1.2.3 PLANEACION DE LA AUDITORIA Planeacién Anual La planeacién do Ia auditoria est4 constituida tanto por Ia planeacién a corto como a largo plazo. La planeacién a corto plazo toma en cuenta los aspectos relevantes de auditoria que serdn cubiertos durante 1 affo, mientras que la planeacién a largo plazo se refiere a los planes de auditoria que tomaran en cuenta aspectos relacionados con riesgos debido a los cambios en la direccién estratégica de TI de la organizacién que afectardn ¢] ambiente de TI de la organizacién. El anilisis de los aspectos relevantes a corto y a largo plazo debe hacerse por lo menos una vez al aft. Esto es necesario para tomar en consideracién los nuevos aspectos de control, los cambios en el entorno del riesgo, la cambiante tecnologia, los procesos de negocio en constante cambio y las técnicas mejoradas de evaluacisn. Los resultados de este andlisis para la planeacién de futuras actividades de auditoria deben set revisados por Ia alta direccién, y aprobados por el comité de auditor, si existiera, o alternativamente por la Junta Directiva y comunicados a los niveles de direccién relevantes. Asignaciones de Auditoria Individual ‘Ademés de In planeacién general anual, cada tarea individual de auditorfa debe ser planeada adecuadamente. El auditor de SI debe entender que otras consideraciones, tales como los resultados de la evaluacién periédica de riesgos, cambios en In aplicacién de tecnologia, y aspectos de privacidad evolucionantes y requisites regulatorios pueden afectar ef enfoque general de ia auditoria, El auditor de SI deberfa también considerar las fechas limites establecidas para la implementacién/actualizacién de los sistemas, Ins teonologias actuales y futuras, requerimientos de los duofios del proceso de negocio y las jones de recursos de SI. ‘Al plancar una auditor, el auditor de SI debe tener un entendimionto general del ambiente a revisar. Esto deberia incluir una comprensién general de las diversas pricticas del negocio y de las funciones relativas al sujeto de la auditorf, asi como también fos tipos de sistemas de informacién y la tecnologia que soportan Ia actividad. Por ejemplo, el auditor de SI deberia estar familiarizado con el marco regulatorio en el que opera el negocio, Para realizar Ia planeacién de ta auditoria, el auditor de SI deberia realizar os pasos siguientes: * Lograr un entendimiento de la misién, los objetivos, el propésito y los procesos del negocio, incluyendo los requerimientos de informacién y procesamiento, tsles como disponibilidad, integridad, seguridad y tecnologia del negocio y Ia confidencialidad de informacién. «© Identificar contenidos especiticos tales como politicas estandares y directrices requeridos, procedimientos y estructura de le organizacién Realizar un andiisis de riesgos para ayudar a disefiar el plan de auditoria Llevar a cabo una revisién de los controles internos relacionados con TI. Establecer el alcance y los objetivos de la auditorfa, Desarrollar el enfoque o le estratogia de auditoria, Asignar recursos humanos a la auditoria igir la logistica del trabajo de auditorfa Los Estandares de Auditoria de SI de ISACA requieren que el auditor de SI planee el trabajo de auditoria de SI para aleandar los objetivos de auditorfa y cumplir con los esténdares profesionales de auditoria aplicables (Planeacién $5). EI auditor de SI debe desarrotlar un plan de auditorla que tome en consideracién los objetivos del auditado relevantes al rea auditada y a su infraestructura tecnolégica. Si ‘Manual de Preparacion al Examen CISA 2008 T‘es necesario, el auditor de SI deberfa también considerar el frea bajo revision y st relacién con le onganizacién (estratégica, financiera ylu operativamente) y obtener informacién sobre el plan estratégico, incluyendo ol plan estratggico de SI. El auditor de SI deberia tener un entendimiento de Ia arquitectura de teenologia de la informacién y de la direocién tecnolégice del auditado pare dlisefiar un plan apropiado para Ta tecnologia actualy donde aplique, para a tecnologia fotura del audtado, Los pasos que un auditor de SI podria tomar para logra el entendimiento del negocio incluyen: ~ Revortido de las instalaciones clave de fa organizacién 7 1ecis de antecedentes incluyendo publicaciones de la industri, informes anuales ¢ informes de andlisis financieros independientes _ Revisign del negocio y de los planes estratégicos de TI a largo plazo « Bntrevistas a los gerentes clave para entender pormenores del negocio saan ade infornes anteriores 0 infarmes relacionados con (provenientes de auditorias externas 0 jntemas o revisiones especificas tales como revisiones regulatorias), - |dentificar las regulaciones espeofficas apticables a TI cyerttear los funciones deo las actividades relacionadas que han sido contratadasexternamente Otro componente bésico de la planeacién es lograr correspondencia entre los reeursos de auditoria disponibles y ls teas defindas en el plan de auditoria, El audltor de SI nie prepa cl plan deberia ceetderar los requerimientos del proyecto de auditorla, recursos de personal y otras fimitaciones, Este tjercieio de asignacin de recursos deberia considera las nevesidades de los proyectos individuales de cietRore asi como también fas necesidades generales del departamento de auditor 4.2.4 EFECTO DE LAS LEYES Y REGULACIONES SOBRE LA PLANIFICACION BE AUDITORIA DE SE ‘Toda ongnizacion, independientemente de su tamafio 0 de {a industria en Ta que OPSt deberd curmplir ote ratgmero de requetimientos gubemamentales y extemos relacionados con [as practicas y los con Mes do os sistomas computarizados y con la manera en que se almacenan y $C las Compatadores, los programas y Tos datos. Adieionalmente las regulaciones de negocio pueden impactar Te epina en que os datos se procesan, se transmiten y se almacenan (polsa de valores, bancos centrales, ete.. Se debe prestar especial atencién a estos asuntos en aquellasindustias que historarenie hhan tenido un mateo reyutatrio muy estrieto, Por ejemplo, la industria buncaria en todo et mundo tiene penalizaciones meray para Tas compafiasy para sus funcionarios en caso do que la organizacién Vo pueda proveer un aoe ade de servicio a causn de provedimientos de respaldo y reouperacion que estén Por debajo de eee aietres, También, en varios pases, los proveedores de servicos de Internet estin sujios a leyes ‘Rpecifens especto ala confidencialidad y@ la dsponibilidad del servicio Los auditores de St deberian revisar la politica de Ia adminstracién sobre privacidag, piv) determinat si cas toma en cuenta [os requerimientos legales y regulatorios de privacidad aplicables, incluyendo requisitos de flujo de datos al cruzarfronteras tales como Puerto Segiro (Safe Harbor) y las directrices de fa Organizaci6n para la Cooperacién Economica y el Desarrollo (OBCD) que rigen ia proteccién de la privacidad y los fujos tansfrontera de datos personales. 