S1 - Conceptos Generales de Auditoría-Fusionado

Conceptos generales de
auditoría
Maestría en gerencia de sistemas de información
Auditoría de TI
Conceptos generales de auditoría
Conceptos básicos de auditoría

Auditoría de sistemas
Procesos y métodos
Auditoría de sistemas
Conceptos básicos de auditoria
Auditor era Revisar la

Viene de la raíz
aquella persona a veracidad y
latina “audire”
quien le leían los confiabilidad de
(oir, escuchar)
ingresos y gastos las operaciones
Operaciones La auditoría era

normalmente una disciplina
fiscales, contables auxiliar de la
o financieras contabilidad
Conceptos básicos de auditoría
Es la revisión independiente de alguna o

algunas actividades, funciones específicas,
resultados u operaciones de una entidad
administrativa, realizada por un profesional
de la auditoría, con el propósito de evaluar
su correcta realización y con base en ese
análisis, poder emitir una opinión autorizada
sobre la razonabilidad de sus resultados y el
cumplimiento de sus operaciones.
Objetivos de la auditoría:
 Realizar una revisión independiente de las actividades, áreas o
funciones especiales de una institución, a fin de emitir un
dictamen profesional sobre la razonabilidad de sus
operaciones y resultados.
 Hacer una revisión especializada, desde un punto de vista
profesional y autónomo, del aspecto administrativo,
financiero, operacional, de sistemas o de gobierno de las áreas
de una empresa.
Objetivos de la auditoría:
 Evaluar el cumplimiento de los planes, programas, políticas,
normas y lineamientos que regulan la actuación de los
empleados y funcionarios de una institución, así como evaluar
las actividades que se desarrollan en sus áreas y unidades
administrativas.
 Dictaminar de manera profesional e independiente sobre los
resultados obtenidos por una empresa y sus áreas, así como
sobre el desarrollo de sus funciones y el cumplimiento de sus
objetivos y operaciones.
Tipos de auditoría por área

de aplicación
Ejemplo:
Fábrica de • Auditoría financiera
zapatos • Auditoría administrativa
• Auditoría operacional
• Auditoría de sistemas
• Auditoría gubernamental
• Auditoría integral
Recoger Agrupar Evaluar
Para determinar si los sistemas de información

salvaguardan los activos y mantienen la integridad de los
datos a través del uso de los recursos de la organización.
Busca:
•Evaluar los recursos informáticos y los

procesos.
•Validar si son empleados de manera
adecuada.
•Validar si cumplen con criterios específicos
de control.
•Detectar acciones no autorizadas y/o
fraudes (no es la principal función).
Alcance:
• Activos informáticos (físicos y lógicos).

• Procesos y funciones del personal a cargo.
Informe:
• Existen los controles adecuados.

• Los controles funcionan correctamente.
• Se detectaron irregularidades.
Auditoría de sistemas procura
Disponibilidad Integridad Veracidad Privacidad
de la información de la empresa
Auditorías internas:
•Área interna de la organización.
Auditorías externas:
•Personal independiente a la
organización.
Procesos y métodos
Entendimiento Evaluación de Planeación de

general riesgos la auditoría
Auditoría Seguimiento
Procesos y métodos
Instrumentos de
Técnicas de
recopilación de
evaluación
datos
Técnicas
especiales para
auditoría de
sistemas
Procesos y métodos
Instrumentos de recopilación de datos:
• Entrevistas.
• Cuestionarios.
• Encuestas.
• Observación.
• Inventarios.
• Muestreo.
• Experimentación.
Procesos y métodos
Técnicas de evaluación:
•Examen.
•Inspección.
•Confirmación.
•Comparación.
•Revisión documental.
Procesos y métodos
Técnicas especiales:
•Simulación.
•Evaluación.
•Diagramas de sistemas.
•Programas de verificación.
•Seguimiento de programación.
Procesos y métodos
Formalización
de la función de
auditoría
Competencia Independencia
profesional organizacional
Estándares
generales
de la
auditoría
Responsabilidad Independencia
profesional profesional
Expectativas
razonables
Para recordar…
 Una auditoría busca siempre la mejora de las

organizaciones.
 La auditoría de sistemas revisa que los recursos
(informáticos, humanos, procesos) cumplan con los
controles de la organización.
 La auditoría de sistemas recoge, agrupa y evalúa
evidencia.
 La auditoría de sistemas procura disponibilidad,
integridad, veracidad y privacidad de la
información de la organización.
Para reflexionar…
¿Qué problemas enfrenta de manera común

un auditor?
¿Cuáles son los impedimentos que tienen las
auditorías realizadas en mi organización?
¿Qué reacción genera en mí ser auditado?
¿Qué características debería tener un auditor
para que me sienta cómodo siendo auditado?
Mecanismos básicos de
auditoría - Controles
Auditoría de TI
Mecanismos básicos de auditoría -
Controles
Estructura interna de control
Tipos de controles
Identificando los controles
Auditoría basada en riesgos
Estructura interna de control
Es muy importante saber cómo lo sistemas

de TI ayudan al negocio, para poder
contextualizar adecuadamente el
enfoque de la auditoría y sus
recomendaciones.
Un control es una política, procedimiento,
práctica o estructura organizacional
implementada con el fin de reducir un
riesgo.
Entender la finalidad del control.

Evitar el robo de información digital.
Entender el control en sí mismo.
Política: Los empleados no pueden ingresar /
sustraer dispositivos USB de las instalaciones.
Entender la implementación del control.
Existe un registro físico de los empleados al
ingresar y salir de la empresa para evitar que
las USB entren o salgan.
Origen de los controles
Leyes y
Necesidades
regulaciones
internas
de la industria
Tipos de controles
Controles
Controles
de
preventivos
detección
Controles
correctivos
Tipo de controles
Riesgo: Fuego en las instalaciones
•¿Qué controles deben ser implementados?

•…
•…
•…
•En 10 minutos define 15 controles para
reducir el riesgo…
Tipo de controles
¿De qué
tipo son?
Tipo de controles
¿Cuál es el
Riesgo: Fuego en las instalaciones incorrecto?
Tipo de controles
¿Cuáles debemos
implementar?
- Reducir la
probabilidad
- Reducir el
impacto
Tipo de controles
Controles para reducir los riesgo
• ¿Cuántos y cuáles controles deben ser

implementados?
• ¿Quién decide esto?
• Regla general: Prevenir lo más posible,

detectar lo antes posible, restaurar lo
mejor posible.
Identificando los controles
Controles Controles de
preventivos detección
• ¿Qué previenen y • ¿Qué detectan y
cómo? cómo?
Controles
correctivos
Ejemplos • ¿Qué restauran y
cómo?
Tipo de controles
 Identificadores biométricos a la entrada de los

edificios.
 Logs de actividad en el sistema de nómina.
 Instalación de sensores de posicionamiento.
 Automatización de respaldo automático de la
información sensible.
 Cambio periódico de contraseñas.
 Identificación de 2 pasos en los sistemas sensibles.
Tipos de controles
Recomendaciones
• REDUCIR los riesgos hasta un nivel
aceptable por la gerencia.
• TRANSFERIR los riesgos (al menos los
que tienen evaluación alta).
• ASUMIR los riesgos con información
claramente comunicada a los
niveles adecuados.
• EVITAR los riesgos como última
opción.
Auditoría basada en riesgos
Entendimiento Evaluación de Planeación de

general riesgos la auditoría
Auditoría Seguimiento
Auditoría basada en riesgos
Enfocarse en:
• Riesgos inherente:
• Relacionado de manera directa con la actividad de la
empresa, independientemente de controles internos.
• Riesgo de control:
• Influyen los controles internos implementados en la
empresa, los cuales podrían resultar insuficientes o
inadecuados para la aplicación y detección oportuna
de irregularidades.
• Riesgo de detección:
• Asociado con los procedimientos sobre auditoría. Se
trata de la no detección de errores en el proceso de
auditoría.
Para recordar…
Existen controles preventivos, de detección y

correctivos.
Los controles existen para reducir los riesgos.
Los controles se fundamentan en necesidades
internas o leyes y regulaciones.
Regla general: Prevenir lo más posible, detectar
lo antes posible, restaurar lo mejor posible.
La auditoría basada en riesgos toma en cuenta
los riesgos de control y de detección.
Evaluación corta
 En el contexto de una auditoria de TI, identifica al menos 3 riesgos y 2
mecanismos de control para reducir cada uno de ellos para el siguiente
ejemplo:
 Empresa: Mini-super ABC con 5 sucursales en la ciudad y 20 trabajadores (de
los cuales 1 por tienda es el administrador de la misma) y 1 gerente general
que atiende a todas las sucursales.
 Tópicos relevantes relacionados a TI:
 Sistemas instalados: Ventas, Clientes, Almacenes y Proveedores.
 Cantidad de computadoras: 3 por sucursal.
 Cantidad de servidores: 1 servidor en la sucursal principal.
 Conexión entre sucursales: Internet simple.
 Objetivos de la empresa:
 Proveer a los clientes bienes de consumo en un ambiente de confianza para ser
reconocidos por dar el mejor servicio de la ciudad con productos de calidad y
servicio centrado en el cliente.
 Aumentar las ventas anuales un 30%.
 Iniciar la tienda en línea con reparto a domicilio en 2 meses.
Evaluación corta
Cuidar los ítems de la rúbrica de

evaluación
Mecanismos básicos de
auditoría - Riesgos
Auditoría de TI
Mecanismos básicos de auditoría -
Riesgos
Generalidades de los riesgos
Evaluación de riesgos
Control de riesgos
Re-evaluación de riesgos
Generalidades de los riesgos
¿Qué se entiende como “riesgo”?

La posibilidad de que algo malo pase.
¿Por qué tomamos riesgos?

Por la posibilidad de que algo bueno
pase.
Ejemplos de actividades diarias que
implican riesgos que asumimos
Invertir
Conducir el
tiempo en
auto
algo nuevo
Iniciar un Conseguir
proyecto o un nuevo
empresa empleo
Riesgo
Amenaza Impacto Probabilidad
Amenazas
•Desastres naturales.
•Producidas por el hombre (internas
a la organización).
•Producidas por el hombre (externas
a la organización).
•Técnicas (Fallas de hw / sw)
Amenazas
•¿Cuál de todas es la mayor amenaza?

•¿Cuál amenaza es la más complicada de
controlar?
•Ejemplos de amenazas
•https://www.startribune.com/insiders-drive-
most-cyber-security-breaches-according-to-
study-for-minnesota-s-code42/562174112/
Impacto
• ¿Cómo lo medimos?
• Impacto cuantitativo (normalmente
financiero).
• Impacto cualitativo
• Reputación.
• Satisfacción del cliente.
• Moral (del cliente).
• Moral (de los empleados).
Impacto
• Medición cualitativa:
• Mayor
• Serio
• Moderado
• Menor
• Insignificante
Probabilidad
• Medición cualitativa:
• Muy probable
• Probable
• Posible
• Improbable
• Muy improbable
Evaluación de riesgos
Los recursos de una organización son

limitados.
¿Cuántos riesgos en total se deben atender?
¿Cuál riesgo debe ser atendido en primer
lugar?
¿Quién decide esto?
Crear la
Definir el Definir la Evaluar el
matriz de
impacto probabilidad riesgo
riesgos
Crear la
matriz de
riesgos
Paso 1 – Definir el impacto.

