Universidad nacional

de
“Chimborazo”

Facultad de ingeniería
Carrea de sistemas y computación

CONSULTORIA Y AUDITORIA INFORMÁTICA

6 ESTÁNDARES DE AUDITORÍA Y PRÁCTICAS DE CONTROL DE SI
6.1. ESTÁNDARES DE AUDITORÍA DE SI 6.1.1. Normas Profesionales de la ISACA
Abarcan independencia, competencia técnica y realización del
La ISACA (Information Systems Audit trabajo y de informes:
and Control Association) es una
organización que emite estándares de
auditoría y control de SI (código ético,
normas, objetivos y procedimientos de
control, guías de auditoría, etc.) que
son generalmente aceptados por la
comunidad internacional de auditoría
de SI.
6.1.2. Código de ética de la ISACA
Constituye una directiva para la actuación
profesional y personal de los miembros de la
Asociación
6.1.3. Otras reglamentaciones pertinentes
Debe cumplir con requerimientos gubernamentales o externos a la
organización relacionados con las prácticas y controles de sistemas
informatizados, y respecto de la manera en la que se utilizan los
ordenadores, programas y datos.
• Reglamentación.
• Organización.
• Responsabilidades.
• correlación de las funciones de auditoria financieras y operativas.
• Cumplimientos externos:
• Identificar los requerimientos gubernamentales u otros externos a la
organización, que sean relevantes y que atañan a las prácticas y los
controles de sistemas información
• Documentar las leyes, reglamentaciones, etc. Pertinentes.
• Evaluar si la gerencia de la organización y la función de Si han tenido
en cuenta los requerimientos externos relevantes cuando realizan la
planificación y cuando establecen las políticas, estándares y
procedimientos.
• Revisar los documentos del departamento/función/actividad interna
de Servicios de Información que tratan del cumplimento de leyes
aplicables a la industria en la que opera la organización
 6.2. ANALISIS DE RIESGOS
Ayuda a identificar los riesgos y vulnerabilidades
para que el auditor pueda determinar los controles
que son necesarios para mitigar esos riesgos.
•Amenazas a, y vulnerabilidades de, los procesos
y/o los activos, tanto activos físicos como lógicos.
•Impacto en los activos basado en las amenazas y
las vulnerabilidades
•Probabilidad de las amenazas (combinación de la
probabilidad y la frecuencia de ocurrencia).
6.3. CONTROLES INTERNOS
Los controles internos toman forma de políticas, procedimientos,
prácticas y estructura organizacional. Las actividades de control y
los procesos que las soportan pueden ser manuales o
automatizadas. Deben estar establecidos en todos los niveles de
la organización. El comité de dirección y el primer nivel de
dirección son los responsables de establecer la cultura apropiada
para facilitar un sistema de control interno eficaz y para hacer un
seguimiento continuo de su eficacia.

6.3.1. Objetivos de Control Interno
Son las declaraciones del resultado o propósito deseado a
conseguir por la implementación de los procedimientos de control
en una actividad particular. Los controles internos toman forma de
políticas, procedimientos, prácticas y estructura organizacional.
6.3.2. Objetivos de control de SI
COBIT está dirigido tanto al personal y la dirección de SI, los
departamentos de control, las funciones de auditoría y, lo que
es más importante, a los propietarios de los procesos de
negocio que utilicen procesos de TI para asegurar la
confidencialidad, integridad y disponibilidad de información
crítica y sensible. Los componentes de COBIT son:
• El resumen ejecutivo.
• El marco de referencia.
• Los objetivos de control.
• Las guías de gestión.
• Las guías de auditoría.
• El conjunto de herramientas de implementación.
 6.3.3. Procedimientos de control de SI 6.3.4. Clasificación de los controles