76 Manual de Manual de Preparaci6n al ixamen CISA 2008 amg _—Proteccién y mecanismos de deteccién contra ataques internos y externos El auditor de SI debe entender los conceptos de los procedimientos de control de SI y cémo aplicarlos en la planeacién de una auditoria. La auditoria puede definirse como un proceso sistemiético por el cual un equipo o una persona competent ¢ independiente obtiene y evalia objetivamente la evidencia respecto a las afirmaciones acerca de un proceso con el fin de formarse una opinién sobre el particular e informar sobre el grado de cumplimiento en dicha afirmacin es implementada. La auditorfa de SI puede definirse como cualquier auditorfa que abarca la revisién y evaluacién (parcial 0 total) de los sistemas automatizados de procesamiento de informacién, procesos relacionados no automatizados y las interfaces entre ellos. Para realizar una auditorfa, se requieren varios pasos. Una planeacién adecuada es el primer paso necesario para realizar auditorias de SI efectivas. Para usar efectivamente los recursos de auditoria de SI, las organizaciones de auditoria, deben evaluar todos los riesgos de las freas generales y de aplicacién y servicios relacionados a auditar y luego desarrollar un programa de auditorfa que comprenda objetivos y procedimientos de auditoria que satisfagan los objetivos de auditoria. El proceso de auditoria requiere que el auditor de SI recolecte evidencia a través de pruebas de auditoria, evaliie las fortalezas y debilidades de los controles basindose en la evidencia reunida y prepare un informe de auditoria que presente en una forma objetiva dichos asuntos a la gerencia. La gerencia de auditoria debe asegurarse de que haya disponibilidad de recursos de auditoria adecuados y tuna agenda para llevar a cabo las auditorfas y, en el caso de una auditoria interna de SI, para realizar revisiones de seguimiento respecto al avance de las acciones correctivas emprendidas por la direccién. Una discusién sobte auditoria deberia incluir el alcance, los objetivos, criterios y procedimientos de auditoria, Ia evidencia, conclusiones y opiniones, ¢ informe a la gerencia después de discusién con fos dueitos clave del proceso, Las restriceiones del auditado pueden inctuir: + Reciente rotacién o no disponibilidad de empleado - infraccién de las fechas tope o fecha de procesamiento ciclico - ausencia general de conocimientos o de documentacién, Para entender estas restricciones sobre la realizacién de una auditoria, el auditor de SI debe tener un buen entendimiento de las téonicas generales de administracién de proyectos. A menudo, estas restricciones pueden ser minimizadas o evitadas mediante una planeacién adecuada, Las téenicas de administracién de proyectos para gestionar y administrar proyectos de auditorfa, ya sea automatizado © manual, incluyen los siguientes pasos basicos: i “Manual de Manual de Preparacion al Bxamen CISA 2008 44 fF Po my fry ct Ft rt c r tT ITF Pu; Tk eo om om= Desarrollar un plan detallado ~ El plan debe dispersar los pasos de auditoria nevesarios en toda la Iinea de tiempo. Se deben hacer estimados realistas de los requerimientos de tiempo para cada tarea con la debida considetacién a la disponibilidad del auditado. = Reportar actividad de proyecto contra el plan ~ Deberia haber alin tipo de sistema de reporte instalado de modo que los auditores de SI puedan reportar su progreso real contra los pasos planeados de auditoria, = Ajustar el plan y emprender accién correctiva ~ se deberian medir los logros reales contra el plan establecido de manera continua, Se deberian hacer cambios en las asignaciones del auditor de ST 0 en los ‘cronogramas planeados, a medida que se requiera, 1.6.1 CLASIFICACION DE LAS AUDITORIAS El auditor de SI deberfa entender los diversos tipos de auditorias que pueden efectuarse intema 0 externamente, y los procedimientos de auditoria asociados con cada uno de ell Auditorias financieras ~ Ei propésito de una auditoria financiera es determinar la exactitud de los estados financieros de una organizacién, Una auditorfa financiera a menudo implicaré prucbas sustantivas detalladas, aunque cada vez més, los auditores estén poniendo més un método de auditoria basado en riesgo y control. Este tipo de auditoria se relaciona con Ia integridad y confiabilidad de la {nformacién financiera ‘Auditorias Operativas - Una auditoria operativa esté disefiada para evaluar la estructura del control interno en un proceso o érea determinada. Las auditorias de SI de controles de aplicacién o de sistemas de seguridad l6gica, son algunos ejemplos de auditorias operativas. Anditorfas integradas - Una auditoria integrada combina pasos de auditoria financiera y operativa ‘También se realiza para evaluar los objetivos generales dentro de una organizacién, relacionados con la informacién finaneiera y Ia salvaguarda de activos, la eficiencia y el cumplimiento. Una auditoria integrada puede ser ejecutada por auditores extemnos 0 internos ¢ inciuiria tanto pruebas de cumplimiento ‘los controles internos como pruebas sustantivas. ‘Anditorias administrativas — Estas estin orientadas @ evaluar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organizacién. Auditorfas de SI ~ Este proceso recolecta y eveliia la evidencia para determinar si los sistemas de informacién y los recursos relacionados protegen adectiadamente los activos, mantienen la integridad y Ia disponibilidad de los datos y del sistema, proveen informacién relevante y confiable, logran de forma cefactiva las metas organizacionales, usan eficientemente los recursos y tienen en efecto