¿Qué significan “Insignificante”, “Menor”,
“Moderado”, “Serio” y “Mayor”?
Deben significar lo mismo para todos en
la organización.
Depende del “rubro” del que hablemos.
Impacto Definición
5 – Mayor Operaciones Las fallas producen que todas o casi todas las
operaciones no puedan realizarse.
Personas Muerte o discapacidad permanente de varias
personas.
4 – Serio Operaciones Alguna de las operaciones principales no
pueden realizarse debido a las fallas.
Personas Muerte o discapacidad permanente de una
persona.
3 – Moderado Operaciones Los objetivos operacionales no se logran
debido a las fallas.
Personas Lesiones mayores / Problemas de salud.
2 – Menor Operaciones Ligero retraso en las operaciones.
Personas Lesiones menores.
1– Operaciones Interrupción insignificante.
Insignificante Personas Lesiones insignificantes. Auditoría de sistemas
Ejercicio: Definir el impacto de los riesgo

para los “activos de la empresa” (10 min).
Impacto Definición
5 – Mayor Activos
4 – Serio Activos
3 – Moderado Activos
2 – Menor Activos
1 – Insignificante Activos
Crear la
matriz de
riesgos
Paso 2 – Definir la probabilidad.
Probabilidad Definición
5 – Muy probable Se espera que el evento ocurra sin remedio.
4 – Probable Es probable que el evento ocurra.
3 – Posible El evento puede ocurrir en un tiempo.
2 – Improbable Hay pocas probabilidades de que el evento ocurra en
un tiempo.
1 – Muy improbable El evento es muy seguro que no ocurra.
Crear la
matriz de
riesgos
Paso 3 – Crear la matriz de riesgos

Probabilidad
1 2 3 4 5
1 1 2 3 4 5
2 2 4 6 8 10
Impacto
3 3 6 9 12 15
4 4 8 12 16 20
5 5 10 15 20 25
Paso 3 – Crear la matriz de riesgos

Probabilidad Probabilidad
1 2 3 4 5 1 2 3 4 5
1 1 2 3 4 5 1 1 2 3 4 5
2 2 4 6 8 10 2 2 4 6 8 10
Impacto
Impacto
3 3 6 9 12 15 3 3 6 9 12 15
4 4 8 12 16 20 4 4 8 12 16 20
5 5 10 15 20 25 5 5 10 15 20 25
Crear la
matriz de
riesgos
Paso 4 – Evaluar los riesgos

Probabilidad 1 – 6 Riesgo bajo (No es
necesaria ninguna acción).
1 2 3 4 5
8 – 12 Riesgo medio (Requiere
1 1 2 3 4 5 atención, el riesgo y el
Impacto
2 2 4 6 8 10 problema pueden ocurrir).
3 3 6 9 12 15 15 – 25 Riesgo alto (Requiere

atención urgente y la
4 4 8 12 16 20 implementación de controles
para reducir el riesgo).
5 5 10 15 20 25
Control de riesgos
¿Qué hacemos con los riesgos una vez
que los evaluamos?
Reducir Transferir
Asumir Evitar
Control de riesgos
REDUCIR el riesgo
Implementar controles para que el impacto o la
probabilidad del riesgo disminuyan.
 Ejemplo:
Escenario: El servidor de la empresa está conectado
a internet y en ese servidor se guardan datos
sensibles a los que los clientes y empleados deben
acceder.
Riesgo: Ataque vía cyber-hacking.
Control de riesgos
Reduciendo el riesgo: Ataque vía cyber-hacking.
Riesgo Control
100% -
Control de riesgos
Riesgo Control
100% -
80% Establecer accesos vía usuario / contraseña.
Control de riesgos
Riesgo Control
100% -
Establecer accesos vía usuario / contraseña.
70%
Prevenir accesos vía firewall.
Control de riesgos
Riesgo Control
100% -
70%
60% Prevenir accesos vía firewall.
Encriptar la información.
Control de riesgos
Riesgo Control
100% -
70%
60% Prevenir accesos vía firewall.
Encriptar la información.
No es posible eliminar el riesgo ¿Quién decide hasta
¿0%?
donde reducir?
Control de riesgos
Reducir el riesgo
• Los controles cuestan dinero.
• Los controles cuestan recursos de
implementación.
• Los controles cuestan recursos de
seguimiento.
• La gerencia es quien decide hasta
dónde reducir el riesgo.
• Se trata de encontrar el equilibrio
Control de riesgos
TRANSFERIR el riesgo
Implementar controles para que el impacto
o la probabilidad del riesgo disminuyan.
Pasar la responsabilidad del riesgo a un
tercero (seguro, subcontratación).
Si no implemento controles, el costo de la
transferencia sería muy alto.
Control de riesgos
ASUMIR el riesgo
 Implementar controles para que el impacto o la
probabilidad del riesgo disminuyan.
 Aceptar que el riesgo puede suceder y preparar la
empresa para que pueda soportar sus efectos
cuando lleguen.
 No siempre se cuenta con los recursos para
transferir.
 No siempre se cuenta con los recursos para asumir.
Control de riesgos
EVITAR el riesgo
No llevar a cabo la actividad que me
provoca el riesgo.
Normalmente implica perder oportunidades
de negocio o crecimiento.
Esta debe ser la última opción a elegir.
La implicación de eliminar un riesgo puede
redundar en pérdidas para la empresa
Control de riesgos
Recomendaciones
• REDUCIR los riesgos hasta un nivel
aceptable por la gerencia.
• TRANSFERIR los riesgos (al menos los
que tienen evaluación alta).
• ASUMIR los riesgos con información
claramente comunicada a los
niveles adecuados.
• EVITAR los riesgos como última
opción.
Re-evaluación de riesgos
Evaluar los riesgos
Riesgos
Re-evaluar los Controlar los

riesgos riesgos
Re-evaluación de riesgos
Time-driven:
• Cada 6-12 meses.

• Según las necesidades de la empresa.
Event-driven:
• El negocio cambió.
• Hay oportunidades nuevas que se quieren aprovechar.
• La regulación cambió.
• Ocurrieron desastres naturales.
• A alguien más le pasó…
Para recordar…
 Es mejor (y más barato) identificar y controlar los riesgos.

 Hay que identificar claramente: Amenaza, Impacto y
probabilidad.
 La evaluación de riesgos debe dejar claro a todos los
involucrados los niveles de probabilidad e impacto.
 Los riesgos deben: Reducirse, Transferirse, Asumirse,
Eliminarse.
 Quién define dónde debe parar la reducción de riesgos
es la gerencia.
 La re-evaluación de riesgos puede ser time-driven o
event-driven.
La auditoría – El proceso
de auditoría
Auditoría de TI
El proceso de auditoría
El proceso de auditoría

Planeación
Ejecución
Informe y seguimiento
Proceso de auditoría
Ejecución y Informe y
Planeación
documentación seguimiento
Recabar evidencia para evaluar las fortalezas y

debilidades de los controles internos mediante pruebas de
auditoría y preparar un reporte que presente debilidades
y recomendaciones de mejora de una manera objetiva a
los interesados. Auditoría de sistemas
Planeación
• Entender las áreas sujetas de auditoría.
• Ejecutar un análisis de riesgos.
• Generar un plan general de auditoría.
• Generar un plan detallado de auditoría.
Ejecución y documentación
• Ejecutar validaciones de cumplimiento.
• Ejecutar pruebas sustantivas.
• Presentar y discutir desviaciones.
Informe y seguimiento
• Elaborar el informe de auditoría.
• Presentar el informe de auditoría.
• Dar seguimiento a las acciones establecidas.
Planeación
Entender las áreas sujetas a auditoría

• Contexto externo:
• ¿Cuál es la información sensible según la
industria de la organización a auditar?
• ¿Cuáles son los riesgos comunes?
• ¿Cuáles son las regulaciones aplicables?
• ¿Cuál es la arquitectura de TI aplicable?
• Brecha de control
Planeación
Entender las áreas sujetas a auditoría

• Contexto interno:
• Objetivo de la auditoría.
• Alcance de la auditoría.
• Información sensible.
• Políticas y procedimientos.
• Arquitectura de TI implementada.
• ¿Tiene outsorcing?
• Conocer a los mandos clave.
• Dar un vistazo a la organización física y administrativamente.
• Reporte de auditoría previo.
• Entender si hubo cambios en el entorno de negocio.
Planeación
Ejecutar un análisis de riesgos

• Identificar riesgos y controles asociados
a cada uno.
• Establecer claramente las evaluaciones
de cada riesgo (impacto y
probabilidad).
• Definir las pruebas que se van a realizar
a cada uno de los controles
implementados.
Planeación
El plan general de auditoría

•Habilidades técnicas necesarias.
•Espacios y condiciones de trabajo.
•Roles y responsabilidades que se involucrarán.
•Ventana de tiempo en que se realizará la
auditoría.
•Mecanismos de evaluación.
•Contactos para resolver temas administrativos y
logísticos.
•Plan de comunicación (quién, cómo, cuándo).
Planeación
El plan detallado de auditoría

• Recursos requeridos.
• Procedimientos de obtención y evaluación de las evidencias:
• Políticas y procedimientos.
• Marcos regulatorios.
• Personas que se entrevistarán.
• Métodos de evaluación.
• Herramientas de evaluación.
• Scripts de evaluación.
• Criterios de evaluación y cálculo de resultados.
• Ventanas de tiempo requeridas para cada integrante del equipo de
auditoría.
• Presupuesto y esfuerzo necesarios.
• Cronograma de trabajo.
Ejecutar validaciones de cumplimiento

• Buscar evidencia de la correcta ejecución de los controles.
• Identificar desviaciones que puedan producir dudas en la
ejecución de los controles.
• Documentar todos los resultados de la validación del
cumplimiento.
Ejecutar pruebas sustantivas

• Recolectar y revisar exhaustivamente la evidencia de las
desviaciones encontradas.
• Documentar todos los resultados de la ejecución de pruebas
sustantivas.
• Dejar claramente identificados las recomendaciones luego de
la ejecución de las pruebas.
Presentar y discutir desviaciones

•Identificar y elaborar los documentos que
muestren las desviaciones encontradas.
•Elaborar el dictamen preliminar y presentarlo a
discusión.
•Resolver todos los asuntos que merezcan una
discusión y documentar los acuerdos finales de
cada uno.
•Integrar las evidencias y hallazgos de la
auditoría.
Informe y seguimiento
Elaborar el informe de auditoría

• Analizar la información y elaborar un informe de situaciones
detectadas.
• Integrar el informe de auditoría.
Presentar el informe de auditoría

• Presentar, leer y entregar el informe de auditoría a los dueños
de la auditoría.
Dar seguimiento a las acciones establecidas

• Identificar las actividades de seguimiento.
• Generar y ejecutar el plan de seguimiento según las
necesidades.
Para recordar…
 Entender el contexto de negocio de la auditoría.

 Establecer claramente objetivos y alcance.
 Asegurar recursos y presupuestos.
 Recolectar evidencias.
 Identificar hallazgos.
 Generar recomendaciones.
 Entregar el informe.
 Administrar las actividades de seguimiento.
Tarea
¿Qué aspectos no fueron incluidos en los pasos generales

de la auditoría siguiente?
 Crear un calendario de auditoría detallado.
 Elaborar un plan detallado de auditoría.
 Hacer una revisión preliminar.
 Realizar la evaluación en sitio del área a auditar.
 Realizar un análisis de riesgos.
 Ejecutar pruebas sustantivas exhaustivas.
 Hacer validaciones de cumplimiento entre áreas.
La auditoría – Planeación
de la auditoría
Auditoría de TI
Planeación de la auditoría
Características mínimas del plan.

