la asignación.

agosto de 2016 79
1206 Uso del trabajo de otros expertos

Declaraciones
 1206.1 Los profesionales de auditoría y aseguramiento de SI deben
considerar el uso del trabajo de otros expertos para la asignación, cuando
sea apropiado.

agosto de 2016 80
1206 Uso del trabajo de otros expertos

Declaraciones
 1206.2 Los profesionales de auditoría y aseguramiento de SI deben evaluar
y aprobar la idoneidad de las calificaciones profesionales, competencias,
experiencia relevante, recursos, independencia y procesos de control de
calidad de otros expertos antes de la asignación.

agosto de 2016 81
1206 Uso del trabajo de otros expertos

Declaraciones
 1206.3 Los profesionales de auditoría y aseguramiento de SI deben evaluar,
revisar y valorar el trabajo de otros expertos como parte de la asignación, y
documentar la conclusión sobre el uso y la confianza en su trabajo.

agosto de 2016 82
1206 Uso del trabajo de otros expertos

Declaraciones
 1206.4 Los profesionales de auditoría y aseguramiento de SI deben
determinar si el trabajo de otros expertos, que no forman parte del equipo
de asignación, es adecuado y completo para concluir acerca de los objetivos
de la asignación actual, y documentar con claridad la conclusión.

agosto de 2016 83
1206 Uso del trabajo de otros expertos

Declaraciones
 1206.5 Los profesionales de auditoría y aseguramiento de SI deben
determinar si se podrá depender del trabajo de otros expertos y se
incorporará directamente o se hará referencia al mismo de manera separada
en el reporte.

agosto de 2016 84
1206 Uso del trabajo de otros expertos

Declaraciones
 1206.6 Los profesionales de auditoría y aseguramiento de SI deben aplicar
procedimientos adicionales de prueba para obtener evidencia suficiente y
apropiada en los casos en que el trabajo de otros expertos no brinde
evidencia suficiente y apropiada.

agosto de 2016 85
1206 Uso del trabajo de otros expertos

Declaraciones
 1206.7 Los profesionales de auditoría y aseguramiento de SI deben brindar
una opinión o conclusión de la auditoría apropiada e incluir cualquier
limitación del alcance cuando no se obtenga la evidencia requerida
mediante los procedimientos de prueba adicionales.

agosto de 2016 86
1207 Irregularidades y actos ilegales

Declaraciones
 1207.1 Los profesionales de auditoría y aseguramiento de SI deben
considerar el riesgo de irregularidades y actos ilegales durante la asignación.
 1207.2 Los profesionales de auditoría y aseguramiento de SI deben
mantener una actitud de escepticismo profesional durante la asignación.
 1207.3 Los profesionales de auditoría y aseguramiento de SI deben
documentar y comunicar, de manera oportuna, cualquier acto ilegal o
irregularidad material a la parte apropiada.

agosto de 2016 87
Estándares de reportes (serie 1400)

 1401 Reportes
 1402 Actividades de seguimiento

agosto de 2016 88
1401 Reportes

Declaraciones
 1401.1 Los profesionales de auditoría y aseguramiento de SI deben
proporcionar un reporte para comunicar los resultados al concluir la
asignación, que incluye:
 Identificación de la empresa, los destinatarios previstos y cualquier restricción sobre el
contenido y la circulación
 Alcance, objetivos de la asignación, período de cobertura y la naturaleza, los plazos y el
alcance del trabajo realizado
 Hallazgos, conclusiones y recomendaciones de la auditoría
 Cualquier calificación o limitación dentro del alcance que el profesional de auditoría y
aseguramiento de SI tenga con respecto a la asignación
 Firma, fecha y distribución según los términos del estatuto de la función de auditoría o
carta de asignación de auditoría.

agosto de 2016 89
1402 Actividades de seguimiento

Declaraciones
 1402.1 Los profesionales de auditoría y aseguramiento de SI deben
monitorear información relevante para concluir si la dirección ha
planeado/tomado la acción oportuna y apropiada para abordar los hallazgos
y las recomendaciones de la auditoría reportados.

agosto de 2016 90
Estándares de ISACA para auditorías de SI

http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Pages/default.aspx

agosto de 2016 91
Análisis de Riesgos (Desde la perspectiva del auditor de SI)

• Ayuda al auditor de SI a identificar riesgos y amenazas al ambiente de TI e


identificar controles que respondan a esos riesgos
• Dependiendo del nivel de riesgo, esto ayuda al auditor de SI en seleccionar
ciertas áreas para examinar
• Ayuda al auditor de SI en su evaluación de controles durante la planeación de
la auditoría
• Ayuda al auditor de SI en la determinación de objetivos de la auditoría
• Apoya la decisión de hacer una auditoría basada en riesgos

agosto de 2016 92
Objetivo de Control

• Declaración del resultado o propósito que se desea alcanzar al Implementar


procedimientos de control en un proceso en particular. [COBIT 4.1]

