El Proceso de Auditoria de

Sistemas de Información
Objetivos
 Comprender la función de auditoría y su planificación.
 Determinar la importancia del análisis de riesgos y los
controles internos.
 Conocer la metodología de auditoría y sus fases típicas
con un enfoque basado en riesgos
 Diferenciar entre pruebas de cumplimiento y pruebas
sustantivas.
Definición de Auditoría
 Técnica moderna de control  Proceso de revisión de un
que comprende un examen algo, efectuado por un
o revisión de carácter auditor, con el objeto de
crítico, sistemático, emitir una opinión de la
selectivo de funciones, razonabilidad de ese algo.
operaciones e informes con  Proceso: inicio – ejecución –
la finalidad de emitir una finalización
opinión profesional,  Algo: objeto de estudios
objetiva, fundamentada e
imparcial del objeto de  Auditor: sujeto
estudio.  Objeto: Objetivo – opinión
 Razonabilidad: real /
estándar
Definición de Auditoria según Isaca
 Es un proceso de valuación independiente y objetiva que
asegura que la información ha sido procesada en una
manera segura e íntegra, que las operaciones son
eficientes, efectivas y adecuadas; y si se salvaguarda la
información.
Agenda
 Introducción
 Estándares y directrices de ISACA
 Análisis de riesgos
 Ejecución de una auditoria de SI
 Autoevaluación del Control (Control Selft Assesment)
 Cambios emergentes en el proceso de auditoria de SI
Introducción
Introducción
 Organización de la función de auditoria
 Administración de los recursos de auditoria de SI
 Planeación de la auditoria
 Efecto de las leyes y regulaciones sobre la planificación de
auditoria de SI
Organización de la función de auditoria
 La función debe establecerse en un estatuto de auditoria.
 La auditoria de SI puede ser parte de la auditoria interna.
 Los estándares de auditoria de ISACA requieren que la
responsabilidad, autoridad y obligación de rendir cuentas
de la función de auditoria de SI estén debidamente
documentados en un estatuto de auditoria o contrato de
trabajo.
Administración de los recursos de auditoria
de SI
 Los auditores deben mantener su competencia por medio
de actualizaciones de sus habilidades actuales y que
obtengan capacitación para realizar el trabajo de auditor.
 Los estándares de ISACA requieren que el auditor sea
técnicamente competente, teniendo las habilidades y
conocimientos necesarios para realizar el trabajo del
auditor.
Planeación de la auditoria
 Constituida por la planeación a corto y largo plazo.
 Corto plazo: espetos relevantes cubiertos durante un
año.
 Largo plazo: aspectos relacionados con riesgos debido a
los cambios en la dirección estratégica de TI que
afectarán el ambiente de TI de la organización.
Planeación de la auditoria
 Los pasos que un auditor de SI podría tomar para lograr
una comprensión del negocio incluyen:
 Recorrer las instalaciones clave de la organización
 Leer material de antecedentes incluyendo publicaciones de la
industria, informes anuales e informes de análisis financieros
independientes.
 Revisión de los planes estratégicos a largo plazo
 Entrevistar a los gerentes claves para entender los problemas
del negocio.
 Revisar los informes anteriores.
Planeación de la auditoria
 Pasos para la planeación de auditoria:
 Lograr un entendimiento de la misión, objetivos, propósito y
procesos el negocio.
 Identificar políticas, estándares y directrices, procedimientos y
estructura de la organización.
 Realizar un análisis de riesgo
 Llevar a cabo una revisión del control interno
 Establecer el alcance y los objetivos de la auditoria.
 Desarrollar el enfoque o estrategia de auditoria
 Asignar recursos humanos y dirigir la logística.
Efecto de las leyes y regulaciones en la
planificación
 Toda organización cumple con requerimientos
gubernamentales y externos relacionados con:
 Prácticas y controles de sistemas
 Manera como se almacenan y usan las Computadoras,
programas y datos.
 Ej. La comisión de títulos valores y de bolsa de EEUU ha
ordenado el uso de una estructura de control interno
conocida como sarbanes-Oxley.
 Ej. El impacto de la SBS como organismo regulador en las
entidades financieras
ESTANDARES Y DIRECTRICES
ISACA
ESTANDARES Y DIRECTRICES ISACA
 Código de ética profesional de ISACA
 Estándares de ISACA para la auditoria de SI.
 Directrices de ISACA para auditoria de SI
 Procedimientos de ISACA para auditoria de SI.
 Relación entre estándares, directrices y procedimientos
Código de Ética profesional de ISACA
 Los miembros y profesionales certificados de ISACA
deberán:
 Implementar y fomentar normas, procedimientos y controles
apropiados a los SI.
 Ejecutar sus labores con objetividad, diligencia y cuidado
profesional de acuerdo a normas y mejores prácticas.
 Servir al interés de los stakeholders en forma legal y honesta.
 Mantener la privacidad y confidencialidad de la información (no
usarla para beneficio personal o de terceros)
 Mantener competencia
 Revelar los hechos significativos a través de informes.
 Apoyar la educación profesional de los accionistas para
mejorar la comprensión sobre la seguridad y control de SI.
Estándares de ISACA para auditoria de SI
 Los estándares definen los requerimientos obligatorios
para la auditoria y para los informes de auditoria de SI.
 Las directrices brindan una guía para aplicar los
estándares de auditoria de SI, permiten determinar como
implementar los estándares.
 Los procedimientos, que brindan información sobre como
se debe cumplir los estándares cuando se realiza un
trabajo de auditoria de SI.
Estándares de ISACA para auditoria de SI
 Los estándares de auditoria de SI son:
 S1. Estatuto de auditoria
 El propósito, responsabilidad, autoridad y obligación de rendir cuentas
deben estar debidamente documentados.
 S2. Independencia
 Profesional: Independencia del auditado, tanto en actitud como en
apariencia.
 Organizacional: Independencia del área o actividad que se realiza.
Estándares de ISACA para auditoria de SI
 S3. Ética y estándares profesionales
 Acatar un código de ética profesional
 Ejercer cuidado profesional usando estándares.
 S4. Competencia profesional
 Profesional competente, con conocimientos y habilidades para
realizar un trabajo.
 Educación y capacitación profesional continua.
 S5. Planeación
 Planear el alcance de auditoria
 Desarrollar y documentar el enfoque de auditoria basada en riesgos.
 Desarrollar y documentar el plan de auditoria, detallando la
naturaleza, objetivos, tiempo, alcance y recursos requeridos.
 Desarrollar el programa y los procedimientos de auditoria
Estándares de ISACA para auditoria de SI
 S6. Ejecución del trabajo de auditoria