Clasificación de los controles

Los procedimientos de control generales incluyen las Clase Función Ejemplos
Preventivos  Detectan los problemas antes de  Contratar solo personal
políticas y las prácticas operativas establecidas por la que aparezcan cualificado
 Controlan las operaciones y las  Segregar
dirección con el objetivo de dar una razonable entradas responsabilidades
seguridad de que se consigan los objetivos  Intentan predecir problemas  Control de acceso a las
potenciales antes de que ocurran y instalaciones
específicos de control. realizan ajustes  Uso de documentos bien
 Previenen un error, omisión o acto diseñados
malicioso de su ocurrencia  Establecer procedimientos
Los siguientes son ejemplos de procedimientos de control generales adecuados de autorización
 La estrategia y la dirección. de transacciones
 La organización y la gestión.  Rutinas de validación en los
 El acceso a los datos y a los programas. programas
 El desarrollo de sistemas y el control de los cambios.  Software de control de acceso
 Las operaciones de proceso de datos. para permitir que solo acceda
 La programación de sistemas y las funciones de soporte técnico. a
 Los procedimientos de aseguramiento de la calidad del proceso de datos. los ficheros personal autorizado
 Los controles de acceso físico.
 La planificación de la recuperación de desastres y de la continuidad del Detectivos  Detectan e informan de la ocurrencia de  Totales de control
negocio. un error, omisión o acto malicioso  Puntos de comprobación en
 Las redes y las comunicaciones. los trabajos
 La administración de las bases de datos.  Controles de eco en
 Los procedimientos de control se pueden categorizar en las siguientes telecomunicaciones
áreas:  Mensajes de error
 Procedimientos de control de organización general  Pruebas duplicadas
 Acceso a datos y programas de cálculos
 Metodologías de desarrollo de sistemas  Auditoría interna
 Operaciones de proceso de datos Correctivos  Minimizan el impacto de una amenaza  Planificación de contingencias
 Programación de sistemas y soporte técnico  Remedian los problemas detectados por  Procedimientos de respaldo
 Aseguramiento de la calidad un control detectivo  Procedimientos de reejecución
   Identifican la causa del problema
   Corrigen los errores ocasionados por
un problema
6.4. REALIZACIÓN DE UNA AUDITORÍA DE SI
Exige reunir evidencias, evaluar las fortalezas y
debilidades de los controles basadas en las
evidencias recopiladas, y presentar esos temas de
auditoría en forma objetiva a la gerencia en el
informe final de auditoría.
6.4.1. Clasificación de las auditorías
• Auditorías financieras. Su propósito es evaluar
la corrección de los estados financieros de una
organización.
• Auditorías operacionales. Su propósito es
evaluar la estructura de control interno de un
proceso o área.
• Auditorías integradas. Son una mezcla de las
dos anteriores. Puede ser realizada por
auditores internos o externos.
• Auditorías administrativas. Su propósito es
evaluar la eficacia y eficiencia de las
operaciones. Puede ser realizada por auditores
internos o externos.
• Auditorías de sistemas de información. En
ellas se recogen y evalúan evidencias para
determinar si el sistema de información y los
recursos relacionados salvaguardan los activos,
mantienen la integridad de los datos y del
sistema, proveen información fiable y relevante.
 6.4.2. Metodología de una auditoría 6.4.3. Riesgo de auditoría y materialidad

Los riesgos de negocio son los temas acerca de los efectos probables de
Es un conjunto de procedimientos documentados de un evento incierto en la consecución de los objetivos de negocio
auditoría diseñados para alcanzar los objetivos de establecidos.
auditoría planificados.
 6.4.4. Técnicas de evaluación de riesgos
 Permite la asignación eficaz de los recursos limitados de auditoría
 Asegura que se ha obtenido información relevante de todos los
niveles de la gestión, incluyendo el comité de dirección, las áreas
funcionales de la gestión y los auditores de SI. Generalmente, la
información ayuda a que los gestores deleguen sus responsabilidades
y asegura que las actividades de auditoría se dirijan hacia las áreas
de negocio con más alto riesgo.
 Establece una base para gestionar de forma eficaz la función de
auditoría.
 Da un resumen de cómo está relacionado un tema individual de
auditoría con la organización global así como con los planes de
negocio.
6.4.5. Objetivos de auditoría
• los objetivos de auditoría se centran en determinar que controles
internos existen para minimizar los riesgos para alcanzar los
objetivos de negocio.
• Estos objetivos de auditoría incluyen asegurar que se están
cumpliendo los requerimientos legales, así como la
confidencialidad, integridad, fiabilidad y disponibilidad de los
recursos de información.
• La dirección puede dar al auditor un objetivo general a seguir en
la realización de una auditoría.
 6.4.6. Pruebas de cumplimiento vs. Pruebas sustantivas 6.4.7. Evidencia

Una prueba de cumplimiento determina si los

Evidencia es toda la información que se utiliza para determinar si
controles se aplican de forma que cumplan con el ente o los datos auditados siguen los criterios u objetivos de
las políticas y procedimientos de la gestión. auditoría. La conclusión de una auditoría tiene que estar basada
en evidencia suficiente y competente.