controles internos, que proveen una certeza razonable que Ios objetivos de negocio, operacionales y de control seran alcanzados y que los eventos no deseados serdn prevenidos o detectados y corregidos de forma oportuna. Auditorias especializadas — Dentro de la catogorfa de las auditorias de'sistemas de informacién, existen tun niimero de revisiones especializadas que examinan éreas tales como los servicios realizados por terceros, En vista de que los negocios dependen cada vez mas de servicios prestados por terceros, es importante quo se evalien los controles internos en estos ambientes. La declaracién sobre Bstindares de Auditoria (SAS) 70, titulada “Informes sobre el Procesamiento de las ‘Transacciones por Organizaciones de Servicio” es un estindar de auditoria ampliamente conocido desarrollado por el Instituto Americano de Contadores Piblicos Certificados (AICPA). SAS 70, define los esténdares profesionales usados por un auditor de servicios para evaluar los controles internos de una organizacién de servicios. Este tipo de auditorfa se ha vuelto cada vez més relevante debido a la actual tendencia de contvatar externaimente (outsourcing) procesos financieros y de negocios a terceros proveedores de servicios que en algunos casos pueden operar en diferentes jurisdicciones 0 incluso en diferentes pafses. Se debe notat que una revisién del tipo 2 SAS 70 es una variacién més exhaustiva de una revisién regular SAS 70, que a menudo se require en relacién con revisiones regulatorias. Muchos otros paises tienen su propio equivalente de ese estandar, Una auditorfa tipo SAS 70 es importante porque significa que una organizacién de servicios ha pasado por una auditorfa profinda de sus actividades de control, que incluyen generalmente controles de tecnologia de informacién y procesos relacionados. Las revisiones de tipo SAS70 proven directrices que Manual de Proparacton al Examen CISA 2008 3%permiten a un auditor indopendiente (auditor de servicios) emitir una opinién sobre la descripeién de controles de una organizacién de servicios a través del informe de un auditor de servicios, en el que luego el auditor de la entidad que utiliza los servicios de la organizacién de servicios puede basarse. Auditorias forenses — Tradicionalmente, la auditoria forense ha sido definida como una auditoria especializada en descubrir, revelar y dar seguimiento a fraudes y crimenes. El propésito primaio de dicha revisién era el desarrollo de evidencia para ser revisada por autoridades policiales y judiciales. En alos recientes, el profesional forense ha sido llamado a participar en investigaciones relacionadas con fraude corporativo y crimen cibernético, En los casos en que los recursos de computadora puedan haber sido mal empleados, una investigacion adicional es necesaria para recopilar evidencia de posible actividad criminal que puede luego ser reportada a las autoridades competentes. Una investigacién forense de computadora incluye et andlisis de dispositivos electrénicos, tales como computadoras, teléfonos, PDAS, discos, switches, routers, hubs y otro equipo electrénico. El auditor de St que posea las habilidades nocesarias puede asistir al gerente de seguridad de informacién en la realizacién de las investigaciones forenses y llevar a cabo la auditorfa de los sistemas para asegurar que se cumplan los procedimientos de recoleccién de evidencia para la investigacién forense. La evidencia electrénica es vulnerable a alteraciones. Por lo que es necesario manejarla con extremo cuidado y se deben asegurar controles para asegurar que no pueda ocurrir ninguna manipulacién, Se debe establecer una cadena de custodia de cevidencia para cumplir con los requerimientos legales. La evidencia de computadora manejada de manera inadecuada puéde ser considerada inadmisible por las autoridades judiciales. La consideracién mas importante para un auditor forense es Ia de obtener una imagen completa (bit-stream) del dispositivo objetivo y examinar esn imagen sin alterar los sellos de fecha u otra informacién atribuible a los archivos examinados. Ademis, las herramientas y téenicas de auditoria forense, tales como el mapeo de datos para la evaluacién de riesgos de privacidad y seguridad y la biisqueda de propiedad intelectual para Ia proteccién de datos, también se estén usando paia prevencién, cumplimiento y aseguramiento. 1.6.2 PROGRAMAS DE AUDITORIA Los programas de auditorfa para auditorias financieras, operativas, integradas, administrativas y de sistemas de informacién se basan en el aleance y el objetivo de la asignacién en particular. Los auditores de SI evalian a menudo las funciones y los sistemas de TI desde perspectivas diferentes, tales como la seguridad (confidencialidad, integridad y disponibitidad), la calidad (efectividad, eficiencia), fiduciaria iento, confiabilidad), el servicio y la capacidad. Es importante subrayar que el programa dle trabajo de auditoria es la estrategia y el plan de auditoria ~dste identifica el alcance, los objetivos y los procedimientos de auditoria para lograr evidencia suficiente y competente para obtener y sustentar las conelusiones y opiniones de auditoria, Los procedimientos generales de auditoria son los pasos basicos en Ia ejecucién de una auitorta y habitualmente incluyen lo siguiente: - Obtencién y documentacién del conocimiento sobre el drea/objeto de la auditoria, ~ Bvaluaci6n de riesgos y planeacién general de la auditoria y cronograma - Planeacién detallada de auditoria - Revisi6n preliminar del érea /abjeto de fa auditorfa ~ Evaluaci6n del drea fobjeto de la auditoria - Verificacién y evaluacién de la correccién de los controles disetiados para cumplir los objetivos de control, - Pruebas de cumplimiento (pruebas de la implementacién de controles y su aplicacién consistente) 36 "Manual de Manual de Preparacion al Examen CISA 2008~ Pruebas sustantivas (que confirmen la exactitud de la informacién) ~ Informe (comunicacién de los resultados) ~ Seguimiento en casos en los que hay una funcién de auditoria interna El auditor de SI debe entender los procedimientos para la prueba y evaluacién de tos controles de SI. Estos procedimientos podrian incluir: El uso de software generalizado de auditorfa para examinar el contenido de tos