Insumos para el plan de auditoría.
Entendimiento.
Plan de pre auditoría.
Procedimientos y mecanismos.
Características mínimas del plan
El plan de auditoría debe:
• Mostrar un entendimiento claro de la naturaleza del
negocio de la organización.
• Mostrar un entendimiento claro de los objetivos que la
organización persigue con la auditoría.
• Mostrar un entendimiento claro de los sistemas y
ambientes de TI que afectan al cumplimiento de los
objetivos de la organización.
• Mostrar un conocimiento básico de las prácticas de
evaluación de riesgos.
• Mostrar un conocimiento claro de los diferentes
mecanismos y procedimientos de evaluación de los
controles internos que tienen que ver con TI.
Insumos para el plan de auditoría
Definir el sujeto de la auditoría
Definir el objetivo de la auditoría
Establecer el alcance de la auditoría
Realizar el plan de pre auditoría
Establecer procedimientos de auditoría y

mecanismos para recolectar información
Tengamos este ejemplo en mente:

• Empresa: Mini-super ABC con 5 sucursales en la ciudad y 20
trabajadores (de los cuales 1 por tienda es el administrador de la misma)
y 1 gerente general que atiende a todas las sucursales.
Tópicos relevantes relacionados a TI:

• Sistemas instalados: Ventas, Clientes, Almacenes y Proveedores.
• Cantidad de computadoras: 3 por sucursal.
• Cantidad de servidores: 1 servidor en la sucursal principal.
• Conexión entre sucursales: Internet simple.
Objetivos de la empresa:
• Proveer a los clientes bienes de consumo en un ambiente de
confianza para ser reconocidos por dar el mejor servicio de la
ciudad con productos de calidad y servicio centrado en el cliente.
• Aumentar las ventas anuales un 30%.
• Iniciar la tienda en línea con reparto a domicilio en 2 meses.

Entendimiento

• ¿Qué buscamos entender?
• Data center.
• VPN.
• Bases de datos.
• Sistemas ERP.
• Procesos de control de cambios.
¿Dónde buscar?
• Evaluaciones de riesgos.
• Planes anuales de auditoría.
• Planes de cambio organizacional.
• Cambios legales y/o regulatorios.
• Fusiones y/o adquisiciones recientes.

Entendimiento

• ¿Qué buscamos asegurar?
• Cumplimiento de requerimientos legales y regulatorios.
• Confiabilidad, integridad, disponibilidad y seguridad de la
información.
• Calidad y seguridad de los desarrollos.
¿Dónde buscar?
• Plan anual de auditoría.
• Directores y sponsors de áreas de auditoría.
• Reportes de auditorías anteriores.
• Políticas, estándares y procedimientos organizacionales.
• Evaluaciones de riesgos.
• Normas y regulaciones aplicables.

Entendimiento

• ¿Qué buscamos identificar?
• Sistemas que soporten las funciones de la organización.
• Servidores en el (los) data center.
• Seguridad de las redes y comunicaciones.
• Sistemas que soporten las operaciones con terceros.
¿Dónde buscar?
• Diagramas de red.
• Contratos con proveedores.
• Resultados de evaluaciones de seguridad.
• Normas y regulaciones aplicables.
• Evaluaciones de riesgo

Plan de pre auditoría

• ¿Qué buscamos identificar para planear en base a ello?
• Lugares y facilidades para llevar a cabo la auditoría.
• Fuentes de información para preparar las pruebas.
• Ejemplo: Cómo se realiza el proceso de ventas (oficinas,
responsables, data centers, sistemas).
¿Dónde buscar?
• Organigramas.
• Mapas y diagramas de procesos.
• Contratos con proveedores.
• Resultados de evaluaciones de seguridad.
• Tickets de incidentes y problemas previos (tanto internos como externos)..

Procedimientos y mecanismos
Identificar y obtener políticas, estándares y

procedimientos para revisar
Identificar la lista de personas para entrevistar
Identificar métodos, herramientas y criterios para

llevar a cabo la evaluación (o desarrollarlos)
Definir una metodología para asegurar que las

pruebas y los resultados son precisos (y repetibles)
Identificar y obtener políticas, estándares y procedimientos
para revisar
Dónde Qué
• Organismos • Políticas de seguridad

reguladores. de la información.
• Áreas de auditoría • Políticas de compra.
interna. • Matriz de autoridades.
• Departamento de • Estándares de la
finanzas. industria.
• Departamento legal. • Requerimientos de la
• Auditorías anteriores. industria.
Identificar la lista de personas para entrevistar
Dónde Qué
• Procedimientos • Gerentes de TI.

organizacionales. • Gerentes de seguridad
• Lista de personal de de la información.
confianza de la • Supervisores de
gerencia. desarrollo de sw.
• Organigramas. • Supervisores de QA.
• Matrices RACI. • Auditores internos.
• Auditorías anteriores.
Identificar métodos, herramientas y criterios para llevar a
cabo la evaluación (o desarrollarlos)
 Disgregar el objetivo de la auditoría en objetivos

específicos que puedan ser evaluados individualmente.
 Determinar las validaciones de cumplimiento
necesarias.
 Determinar las pruebas sustantivas necesarias y los
criterios para realizarlas.
 Los métodos y herramientas pueden ir desde lo más
simple (cuestionarios y entrevistas) hasta lo más
complejo (pruebas automatizadas para comprobar
sistemas en ejecución).
Ejemplos de métodos y criterios:

 Prueba de validación que determine si los controles
de las bibliotecas de los sistemas en producción
trabajan como se diseñaron. El auditor hace una
selección del código y compara las versiones
implementadas en producción contra las últimas
versiones estables liberadas.
 Pruebas sustantivas pueden usarse cuando se esté
revisando la validez e integridad de los procesos
que implican transacciones financieras.
Ejemplos de herramientas:
Cuestionarios.
Scripts de revisión.
Muestreos estadísticos.
Bases de datos.
Computer-Assisted Audit Tools (CAAT’s)
Definir una metodología para asegurar que las pruebas y
los resultados son precisos (y repetibles)
 La repetibilidad de las pruebas y los resultados se

refiere al hecho de que el auditor de TI obtendrá
evidencia objetiva que sea suficiente para permitir
que una parte independiente y calificada pueda
repetir las pruebas y obtener los mismos resultados y
conclusiones.
 La naturaleza de cualquier desviación debe
documentarse y tenerse en cuenta para reducir
errores o sesgos durante la prueba.
 ¿Ejemplos?
Para recordar…
 El plan debe dejar claro un entendimiento del contexto del

negocio y de los mecanismos de auditoría que se llevaran a
cabo.
 Debemos centrarnos en los mecanismos y procedimientos
relacionados con TI que afectan directa e indirectamente al
negocio de la organización y sus actividades sustantivas.
 Si los métodos, herramientas y criterios para auditar no existen
o están disponibles, se deben desarrollar ante de empezar la
ejecución de la auditoría.
 Las pruebas echas deben ser repetibles y obtener los mismos
resultados y conclusiones en cualquier repetición.
Tarea
Luego de leer el caso de estudio:

Indica cómo se podrían auditar los controles
para el riesgo: “Cobros incorrectos o faltantes”.
Mecanismos básicos de auditoría –
Validación de cumplimiento y
pruebas sustantivas
Auditoría de TI
Mecanismos básicos de auditoría – Validación de
cumplimiento y pruebas sustantivas
Validación de cumplimiento
Pruebas sustantivas
Validación de cumplimiento
Determinar si los empleados siguen las

políticas y procedimientos definidos por
dirección y las leyes y regulaciones
existentes.
Ejemplo: Todas las áreas que usan
sistemas de información hacen respaldos
de la información sensible el día 10 de
cada mes.
¿Qué tanto debemos revisar?

En una organización con 2 áreas usando
sistemas de información.
sistemas de información.
sistema de información.
¿Cuál es la mejor manera de revisar que la política: “Los
empleados deben cambiar su contraseña cada 3
meses” se ha cumplido adecuadamente?
Entrevistar una
Revisar la
muestra del 25% de
configuración de los
los empleados para
sistemas de acceso
ver cómo se ejecuta
del último año
esta acción
Entrevistar al
Revisar los registros
administrador de TI
de log de los
para ver cómo se
sistemas de acceso
lleva a cabo el
del último año
control
Validación de cumplimiento (ejemplo
extendido)
Las centésimas de unidad restantes en
una transacción bancaria en la sucursal
no son entregadas al usuario, se quedan
en el banco.
¿A dónde van?
¿Quién controla ese mecanismo?
¿Cómo se controla ese mecanismo?
Validación de cumplimiento (ejemplo
extendido)
Usuario debe pagar: 357.23
Usuario paga con: 400.00
Se le entregaNecesitamos
de cambio: 42.50 (Los
restantes 0.27 van
un a la cuenta del cajero
control
mandados por el programador y luego se
reparten 50% y 50%).
Nuevo control: Change management
El
El El código es
programador El supervisor
programador enviado a
envía el revisa el
hace formar parte
cambio al cambio y lo
cambios al del programa
control de aprueba
código del banco
cambios
Nuevo control: Change management
CAMBIO 232
Cambio 228 – Aprobado
Cambio 229 – Aprobado public guarda {
Cambio 230 – Aprobado …
Cambio 232 – Pendiente …
…
…
… PRUEBA
…
} SUSTANTIVA
Pruebas sustantivas
Revisión detallada y exhaustiva del

funcionamiento de un control en específico.
Requiere recolectar evidencia para evaluar
la integridad de la información relevante
para el control.
Normalmente se hacen cuando
encontramos problemas en las validaciones
de cumplimiento.
¿En qué situación además de esta
deberíamos hacer pruebas sustantivas?
Pruebas sustantivas
¿Cuándo hacerlas?
Cuando las Cuando no
validaciones de existen los
cumplimiento controles
fallan adecuados
El control no
El control existe,
existe y
pero alguien no
provoca un
lo sigue
riesgo
Para recordar…
 Lo primero es hacer validaciones de cumplimiento.