 Supervisión, para proveer certeza razonable que los objetivos serán
alcanzados
 Evidencia, obtener evidencia suficiente, confiable y relevante. Los
hallazgos y conclusiones se respaldan en el análisis e interpretación de
las evidencias.
 Documentación, del proceso de auditoria, describiendo el trabajo y
evidencia de auditoria que respalde los hallazgos y conclusiones.
 S7. Informe
 Proveer un informe en un formato apropiado. Debería identificar la
organización, los destinatarios y restricciones sobre su publicación.
 Debe establecer el alcance, objetivos, periodo cubierto y naturaleza,
tiempo y extensión del trabajo de auditoria.
 Debe establecer hallazgos, conclusiones y recomendaciones; y cualquier
reserva, restricción o limitación en el alcance.
 Tener evidencia suficiente y apropiada para respaldar los resultados.
 Debe estar firmado, fechado y distribuido
Estándares de ISACA para auditoria de SI
 S8. Actividades de seguimiento
 Luego de informar, solicitar y evaluar la información relevante para
determinar si la dirección se ha tomado acciones apropiadas de manera
oportuna.
 S9. Irregularidades y actos ilícitos
 Mantener una actitud de escepticismo profesional durante la auditoria.
 El auditor debe tener un conocimiento claro de la organización,
ambiente y controles internos.
 Obtener evidencia suficiente y relevante para determinar si la dirección
o alguien mas en la organización tiene conocimiento de alguna
irregularidad o acto ilícito real, sospechoso o presunto.
 Comunicar oportunamente de detectarse irregularidades o actos ilícitos
 Tomar conocimiento de cualquier presunción o sospecha informados
por empleados, ex-empleados, reguladores u otros.
 Documentar comunicaciones, planeación, resultados, evaluaciones y
conclusiones relacionadas con irregularidades materiales y actos ilícitos
reportados.
Estándares de ISACA para auditoria de SI
 S10. Gobierno de TI
 Evaluar si la función de SI esta alineada a la visión, misión, valores,
objetivos y estrategias de la organización.
 Revisar y evaluar la efectividad en los procesos de administración de
recursos de SI y de desempeño.
 Revisar y evaluar el cumplimiento de requerimientos legales, ambientales,
de calidad de información, fiduciarios y de seguridad.
 Usar un enfoque basado en riesgos.
 Revisar y evaluar el ambiente de control de la organización.
 Revisar y evaluar los riesgos que puedan impactar negativamente en el
ambiente de SI.
 S11. Uso de la evaluación de riesgos en la planeación de auditoria
 Usar una técnica o enfoque apropiado de evaluación de riesgos al
desarrollar el plan de auditoria y determinar las prioridades para la
asignación efectiva de recursos de auditoria.
 Identificar y evaluar los riesgos relevantes para el área bajo revisión.
Directrices de ISACA para auditoria de SI
 El objetivo de las directrices es proveer información
adicional sobre como cumplir con los estándares para la
auditoria de SI.
 El auditor:
 Debe considerarlos para determinar como implementar los
estándares citados.
 Usar el juicio profesional para aplicarlos y
 Poder justificar cualquier desviación o diferencia.
 Ver índice de directrices.
Directrices de ISACA para auditoria de SI
 Índice de directrices
 G1. Uso del trabajo de otros auditores.
 G2. Requisito de evidencia de auditoria
 G3. Uso de CAATs
 G4. Servicio externo de actividades de SI para otras organizaciones
 G5. Estatuto de auditoria
 G6 Conceptos de materialidad para la auditoria de SI
 G7. Debido cuidado profesional
 G8. Documentación de la auditoria
 G9. Consideraciones de auditoria en casos de irregularidades
 G10. Muestreo de auditoria
 G11. Efecto de los controles generales de SI
 G12. Relación e independencia organizacional
 G13. Uso de la evaluación de riesgos en la planeación de la auditoria.
 G14 Revisión de sistemas de aplicación
 G15. Planeación revisada
Directrices de ISACA para auditoria de SI
 G16. Efecto de terceros en los controles de TI.
 G17. Efecto de funciones ajenas a la auditoria sobre la independencia del auditor
 G18. Gobierno de TI
 G19. Irregularidades y actos ilegales
 G20. Informes
 G21. Revisión de sistemas de planeación de recursos empresariales
 G22. Revisión del comercio electrónico
 G23. Revisión del ciclo de vida de desarrollo de sistemas.
 G24. Banca por internet
 G25. Revisión de VPNs
 G26. Revisión de proyectos de Reingeniería de procesos de negocio
 G27 Computación móvil
 G28. Análisis forense computacional
 G29. Revisión post- implementación
 G30 Competencia
 G31 Privacidad
 G32. Revisión del Plan de continuidad de negocio
Procedimientos de ISACA para auditoria de
SI
 Los procedimientos proveen ejemplos de procesos que
un auditor puede seguir en su trabajo.
 Los documentos de procedimientos proveen información
sobre como satisfacer los estándares al realizar un trabajo
de auditoria. No establecen requerimientos.
 No es obligatorio seguir estos procedimientos, pero al
seguirlos se tiene la certeza de seguir estándares
Procedimientos de ISACA para auditoria de
SI
 Índice de procedimientos
 P1. Evaluación de riesgos de SI
 P2. Firmas digitales
 P3. Detección de intrusos
 P4.Virus y otros códigos maliciosos
 P5. Autoevaluación de control de riesgos
 P6. Firewalls
 P7. Irregularidades y actos ilegales
 P8. Evaluación de la seguridad
 P9. Evaluación de los controles de la dirección sobre las
metodologías de encripción
Relación entre estándares, directrices y
procedimientos
 Los estándares deben ser cumplidos por el auditor de SI.
 Las directrices proveen una guía sobre como implementar
los estándares.
 Los procedimientos proveen ejemplos de pasos que
puede realizar el auditor para implementar los
estándares.
 El auditor debe usar su juicio profesional cuando use las
directrices y procedimientos.
ANALISIS DE RIESGOS
ANALISIS DE RIESGOS
 El análisis del riesgo es parte de la planificación de auditoria y
ayuda a identificar los riesgos y vulnerabilidades para que el
auditor pueda determinar los controles que se necesitan para
mitigar esos riesgos.
 DEFINICION: Un riesgo es cualquier evento que
afecte de manera negativa el logro de los objetivos del
negocio.
 Según las directrices para la Administración de la Seguridad de
TI publicados por la ISO, la definición de análisis de riesgo es:
“El potencial de que una amenaza determinada explote
las vulnerabilidades de un activo o grupo de activos y
ocasione pérdida o daño a los activos. El impacto o
severidad relativos del riesgo es proporcional al valor de
la perdida/daño y la frecuencia estimada de la amenaza
para el negocio”
ELEMENTOS DEL RIESGO