archivos de datos (incluyendo los registros (logs) del sistema) El uso de software especializado para evaluar el contenido de los archivos de parameros de la base de datos y de aplicacién del sistema operativo (0 detectar deficiencias en el establecimiento de pardmetros del sistema) ‘Técnicas de elaboracién de diagramas de flujo para la documentacién de aplicaciones automatizadas y del proceso de negocio EL uso de registros / reportes de auditoria disponibles en los sistemas operativos /de apli Revisién de la documentacién Observacién ion El auditor de SI debe tener un entendimiento suficiente de estos procedimientos que le permitan planear pruebas apropiadas de auditoria 1.6.3 METODOLOGIA DE AUDITORIA Una metodologfe de auditoria es un conjunto de procedimientos documentados de auditoria diseftados para alcanzar los objetivos de auditoria planeados. Sus componentes son una declaracién del aleance, una declaracin de los objetivos de Ia auditoria y una declaracién de los programas de auditor. La metodologia de auditoria deberia ser establecida y aprobada por la gerencia de auditorfa para lograr consistencia en el enfoque de auditoria. Esta metodologia deberia ser formalizada y comunicada a todo el personal de aucitoria, La Figura 1.3 enumera las fases de una auditoria tipica. Un producto temprano y eritico del proceso de auditoria deberia ser un programa de auditorfa que sea una gufa para la ejecucién y documentacién de todos los pasos siguientes de auditorfa y Ia extensién y tipo de evidencia revisada, Figura 1.3, Fase de auditoria Sujeto de la auditorta + _Identificar el érea que ser auditada Objetivo delaauditoria |e Identificar el propésito de la auditoria. Por ejeniplo, un objetivo| podria ser determinar que los cambios al cédigo fuente de tos programas se realicen en un ambiente bien definido y controlado. ‘+ Identificar los sistemas especificos, la funcién o unidad de la organizacién a ser incluida en la revisién. Por ejemplo, en el ejemplo de cambios a un programa, la declaracién de alcance podria limitar la revisién a un solo sistema de aplicacién 0 a un periodo limitado de tiempo. “Alcance de la auditort Manual de Preparacion al Bxamen CISA 2008 37Planeacién de Auditoria [+ ~ Identificar las habilidades y recursos técnicos que se necesitan, Proliminar o Preauditoria | Identificar las fuentes de informactén para probarlas o revisarlas tales como organigramas funcionales, politicas, estindares, procedimientos, y documentos de trabajo de auditorias provias. + _Identificar la ubicacién o las instalaciones que serén auditadas. ‘© dentificar y seleccionar el método de auditoria para verificar y Auditoria y pasos para la probar los controles. recopilacién de datos ‘Identificar una lista de personas para entrevistar Identificar y obtener politicas, estindares, y departamentos pera su revision. © Desarrollar herramientas y metodologfas de auditorfa para comprobar| verificar los controles. trices de los Procedimientos para ‘+ specifica de la organizacion evaluar la prueba o revisar Jos resultados Procedimientos de + Especifica de la organizacion comunicacién con la gerencia Elaboracién del informe de [+ Identificar los procedimientos de la revision de seguimiento auditoria ‘+ Identificar los procedimientos para evaluar/probar la eficiencia y cefectividad operativa ‘© Identificar los procedimientos para probar los controles + Revisar y evaluar la correccién de los documentos, las politicas y los procedimientos, A pesar que un programa de auditoria no sigue necesariamente un conjunto especifico de pasos, el auditor de SI generalmente seguirfa, como un minimo curso de accién, pasos secuenciales del programa para ‘obtener un entendimiento de la entidad que se esté auditando, evaluar la estructura de control y probar los controles. Cada departamento de auditoria deberia disefiar y aprobar una metodologia de auditoria, asl como también los pasos minimos a ser observados en cualquier asignacién de auclitorta, Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de auditorfa deberin estar debidamente documentados en papeles de trabajo. Su formato y medios de papeles de trabajo son opeionales, pero Ia debida diligencia y las mejores practicas requieren que los documentos de trabajo estén fechados, inicializados, con paginas numeradas, sean relevantes, completos, claros, autoexplicatorios y debidamente etiquetados, archivados y mantenidos ‘en custodia, Los papeles de trabajo no tienen necesariamente que estar impresos en papel. Los auditores de SI deberian considerar en particular cémo mantener evidencia de prueba de auditoria para preservar su valor de prueba en respaldo de fos resultados de auditoria, Los documentos de trabajo se pueden considerar los puentes o interfaces entre los objetivos y el informe final de auditoria, Estos debieran proveer una transicién impecable — pudiendo ser rastreados y los responsables del trabajo identificados — desde los objetivos hasta el informe y desde el informe hasta los objetivos. Bl informe de auditorfa, en este contexto, puede ser visualizado como s6lo un papel de trabajo en particular. 38 ‘Manual de Manual de PreparaciOn al Examen CISA 2008 pe oe mee e b ou ® iestablece las bases para administrar el departamento de auditoria de manera efectiva Provee un resumen de cémo se relaciona el sujeto individual de la auditoria con el resto de la ‘organizacién asi como también con los planes de negocios, 1.6.9 OBJETIVOS DE LA AUDITORIA Los objetivos de auditoria se refieren a las metas espectficas que deben cumplirse por parte de la auditoria. En contraste, un objetivo de control se refiere a ‘c6mo deberia funcionar un contro! intern Una auditoria puede incorporar, ¥ generalmente lo hace, varios objetivos de auditoria. [Los objetivos de auditoria se enfocan # menudo en validar que existen controles internos para miniinizat tos riesgos del negocio, y que estos funcionen como se espera, Estos objetivos de auditoriaincluyen el aseguramiento del cumplimiento. con requetimientos legales y regulatorios asi como también. la confidencialicad, integridad, confiabilidad y disponibitidad de recursos de informacion y de Tl. La gerencia de auditoria puede dar al auditor de SI un objetivo general de control para revisar y