 Las validaciones de cumplimiento requieren
muestreos puesto que los recursos son limitados.
 Cuando encontramos una falla en las validaciones
de cumplimiento, debemos hacer pruebas
sustantivas.
 Cuando es claro que un control falta, debemos
hacer pruebas sustantivas.
 Las pruebas sustantivas son muy costosas.
La auditoría – Ejecución
de la auditoria 1
Auditoría de TI
Hasta ahora…
 Análisis de riesgos.
 Definición y comunicación de tabulación de impactos y
probabilidades.
 Identificación de riesgos.
 Clasificación de riesgos en la matriz de riesgos.
 Definición de controles para cada riesgo.
 Planeación de auditoría.
 Conocimiento de la organización y el contexto de la auditoría.
 Definición de un plan general.
 Definición de validaciones de cumplimiento.
 Definición de pruebas sustantivas previstas y auxiliares.
 Generación del cronograma de trabajo.
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Evidencia
Cualquier información usada por el auditor

para determinar si se cumplen los criterios
establecidos, se usan para soportar las
conclusiones de la auditoría.
Evidencia
Las evidencias pueden incluir:

• Observaciones del auditor.
• Notas de las entrevistas.
• Resultados de confirmaciones
independientes.
• Documentación interna.
• Contratos.
• Resultados de validaciones de
cumplimiento y pruebas sustantivas.
Evidencia
Técnicas comunes de recopilación de evidencias:
Dónde revisar Qué buscar
La segregación de funciones está
Estructura organizacional de TI.
asegurada.
Políticas y procedimientos. Existen y se cumplen.
Estándares organizacionales. Existen y se cumplen.
Documentación de los sistemas. Existen, son relevantes y actuales.
Cómo se ejecutan procesos y
Entrevistas al personal.
controles
Observación de procesos. Cómo y quién los ejecutan.
Ejecución de validaciones de
Comprobar la efectividad de los
cumplimiento y pruebas
controles.
sustantivas.
Evidencia
Muestreo de datos
• Normalmente la población que debe ser auditada
es muy grande.
• Normalmente los recursos disponibles para ejecutar
la auditoría son muy restringidos.
• Cuando necesitamos restringir el universo de la
población observada, utilizamos alguna técnica de
muestreo.
• Técnicas de muestreo más comunes:
• Dirigido.
• Aleatorio.
Evidencia
Muestreo de datos
• Muestreo dirigido.
• Se eligen intencionalmente los elementos de la muestra, para
que la muestra sea representativa de la población. Implica un
gran conocimiento de las características de la población.
• Muestreo aleatorio.
• Los elementos de la población tienen la misma probabilidad de
ser elegidos.
• Simple: Se eligen al azar del universo completo.
• Sistemático: Se elige al primer individuo y luego al siguiente en
un intervalo que no cambia.
• Estratificado: Se definen estratos y en cada estrato se elige
simple o sistemáticamente.
Evidencia.
Papeles de trabajo
Consideraciones de la documentación de
la auditoría
• Documentación clara y precisa (debe explicarse por
sí misma).
• Descripción específica en cada papel de trabajo.
• Resultados de los procedimientos y evidencia
asociada (para poder llegar a las mismas
conclusiones).
• Asuntos importantes y conclusiones.
• Indicar metodología y herramientas utilizadas.
• Incluir archivos depurados.
Papeles de trabajo
Los papeles de trabajo deben incluir:

• Fecha de elaboración.
• Firmas del revisor/preparador.
• Información completa y clara.
• Nombres de auditados y auditores.
• Nombre del área auditada.
• Procedimientos desarrollados.
• Resultados de análisis.
• Evidencias.
• Conclusiones.
Papeles de trabajo
Errores típicos que deben evitarse:

• Papeles de trabajo o análisis inconclusos.
• Documentos con anotaciones temporales.
• Conclusiones de desviaciones no discutidas.
• Adición de último momento de resultados o evidencias
no revisadas.
• Errores en las referencias a las evidencias o resultados.
• Falta de firmas del preparador/revisor.
• Falta de evidencia probatoria importante.
• Usar plantillas previamente usadas y no actualizar los
encabezados.
Papeles de trabajo
EJEMPLO DE UN
PAPEL DE TRABAJO
Papeles de trabajo
EJERCICIO:
Elige uno de los controles que hayas

definido en el ámbito de la pasada
evaluación corta y genera un papel de
trabajo donde se muestre evidencia de
la auditoría del mismo.
Evidencia.
Revisión de políticas y procedimientos
Política: Documento de alto nivel que refleja la filosofía organizacional
• Debe ser clara y específica para que sea efectiva.

• La gerencia debe comunicar y explicar las políticas a los
empleados afectados.
• La gerencia debe revisar las políticas periódicamente (6-
12 meses).
• El auditor debe revisar que los controles implementados
estén ligados a una política.
• Si alguna política obstaculiza el logro de algún objetivo
de negocio, el auditor debe reportarlo para que se
actualice.
• Las políticas deben equilibrar el nivel de control con el
nivel de productividad (el costo de un control nunca
debe exceder su beneficio).
Procedimiento: Pasos definidos y documentados para alcanzar los
objetivos de una política
• Deben ser documentados clara y específicamente para

que puedan ser comprendidos fácilmente por los
usuarios correspondientes.
• Incluyen las actividades que deben ser ejecutadas por
cualquier integrante de la organización que corresponda
a cada ámbito de acción.
• Pueden incluir roles y autoridades específicas.
• Deben ser conocidos por todos los empleados que
operan en el ámbito de cada procedimiento.
• Deben ser supervisados para asegurar su cumplimiento.
Objetivo
Política
Procedimiento
Al auditar una política se debe evaluar:
• Base sobre la cuál se ha definido la política.
• Pertinencia de la política.
• Contenido de la política.
• Excepciones a la política.
• Proceso de aprobación de la política.
• Proceso de implementación de la política.
• Efectividad de la implementación de la
política.
• Conciencia y capacitación al interior de la
organización.
• Proceso de revisión y actualización.
Al auditar un procedimiento se debe:
• Revisar la pertinencia del procedimiento.

• Revisar la comunicación del procedimiento.
• Entender quién, cómo y cuándo se ejecuta
cada uno de los procedimientos.
• Evaluar e identificar cómo probar los controles
definidos por la organización.
Evidencia.
Revisión de la estructura organizacional de TI.
 Las estructuras organizacionales del departamento de TI

varían mucho entre una organización y otra.
 Dependen del contexto y tamaño de la organización y
la naturaleza del negocio.
 El auditor debe conocer y documentar claramente las
relaciones entre las funciones de trabajo.
Solicita Autoriza
Revisa Ejecuta
Implementar
controles compensatorios
Solicita / Ejecuta
Autoriza / Revisa
Controles compensatorios
•Controles internos que pretenden reducir el
riesgo de que las funciones no puedan ser
segregadas de manera adecuada.
•Ejemplo: Un departamento de TI es pequeño y
non hay suficientes recursos para una
adecuada segregación.
Pistas de
auditoría
Revisiones
independient Conciliación
es
CC
Revisión de Reporte de
supervisión excepciones
Registro de
transacciones
Para recordar…
 Las evidencias y los papeles de trabajo son activos muy

valiosos generados en la auditoría, por lo que deben ser
claros, precisos, completos y repetibles.
 Deben usarse técnicas de muestreo para definir los universos
de las poblaciones a auditar.
 Objetivos, políticas y procedimientos deben estar alineados y
el auditor debe poder entenderlos y revisarlos.
 La estructura organizacional de TI debe mantener una
adecuada segregación de funciones.
 Los controles compensatorios deben implementarse cuando
la segregación no es posible.
de la auditoria 1
Auditoría de TI
Hasta ahora…
 Análisis de riesgos.
 Definición y comunicación de tabulación de impactos y
probabilidades.
 Identificación de riesgos.
 Clasificación de riesgos en la matriz de riesgos.
 Definición de controles para cada riesgo.
 Planeación de auditoría.
 Conocimiento de la organización y el contexto de la auditoría.
 Definición de un plan general.
 Definición de validaciones de cumplimiento.
 Definición de pruebas sustantivas previstas y auxiliares.
 Generación del cronograma de trabajo.
Evidencia.
Evidencia
Cualquier información usada por el auditor

para determinar si se cumplen los criterios
establecidos, se usan para soportar las
conclusiones de la auditoría.
Evidencia
Las evidencias pueden incluir:

• Observaciones del auditor.
• Notas de las entrevistas.
• Resultados de confirmaciones
independientes.
• Documentación interna.
• Contratos.
• Resultados de validaciones de
cumplimiento y pruebas sustantivas.
Evidencia
Técnicas comunes de recopilación de evidencias:
Dónde revisar Qué buscar
La segregación de funciones está
Estructura organizacional de TI.
asegurada.
Políticas y procedimientos. Existen y se cumplen.
Estándares organizacionales. Existen y se cumplen.
Documentación de los sistemas. Existen, son relevantes y actuales.
Cómo se ejecutan procesos y
Entrevistas al personal.
controles
Observación de procesos. Cómo y quién los ejecutan.
Ejecución de validaciones de
Comprobar la efectividad de los
cumplimiento y pruebas
controles.
sustantivas.
Evidencia
Muestreo de datos
• Normalmente la población que debe ser auditada
es muy grande.
• Normalmente los recursos disponibles para ejecutar
la auditoría son muy restringidos.
• Cuando necesitamos restringir el universo de la
población observada, utilizamos alguna técnica de
muestreo.
• Dirigido.
• Aleatorio.
Evidencia
Muestreo de datos
• Muestreo dirigido.
• Se eligen intencionalmente los elementos de la muestra, para
que la muestra sea representativa de la población. Implica un
gran conocimiento de las características de la población.
• Muestreo aleatorio.
• Los elementos de la población tienen la misma probabilidad de
ser elegidos.
• Simple: Se eligen al azar del universo completo.
• Sistemático: Se elige al primer individuo y luego al siguiente en
un intervalo que no cambia.
• Estratificado: Se definen estratos y en cada estrato se elige
simple o sistemáticamente.
Evidencia.
Papeles de trabajo
Consideraciones de la documentación de
la auditoría
• Documentación clara y precisa (debe explicarse por
sí misma).
• Descripción específica en cada papel de trabajo.
• Resultados de los procedimientos y evidencia
asociada (para poder llegar a las mismas
conclusiones).
• Asuntos importantes y conclusiones.
• Indicar metodología y herramientas utilizadas.
• Incluir archivos depurados.
Papeles de trabajo
Los papeles de trabajo deben incluir:

• Fecha de elaboración.
• Firmas del revisor/preparador.
• Información completa y clara.
• Nombres de auditados y auditores.
• Nombre del área auditada.
• Procedimientos desarrollados.
• Resultados de análisis.
• Evidencias.
• Conclusiones.
Papeles de trabajo
Errores típicos que deben evitarse:

• Papeles de trabajo o análisis inconclusos.
• Documentos con anotaciones temporales.
• Conclusiones de desviaciones no discutidas.
• Adición de último momento de resultados o evidencias
no revisadas.
• Errores en las referencias a las evidencias o resultados.
• Falta de firmas del preparador/revisor.
• Falta de evidencia probatoria importante.
• Usar plantillas previamente usadas y no actualizar los
encabezados.
Papeles de trabajo
EJEMPLO DE UN
PAPEL DE TRABAJO
Papeles de trabajo
EJERCICIO:
Elige uno de los controles que hayas

definido en el ámbito de la pasada
evaluación corta y genera un papel de
trabajo donde se muestre evidencia de
la auditoría del mismo.
Evidencia.
Política: Documento de alto nivel que refleja la filosofía organizacional
• Debe ser clara y específica para que sea efectiva.

• La gerencia debe comunicar y explicar las políticas a los
empleados afectados.
• La gerencia debe revisar las políticas periódicamente (6-
12 meses).
• El auditor debe revisar que los controles implementados
estén ligados a una política.
• Si alguna política obstaculiza el logro de algún objetivo
de negocio, el auditor debe reportarlo para que se
actualice.
• Las políticas deben equilibrar el nivel de control con el
nivel de productividad (el costo de un control nunca
debe exceder su beneficio).
Procedimiento: Pasos definidos y documentados para alcanzar los
objetivos de una política
• Deben ser documentados clara y específicamente para

que puedan ser comprendidos fácilmente por los
usuarios correspondientes.
• Incluyen las actividades que deben ser ejecutadas por
cualquier integrante de la organización que corresponda
a cada ámbito de acción.
• Pueden incluir roles y autoridades específicas.
• Deben ser conocidos por todos los empleados que
operan en el ámbito de cada procedimiento.
• Deben ser supervisados para asegurar su cumplimiento.
Objetivo
Política
Procedimiento
Al auditar una política se debe evaluar:
• Base sobre la cuál se ha definido la política.
• Pertinencia de la política.
• Contenido de la política.
• Excepciones a la política.
• Proceso de aprobación de la política.
• Proceso de implementación de la política.
• Efectividad de la implementación de la
política.
• Conciencia y capacitación al interior de la
organización.
• Proceso de revisión y actualización.
Al auditar un procedimiento se debe:
• Revisar la pertinencia del procedimiento.