 Amenazas, y vulnerabilidades de, los procesos y/o activos

(incluyendo los activos físicos como de información)
 Impacto sobre los activos basados en las amenazas y las
vulnerabilidades
 Probabilidades de amenazas (combinación de la
probabilidad y la frecuencia de que ocurran)
La naturaleza de las amenazas pueden ser financiera,
reguladora u operacional y puede surgir como resultado de
la interacción del negocio con su ambiente o como
resultado de las estrategias, sistemas y tecnología particular,
procesos, procedimientos e información usada por el
negocio
PROCESO DE ADMINISTRACION DE
RIESGOS
 Identificar los objetivos del negocio, activos de información, y los sistemas o
recursos de información que generan/almacenan, usan o manipulan los
activos clave (hw, sw, DB, redes, instalaciones, personas, etc.).
 Evaluación de riesgos para identificar los riesgos, determinar la probabilidad
de ocurrencia, y el impacto resultante y las medidas adicionales que
mitigarían este impacto a un nivel aceptable de dirección.
 Mitigar riesgos, identificando controles para mitigar los riesgos
identificados. Son contramedidas que buscan prevenir o reducir la
probabilidad de ocurrencia de un evento del riesgo, detectar la ocurrencia
del mismo, minimizar el impacto o transferir el riesgo a otra organización.
 Evaluar las contramedidas a través de un análisis costo/beneficio
 Monitorear los niveles de desempeño de los riesgos administrados, cuando
hay cambios significativos, implica (evaluación de riesgos, mitigación de
riesgos y revaluación de riesgos), lo que se busca es determinar si los
riesgos se están mitigando a un nivel aceptable para la organización
PROPOSITO DEL ANALISIS DE RIESGOS
 Apoya al auditor en:
 La identificación de riesgos y amenazas.
 La selección de ciertas áreas para examinar.
 Su evaluación de los controles durante la planeación de
auditoria.
 Determinar los objetivos de la auditoria.
 Dar soporte a la auditoria basada en riesgos.
LECCION: CONTROLES INTERNOS
 Las políticas, procedimientos, prácticas y estructuras
organizacionales implementadas para reducir riesgos son
referidas como controles internos.
 Los controles internos son desarrollados para proveer
una garantía razonable de que los objetivos del negocio
de la organización serán alcanzados y que los eventos de
riesgo no deseados serán evitados o detectados y
corregidos.
CLASIFICACION DE LOS CONTROLES
CLA FUNCIÓN EJEMPLOS
SE
 Detectar problemas  Emplear solo personal calificado.
antes de que surjan.  Segregar las tareas (factor disuasivo)
 Monitorear tanto las  Controlar el acceso físico a las instalaciones.
operaciones como el  Usar documentos bien diseñados (prevenir
ingreso de datos. errores)
Preventivos

 Tratar de predecir los  Establecer procedimientos adecuados para

problemas potenciales autorizar transacciones.
antes de que estos  Completar las validaciones de edición
ocurran y hacer ajustes. programadas.
 Impedir que ocurra un  Usar software de control de acceso que
error, una omisión o un permita que sólo el personal autorizado
acto malicioso. tenga acceso a los archivos sensitivos.
CLASIFICACION DE LOS CONTROLES
CLAS FUNCIÓN EJEMPLOS
E
 Controles que  Totales brutos.
detectan y  Puntos de verificación en los trabajos de producción.
reporten que  Controles de eco en las telecomunicaciones.
De detección

ha ocurrido un  Mensajes de error en las etiquetas de la cinta.