evaluar al evar a cabo una auditoria Un elemento clave en la planeaci6n de Ia auditoria dle sistemas de informacion es traduct los objetivos de auditoria bésicos y de amplio aleance en objetivos especificos de auditoria de sistemas de informacion, Por ejemplo, en una aucitoria financiera/operacional, un objetivo de control interno podria ser asegurar que las transacciones sean debidamente registradas en las ctientas del libro mayor del sistema contable. Sin embargo, en la auditoria de sistemas de informavién, el objetivo podria ampliarse para asegurar que existen fiinciones de edicién para detectar fos errores en la codificaciéa de las tansacciones que podrian ‘ener un impacto en las actividades de registro de las cuentas. BI auiditor de SI debe tener un entendimiento de cémo se pueden traducir fos objetivos generales de auditoria en objetivos especificos de control de los sistemas de informacién, La determinacién de los objetivos de una auditoria es un paso critico en Ia planeacién de una auditoria de SI. Uno de los propésitos bisicos de cualquier auditoria de SI es identificar los objetivos de control y los controles relacionados que tratan el objetivo, Por ejemplo, la revisién inicial de un sistema de informacién llevada a cabo por un auditor de SI deberla identficar fos controles clave. El auditor de SI deberia entonces decidir si prueba estos controles para Yerificar su cumplimiento, El auditor de SI deberia identificar los controles clave tanto generales como los de aplicacién después de entender y de documentar los provesos del negocio y- las aplicaciones/funciones que soportan estos procesos y los sistemas de soporte en general. Sobre ln base de ese entendimiento, el auditor de SI deberia identificar los puntos clave de control De manera alternativa, un auditor de S1 puede ayudar en la evaluacién de la integridad de los datos de un informe financiero, la cual es conocida como prueba sustantiva, a través de técnica de auditor asistidas Por computadora, % ‘Manual de Manual de Preparacion al Examen CISA 20081.6.10 PRUEBAS DE CUMPLIMIENTO VS. PRUEBAS SUSTANTIVAS La prueba de cumplimiento es Ia recoleccién de evidencia con el fin de comprobar el cumplimiento de tuna organizacién con los procedimientos de control. Esto difiere de la prueba sustantiva, en Ia que la evidencia se recoge para evaluar la integridad de transacciones individuales, datos u otra informacién. Una prueba de cumplimiento determina si los controles estén siendo aplicados de manera que cumplen con las politicas y los procedimientos de In direccién. Por ejemplo, si al auditor de SI le preocupa si los controles de las bibliotecas (library) de programas de produccién estin funcionando-correctamente, el auditor de SI podria seleccionar una muestra de programas para determinar si Jas versiones fuente y objeto son las mismas. El objetivo amplio de cualquier prueba de cumplimiento es el de proveer a los auditores de SI una certeza razonable de que un control en particular sobre el cual el auditor de SI planes poner su confianza esta operando como el auditor de SI lo percibié en la evaluaci6n prefiminar. Es importante que el auditor de SI entienda el objetivo especifico de una prueba de cumplimiento y del control que se esté probando. Las pruebas de cumplimiento pueden usarse para probar la existencia y efectividad de un proceso definido, el cual puede incluir una pista de evidencia documental y/o automatizada, por ejemplo, para proveer Ia certeza de que sélo se realizan modificaciones autorizadas a Jos programas de produecién. Una prueba sustantiva fundamenta Ia integridad de un procesemiento real. Provee evidencia de la validez, ¢ integridad de los saldos en Jos estados financieros y de las transacciones que respaldan dichos saldos. Los auditores de SI podrian usar pruebas sustantivas para comprobar si hay errores monetatios que afecten directamente a los saldos de los estados financieros w ottos datos relevantes de Ia organizacién. ‘Adicionalmente, un auditor de SI podria desarrollar una prueba sustantiva para determinar si os registros del inventario de la libreria de cintas son correctos. Para realizar esta prueba, el auditor de SI podria, realizar un inventario completo 0 podria usar una muestra estadistica, que le permita Hlegar @ una cconclusién respecto de la exactitud de todlo el inventario.. Existe una correlacién directa entre el nivel de los controles internos y la cantidad de pruebas sustantivas requeridas. $i los resultados de las pruebas a los controles (pruebas de cumplimiento) rovelaran la presencia de controles internos adecuados, entonces ef auditor de SI tiene una justificacién para minimizar los procedimientos sustantivos. De manera inversa, si la prueba a Jos controles revelara debilidades en los controles que podrian generar dudas sobre la integridad, exactitud 0 validez de las cuentas, las pruebas sustantivas pueden responder esas dudas. El auditor de SI podria también decidir durante la evaluacién preliminar de los controles, incluir algunas pruebas sustantivas, si los resultados de esta evaluacién preliminar indican que los controles implementados no son confiables 0 no existen, La Figura 1.5 muestra la relacién entre las pruebas de cumplimiento y las pruebas sustantivas y describe las dos categorias de pruebas sustantivas. ‘Manual de Preparacion al Examen CISA 2008, 7Figura 1.5 Tevisar el sistema para identificar los controles. Probar el cumplimiento para determinar si fos controles estén funcionando Evaluar los controles para determinar una base de confianza yyla naturaleza, aleance y el momento para las pruebas sustantivas Tisar dos tipos de pruebas sustantivas para evaluar la validez de los datos zl Probar saldos y transacciones| Realizar procedimientos analiticos de revision 1.611 EVIDENCIA La evidencia es cualquier informacién usada por el auditor de SI para determinar si la entidad o los datos que estén siendo auditados cumplen con los eriterios u objetivos establecidos, y soporta las conclusiones de auditoria. Es un requisito que las conclusiones del auditor se basen en evidencia suficiente, relevante y Sompetente, Al plancar el trabajo de auditoria de SI, el auditor de SI debe tomar en eventa el tpo de cease do auditoria a sr recopilada, su