• Revisar la comunicación del procedimiento.
• Entender quién, cómo y cuándo se ejecuta
cada uno de los procedimientos.
• Evaluar e identificar cómo probar los controles
definidos por la organización.
Evidencia.
 Las estructuras organizacionales del departamento de TI

varían mucho entre una organización y otra.
 Dependen del contexto y tamaño de la organización y
la naturaleza del negocio.
 El auditor debe conocer y documentar claramente las
relaciones entre las funciones de trabajo.
Solicita Autoriza
Revisa Ejecuta
Implementar
controles compensatorios
Solicita / Ejecuta
Autoriza / Revisa
•Controles internos que pretenden reducir el
riesgo de que las funciones no puedan ser
segregadas de manera adecuada.
•Ejemplo: Un departamento de TI es pequeño y
non hay suficientes recursos para una
adecuada segregación.
Pistas de
auditoría
Revisiones
independient Conciliación
es
CC
Revisión de Reporte de
supervisión excepciones
Registro de
transacciones
Para recordar…
 Las evidencias y los papeles de trabajo son activos muy

valiosos generados en la auditoría, por lo que deben ser
claros, precisos, completos y repetibles.
 Deben usarse técnicas de muestreo para definir los universos
de las poblaciones a auditar.
 Objetivos, políticas y procedimientos deben estar alineados y
el auditor debe poder entenderlos y revisarlos.
 La estructura organizacional de TI debe mantener una
adecuada segregación de funciones.
 Los controles compensatorios deben implementarse cuando
la segregación no es posible.
Bussiness Impact Analysis
(Continuidad de negocio)
Auditoría de TI
Continuidad de negocio
Gestión de continuidad de negocio (BCM).

Análisis de impacto al negocio (BIA).
Plan de continuidad de negocio (BCP).
Gestión de continuidad de negocio
(BCM)
Las actividades que se llevan a cabo en una organización para
asegurar que todos los procesos de negocio críticos estarán
disponibles para los clientes, proveedores, y otras entidades
que deben acceder a ellos.
Incluye:
 Tareas del día a día como gestión de proyectos, copias de
seguridad, administración de cambios.
 Análisis de impacto al negocio (BIA).
 Plan de continuidad de negocio (BCP).
(BCM)
Organización
Organización
Procesos Procesos
Evento
adverso críticos
Servicios
Servicios de TI
de TI
(BCM)
Organización
Procesos de negocio
Aplicaciones
Servicios de TI
Análisis de impacto al negocio (BIA)
Proceso utilizado para estimar la afectación que podría

padecer una organización como resultado de la ocurrencia de
algún incidente o un desastre.
A diferencia de una evaluación de riesgos, que se enfoca en
cómo podría verse afectada una organización a través de la
identificación, análisis y valoración de amenazas de seguridad
con base en su impacto sobre los activos críticos y la
probabilidad de ocurrencia…
El BIA es un proceso más especializado en la identificación de
los tipos de impacto, orientado en conocer qué podría verse
afectado y las consecuencias sobre los procesos de negocio.
Organización
Procesos de negocio
Aplicaciones
Servicios de TI
 Obtiene entendimiento de las funciones críticas del negocio.

 Identifica los servicios de TI en los que se apoyan.
 Determina el impacto derivado de la interrupción o no
disponibilidad y su criticidad.
 Perfila la secuencia de recuperación.
Organización
Procesos de negocio
Aplicaciones
Servicios de TI
 Qué aplicaciones son críticas para soportar los procesos.

 Qué servicios de TI son necesarios para que vuelvan a
funcionar.
 Cuándo respaldar la información y dónde.
 Cómo y en qué orden recuperar.
Organización
Procesos de negocio
Aplicaciones
Servicios de TI
 Qué infraestructura de TI soporta aplicaciones y procesos críticos.

 Qué servicios de TI deben regresar primero a la funcionalidad.
 Cómo se va a prevenir la pérdida de información.
 Cuál es el Recovery Time Objective permitido.
 Cuál es el Recovery Point Objective soportado.
RTO (Recovery Time Objective)

 Tiempo indicado para reasumir la entrega de una actividad,
producto o servicio después de un incidente o interrupción.
 Tiempo durante el cual una empresa u organización puede
tolerar la falta de funcionamiento de sus procesos y sistemas
y aplicaciones, junto a la caída de nivel de servicio
asociada, sin afectar a la continuidad del negocio.
RPO (Recovery Point Objective)
 Punto en el cual la información usada por un proceso o
actividad debe ser restaurada para permitir que este
proceso o actividad vuelva a operar.
RTO (Recovery Time Objective) y RPO

(Recovery Point Objective) en la práctica
Plan de continuidad del negocio (BCP)
Los pasos que se deben seguir para

asegurar que la operación de la empresa
va a seguir a pesar de alguna
contingencia.
 Mantener activo el negocio.

 Proteger la salud de los trabajadores y sus familias.
 Identificar los diversos eventos que podrían impactar sobre la
continuidad de las operaciones y su impacto sobre el negocio.
 Conocer los tiempos críticos de recuperación .
 Prevenir o minimizar las pérdidas para el negocio en caso de
desastre.
 Clasificar los activos para priorizar su protección en caso de
desastre.
 Aportar una ventaja competitiva frente a la competencia.
Identificación, análisis Realizar un análisis de Identificar áreas y

y priorización de los impacto al negocio procesos críticos de la
riesgos (BIA) organización
Crear el BCP (incluir

Probar el plan y procedimientos,
Mantener y mejorar el
ajustarlo antes de que personal de primera
plan periódicamente
la contingencia ocurra respuesta e identificar
información sensible)
Elementos indispensables:
 Los datos imprescindibles, como la información de contacto del personal
indispensable y directivo, así como sus datos para un contacto alterno.
 Los procesos de gestión y los responsables de cada uno.
 Las etapas del plan de continuidad y en qué momento se desata cada
una.
 El primer contacto responsable de la respuesta y manejo de emergencias.
 Sedes alternas donde operar en caso de ser necesario.
 Medidas preventiva y de recuperación de datos y servicios.
 Horarios y fechas de simulacros de funcionalidad del plan.
Para recordar…
 El BIA es el punto de partida para generar el Plan

de continuidad de negocios.
 El BIA debe hacerse a 3 niveles: Procesos de
negocio, aplicaciones y servicios de TI.
 El BCP es un activo “vivo” y debe mantenerse
funcional día a día.
 Es fundamental que RTO y RPO estén claramente
establecidos y que el BCP indique todas las
actividades relacionadas con ambos.
Tarea
Pensando en el caso de estudio ¿Cuáles son los

estándares que pueden aplicar en una auditoría
de TI y por qué razón?
En el contexto de un auditoría de TI ¿Qué son las
pruebas de control y los análisis de resultados?
de la auditoria 2
Auditoría de TI
Revisión de la documentación de TI.

Revisión de los estándares de TI.
Revisión de la documentación de TI
Documentación auditable en el área de TI:
• Las metodologías del análisis y diseño de sistemas.
• Especificación de software, lenguajes y programas de
desarrollo para la programación y codificación de sistemas.
• La elaboración y seguimiento de pruebas y simulaciones de
sistemas, programas y lenguajes de cómputo nuevos.
• Evidencia de capacitación al personal y usuarios de las áreas
que consuman servicios de TI.
• La documentación de sistemas (actualizada, relevante y
apropiada).
• Los diseños y especificaciones de la infraestructura de TI.
• Los demás estándares que regulen el desempeño de la
función informática en la empresa.
Revisión de los estándares de TI
Estándar de TI:
Parámetros que proporcionan los requisitos
mínimos que se deben de cumplir para
garantizar que se realiza una determinada
función o se presta un servicio con una
variabilidad muy pequeña respecto de las
mejores prácticas.
Estándares de TI:
• Estándares para el gobierno de TI.
• Estándares para la gestión de servicios de
TI.
• Estándares para la seguridad de TI.
• Estándares para la auditoría de TI.
• Estándares para el desarrollo de software.
• Estándares para la gestión de proyectos.
Gobierno de TI:
•Conjunto de herramientas y métodos
que ayudan a la Alta Gerencia a
asegurar que la organización
obtenga un óptimo valor de sus
inversiones de negocio relacionadas
a TI, a un costo manejable y bajo un
nivel de riesgo aceptable.
Gestión de servicios de TI:
•Enfoque estratégico para diseñar,

entregar, gestionar y mejorar la
forma en que las empresas utilizan
las tecnologías de la información.
Seguridad de TI:
•Conjunto de estrategias de
ciberseguridad que evita el acceso no
autorizado a activos organizacionales,
como computadoras, redes y datos.
Conserva la integridad y el sigilo de la
información confidencial y bloquea el
acceso a personal no autorizado.
Auditoría de TI:
•Prácticas orientadas a demostrar
y determinar si los sistemas de TI
salvaguardan los activos y
mantienen la integridad de los
datos a través del uso de los
recursos de la organización.
Desarrollo de software:
•Prácticas que se adoptan para
conseguir uniformidad en el
desarrollo, facilitando el
mantenimiento y la actualización
de los sistemas de software,
evitando la dependencia de un
desarrollador.
Gestión de proyectos:
•Conjunto de metodologías para
planificar y dirigir los procesos de
un proyecto y las operaciones
diseñadas para lograr un
objetivo con un alcance, recursos,
inicio y final establecidos.
Usados con más frecuencia:

•ITIL
•COBIT
•ISO 27000
•CMMI
•PMBoK
ITIL
Information Technology
Infrastructure Library (Biblioteca de
Infraestructura de Tecnología de la
Información)
Creada por la Central Computer
and Telecommunications
Agency (CCTA) de Gran Bretaña.
 Gestión de servicio
 Estrategia de servicio
 Diseño de servicio
 Transición de servicio(Gestión
del Cambio)
 Operación de servicio
 Mejora Continua de Servicios
COBIT
Control Objectives for Information and
related Technology (Objetivos de control
para la información y tecnologías
relacionadas)
34 procesos agrupados en estos 4 dominios:
 Planificación y organización: Busca
cómo hacer el mejor uso de las
tecnologías para que la empresa logre
sus objetivos.
 Adquisición e Implementación: Define,
adquiere, ajusta e implementa las
tecnologías necesarias en línea con los
procesos de negocios de la empresa
 Entrega y soporte: Garantiza la
efectividad y eficiencia de los sistemas
tecnológicos en acción.
 Monitoreo: Vigila que la solución
implementada corresponda a las
necesidades de la empresa desde una
perspectiva estratégica.
ISO 27000
conjunto de estándares creados
y gestionados por la
Organización Internacional para
la Estandarización (ISO) y la
Comisión Electrónica
Internacional (IEC)
Orientadas al establecimiento
de buenas prácticas en relación
con la implantación,
mantenimiento y gestión del
Sistema de Gestión de
Seguridad de la Información
con una fuerte orientación a la
mejora continua y la mitigación
de riesgos.
CMMI
Software Capability Maturity Model
(Modelo de madurez y capacidad
en el desarrollo de software),
creado por Software Engineering
Institute (SEI).
El CMMI describe una serie de
niveles que pueden alcanzarse en
el desarrollo de software y en el que
las empresas y organizaciones
pueden certificarse:
 Inicial
 Administrado
 Definido
 Administrado cuantitativamente
 Optimizado
PMBoK
El Project Management Body
of Knowledge (PMBoK),
desarrollado por el Project
Management Institute (PMI)
Es una guía de fundamentos
para la dirección de
proyectos de cualquier tipo y
característica, que describe
de forma precisa los
conocimientos y
herramientas que necesita
conocer todo jefe de
proyecto para poder
abordar la tarea que le ha
sido encomendada.
La combinación correcta de estándares