error, una  Verificación doble de los cálculos.
omisión o un  Realización periódica de reportes con variaciones.
acto malicioso.  Reportes de cuentas vencidas.
 Funciones de auditoria interna.
 Revisión de registros de actividad para detectar
intentos de acceso no autorizado
CLASIFICACION DE LOS CONTROLES
CLAS FUNCIÓN EJEMPLOS
E
 Minimizar el impacto de una  Planeación de contingencias.
amenaza.  Procedimientos de copias de
 Remediar problemas descubiertos seguridad
Correctivos

por los de detección.  Procedimientos de nueva

 Identificar la causa de un problema. ejecución de programa
 Corregir los errores que surjan de
un problema.
 Modificar el o los sistemas de
procesamiento para minimizar que
el problema ocurra en el futuro.
OBJETIVOS DE CONTROL INTERNO
 Son declaraciones del resultado deseado o del propósito a ser
alcanzado implementando procedimientos de control en una
actividad en particular.
 Control es el medio por el cual se alcanzan los objetivos de
control.
 Los objetivos de control incluyen:
 Salvaguarda de los activos de tecnología de información.
 Cumplimiento con las políticas corporativas o requisitos legales.
 Autorización / entrada
 Exactitud e integridad del procesamiento de transacciones.
 Salida
 Confiabilidad de proceso
 Respaldo / recuperación
 Eficiencia y economía de las operaciones.
 Proceso de administración de cambios para TI y SI relacionados
COBIT: Framework formado
por 34 procesos agrupados en 4
dominios
PROCEDIMIENTOS DE CONTROL
GENERAL
 Los controles incluyen políticas, procedimientos y practicas
(tareas y actividades) establecidos por la gerencia,
 Los controles generales se aplican a todas las áreas de la
organización, estos incluyen:
 Controles internos contables, referidos a la salvaguarda de los
activos y la fiabilidad de los registros financieros.
 Controles operativos
 Controles administrativos
 Políticas y procedimientos organizacionales de seguridad lógica para
asegurar la debida autorización de las transacciones y actividades.
 Políticas generales para el diseño y uso de documentos y registros
adecuados para ayudar a asegurar el debido registro de las
transacciones – pista de auditoria transaccional.
 Procedimientos y funciones para asegurar las salvaguardas adecuadas
sobre el acceso a, y el uso de activos e instalaciones.
 Políticas de seguridad física para todos los centros de datos.
PROCEDIMIENTOS DE CONTROL DE LOS
SI
 Cada procedimiento de control general puede ser traducido
en un procedimiento especifico.
 Estos controles incluyen:
 Estrategia y dirección
 Organización y administración general.
 Acceso a los datos y programas
 Metodologías de desarrollo de sistemas y control de cambios.
 Operaciones de procesamiento de datos.
 Programación de sistemas y funciones de apoyo técnico.
 Procedimientos de garantía de calidad de procesamiento de datos.
 Controles físicos de acceso
 Planificación de continuidad/recuperación de desastre del negocio
 Redes y comunicaciones
 Administración de base de datos
LECCION: EJECUCION DE UNA
AUDITORIA DE SI
 La auditoria puede definirse como un proceso sistemático por
el cual una persona competente, independiente obtiene y
evalúa objetivamente evidencias respecto a afirmaciones sobre
una entidad económica o un caso con el fin de formarse una
opinión sobre ello e informar sobre el grado en que dicha
afirmación se ajusta a un conjunto determinado de estándares.
 La auditoria de SI puede definirse como cualquier auditoria
que abarca la revisión y evaluación (parcial o total) de los
sistemas automatizados de procesamiento de información,
procesos relacionados no automatizados y las interfaces entre
ellos.
 El proceso de auditoria requiere que el auditor de SI reúna
evidencias, evalué los puntos fuertes y débiles de los controles
basándose en las evidencias reunidas y prepare un informe de
auditoria que presente a la gerencia dichos tópicos en una
forma objetiva
CLASIFICACION DE LAS AUDITORIAS
 AUDITORIA FINANCIERA: Su propósito es determinar
la exactitud de los estados financieros. Normalmente
implica pruebas sustantivas detalladas. Se relaciona con la
integridad y confiabilidad de la información.
 AUDITORIA OPERATIVA: Esta diseñada para evaluar la
estructura de control interno en un proceso o área
determinada. Ej:
 Auditoria de SI de controles de aplicación
 Auditoria de sistemas de seguridad lógica.
CLASIFICACION DE LAS AUDITORIAS
 AUDITORIA INTEGRADA: Combina pasos de auditoria
financiera y operativa. También se realiza para evaluar
objetivos generales dentro de una organización,
relacionados con la información financiera y la salvaguarda
de activos, la eficiencia y el cumplimiento. Incluyen
pruebas de cumplimiento a los controles internos así
como pruebas sustantivas.
 AUDITORIA ADMINISTRATIVA: Orientadas a evaluar
aspectos relacionados con la eficiencia de la productividad
operativa dentro de una organización.
CLASIFICACION DE LAS AUDITORIAS
 AUDITORIA DE SI: Este proceso recolecta y evalúa la
evidencia para determinar si los SI y los recursos
relacionados:
 Protegen adecuadamente los activos
 Mantienen la integridad de los datos y del sistema
 Proveen información relevante y confiable.
 Logran de forma efectiva la metas organizacionales
 Usan eficientemente los recursos y tienen en efecto controles
internos que proveen una certeza razonable que los objetivos
de negocio, operacionales y de control serán alcanzados y que
los eventos no deseados serán prevenidos o detectados y
corregidos de forma oportuna.
CLASIFICACION DE LAS AUDITORIAS
 AUDITORIA ESPECIALIZADA: Existen un numero de
revisiones especializadas que examinan áreas tales como
los servicios realizados por terceros y la auditoria
forense.
 En vista que los negocios dependen cada vez mas de servicios
