PROCESO DE AUDITORA

DE SISTEMAS

Mg. Rmulo Lomparte, CISA, CRISC, CGEIT, CISM, Cobit 5 Foundations, IRCA, ISO 27002, CRMA
CONTENIDO
1. Definicin
2. Objetivos
3. Gestin de la funcin de auditora de SI
4. Estndares y directrices de auditora de SI
5. Anlisis de riesgos
6. Controles internos
7. Realizacin de una auditora de SI
8. Autoevaluacin del control
9. Cambios emergentes en el proceso de auditora de SI
10. Examen
CONTENIDO
1. Definicin
2. Objetivos
3. Gestin de la funcin de auditora de SI
4. Estndares y directrices de auditora de SI
5. Anlisis de riesgos
6. Controles internos
7. Realizacin de una auditora de SI
8. Autoevaluacin del control
9. Cambios emergentes en el proceso de auditora de SI
10. Examen
1. Definicin
EL PROCESO DE AUDITORA DE SISTEMAS DE INFORMACIN ES
EL QUE ABARCA TODA LA PRCTICA DE AUDITORA,
INCLUYENDO PROCEDIMIENTOS Y UNA EXHAUSTIVA
METODOLOGA, QUE PERMITE A UN AUDITOR REALIZAR UNA
EVALUACIN SOBRE CUALQUIER REA DE TI EN FORMA
PROFESIONAL.
Concepto de Auditora de Sistemas

Es el examen o revisin de carcter objetivo (independiente),

crtico(evidencia), sistemtico (normas), selectivo (muestras) de las polticas,
normas, prcticas, funciones, procesos, procedimientos e informes
relacionados con los sistemas de informacin computarizados, con el fin de
emitir una opinin profesional (imparcial) con respecto a:

Eficiencia en el uso de los recursos informticos

Validez de la informacin
Efectividad de los controles establecidos
2. Objetivos
GARANTIZAR LOS CONOCIMIENTOS NECESARIOS PARA
PROPORCIONAR SERVICIOS DE AUDITORA DE CONFORMIDAD
CON LOS ESTNDARES DE AUDITORA DE TI, APOYANDO AS A
LA ORGANIZACIN EN LA PROTECCIN Y CONTROL DE LOS
SISTEMAS DE INFORMACIN.
3. Gestin de la funcin de auditora de SI
LA FUNCIN DE AUDITORA DEBE SER GESTIONADA Y
CONDUCIDA EN UNA FORMA QUE ASEGURE QUE LAS DIVERSAS
TAREAS REALIZADAS Y LOGRADAS POR EL EQUIPO DE
AUDITORA CUMPLIRN CON LOS OBJETIVOS DE LA
AUDITORA, MIENTRAS SE PRESERVA LA INDEPENDENCIA Y
COMPETENCIA.
3. Gestin de la funcin de auditora de SI
3.1 Organizacin de la funcin de auditora de SI

Los servicios pueden ser provistos interna o externamente.

El rol de auditora de SI debe establecerse en un estatuto de auditora,

aprobado por la alta direccin.

Si los servicios son provistos por una firma externa, el alcance y los
objetivos deben ser documentados en un contrato formal.

La funcin de auditora debe ser independiente.

 3.1 Organizacin de la funcin de auditora de SI

Auditor informtico es auditor y consultor de la empresa en materia de:

Seguridad, Control interno operativo, Eficiencia y eficacia, Tecnologa

informtica, Gestin de riesgos, etc.

La concepcin tpica de la funcin de Auditora Informtica es dentro de la

funcin de Auditora Interna

Nacimiento histrico de la auditora informtica

Dificultad de separar el elemento informtico de la auditora operativa y

financiera
3.2 Gestin de los recursos de auditora de SI

El auditor de TI debe mantener actualizadas sus competencias.

Se debe tomar en cuenta las habilidades y conocimientos cuando se

planifiquen las auditoras.

La gerencia de auditora debe proporcionar los recursos de TI

necesarios y garantizar una capacitacin alineada a las necesidades de
la organizacin.
3.3 Planificacin de la auditora

Planificacin anual

Asignacin de auditora individual

 Cmo realizar una Auditora de SI ?

TOMA DE CONTACTO: momento en que la organizacin se da cuenta de su

necesidad de auditora y procede a llamar al auditor.

PLANIFICACIN DE LA OPERACIN: determina los objetivos, las fechas,

mbitos de estudios y posibles problemas, inventario de puntos a estudiar,

DESARROLLO DE LA AUDITORA: Su objetivo es buscar evidencias que

puedan conducir a conclusiones certeras en el diagnstico.
 Fase de planificacin

Las normas tcnicas de auditora indican que el trabajo se planificar

adecuadamente. Para ello es necesario conocer la entidad y su entorno,
principios y procedimientos contables que sigue y el grado de fiabilidad del
sistema de control interno.