• Identificar el objetivo de la organización.
• Identificar las regulaciones a las que está obligada a cumplir.
• Priorizar las necesidades de la organización: Seguridad, Calidad,
Entrega de servicio al cliente, Fechas de cumplimiento, etc.
• Revisar los presupuestos disponibles.
• Revisar la capacidad que queremos desarrollar en la
organización.
• Analizar las situaciones de riesgo y buscar un estándar que
ayude a disminuirlo.
• Alinear las políticas y procedimientos de la manera más

transparente y fácil de implementar para la organización.
Para reflexionar…
¿Son los estándares siempre la mejor manera de

enfrentar estas actividades?
¿En qué situaciones deberíamos prescindir de

ellos?
Para recordar…
 Es importante que la documentación relacionada con el área de TI

y el uso de sus activos sea auditada para asegurar que existen
mecanismos claros y objetivos para evitar pérdida o mala
interpretación del uso de los servicios de TI.
 Es fundamental que al menos el Gobierno de TI de la organización
esté alineado a un estándar de la industria, esto dará pie a que el
resto de la organización busque ser dirigida con buenas prácticas.
 Existe un sinfín de opciones en cuanto a estándares de TI, es
fundamental hacer un análisis de cuáles son útiles a la organización
antes de su adopción.
 Cada uno de los estándares, provee pautas de auditoría a las que
podemos o debemos alinearnos según el escenario de acción.
de la auditoria 3
Auditoría de TI
Pruebas de control y análisis de resultados

Controles de aplicación
El informe de auditoría
Pruebas de control y análisis de
resultados
El auditor debe llevar a cabo pruebas de control con el objeto de
generar y reunir evidencia sobre la efectividad operacional de los
procedimientos de control interno.
Debido a que un control puede:

 Prevenir completamente que ocurran incorrecciones en los
mecanismos que disminuyen los riesgos.
 Detectar las incorrecciones y corregirlos después de que han
ocurrido.
Las pruebas de control son un tipo especial de pruebas sustantivas.
resultados
Se realizan pruebas de control cuando:
 La valoración del riesgo se basa en la expectativa de que el
control interno opera de manera correcta (el riesgo disminuye
debido sobre todo a la existencia y ejecución correcta del control).
 Los controles por sí mismos no proporcionan evidencia de auditoría
suficiente y adecuada que pueda ser evaluada de manera
independiente al control.
Si las pruebas de control indican que los controles no operaron de

manera efectiva, el riesgo asociado al control evaluado se eleva.
resultados
En las pruebas de control se selecciona una muestra
representativa de transacciones (ya sea que exista o se
genere explícitamente para dicha prueba) para:
 Observar la operación de un procedimiento del

control interno.
 Indagar sobre cómo y cuándo se desarrolló el
procedimiento.
 Re-ejecutar la operación del procedimiento de
control y evaluar sus resultados.
resultados
El auditor utiliza cuatro tipos de actividades
para revisar la eficacia del funcionamiento de
los controles internos:
Consultas con el personal.

Examen de documentos, registros e informes.
Observación.
Repetición de los procedimientos de control.
resultados
Consultas con el personal:

• Entrevistar al personal encargado de los controles
para obtener información de su funcionamiento.
• Ejemplo:
• Determinar quién no debe acceder a un
conjunto de archivos.
• Consultar al encargado de los archivos.
• Consultar al encargado de la generación y
asignación de permisos.
resultados
Examen de documentos, registros e informes:

• Rastrear la evidencia documental de los controles en
los procedimientos y transacciones.
• Incluye verificar que todos los documentos estén
completos y que cuenten con las autorizaciones
requeridas.
• Ejemplo:
• Revisar el listado de permisos actuales de los usuarios.
• Revisar las solicitudes autorizadas del alta de usuarios y
permisos.
resultados
Observación:
• Observar directamente las actividades relacionadas con el
control para identificar si los controles fueron llevados a cabo
de manera correcta y oportuna
• Usado cuando la ejecución del control no deja evidencia
alguna de su ejecución.
• Ejemplo:
• Sistema biométrico de control de acceso antiguo que no
genera archivos de log o que por seguridad está
desconectado de la red.
• Revisar cómo se restringe / asegura el acceso a los usuarios
adecuados.
resultados
Repetición de los procedimientos de control:
• Repetir el procedimiento de control cuya documentación o

evidencia es insuficiente para que el auditor evalúe si funciona
como es debido.
• Re-ejecutar los procedimientos de control con el objetivo de
verificar si los resultados originales coinciden con los del auditor.
• Ejemplo:
• El registro de auditoría indica cada cuándo se cambia la
contraseña y quién la cambia, pero no existe evidencia de
que sea una contraseña segura.
• El auditor ejecuta un cambio de contraseña para comprobar
que los parámetros de seguridad se cumplen.
resultados
Un control debe:
 Existir como fue diseñado.
 Trabajar con eficacia.
 Trabaja con continuidad (no sólo cuando el control es
observado).
Si las pruebas de control indican que los controles no

operaron de la manera correcta, el riesgo asociado al
control evaluado se eleva.
resultados
¿Otros casos?
Escribir un ejemplo que tenga que
ver con las comunicaciones o la
protección de datos de los clientes
y comentarlo con la clase.
10 minutos.

Controles de aplicación
 Procedimientos manuales o automatizados que

operan a nivel de procesos de gestión y que se
aplican al procesamiento de las transacciones
mediante aplicaciones informáticas específicas.
 Buscan asegurar razonablemente que todas las
transacciones:
Son autorizadas y registradas.
Son procesadas de forma completa, adecuada y
oportuna.
Generan resultados cuya exactitud está garantizada.
El objetivo general de los controles de

aplicación es:
Proporcionar una seguridad razonable de
que las transacciones y los datos son
completos, exactos y válidos y que se ha
cumplido con la legalidad aplicable en la
gestión de las transacciones de todas las
operaciones del negocio.
Ejemplos:
•Comprobación de la exactitud
aritmética de los registros.
•Filtros de datos de entrada.
•Comprobación de secuencias
numéricas.
•Comprobación de cálculos sensibles
para el negocio.
Clasificación:
• Controles de completitud.
• Controles de exactitud.
• Controles de validez.
• Controles de legalidad.
• Controles de integridad.
• Controles de confidencialidad.
• Controles de disponibilidad.
Completitud:
• Todas las transacciones son registradas.
• Las transacciones válidas son procesadas.
• Las transacciones aceptadas son
procesadas solo una vez y de manera
completa.
• Las transacciones rechazadas son
identificadas.
Exactitud:
• Las transacciones:
• Se guardan con fecha y datos
correctos.
• Se guardan en el tiempo oportuno y en
el momento adecuado.
• Las entradas se procesan de manera
adecuada y producen resultados
fiables.
Validez:
•Las transacciones:
•Han ocurrido realmente.
•Corresponden a la entidad que los contiene.
•Han sido adecuadamente aprobadas.
•Producen salidas que contienen solo datos
válidos.
•Contienen solo información auténtica y fiable.
Legalidad:
• Las operaciones han sido tratadas en el
marco de las leyes vigentes y las cumplen.
Integridad:
• La información se guarda de manera segura.
• La información no puede ser alterada o
manipulada por personas no autorizadas.
Confidencialidad:
• Los datos, informes o cualquier otra salida de los
procesos de aplicación no puede ser consultada o
accedida por personas no autorizadas.
Disponibilidad:
• Los datos, informes o cualquier otra información es
accesible a los usuarios cuando estos la necesitan.
• Existen los mecanismos adecuados y son
conocidos por los usuarios involucrados.
Áreas específicas para los controles de
aplicación
Controles sobre
Controles de
el Controles de
entrada de
procesamiento salida
datos
de datos
Controles sobre
Controles sobre
los datos
las interfaces
maestros
Controles de entrada de datos
• Objetivos:
• La entrada de datos se realiza en el tiempo oportuno y
por el personal o proceso autorizados.
• Los datos introducidos son completos, exactos y
válidos.
• Los errores y las anomalías de captura y registro son
identificados, documentados, comunicados y
corregidos en el tiempo oportuno, por personas con la
adecuada autorización.
• La confidencialidad de los datos está adecuadamente
protegida desde la captura inicial.
Controles de entrada de datos
• Ejemplos:
• Las personas responsables de la captura de datos se
pueden identificar unívocamente dentro del sistema.
• Los formularios de captura de datos son comprensibles.
• Existen procesos de identificación y tratamiento de
errores desde los momentos iniciales de la captura.
• La información de los procesos de negocio existe de
manera digital, ya sea que se capture directamente o
se genere oportunamente.
• Máscaras de entrada de valores comprensibles y
amigables.
• Captura doble de valores importantes.
Controles sobre el procesamiento de datos
• Objetivos:
• Las transacciones son procesadas de forma exacta,
completa y oportuna.
• Las transacciones no son objeto de pérdida,
duplicación, manipulación o alteración.
• La exhaustividad, exactitud y validez del
procesamiento realizado son verificados según un
procedimiento de rutina.
• Los errores de procesamiento son identificados
rápidamente y documentados y corregidos en las
ventanas de tiempo adecuadas.
Controles sobre el procesamiento de datos
• Ejemplos:
• La aplicación está diseñada para procesar los datos
con la mínima intervención manual.
• La separación de funciones está garantizada incluso
durante el procesamiento de los datos.
• Las transacciones generadas automáticamente por la
aplicación son objeto de los mismos controles de
exhaustividad, exactitud y validez que las
transacciones aisladas.
• Las decisiones importantes basadas en cálculos
automáticos son adoptadas y verificadas por personas.
• Se puede comparar los datos tratados en el sistema
con confirmaciones externas.
Controles de salida
• Objetivos:
• Los resultados del procesamiento son completos y
exactos.
• El acceso a los datos de salida del sistema está
restringido al personal autorizado.
• Los datos de salida del sistema llegan al personal
autorizado en el tiempo oportuno y de conformidad
con los procedimientos definidos.
Controles de salida
• Ejemplos:
• Los controles de envío y recepción regulan las
modalidades de comunicación de las salidas (quién,
cuándo, qué, cómo y qué cantidad).
• Se garantiza la trazabilidad de los accesos de los
usuarios a consultas en pantalla o a listados.
• Los controles de numeración y de exhaustividad
garantizan que la gestión, edición, restitución,
recepción y destrucción de salidas críticas se efectúan
de conformidad con los procedimientos establecidos.
Controles sobre los datos maestros
• Los datos maestros son los datos permanentes utilizados