prestados por terceros, es importante que se evalúe los
controles internos de estos ambientes.
 Es estándar conocido para evaluar los controles internos de
una organización de servicios es el SAS 70, titulado “Informes
sobre el procesamiento de transacciones por organizaciones
de servicio” desarrollado por el Instituto Americano de
Contadores Públicos Certificados – AICPA.
CLASIFICACION DE LAS AUDITORIAS
 AUDITORIA FORENSE: Tradicionalmente ha sido definida
como una auditoria especializada en descubrir, revelar y dar
seguimiento a fraudes y crímenes.
 El propósito primario era el desarrollo de evidencia para ser
revisado por autoridades policiales y judiciales.
 Recientemente el profesional forense es llamado para participar en
investigaciones relacionadas con fraude corporativo y crimen
cibernético.
 Una investigación forense de computadora incluye el análisis de
dispositivos electrónicos, tales como computadoras, teléfonos, PDAs,
discos, switches, routers, hubs etc.
 El auditor de SI que posea habilidades necesarias puede asistir al
gerente de seguridad de la información en la realización de
investigaciones forenses y llevar a cabo auditorias para asegurar que
se cumplan los procedimientos de recolección de evidencia para la
investigación forense.
PROGRAMAS DE AUDITORIA
 Se basan en el alcance y objetivo de la asignación en particular.
 Los auditores de SI evalúan a menudo las funciones y los
sistemas de TI desde perspectivas diferentes como:
 Seguridad (confidencialidad, integridad y disponibilidad)
 Calidad (efectividad y eficiencia)
 Fiduciaria (cumplimiento, confiabilidad)
 Servicio
 Capacidad
 Programa de trabajo de auditoria es la estrategia y el plan de
auditoria identifica el alcance, objetivos y procedimientos de
auditoria para lograr evidencia suficiente y competente para
obtener y sustentar las auditoria conclusiones y opiniones de
auditoria.
PROGRAMAS DE AUDITORIA
 Los procedimientos generales de auditoria son los pasos
básicos en la ejecución de una auditoria y generalmente
incluyen:
 Obtención y documentación del conocimiento sobre el área/objeto
de la auditoria.
 Evaluación de riesgos y planeación general de la auditoria y
cronograma
 Planeación detallada de auditoria
 Revisión preliminar del área/objeto de la auditoria.
 Evaluación del área/objeto de la auditoria
 Verificación del diseño de controles
 Pruebas de cumplimiento
 Pruebas sustantivas
 Informe
 Seguimiento
PROGRAMAS DE AUDITORIA
 El auditor de SI debe entender los procedimientos par la
prueba y evaluación de los controles de SI, estos pueden
incluir:
 Uso de SW generalizado de auditoria para examinar el contenido de
archivos de datos (incluyendo logs del sistema)
 Uso de SW especializado para evaluar el contenido de archivos de
parámetros del sistema operativo (o detectar deficiencias en el
establecimiento de parámetros del sistema)
 Técnicas de elaboración de diagramas de flujo para la documentación
de aplicaciones automatizadas y del proceso del negocio.
 Uso de registros/reportes de auditoria disponibles en los sistemas
operativos / de aplicación
 Revisión de la documentación y Observación
 El auditor de SI debe tener un entendimiento suficiente de
estos procedimientos que le permita planear pruebas
apropiadas de auditoria.
METODOLOGIA DE AUDITORIA
 Es un conjunto de procedimientos documentados de
auditoria diseñados para alcanzar los objetivos de
auditoria que se planificaron.
 Sus componentes son:
 Declaración del alcance
 Declaración de los objetivos de auditoria
 Declaración de los programas de trabajo
 La metodología de auditoria debe ser establecida y
aprobada por la gerencia de auditoria para lograr
consistencia en el enfoque de auditoria.
FASES DE UNA AUDITORIA TIPICA
SUJETO DE LA Identificar el área que será auditada.
AUDITORIA
OBJETIVO DE  Identificar el propósito de la auditoria.
LA AUDITORIA  Ejemplo (un objetivo podría ser determinar que los cambios de
código de fuente de programa ocurren en un ambiente bien
definido y controlado)
ALCANCE DE  Identificar los sistemas específicos, la función o unidad de la
LA organización a ser incluida en la revisión. Ejemplo, del ejemplo
AUDITORIA  anterior se puede afirmar que el alcance podría limitar a la
revisión a un solo sistema de aplicación o a un periodo de
tiempo limitado
FASES DE UNA AUDITORIA TIPICA
PLANIFICACION DE  Identificar las habilidades y recursos técnicos que se
AUDITORIA necesitan.
 Identificar las fuentes de información para probarlas o
revisarlas como cuadros funcionales de flujo, políticas,
estándares, procedimientos y documentos de trabajo
preliminares de auditoria.
 Identificar las ubicaciones o las instalaciones que serán
auditadas
PROCEDIMIENTO S  Identificar y seleccionar el método de auditoria para
DE AUDITORIA Y verificar y probar los controles.
PASOS PARA LA  Identificar una lista de personas para entrevistar.
RECOLECCION DE  Identificar y obtener políticas, estándares y directrices de
DATOS los departamentos para su revisión.
 Desarrollar instrumentos y metodología de auditoria
para comprobar y verificar el control
FASES DE UNA AUDITORIA TIPICA
PROCEDIMIENTO S  Especifica a la organización
PARAEVALUAR PARA
EVALUAR LA PRUEBA O
REVISAR LOS
RESULTADOS
PROCEDIMIENTOS PARA  Especifica a la organización
COMUNICARSE CON LA
GERENCIA
ELABORACION DEL  Identificar los procedimientos de revisión del
INFORME DE AUDITORIA seguimiento.
 Identificar los procedimientos para evaluar /
comprobar la eficiencia y la eficacia operacional.
 Identificar los procedimientos para comprobar los
controles.
 Revisar y evaluar la corrección de los
 documentos, las políticas y los procedimientos.
FASES DE UNA AUDITORIA TIPICA
 Un programa no sigue necesariamente un conjunto especifico