Ejemplos de evidencia de auditoría son los siguientes:

• Observaciones del Auditor.

• Notas tomadas en las entrevistas.

• Documentación interna.

• Resultados de los procedimientos de pruebas.

 6.4.8. Muestreo
El Auditor utiliza su criterio, basado en su experiencia, para
determinar el método de muestreo, el número de ítems que se
examinarán dentro del universo (tamaño de la muestra), y cuáles de
esos ítems se seleccionarán (selección de la muestra).
El auditor tiene a su disposición dos enfoques generales para el
muestreo de auditoría con dos métodos básicos de muestreo:
1. Muestreo de atributos, también denominado muestreo estimativo,
que es la técnica utilizada para estimar el valor de ocurrencia de un
control dado o un conjunto de controles relacionados (los atributos).
2. Muestreo de Variables es la técnica que se utiliza para estimar
valores monetarios o de alguna otra unidad de medida, como el peso
o la población, a partir de una porción que constituya una muestra.
6.4.9. Técnicas de Auditoría Asistida por Ordenador (CAATs Computer
Assisted Audit Techniques)
Un Auditor de SI debe tener un profundo conocimiento de las
técnicas informáticas de auditoría y dónde deben ser aplicadas.
Este conocimiento debe incluir tanto la utilización de software
general de auditoría como de técnicas más avanzadas tales como
generadores de datos de prueba y técnicas para efectuar pruebas
integradas.
Cuando se solicite acceso a los datos de producción para
utilizarlos mediante CAATs, el auditor debe solicitar que se le dé
acceso de solo lectura. Cualquier manipulación que el auditor
realice debe ser hecha sobre copias de los archivos de producción
en un entorno controlado que asegure que los datos de producción
no queden expuestos a manipulación no autorizada
 6.4.10. Evaluación de las Fortalezas y
6.4.11.
Debilidades de Auditoría
Después de recopilar la evidencia de auditoría, el
siguiente paso es evaluar la información recopilada
para poder emitir una opinión de auditoría y,
posteriormente, plasmarla en el informe de auditoría.
Esto le exige que, teniendo en cuenta la serie de
fortalezas y debilidades encontradas, se desarrollen
las opiniones y recomendaciones de auditoría. Estos
pasos exigen un buen juicio profesional, que surge
más de la experiencia en auditoría que de la lectura
de bibliografía de referencia.
Comunicación de los resultados de auditoría
La responsabilidad final de un auditor es frente a la Alta Dirección y
al Comité de Auditoría.
Por tanto, se debe tener la posibilidad de comunicar sin restricciones
los temas importantes a ese nivel gerencial. Un intento de un nivel
gerencial inferior de coartar ese acceso limitaría su independencia.
Antes de comunicar los resultados de la auditoría a la alta dirección,
se deben presentar y discutir los hallazgos con el resto de los niveles
de dirección. Su objetivo es el de llegar a un acuerdo sobre los
hallazgos y desarrollar un plan de acciones correctivas.
 6.4.12. Gestión de las acciones para implementar las
recomendaciones
La oportunidad del seguimiento dependerá del carácter crítico de
las recomendaciones y queda sujeto al juicio del auditor. Los
resultados del seguimiento deben ser comunicados a los niveles
de dirección correspondientes.
El nivel de la revisión de seguimiento dependerá de diversos
factores. En algunos casos, tal vez sólo se necesite preguntar por
la situación actual. En otros casos, como puede ser una revisión
técnica de SI, se tendrá que realizar ciertos pasos de auditoría
para determinar si la gerencia ha implementado las acciones
correctivas acordadas.
6.4.13. Documentación de auditoría
La documentación de auditoría es el registro del trabajo de
auditoría realizado y de la evidencia que soporta las conclusiones
de la auditoría. Entre las técnicas que se utilizan para documentar
un SI así como para documentar la comprensión del entorno del
SI están la preparación de papeles de trabajo, redacción de
narrativas, relleno de cuestionarios de entrevistas y los diagramas
de flujo de la información.
Técnicas de gestión de proyectos
Las técnicas de gestión de proyectos para proyectos de auditoría deben
seguir los siguientes pasos básicos:
• Desarrollo de un plan detallado.
• Informe de progreso del proyecto.
• Ajuste del plan y toma de acciones correctivas.