por múltiples aplicaciones y participan en la correcta
ejecución del procesamiento de datos realizados por las
aplicaciones.
• El mantenimiento de su integridad es un elemento crítico
para la correcta ejecución de la aplicación.
• Objetivos:
• Las modificaciones deben ser realizadas por personas
autorizadas, de forma exacta y completa.
• Las modificaciones deben ser registradas y archivadas
de forma que se mantenga la pista de auditoría (log).
Controles sobre los datos maestros
• Ejemplos:
• Existen procedimientos para las modificaciones de los
datos personales y bancarios de los empleados.
• Las actualizaciones se realizan de forma simultánea en
todo el sistema de información.
• Sólo las personas autorizadas pueden modificarlos.
• Se mantiene un registro histórico de todos los cambios
en los datos maestros incluyendo quién los realizó y
cuándo.
Las interfaces
Las interfaces
Las interfaces
 Raras veces una organización utiliza un único sistema para gestionar todos sus
procesos e información.
 Las interfaces se crean para permitir a la información pasar de una aplicación
o sistema a otro.
 Las interfaces manuales presentan un mayor riesgo de errores (de captura de
datos, omisión de operaciones, duplicados, etc.) que las automáticas.
 En las interfaces automáticas debe comprobarse la existencia de logs o
informes que permitan comprobar la correcta ejecución del procesamiento.
 Los informes deben poder ser analizados y ser capaces de dar lugar a las
acciones correctivas que procedan.
 La fiabilidad de una interfaz se analiza estudiando las condiciones de
implementación, de funcionamiento y de actualización. A priori una interfaz
nueva, no testeada completamente, tiene más posibilidades de funcionar mal.
 Los controles de interfaz son aquellos diseñados para el procesamiento de
información oportuno, exacto y completo entre aplicaciones y otros sistemas
emisores y receptores de información.
Controles sobre las interfaces
• Objetivos:
• Implementar una estrategia y diseño eficaces.
• La interfaz se ejecuta completamente, con exactitud,
solo una vez y en el periodo adecuado.
• Los errores de la interfaz son rechazados, identificados y
corregidos con prontitud.
• El acceso a los datos y procesos de la interfaz está
adecuadamente restringido.
• Los datos son fiables y se obtienen únicamente de
fuentes autorizadas.
• Objetivos:
• La autenticidad y la integridad de las informaciones
provenientes de fuentes externas a la organización son
controladas cuidadosamente antes de emprender
cualquier acción potencialmente crítica,
independientemente del medio de recepción.
• Las informaciones sensibles están protegidas durante su
transmisión por medidas adecuadas contra accesos no
autorizados, modificaciones o envío a destinatarios
erróneos.
• Ejemplos:
• Las interfaces son identificadas solo de manera
unidireccional.
• Los archivos generados por una interfaz (entrante o
saliente) son encriptados y protegidos contra accesos
no autorizados o modificaciones.
• Existen procedimientos para asegurar que todos los
archivos enviados por el sistema origen han sido
recibidos por el sistema destino.
• Los datos transmitidos son reconciliados entre las
aplicaciones de origen y destino para asegurar que la
interfaz es completa y exacta.
EJERCICIO (15 minutos):
A partir del escenario de negocio correspondiente, identifica 1 control de

aplicación para cada una de las 5 áreas específicas (entrada de datos,
procesamiento de datos, salida de datos, datos maestros e interfaces).
Escenario 1 (desde Barrientos hasta López):

 Escuela primaria privada con 2 campus en el país.
Escenario 2 (desde Marroquín hasta Sarmiento):

 Empresa de distribución de refacciones automotrices con 5 sucursales en
el país.
Evaluación corta
Tomando como referencia el caso de estudio del Mindwest

Health System:
 Indica al menos 4 interfaces entre sistemas, el tipo de

información que compartirían y su direccionalidad.
 Indica 1 control de aplicación para cada una de las 5
áreas específicas revisadas en clase.
 Elige 1 de los controles de aplicación identificados y
menciona qué estándar de TI se podría utilizar como
marco de referencia para auditarlo y por qué razón.
Evaluación corta
Evaluación corta
Configuración de evaluaciones
Actividad Cantidad Ponderación Pond. individual
Tareas 5 20 4
Evaluaciones cortas 2 30 15
• Controles
• Controles de aplicación
Evaluaciones parciales 2 30 15
• Planeación
• {Pendiente}
Evaluación final 1 20 20

El informe de auditoría
Informe de auditoría
 Documento formal que prepara el auditor con las
conclusiones obtenidas luego de los trabajos de auditoría.
 Va dirigido a la Gerencia interesada.
 Está escrito en un lenguaje natural para la Gerencia y desde
una perspectiva de negocio.
 Se escribe luego de establecer acuerdos y desarrollar planes
de acción derivados de la discusión de las desviaciones.
Una vez aplicados los instrumentos de auditoría y
registradas las desviaciones encontradas…
Revisar las desviaciones con los involucrados
Jerarquizar las desviaciones aceptadas en los

formatos correctos
Comentar las conclusiones con la gerencia de TI y

confirmar causas y soluciones
Elaborar el informe final de auditoría
Presentar el informe final a la Dirección
Revisando las desviaciones
• Entrevista con los involucrados en la desviación

del control o el efecto del riesgo.
• Explicar claramente la desviación encontrada.
• Basarse en los hechos presentados en el
informe.
• Hacer recomendaciones realistas y lo más
eficientes posible.
• Desarrollar planes de acción para corregir las
desviaciones y registrarlos para darles
seguimiento.
Aunque no existe un formato estándar, hay lineamientos
generales para la estructura del informe…
Introducción
Objetivos, alcance y limitaciones
Periodo cubierto
Hallazgos principales
Riesgos
Conclusiones y recomendaciones
Detalle de los hallazgos y anexos
Ejemplo de carátula
• Identificadores de la
empresa.
• Fecha del informe.
• Nombre y cargo de quién
recibe.
• Empresa o área auditada.
• Periodo de la evaluación.
• Resumen de alcance y
objetivo de la auditoría.
• Nombre y firma del auditor.
Ejemplo
Errores comunes:
 Utilizar en la presentación lenguaje técnico comprensible
para el personal operativo, pero alejado del lenguaje de
negocio que usa la Gerencia.
 Presentar una lista muy grande de “hallazgos principales”.
 No centrar la presentación de los resultados dentro del
marco del objetivo, alcance y limitaciones de la auditoría.
 Escribir las recomendaciones como órdenes en lugar de
presentar sugerencias.
 No presentar actividades de mejora (auditorías externas) o
plan de seguimiento (auditorías internas).
Para recordar…
 Las pruebas de control buscan asegura la efectividad operacional

de los procedimientos de control interno
 Los controles de aplicación sustentan las operaciones de la
organización.
 Las interfaces son el mecanismo con el cuál los sistemas se
comunican entre sí de manera automática la mayoría de las
veces.
 Los controles de aplicación son soportados por los controles
generales de TI; si los segundo fallan, los primeros no son confiables.
 El informe de auditoría debe ser escrito y presentado en el lenguaje
de la Gerencia y mostrar un claro panorama de los hallazgos y
riesgos identificados.
Auditando
Auditoría de TI
Proceso de desarrollo de software

Proceso de administración de cambios
Proceso de desarrollo de software
¿Por qué desarrollar un nuevo software en la

organización?
Nueva oportunidad en los procesos de

negocio.
Problemas con los procesos actuales.
Nueva oportunidad tecnológica.
Problemas con la tecnología actual.
6
1
Mantenimi
Planeación
ento
5 Pruebas e
2 Análisis
integración
4
Implement 3 Diseño
ación
1 Planeación
•Factibilidad
2 Análisis
•Requerimientos
3 Diseño
•3A Diseño / 3B Selección
4 Implementación Interno Externo

•4A Desarrollo / 4B Configuración
¿Cuál es la 5 Pruebas e integración

fase más •Implementación
importante? 6 Mantenimiento
•Post implementación
1 Factibilidad
• Factibilidad operacional.
• Factibilidad técnica.
• Factibilidad económica.
2 Requerimientos
• Identificar y especificar requerimientos de negocio.

• Interacción con los usuarios.
• Condiciones operacionales.
• Información necesaria.
3A Diseño
• Desarrollo interno.
• Arquitectura.
• Tecnología.
• Requerimientos no funcionales.
3B Selección
• Desarrollo externo.
• ¿Desarrollar un nuevo sistema?
• ¿Comprar un sistema útil?
• ¿Cómo elegimos al proveedor?
• ¿Qué tipo de acuerdo de garantía se necesita?
• ¿Qué se va a entregar (código, manuales,
capacitación? Auditoría de sistemas
4A Desarrollo
• Desarrollo interno (asegurando que se incluyen validaciones de datos).
• Plan de pruebas.
• Ejecución de pruebas.
• Unit test.
• Integration test.
• System test.
• Pruebas de aceptación.
4B Configuración
• Instalación y configuración.
• Asegurar los controles de entrada (validaciones de datos).
• Capacitación.
• Pruebas con los usuarios (similar a las pruebas de aceptación).
Validaciones de datos
•Comprobación de secuencias.
•Comprobación de límites.
•Verificación de rangos.
•Verificación de validez.
•Comprobación de integridad.
•Comprobación de duplicados.
4A Desarrollo
• Desarrollo interno (asegurando que se incluyen validaciones de datos).
• Plan de pruebas.
• Ejecución de pruebas.
• Unit test.
• Integration test.
• System test.
• Pruebas de aceptación.
4B Configuración
• Instalación y configuración.
• Asegurar los controles de entrada (validaciones de datos).
• Capacitación.
• Pruebas con los usuarios (similar a las pruebas de aceptación).
5 Implementación
• ¿Cómo y cuándo implementar el cambio?
• Se trata de un asunto de costo y de riesgo.
• Estrategias de gestión:
• Cambio paralelo.
• Cambio por fases.
• Cambio abrupto.
Implementación - Cambio paralelo
Sistema Sistema
base nuevo
• Riesgo: Bajo.
• Costo: Alto.
• Limitaciones: Recursos disponibles.
Implementación - Cambio por fases
Sistema Sistema
base nuevo
• Riesgo: Depende de la interrelación de los módulos.

• Costo: Depende del número de módulos.
• Limitaciones: Muchos sistemas no pueden ser separados
de manera efectiva (gran acoplamiento).
Implementación - Cambio abrupto
Sistema
Sistema
nuevo
base
• Riesgo: Alto.
• Costo: Bajo.
• Limitaciones: El momento en que el reemplazo debe ser
echo es al final de un ciclo de negocio o seguimiento.
• La experiencia de los desarrolladores debería ser alta.
6 Post implementación
• Hacer cambios mayores al sistema una vez que está

funcionando.
• Revisar la satisfacción de los usuarios y las
regulaciones aprox. 6 meses luego de que el sistema
fue implementado.
• Poner especial interés en los comentarios de los
usuarios finales.
• Asegurarse de que las regulaciones se cumplen.
• Recopilar una lista de características nuevas que se
pudieran desarrollar. Auditoría de sistemas
Los riesgos del proceso de desarrollo de software

• El mayor riesgo es que no se cumplan los objetivos,
requerimientos y expectativas de los usuarios.
• Puede ser técnicamente correcto, pero no es capaz de
cumplir la regulación o los usuarios no se sienten cómodos
al usarlo.
• La regulación cambia.
• Los usuarios piden más funcionalidad una vez que se
implementó el sistema.
Los riesgos del proceso de desarrollo de software

• Otras fuentes de riesgo:
• Riesgos asociados al proyecto.
• Riesgos asociados a los proveedores.
• Riesgos asociados a la organización.
• Riesgos asociados al negocio.
Proceso de desarrollo de software

Proceso de administración de cambios
Proceso de administración de cambios
Entorno de desarrollo
Repositorio Entorno de
de versiones pruebas
Entorno de producción
El proceso de administración de cambios

inicia cuando una autorización del cambio
se produce.
Debe existir una metodología para priorizar

y aprobar las solicitudes de cambio que son
requeridas por los usuarios.
Registro de auditoría
Implementar el cambio Documentar la nueva