uso como evidencia de audtoria para alcanzar los objetivos de auditoria y su diferente nivel de confiabilidad. La evidencia de auditoria puede incluir observaciones del auditor de SE (notificados a Ia gerencia), notas dds las entrevistns, material extractado de la corresponidencia y documentacién interna, los contratos ca se cinfernos 0 Tos resultados de los procedimientos de prueba de audivoria, Afin cuando toda le Sedencin apoyard al auditor de Sl en el desarollo de las conclusiones de la auditori, alguna evidencia ¢s iis confiable que otra, Las reglas de evidencia y stfieiencia asf como también de competencia de ta ‘evidencia se deben tomar en cuenta, como lo requieren los estindares de auditorfa, ® Manual de Manual de Preparacion al Examen CISA 2008 C c c tLos determinantes para evaluar la confiabilidad de la evidencia de auditorfa incluyen: Independencia del proveedor de Ia evidencia - La evideacia obtenida de fuentes externas es més confiable que la obtenida dentro de In organizacién, Esta es la razén por la cual se usan las cartas de confirmacién para verificar los saldos de las cuentas por cobrar. Adicionalmente, los contratos 0 acuerdos firmados con partes externas podrian ser considerados confiables si los documentos originales se ponen @ disposiciones para revisiGn. Credenciales de la persona que suministra Ia informacién o evidencia - El auditor de SI deberia siempre considerar las credenciales y Ins responsabilidades funcionales de las personas que suministran la informacién independientemente de si estas personas son internas o externas a la organizaciénEste aspecto también puede considerarse respecto del auditor de SI. Si un auditor de SI no tiene un buen entendimiento del érea téonioa que estd en revisi6n, fa informacién recopilada de las pruebas en esa érea puede no ser confiable, especialmente si el auditor de SI no entiende la prueba por completo, Ohbjetividad de la evidencia - La evidencia objetiva es més confiable que Ia evidencia que requiere opinién o interpretacién considerable. La revisién de inventario de medios de un auditor de SI es una evidencia objetiva y directa, El andlisis de un auditor de SI de la eficiencia de una aplicacién, basado en discusiones con deferminado personal, puede no ser una cvidencia de auditorla objetiva. ! ‘Tiempo de disponibilidad de la evidencia —El auditor de SI deberia considerar el tiempo durante el cual la informacién existe o esta disponible al determinar la naturaleza, el tiempo y la extensién de las pruebas, de cumplimiento y, si fuera aplicable, las pruebas sustantivas. Por ejemplo, la evidencia de auditoria ' procesada por intercambio electrénico de datos (EDI), procesamiento de imagen de documentos (DIP) y i sistemas dindmicos, tales como hojas de trabajo pueden no ser rescatables después de un periodo de | tiempo determinado si los cambios & los archivos no son controlados o si los archivos no son respaldados. El auditor de SI retne una variedad de evidencias durante Ia auditoria, Algunas de ellas pueden ser ! relevantes para los objetivos de la audiforia, mientras que otras evidencias pueden ser consideradas ‘ periféricas. El auditor de SI deberia enfocarse en los objetivos generales de la revisién y no en la naturaleza de la evidencia recopilada, Fl auditor de SI deberd evaluar tanto la calidad como la cantidad de la evidencia, La Federacién Internacional de Contadores (IFAC) se refiere a estas dos caracteristicas como competencia (Calidad) y suficiencia (Cantidad). La evidencia es competente cuando es tanto valida como relevante. Con base en el jucio de auditoria se determina cuando se logra fa suficiencia, de la misma manera que se determina la competencia de la evidencia. Es importante que los auditores de SI tengan un entendimiento de las reglas de la evidencia, ya que es posible que encuentren una variedad de tipos de evidencia, La recoleccién de evidencia es un paso clave en el proceso de auditora. El auditor de SI debe estar ! conseiente de las diversas formas de evidencia de auditoria y de cémo puede ser recopilada y revisada. El auditor de SI deberia entender el estindar de auditoria $6 y S14 y deberia obtener evidencia suficiente cuya naturaleza soporte los hallazgos de auditor Nota: Un'enididato recoleéeitn de evidence i Las siguientes son técnicas para Ia recopilacién de evidencia: ! Revision de las estructuras organizacionales de los istemas de Informacién - Una estructura organizacional que provee una adecuada separacién o segregacién de funciones es un control general I clave en un ambiente de sistemas de informacién, El auditor ‘de SI_deberia entender los controles: ‘Manual de Preparacion al Examen CISA 2008 zy‘eenerales de la organizacién y ser capaz de evaluarlos en la organizacién que audita, Donde haya un fuerte énfasis en un procesamiento distribuido cooperative o en la computacién de usuario final, las funciones de SI pueden estar organizadas un poco diferente de la organizacién “clésica” de SI, constituida por funeiones operativas y de sistemas separadas. El auditor de SI deberia poder revisar estas estructuras organizacionales y determinar el nivel de control que proveen. Revisidn de las politicas y procedimientos de SI ~ Un auditor de SI deberfa revisar si se cuenta con politicas y procedimientos apropiados establecidos, determinar si el personal entiende las politicas y procedimientos implementados y asegurar que éstos se estén cumpliendo, EI auditor de SI deberia verificar que la direccién asume plena responsabilidad por Ia formulacién, desarrollo, documentacién, publicacién y control de las politicas que abarcan propésitos y directivas generales. Asi mismo, se deberian llevar a cabo revisiones regulares de las politicas y de los procedimientos para asegurar que siguen siendo adecuados. Revisin de los estindares de SI ~ existentes dentro de la organizacién, Revisién de Ia documentacién de SI ~ Un primer paso al revisar la documentacién para un sistema de informacién es entender la documentaci6n existente vigente con que cuenta la organizaciin. Esta documentacién podria ser mantenida en forma de copia dura, 0 almacenada electrénicamente (e.g. iméges de documentos almacenadas en Ia red corporativa interna), Si esto tiltimo fuera el