de pasos, el auditor de SI generalmente seguiría pasos
secuenciales del programa para obtener un entendimiento de
la entidad que se esta auditando, evaluar la estructura de
control y probar los controles.
 Todos los planes, programas, actividades, pruebas, hallazgos e
incidentes de auditoria deberán estar debidamente
documentados en papeles de trabajo.
 Su formato y medios son opcionales, pero la debida diligencia y
mejores practicas requieren que los documentos de trabajo
estén fechados, inicializados, con paginas numeradas, sean
relevantes, completos, claros, auto-explicativos y debidamente
etiquetados, archivados y mantenidos en custodia.
 Los papeles de trabajo se pueden considerar los puentes entre
los objetivos y el informe final de auditoria.
DETECCION DE FRAUDES
 Los auditores de SI deben tener conocimiento sobre
fraudes e indicadores de fraude, y durante la ejecución de
un trabajo de auditoria, estar alertas a la posibilidad de
fraudes y errores.
 La dirección debe asegurarse por medio de los auditores
de SI, sobre el estado de los controles internos y su
capacidad para disuadir y detectar fraudes y
recomendaciones para mejorar el control interno.
 Cuando se encuentre con cualquier instancia de fraude o
indicador de fraude, hay que comunicar a las autoridades
competentes a fin de realizar una investigación mas
detallada.
RIESGO DE AUDITORIA Y MATERIALIDAD
 Cada vez más, organizaciones están pasándose a un
método de auditoria basado en riesgo que usualmente
esta adaptado para desarrollar y mejorar de manera
continua el proceso de auditoria.
 El riesgo de auditoria puede ser definido como el riesgo
de que la información / informe financiero pueda
contener errores materiales que pueden pasar sin ser
detectados durante el curso de auditoria.
RIESGO DE AUDITORIA Y MATERIALIDAD
 La tendencia actual es a usar un método basado en
riesgos.
 Este método se usa para evaluar riesgos y para apoyar la
decisión del auditor para realizar pruebas de
cumplimiento o pruebas sustantivas.
 Este método apoya a determinar la naturaleza y la
extensión de las pruebas, además de determinar que
prueba realizar (cumplimiento o sustantiva)
 En un enfoque basado en riesgos, no solo se debe basar
en el riesgo, sino también en los controles internos y
operativos y los conocimientos de la empresa.
RIESGO DE AUDITORIA Y MATERIALIDAD
 RIESGO INHERENTE: El riesgo de que exista un error
que podría ser material o significativo cuando esta
combinando con otros errores encontrados durante la
auditoria suponiendo que no hay controles
compensatorios relacionados. Existen
independientemente de una auditoria y pueden ocurrir
debido a la naturaleza del negocio.
 RIESGO DE CONTROL: El riesgo de que exista un error
material que no sea prevenido ni detectado
oportunamente por el sistema de controles internos.
RIESGO DE AUDITORIA Y MATERIALIDAD
 RIESGO DE DETECCION: El riesgo de que un auditor de
SI use un procedimiento inadecuado de prueba y
concluya que no existen errores materiales cuando en
realidad existen.
 RIESGO GENERAL DE AUDITORIA: El riesgo total de
auditoria es la combinación de las categorías individuales
de riesgos de auditoria determinados por cada objetivo
de control.
ENFOQUE DE AUDITORIA BASADA EN
RIESGOS
REUNIR INFORMACION Y PLANIFICAR EFECTUAR PRUEBAS DE CUMPLIMIENTO
1. Conocimiento del Negocio y de la industria 1. Comprobar las políticas y procedimientos
2. Resultados de auditoria del periodo anterior 2. Comprobar la segregación de tareas.
3. Información financiera reciente
4. Leyes regulatorias
5. Estimación de riesgos inherentes
EFECTUAR PRUEBAS SUSTANTIVAS
1. Procedimientos analíticos
2. Pruebas detalladas de balances de cuentas
3. Otros procedimientos sustantivos de auditoria.
LOGRAR ENTENDER EL CONTROL
INTERNO
1. Ambiente de control
2. Procedimientos de control
CONCLUIR LA AUDITORIA
3. Determinación de la detección del riesgo
1. Crear recomendaciones
4. Determinación del control del riesgo 2. Redactar el informe de auditoria.
5. Poner en ecuación el riesgo total
PRUBAS DE CUMPLIMIENTO VS PRUEBAS
SUSTANTIVAS
 Las pruebas de cumplimiento determina si los controles
están siendo aplicados en una forma que cumple con las
políticas y los procedimientos de la gerencia. (Ejemplo:
verificar que los controles de librería de programas están
funcionando correctamente, escogiendo una muestra de
programas para determinar si las versiones fuente y
objeto son las mismas)
 El objetivo de cualquier prueba de cumplimiento es por
lo tanto proveer a los auditores la garantía razonable de
que un control en particular este operando como se
percibió en la evaluación preliminar.
PRUBAS DE CUMPLIMIENTO VS PRUEBAS
SUSTANTIVAS
 La prueba sustantiva fundamenta la integridad de un
procesamiento real. Provee evidencias de la validez y de la
corrección de los balances de los estados financieros y las
transacciones que respaldan estos balances. Estas pruebas
se usan para comprobar si hay errores monetarios que
afectan directamente los balances de los estados
financieros.
CONCLUSION
 Hay una correlación directa entre el nivel de los
controles internos y la cantidad de pruebas sustantivas
que se requieren. Si los resultados de los controles de
comprobación (pruebas de cumplimiento) revelaran la
presencia de controles internos adecuados, entonces, el
auditor de SI tiene una justificación para minimizar los
procedimientos sustantivos. De manera inversa, si la
prueba de control revelara que hay varios puntos débiles
en los controles que podrían generar dudas sobre la
integridad, exactitud o validez de las cuentas, una prueba
sustantiva puede aliviar estas dudas.
CUMPLIMIENTO Y PRUEBAS
SUSTANTIVAS
Revisión del Sistema para identificar los controles