La planificacin es la fase ms importante del trabajo de auditora porque en

ella se deben preveer los pasos a seguir en su desarrollo

Para que sea eficaz debe cumplir unos principios:

1. Precisin - Las acciones previstas deben estar planteadas
concretamente
2. Flexibilidad - Fcil adaptacin a imprevistos
3. Unidad - Las acciones previstas deben estar coordinadas
 Fase de planificacin (continuacin)

Conocimiento de la entidad auditada y del entorno en el que opera para

identificar las reas ms significativas

Conocimiento de los procedimientos y principios contables

Revisin analtica preliminar: prueba basada en el anlisis econmico-

financiero de las ctas anuales para comprobar la coherencia entre
diferentes partidas del balance y de la cta de resultados (ratios,
diferencias, ndices etc)

Conocimiento del grado de fiabilidad y eficacia del sistema de control

interno
 Identificacin de reas significativas

Durante la fase de planificacin, el auditor obtiene informacin que le

permitir detectar las reas de trabajo ms significativas, a las cuales deber
prestar ms atencin debido a:

La importancia cuantitativa

La transcendencia para la continuidad

Probabilidad de que se cometan errores

La implicacin legal que tenga para la empresa.

3.4 Efecto de las leyes y regulaciones en la planificacin

Las regulaciones podran impactar en la forma en que los datos se

procesan, transmiten o almacenas.

Leyes y regulaciones de privacidad.

Ley Sarbanes Oxley (SOX): SEC COSO COBIT.

Basilea II: Riesgo crediticio, Riesgo operacional y Riesgo de mercado.

Otras leyes y regulaciones.

Consideracin de las leyes y regulaciones

Cules consideras son

las consideraciones
que debemos tener?

18
 Consideracin de las leyes y regulaciones

Consideraciones que debemos tener:

Monitoreo de requisitos legales y de asegurar que se diseen
procedimientos operativos para dar cumplimiento a estos requerimientos

Instituir y operar un control interno apropiado

Desarrollar, publicar y seguir un cdigo de tica de buen gobierno.

Asegurar que los empleados estn bien entrenados y que entiendan el

cdigo de tica de buen gobierno

19
 Consideracin de las leyes y regulaciones

Consideraciones que debemos tener:

Monitorear el cumplimiento del tica de buen gobierno y de actuar
apropiadamente para disciplinar los empleados que fallan en el
cumplimiento del mismo

Emplear consejeros legales para asistir en el monitoreo de los requisitos

legales

Mantener un registro de leyes importantes con las que tiene que cumplir
la entidad dentro de su industria en particular conjuntamente con un
registro de las quejas.

20
 Consideracin de las leyes y regulaciones

Responsabilidad de los auditores

El auditor no necesita ser un experto en todas las leyes o regulaciones con

las que tiene que cumplir la entidad. Sin embargo, el auditor debe obtener
un entendimiento general del marco legal y regulatorio aplicable a la
entidad y a la industria, y como la entidad est cumpliendo con ese
marco.

21
 Consideracin de las leyes y regulaciones

Impacto en la Auditora:
Ejemplos de incremento de riesgo por el no cumplimiento de leyes y
regulaciones puede incluir:

- Una entidad operando en un ambiente ampliamente regulado

- Donde actos ilegales han ocurrido en el pasado
- Donde existe una causa considerable de preocupacin del periodo actual

22
4. Estndares y directrices de auditora

4.1 Cdigo de tica profesional.

4.2 Marco general de estndares.

4.3 Directrices de auditora de TI.

5. Anlisis de riesgos
ES PARTE DE LA PLANIFICACIN DE AUDITORA Y AYUDA A IDENTIFICAR LOS
RIESGOS Y VULNERABILIDADES PARA QUE EL AUDITOR DE SI PUEDA
DETERMINAR LOS CONTROLES NECESARIOS PARA MITIGARLOS.

Establecer el Anlisis y Tratar riesgos,

Contexto e Evaluacin de Monitorear y
Identificar los los Riesgos comunicar
riesgos

Riesgo:

Potencial de que una amenaza determinada explote las vulnerabilidades de

un activo o grupo de activos y ocasiones prdida o dao a la organizacin.
(ISO/IEC PDTR 13335-1)
5.1 Riesgos de TI relacionados al negocio

Se debe tener conocimiento de los riesgos comunes del negocio, riesgos

de TI y controles relevantes; as como evaluar y valorar dichos riesgos.

Comprender:

El propsito y la naturaleza del negocio y los riesgos relacionados.

Dependencia en la tecnologa que procesa la informacin del negocio.
Los riesgos de usar TI que impactan en el logro de las metas y objetivos
del negocio.
Visin general de los procesos del negocio y los riesgos asociados a sus
objetivos.
5.2 Risk IT

Basado en un conjunto de principios con la finalidad de ayudar a las

organizaciones a gestionar los riesgos relacionados a TI.

Permite:

Integrar la gestin de riesgos de TI a la gestin de riesgos corporativa.

Tomar decisiones informadas sobre la magnitud, aversin y tolerancia
al riesgo.
Comprender cmo responder al riesgo.
5.3 Proceso de evaluacin de riesgos
40