caso, el auditor de SI deberia evaluar los controles para presetvat la integridad de los documentos. El auditor de SI deberia buscar que exista un nivel minimo de documentacién de los sistemas de informacién que podré incluie: Documentos de inicio del desairollo de sistemas (por ejemplo, estudio de factibilidad) Documentacién suministrada por proveedores externos de aplicacién Contratos de nivel de servicio con proveedores externos de TI Requerimientos funcionales y especificaciones de disetio Planes e informes de pruebas Programa y documentos de operaciones, Registros (logs) e historial de cambio a programas Manuales del usuario Manuales de operacién Documentos relacionados con la seguridad (por ejemplo, planes de seguridad, evaluacién del riesgo) Planes de Continuidad del Negocio Informes de aseguramiento de calidad Reportes sobre métrica de seguridad mero, el auditor de SI deberta entender los estindares vigentes Entrevistas al Personal Apropiado - Las técnicas de entrevista contituyen una habilidad importante para cel auditor de SI, Las entrevistas deberian ser organizadas de antemano con objetivos claramente ‘comunicados, deberian seguir un patrén fijado y deberian ser documentadas por medio de notas de entrevista. Un buen método es un formulario de entrovista o lista de verificacién preparada por un auditor de SI. El auditor de SI deberia recordar siempre que el propésito de dicha entrevista es recopilar evidencia de auditoria. Las entrevistas al personal tienen naturaleza de descubrimiento y nunca deberian ser acusatorias, Si estas notas fueran necesarias para soportar conclusiones, el auditor de SI debe'ria verificar la exactitud de las notas con la entrevistada, ‘+ Observacidn de Procesos y del Desempefio de los Empleados - La observacién de procesos es una técnica clave de auditorfa para muchos tipos de revisiones. El auditor de SI no deberia ser obstructivo al realizar sus observaciones y deberfa documentar todo con suficiente detalle como para poder presentarlo, si se requiere, como evidencia de auditorfa en una fecha posterior. En algunas situaciones, la publicacién del reporte de auditoria puede no ser lo suficientemente oportuno como ppara usar esta observacién como evidencia, Esto puede nevesitar que se emita un reporte interino a Ja gerencia del area que se esté auditando. Bl auditor de SI puede también querer considerar si la 350 ‘Manual de Manual de Preparacién al Examen CISA 2008 7a ’ rr oro€ ca u rm me‘evidencia documentaria seria ttil como evidencia (e.g, fotografia de una habitacién de servidores con las puertas totalmente abiertas), ‘Todas estas técnicas mencionadas de recoleccién de evidencia, son parte de una auditoria, pero una auditoria no es considerada s6lo un trabajo de revisién. Una auditoria incluye examen que incorpora por necesidad, Ia comprobacién de los controles y la evidencia de auditoria, y por lo tanto ineluye los resultados de las pruebas de auditor, Los auditores de ST deberian reconocer que con las técnicas de desarrollo de sistemas (CASE) o creacién de prototipos, no se requeriré Ja documentacién de sistemas tradicionales 0 estard en una forma automatizada en vez de estar en papel. Sin embargo, el auditor de SI deberia buscar esténdares y practicas de documentacién dentro de la organizacién de SI. BI auditor de SI deberla poder revisar la documentacién para un sistema dado y determinar si el mismo sigue los estandares de documentacién de la organizacién. Ademés, el auditor de SI deberfa entender los enfoques actuales de desarrollo de sistemas, tales como Jos métodos orientados a objetos, herramientas CASE 0 creacién de prototipos y cémo se genera Ja documentacién, E! auditor de SI deberia reconocer ‘otros componentes de la documentacién de los sistemas de informacién tales como especificaciones de base de datos, descripeién de archivos o listados de programas autodocumentados. 1.6.12 ENTREVISTAS Y OBSERVACION AL PERSONAL EN EL DESEMPENO DE SUS FUNCIONES, La Observacién al personal en el desempefio de sus funciones ayuda a un auditor de SI a identificar: Funciones reales ~ La observacién podria ser una prueba adecuada para asegurar que la persona asignada ¥y autorizada para realizar una funcién en particular es la persona que esté realmente haciendo el trabajo. Esto permite al auditor de SI contar con una oportunidad de presenciar cémo se entienden y ponen en prictica las politicas y procedimientos, Dependiendo de la situacién especifica, los resultados de este tipo de prueba deben set comparados con [os respectivos derechos de acceso Iégico. Procesos /procedimientos reales ~ La ejecucién de un recorrido de proceso /procedimiento permite que el auditor de SI obtenga evidencia de cumplimiento y observe desviaciones, si las hubiera. Este tipo de observacién podria probarse que es itil para los controles fisicos. Concientizacién sobre seguridad - Se debe observar el grado de concientizacién sobre seguridad que ‘una persona tiene para verificar Ia comprension y la préctica ce buenas medidas de seguridad preventivas y de deteccién para salvaguardar los activos y datos de la compaiia, Bste tipo de informacién podria ser ‘complementado con un examen de entrenamiento de seguridad anterior y planeedo. Lineas de reporte- Las lincas de reporte deben observarse para asegurar que se practiquen las responsabilidades asignadas y una segregacién adecuada de funciones. A menudo, los resultados de este tipo de pruebas deben ser comparados con los respectivos derechos de acceso logico. Las entrevistas al personal y a la direccién de procesamiento de informacién deberian proveer una certeza adecuada que el personal tiene las destrezas téenicas requeridas para realizar su trabajo. Este es un factor importante que contribuye a que la operacién sea efectiva y eficiente. Manual de Preparacion al Examen CISA 2008 aT1.6.16 EVALUACION DE LAS FORTALEZAS Y DEBILIDADES EI auditor de SI revisaré la evidencia recopilada durante la auditorfa para determinar si las operaciones revisadas estin bien controladas y son efectivas. Esta es también un area que requiere el juicio y la experiencia del auditor de SI. El auditor de SI debe evaluar las fortalezas y debilidades de los controles evaluados y luego determinar si son efectivos