Pruebas de cumplimiento para determinar si los controles están

funcionando

Evaluación de los controles para determinar la base en la cual basarse y

la naturaleza, el alcance y la sincronización de las pruebas sustantivas

Dos tipos de pruebas sustantivas para evaluar la validez de los datos

Pruebas de los balances y Procedimientos analíticos de

transacciones revisión
EVIDENCIA
 La evidencia es cualquier información usada por el
auditor de SI para determinar si la entidad o los datos
que están siendo auditados cumplen con los criterios u
objetivos de auditoria establecidos.
 Es un requisito que las conclusiones del auditor deben
estar basadas en evidencia suficiente, relevante y
competente..
 La evidencia de auditoria puede incluir observaciones,
notas tomadas de las entrevistas, material extraído de la
correspondencia y documentación interna o los
resultados de procedimientos de prueba de auditoria.
DETERMINANTES PARA EVALUAR LA
CONFIABILIDAD DE LAS EVIDENCIAS DE
AUDITORIA
 Independencia del proveedor de la evidencia: La evidencia
obtenida de fuentes externas es mas confiable que la obtenida
dentro de la organización.
 Calificación de la persona que suministra la información o
evidencia.
 Objetividad de la evidencia: La evidencia objetiva es mas
confiable que la que requiere opinión o interpretación
considerable.
 Tiempo de disponibilidad de la evidencia: Se debe considerar el
tiempo durante el cual la información existe o esta disponible
para determinar la naturaleza, el tiempo y el grado de prueba
sustantiva y su fuera aplicable la prueba de cumplimiento.
TECNICAS DE RECOLECCION DE
EVIDENCIAS
 Revisar las estructuras de la Organización de los Sistemas de Información.
 Revisar las políticas, procedimientos y estándares de SI.
 Revisar los estándares de documentación de los sistemas de Información,
como:
 Documentos que inician el desarrollo de sistemas
 Requerimientos funcionales y específicos
 Planes e informes de pruebas
 Programa y documentos de operaciones
 Registro e historial de cambio a programas
 Manuales de usuario
 Manuales de operaciones
 Documentos relacionados con la seguridad
 Informes de garantía de calidad
 Entrevistar al personal apropiado
 Observar los procesos y el desempeño de los empleados.
ENTREVISTAS Y OBSERVACION
 La observación al personal en el desempeño de sus
funciones ayuda a identificar:
 Funciones reales
 Procesos / procedimientos reales
 Concientización sobre seguridad
 Líneas de reporte
MUESTREO
 Es usado cuando las consideraciones de tiempo y de costo
impiden una verificación total de todas las transacciones o
hechos en una población definida previamente.
 Los dos métodos generales de muestreo de auditoria son:
 El método estadístico: Se decide cuantitativamente el grado de
aproximación con que la muestra debe representar a la población.
 El método no estadístico: Se usa el juicio del auditor para determinar
el método de muestreo, el numero de cosas que serán examinadas.
Se basan en el criterio subjetivo respecto a cuales
cosas/transacciones son mas importantes y las de mas riesgo.
MUESTREO
 Dentro de estos dos métodos generales para muestreo
de auditoria, hay dos métodos primarios de muestreo
usados por los auditores:
 Muestreo de atributos: Referido a tres tipos de muestreo
proporcional.
 Muestreo de Atributos: Muestreo para estimar la tasa de
ocurrencia de un atributo especifico en una población.
 Muestreo parar y seguir: Usado cuando el auditor cree que se
encontraran relativamente pocos errores en una población.
 Muestreo de descubrimiento: Usado cuando el objetivo fraude de
auditoria es descubrir un fraude, la violación de una reglamentación u
otra irregularidad
MUESTREO
 Muestreo de variables: referido a modelos cuantitativos:
 Media estratificada por unidad: Usado para producir un tamaño total
mas pequeño de muestra, en comparación con una muestra no
estratificada por unidad.
 Media no estratificada por unidad: Modelo estadístico por el cual se
calcula una media del modelo y se proyecta como un total estimado.
 Estimación por diferencia: Usado para estimar la diferencia total entre
los valores auditados y los valores en libros, basada en las diferencias
obtenidas a partir de observaciones de las muestras.
Para realizar un muestreo de atributos o de variables es necesario
entender: coeficiente de confianza, nivel de riesgo, precisión, tasa de
error esperados, media de muestra, desviación estándar de la
muestra, tasa tolerable de error, desviación estándar de la
población entre otros.
PASOS CLAVES PARA LA CONSTRUCCION Y
SELECCIÓN DE UNA MUESTRA PARA UNA PRUEBA
DE AUDITORIA
1. Determinar los objetivos de la prueba
2. Definir la población a la que se le realizará el muestreo.
3. Determinar el método de muestreo
4. Calcular el tamaño de la muestra
5. Seleccionar la muestra
6. Evaluar la muestra a partir de una perspectiva de
auditoria.
CAATs
 Durante la ejecución de auditoria, se debe obtener evidencias
suficientes, relevantes y útiles para lograr los objetivos de la
auditoria de manera efectiva. Los hallazgos y conclusiones de la
auditoria deben ser soportadas por medio de análisis e
interpretación apropiada de las evidencias. Los entornos de
procesamiento de la información en la actualidad plantean un
desafío difícil al auditor de SI para recolectar evidencias, relevantes y
útiles ya que las evidencias existen en los medios magnéticos.
 Las CAATs son herramientas importantes para el auditor de SI para
recolectar información de estos entornos.
 Las CAATs permiten reunir información de manera independiente,
proveen un medio para ganar acceso y analizar los datos para un
objetivo de auditoria determinado previamente y para reportar los
hallazgos con énfasis en la fiabilidad de los registros producidos y
mantenidos en el sistema.
CAATs
 Los CAATs incluyen muchos tipos de herramientas y de
técnicas, tales como:
 Software generalizado de auditoria
 Software utilitario
 Datos de prueba
 Software de aplicación
 Rastreo y mapeo
 Sistemas expertos