• Declaración que describe lo que se quiere lograr como resultado de la


implementación de uno o más controles. [ISO/IEC 27000:2016]

agosto de 2016 93
Controles Generales

• Aplican a todas las áreas de una organización e incluye políticas y prácticas


establecidas por la administración, para proveer garantía razonable de que se
alcanzarán objetivos específicos

agosto de 2016 94
Controles Generales

• Controles internos de contabilidad dirigidos a operaciones contables


• Controles operativos relacionados con el día a día de las operaciones
• Controles administrativos relacionados con la eficiencia operacional y la
adherencia a las políticas de la administración
• Políticas y procedimientos organizacionales de seguridad lógica
• Políticas generales para el diseño y uso de documentos y registros
• Procedimientos y funciones para asegurar el acceso autorizado a los activos
• Políticas de seguridad física para todos los centros de datos

agosto de 2016 95
Controles de SI

• Estrategia y dirección
• Plan Operacional
• Plan de seguridad
• Organización general y administración
• Acceso a los recursos de TI, incluyendo datos y programas
• Metodologías de desarrollo de sistemas y control de cambios
• Procedimientos de operación
• Programación de sistemas y funciones de soporte técnico

agosto de 2016 96
Controles de SI

• Procedimientos de aseguramiento de calidad


• Controles de acceso físico
• Planeación de continuidad del negocio / recuperación de desastres
• Administración de Redes y comunicaciones
• Administración de la base de datos
• Protección y mecanismos de detección contra ataques internos y externos

agosto de 2016 97
Pregunta

• Un auditor de SI que realiza una revisión de los controles de una aplicación


encuentra una debilidad en el software del sistema que podría tener un
impacto material sobre la aplicación. El auditor de SI debería:
A. Ignorar estas debilidades de control, ya que una revisión de software
del sistema está más allá del alcance de esta revisión
B. Realizar una revisión detallada del software del sistema y reportar las
debilidades de control
C. Incluir en el reporte una declaración de que la auditoría se limitó a
una revisión de los controles de la aplicación
D. Revisar los controles de software del sistema que son relevantes y
recomendar una revisión detallada del software del sistema

agosto de 2016 98
Respuesta

• La respuesta correcta es D
• No se espera que el auditor de SI ignore las debilidades de control sólo porque
están fuera del alcance de una revisión en curso. Además, la ejecución de una
revisión detallada de software de sistemas puede perjudicar el cronograma de
la auditoría y el auditor de SI puede no ser técnicamente competente para
realizar dicha revisión en este momento. Si existen debilidades de control que
el auditor de SI ha descubierto, estas deberían ser informadas. Haciendo una
declaración de limitación de responsabilidad, esta podría ser evitada. De ahí
que, la opción apropiada sería revisar la parte relevante a la revisión del
software de sistema y recomendar una revisión detallada del software de
sistema para el cual se puedan recomendar recursos adicionales.

agosto de 2016 99
Pregunta

• El enfoque que un auditor de SI debe usar para planear la cobertura de la


auditoría de SI debe estar basado en:
A. riesgo
B. materialidad
C. escepticismo profesional
D. control de detección

agosto de 2016 100


Respuesta

• La respuesta correcta es A
El Estándar S5, Planeación, establece estándares y provee orientación
sobre la planeación de una auditoría. Requiere un enfoque basado en el
riesgo.

agosto de 2016 101


Pregunta

 ¿Cuál de las siguientes es la consideración más importante antes de emitir


un informe de auditoría?
A. Suficiencia de la evidencia para respaldar las conclusiones sobre los
controles
B. Discusión del borrador del informe con la gerencia del auditado
C. Lista de las partes interesadas para la distribución de informes
D. Determinación de si se deben excluir los resultados que tienen un
menor impacto en la organización

agosto de 2016 102


Respuesta

La respuesta correcta es A
 El informe de auditoría contiene los resultados de la auditoría. El
contenido y la estructura del informe se definen de acuerdo al tipo de
auditoría. El auditor debe asegurarse de que se recogió suficiente
evidencia antes de concluir sobre los resultados
 B. El auditor debe discutir el informe de proyecto con la gerencia del
auditado. Durante los debates, el auditor puede necesitar proporcionar
detalles de las evidencia en las conclusiones
 C. El auditor debe distribuir el informe a las respectivas partes de acuerdo
a los estatutos
 D. Todos los resultados deben ser incluidos en el informe de auditoría

agosto de 2016 103


Proceso
de Auditoría
de Sistemas
de Información
2016

Juan Carlos Morales, CISA, CISM, CRISC, CGEIT