Solicitar un cambio
si fue aprobado configuración
Aprobar la solicitud de Presentar los resultados

cambio del cambio al CCC
Documentar la solicitud Probar el cambio

de cambio propuesto
Registro del cambio
- Solicitar el cambio
- Aprobar la solicitud Entorno de producción
- Documentar la solicitud
- Probar el cambio propuesto Registro del cambio
- Presentar el cambio al CCC Entorno de producción
- Implementar el cambio si
fue aprobado
- Documentar la nueva
configuración
El proceso de emergencia de
administración de cambios inicia cuando
una problema grave se produce y no
puede ser tratado de manera normal.
Id de emergencia
Id de emergencia
Entorno de Entorno de
producción emergencia
Para recordar…
 El proceso de desarrollo de software puede ser

ejecutado interna o externamente.
 Cualquier desarrollo de software debe ser
analizado para iniciar.
 Es necesario identificar los riesgos asociados al
desarrollo elegido e implementar los controles
adecuados para reducirlos.
 Es fundamental tener un proceso de control de
cambios implementado y un proceso de
emergencia.
de la auditoria 4
Auditoría de TI
Informe de auditoría
 Documento formal que prepara el auditor con las
conclusiones obtenidas luego de los trabajos de auditoría.
 Va dirigido a la Gerencia interesada.
 Está escrito en un lenguaje natural para la Gerencia y desde
una perspectiva de negocio.
 Se escribe luego de establecer acuerdos y desarrollar planes
de acción derivados de la discusión de las desviaciones.
Una vez aplicados los instrumentos de auditoría y
registradas las desviaciones encontradas…
Revisar las desviaciones con los involucrados
Jerarquizar las desviaciones aceptadas en los

formatos correctos
Comentar las conclusiones con la gerencia de TI y

confirmar causas y soluciones
Elaborar el informe final de auditoría
Presentar el informe final a la Dirección
Aunque no existe un formato estándar, hay lineamientos
generales para la estructura del informe…
Introducción
Objetivos, alcance y limitaciones
Periodo cubierto
Hallazgos principales
Riesgos
Conclusiones y recomendaciones
Detalle de los hallazgos y anexos
Ejemplo de carátula
• Identificadores de la
empresa.
• Fecha del informe.
• Nombre y cargo de quién
recibe.
• Empresa o área auditada.
• Periodo de la evaluación.
• Resumen de alcance y
objetivo de la auditoría.
• Nombre y firma del auditor.
Ejemplo
Errores comunes:
 Utilizar en la presentación lenguaje técnico comprensible
para el personal operativo, pero alejado del lenguaje de
negocio que usa la Gerencia.
 Presentar una lista muy grande de “hallazgos principales”.
 No centrar la presentación de los resultados dentro del
marco del objetivo, alcance y limitaciones de la auditoría.
 Escribir las recomendaciones como órdenes en lugar de
presentar sugerencias.
 No presentar actividades de mejora (auditorías externas) o
plan de seguimiento (auditorías internas).
Auditando
Auditoría de TI
Auditando
Validaciones de cumplimiento y pruebas

sustantivas (ejercicios)
Mini test de repaso
Seguridad
Validaciones de cumplimiento y
pruebas sustantivas
Validaciones de cumplimiento
Revisar: Cumplimiento de políticas, procedimientos, leyes y regulaciones.

Evidencia: Probar el cumplimiento de los controles.
Pruebas sustantivas
Revisar: Funcionamiento de un control exhaustiva y detalladamente.

Evidencia: Evaluar la información relevante para el control.
Prevista Auxiliar
Creada en la planeación. Creada durante la ejecución.

Cuando es claro que un Cuando un control falla en la
control falta o es débil. validación de cumplimiento.
pruebas sustantivas
Tipos de hallazgos
Mayor Mayor Mayor
Menor Menor Menor Menor Menor Menor
Observaciones
pruebas sustantivas
Ejemplo de validación de cumplimiento:
Verificar si el Departamento de TI es
funcionalmente independiente de los
demás departamentos de la organización
para asegurar la equidad de los servicios
y evitar injerencias administrativas y
operativas en el manejo de la
información y los activos de TI.
pruebas sustantivas
Procedimiento:
pruebas sustantivas
Ejemplo de pruebas sustantivas:
Verificar si a falta de un organigrama de
la empresa, han existido duplicidad de
funciones, problemas de autoridad,
funciones incompatibles, distorsión de la
información o dificultades para lograr los
objetivos de la organización.
pruebas sustantivas
Procedimiento:
pruebas sustantivas
Asegurar que el personal reclutado,
seleccionado y contratado sea el
adecuado para el Departamento de
sistemas.
pruebas sustantivas
pruebas sustantivas
pruebas sustantivas
Ejemplo de pruebas sustantivas:
Determinar los efectos negativos de la
contratación de personal en el
Departamento de sistemas.
pruebas sustantivas
pruebas sustantivas
Ejemplo del caso de estudio:
Tabla 7
Proceso: Cargos en farmacia
pruebas sustantivas
pruebas sustantivas
Ejemplo de prueba sustantiva:
pruebas sustantivas
Ejercicio:
 Desarrolla los procedimientos de ejecución claros y repetibles de
una validación de cumplimiento y una prueba sustantiva para el
siguiente caso:
 Proceso: Las cuentas incobrables son canceladas después de un
intento fallido por parte de la agencia de cobranza.
 Riesgo: Las cuentas pueden son canceladas incorrectamente,
porque las remesas de la agencia de cobranza fueron desviadas o
fueron reportadas incorrectamente.
 Control: Dependiendo del monto, se requieren diferentes niveles de
autorización para cancelar las cuentas.
Auditando

Seguridad
Mini test de repaso
Evaluación parcial 2
Auditando

Seguridad
Seguridad
La ISO define un Sistema de gestión de

seguridad de la información como:
El marco de políticas, procedimientos y
directrices para establecer y mantener la
seguridad de la información en cualquier
tipo de información.
Los estándares más usados para gestionar y
validar el cumplimiento de estas prácticas
son: ISO/IEC 27000.
Seguridad
Componentes de un Sistema de gestión de seguridad de la

información:
 Liderazgo, compromiso y respaldado por la alta dirección.
 Políticas y procedimientos orientados a la seguridad.
 Funciones, recursos y responsabilidades alineados a las
políticas.
 Personal concientizado y capacitado en los temas de
seguridad.
 Monitoreo del cumplimiento de las políticas y controles.
 Procedimientos de tratamiento y respuesta de incidentes.
Seguridad
Seguridad
Seguridad
Principales amenazas
Repercusiones
Pérdidas Repercusiones
en la
financieras legales
reputación
Revelación de
información Chantaje Sabotaje
confidencial
Seguridad
Principales actores
Personal de
Hackers Crackers Empleados
TI
Usuarios Ex Interesados Personal

finales empleados externos temporal
Terceros
con acceso
Seguridad
Métodos de ataque más comunes

Ataque de Ingeniería
Bots DoS
fuerza bruta social
Escuchas Man in the

Spam Troyanos
ilegales middle
Phishing Virus
Seguridad
Lugares que es necesario proteger

Seguridad de la red
Seguridad de internet
Seguridad de terminales
Seguridad de la nube
Seguridad de las aplicaciones
Seguridad
Métodos de defensa más comunes

Antivirus
Contraseñas seguras
Parches y actualizaciones
Configuración de servicios indispensables
Copias de respaldo
Pruebas de software
Firewalls, Intrusion detection systems, Intrusion prevention systems
Seguridad
Seguridad
Ejemplo…
Contexto.
La organización debe cambiar su manera de
trabajar para hacer Home office.
Amenaza de seguridad.
Un usuario no autorizado pude acceder desde
una ubicación remota.
¿Cómo nos protegemos?
¿?
Para recordar…
 La seguridad de TI es un área sensible y se deben

dedicar los recursos adecuados a ella.
 Uno de los ataques más difíciles de controlar es la
ingeniería social.
 Uno de los lugares más difíciles de proteger son las
aplicaciones en la nube.
 Los IDS e IPS son mecanismos que deberían estar
implementados en casi todas las organizaciones.
Ética del auditor
Auditoría de TI
Ética del auditor
Principios del auditor

Criterios y responsabilidades del auditor
Actitud del auditor
Buenas prácticas del auditor
Principios del auditor
Principios de auditoría con respecto al auditor:
Ética del auditor

Criterios y responsabilidades
Aspectos ético - Aspectos

morales profesionales
Aspectos
Aspectos
legales -
personales
normativos
Ética del auditor

Actitud del auditor
Comportamiento indispensable:
Actitud del auditor
Comportamiento indispensable:
Ética del auditor

Buenas prácticas del auditor
Estar atento a:
Para recordar…
 La auditoría de TI debe buscar siempre mejorar a la

organización: No basta indicar los fallos, hay que promover la
búsqueda de soluciones.
 El auditor tiene un papel fundamental en la revisión del
trabajo de todos en la organización y por lo tanto su ética
debe ser intachable.
 Las auditorías internas o externas pueden ser utilizadas en
procesos legales al menos como evidencia referencial.
 Es importante mantenerse actualizado en las nuevas
prácticas de la auditoría de TI y tener el equipo suficiente y
adecuado para su ejecución.

S1 - Conceptos Generales de Auditoría-Fusionado

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

S1 - Conceptos Generales de Auditoría-Fusionado

Cargado por

Copyright:

Formatos disponibles

Conceptos generales de

Conceptos básicos de auditoría

Auditor era Revisar la

Operaciones La auditoría era

Es la revisión independiente de alguna o

Tipos de auditoría por área

Recoger Agrupar Evaluar

Para determinar si los sistemas de información

•Evaluar los recursos informáticos y los

• Activos informáticos (físicos y lógicos).

• Existen los controles adecuados.

Auditoría de sistemas procura

Disponibilidad Integridad Veracidad Privacidad

•Área interna de la organización.

Entendimiento Evaluación de Planeación de

Instrumentos de recopilación de datos:

 Una auditoría busca siempre la mejora de las

¿Qué problemas enfrenta de manera común

Es muy importante saber cómo lo sistemas

Entender la finalidad del control.

Riesgo: Fuego en las instalaciones

•¿Qué controles deben ser implementados?

Controles para reducir los riesgo

• ¿Cuántos y cuáles controles deben ser

• Regla general: Prevenir lo más posible,

 Identificadores biométricos a la entrada de los

Entendimiento Evaluación de Planeación de

Existen controles preventivos, de detección y

Cuidar los ítems de la rúbrica de

¿Qué se entiende como “riesgo”?

¿Por qué tomamos riesgos?

Amenaza Impacto Probabilidad

•¿Cuál de todas es la mayor amenaza?

Los recursos de una organización son

Paso 1 – Definir el impacto.

Ejercicio: Definir el impacto de los riesgo

Paso 2 – Definir la probabilidad.

Paso 3 – Crear la matriz de riesgos

Paso 3 – Crear la matriz de riesgos

Paso 4 – Evaluar los riesgos

3 3 6 9 12 15 15 – 25 Riesgo alto (Requiere

Reduciendo el riesgo: Ataque vía cyber-hacking.

Reduciendo el riesgo: Ataque vía cyber-hacking.

Reduciendo el riesgo: Ataque vía cyber-hacking.

Reduciendo el riesgo: Ataque vía cyber-hacking.

Reduciendo el riesgo: Ataque vía cyber-hacking.

Evaluar los riesgos

Re-evaluar los Controlar los

• Cada 6-12 meses.

 Es mejor (y más barato) identificar y controlar los riesgos.

El proceso de auditoría

Recabar evidencia para evaluar las fortalezas y

Entender las áreas sujetas a auditoría

Entender las áreas sujetas a auditoría

Ejecutar un análisis de riesgos

El plan general de auditoría

El plan detallado de auditoría

Ejecutar validaciones de cumplimiento

Ejecutar pruebas sustantivas

Presentar y discutir desviaciones

Elaborar el informe de auditoría

Presentar el informe de auditoría

Dar seguimiento a las acciones establecidas