El auditor de SI debe tener un entendimiento

profundo de las CAATs y saber donde y cuando
aplicarlas
VENTAJAS DE LAS CAATs
 Nivel reducido de riesgos de auditoria
 Mayor independencia respecto al auditado
 Cobertura de auditoria mas amplia y mas consistente.
 Se puede disponer de la información con más rapidez.
 Una mejor identificación de las excepciones
 Mayor flexibilidad de los tiempos de ejecución de
programas.
 Mas oportunidad para cuantificar los puntos débiles del
control interno.
 Muestreo mas amplio.
 Ahorros en los costos con el paso del tiempo.
PONDERAR EL COSTO/BENEFICIO DE LOS CAATs ANTES DE
PASAR POR EL ESFUERZO, EL TIEMPO Y EL GASTO DE
COMPRARLOS O DESARROLLARLOS
 CONSIDERAR:
 Facilidad de uso, tanto para el personal de auditoria
 existente como para el futuro personal de auditoria.
 Requerimientos de entrenamiento
 Complejidad de la codificación y del mantenimiento
 Flexibilidad de uso
 Requerimientos de instalación
 Eficiencias de procesamiento
 Esfuerzo requerido para llevar los datos de la fuente a los
CAATs para su análisis.
LUEGO…..
 EVALUAR LAS FORTALEZAS Y DEBILIDADES DE LA
AUDITORIA.
 JUGAR CON LA MATERIALIDAD DE LOS HALLAZGOS.
 COMUNICAR LOS RESULTADOS DE AUDITORIA
 ESTRUCTURAR EL INFORME DE AUDITORIA
 ACCIONES DE LA GERENCIA PARA IMPLEMENTAR
LAS RECOMENDACIONES
DOCUMENTACION DE LA AUDITORIA
 La planificación y elaboración del alcance y de los
objetivos de la auditoria.
 El entorno de los sistemas de información
 El programa de auditoria
 Los pasos de auditoria efectuados y las evidencias de
auditoria reunidas
 Los hallazgos, conclusiones y recomendaciones de
auditoria.
 Cualquier informe emitido como resultado del trabajo de
auditoria.
 Revisión de supervisión
LECCION: AUTOEVALUACION DEL CONTROL
(Control Self Assessment)
 Se define como una técnica de la dirección que asegura a
los accionistas, clientes y otros, que el sistema de control
interno del negocio es confiable.
 Asegura que los empleados estén conscientes de los
riesgos del negocio y que realicen revisiones proactivas
periódicas de los controles.
 Herramientas usadas:
 Reuniones de dirección.
 Talleres de clientes
 Hojas de trabajo
 Hojas de clasificación
LECCION: AUTOEVALUACION DEL CONTROL
(Control Self Assessment)
 Beneficios
 Detección temprana de riesgos
 Controles internos mas efectivos y mejorados
 Creación de equipos cohesivos
 Mayor conciencia de los empleados
 Mayor comunicación entre mandos operativos y alta dirección
 Empleados altamente motivados
 Proceso mejorado de calificación en auditoria
 Reducción en el costo de control
 Mayor seguridad para los accionistas y clientes
 Seguridad mínima para la alta dirección sobre lo adecuado de
los controles internos.
LECCION: AUTOEVALUACION DEL CONTROL
(Control Self Assessment)
 Enfoque Híbrido para CSA

0. Identificar proceso y
objetivos

1. Identificar y evaluar
riesgos
6. Acción e informe

5. concientización
2. Identificar y evaluar
controles

3. Desarrollar
questionario

4. Recolectar y analizar
cuestionario
LECCION: AUTOEVALUACION DEL CONTROL
(Control Self Assessment)
 Desventajas
 Confusión con la función de auditoria.
 Es una carga de trabajo adicional
 No implementar las mejoras sugeridas puede dañar la moral
del empleado.
 La falta de motivación puede limitar la efectividad en la
dirección de controles débiles.
LECCION: CAMBIOS EMERGENTES EN EL
PROCESO DE AUDITORIA DE SI
 El proceso de auditoria debe cambiar constantemente para
mantenerse al paso de las innovaciones en la tecnología.
 Papeles de trabajo automatizados: Los equipos de auditoria
están creando sus papeles de trabajo (análisis de riesgos,
programas de auditoria, resultados, evidencia de pruebas,
conclusiones, informes entre otros) en formato automatizado,
usando SW especializado.
 Auditoria Integrada: El enfoque integrado se concentra en el
riesgo. Exige un enfoque sobre el riesgo del negocio y una
motivación por lograr soluciones creativas de control.
 Auditoria continua: Implica evaluación constante, a través del
uso de procedimientos automatizados de auditoria.