para cumplir los objetivos de control establecidos como parte del proceso de planeacién de la auditoria, ‘A menudo se utiliza una matriz de control para determinat el nivel apropiado de los controles. Los tipos conocidos de error que pueden oourrir en el area bajo revisién, se colocan en el eje superior y los controles conocidos para detectar o para corregir los errores, en el gje lateral. Luego, usando un método de categorizacién, se llena la mattiz con las medidas apropiadas. Cuando se haya completado, la matriz ilustraré las dreas donde los controles son débiles o faltan En algunas instancias, un control fuerte puede compensar un control débil en otra rea. Por ejemplo, st et auditor de SI encuentra debilidades en un reporte de errores de transaccién de sistemas, el auditor de SIT puede hallar que un proceso detallado de balanceo manual de las transacciones compensa la debilidad del eporte de errores. El auditor de SI deberin estar consciente de controles compensatorios en ress donde Jos controles han sido identificados como débiles. Mientras que una situacién de controt compensatorio ocurre cuando un control més fuerte soporta a uno mis débil, los controles solapados son dos controles fuertes. Por ejemplo, si un centro de datos emplea tn sistema de tarjetas Have para controlar el acceso fisico y un guardia dentro de la puerta requiere que fos empleados muestren su tarjeta Inve o su tarjeta de identificacién, existe control solapado. Cualquiera de los controles podrla ser adecuado para restringir ef acceso y los dos se complementan entre st. Normalmente, un objetivo de control no se alcanza considerando que un control es adecuado, Por el contrario, el auditor de SI llevaré a cabo una variedad de procedimientos de prueba y evaluaré cémo estos se relacionan entre sf, Un auditor de SI deberfa siempre revisar si existen controles compensatorios antes de reportar una debilidad de control. BI auditor de SI puede encontrar que no todos los procedimientos de control estén establecidos pero deberia evaluar la totalidad de los controles considerando las fortalezas y las debilidades de los procedimientos de control. Suzgando la Materialidad de los Hallazgos El concepto de materiatidad es un tema clave al decidir qué hallazgos llevar al informe de auditoria. La clave para determinar la materialidad de los hallazgos de Ja auditoria es la determinacién de qué seria significativo paca los diferentes niveles de diteccién, La determinacién requiere juzgar el efecto potencial del hallazgo sino se realizan acciones correctivas, Una debilidad en los controles de seguridad de acceso fisico en un sitio de eémputo distribuido remoto puede set significativa para la direccién del sitio, pero no serd necesariamente material para la alta direcci6n en la oficina central. Sin embargo, puede haber otros asuntos en el sitio remoto que serian materiales para la alta gerencia. El auditor de SI debe usar su buen juicio al decidir cudles hallazgos presentar a los distintos niveles de direccién, Por ejemplo, el auditor de SI puede encontrar que el formulario de intercambio para el envio de cintas al lugar de almacenamiento externo, no esté debidamente firmado por Ia direecién como fo 3 Manual de Manual de Preparacién al Examen CISA 2008 mea mm E *requieren los provedimientos. Sin embargo, si el auditor de SI encuentra que la direccién presta de otro ‘modo atencién a este proceso y que no ha habido problemas en esta Area, el auditor de SI puede deci que la falla de firmar los documentos de intercambio no es lo suficientemente material como para llamar la atencién de la alta direoci6n, El auditor de SI podria decidir discutir esto tnicamente con Ia direceién local de operaciones. Sin embargo, puede haber otros problemas de control que harén que el auditor de SI egue a la conclusién que éste es un error material, porque puede conducir a un problema de control mayor en otras areas. El auditor de SI deberia juzgar siempre cules hallazgos son materiales para los distintos niveles de la direccién y deberia reportarlos en consecuencia, 1.6.17 COMUNICACION DE LOS RESULTADOS DE LA AUDITORIA La entrevista final, levada a cabo al final de la auditoria, provee al auditor de SI la oportunidad de discutir los hallazgos y las recomendaciones con la direceién, Los objetivos y el aleance de la auditoria pueden ser discutidos y el proceso de auditoria de SI puede ser explicado, Durante la entrevista final, el auditor de SI deberia: ‘Asegurarse de que los hechos presentados en el informe estén correctos, ‘Asegurarse de que las recomendaciones sean realistas y eficientes desde el punto de vista de los costos, y si no lo fueran, buscar alternativas negociando con la gorencia del audlitado, ‘Sugerir fechas de implementacin para las recomendaciones acordadas. Con frecuencia solicitarén al auditor de SI que presente los resultados del trabajo de auditoria a los distintos niveles de la direccién, El auditor de SI deberia tener un profundo entendimiento de las técnicas de presentacién necesarias para comunicar estos resultados. Las téonicas de presentacién podrian incluir las siguientes: Resumen Ejecutivo - Un informe coneiso y facil de leer, que presenta Jos hallazgos a la direecién en una forma comprensible. La mayoria de los directores ejecutivos no estin muy familiarizados con Ia jerga de ‘computacién; por lo tanto, [os restimenes ejecutivos deberian minimizar el uso de terminologfe compleja. 1Los hallazgos y las recomendaciones deberfan ser comunicados desde una perspectiva de negocio. Los anexos detallados pueden ser de naturaleza més técnica ya que la direccién de operaciones requeriré el detalle para corregir las situaciones que se informan, Presentacién Visual - Esto puede incluir transparencias, diapositivas o gréficas de computadora, Los Auditores de SI deberian estar conscientes de que al final, ellos son los responsables frente a la alta direccién y el Comité de Auditoria de la Junta Directiva. Los Auditores de SI deberfan sentirse en libertad para comunicar los asuntos 0 preocupaciones a dicha direccién, Un intento de negar acceso por niveles inferiores a la alta direccién limitaria la independencia de la funcién de auditoria. ‘Antes de comunicar los resultados de una auditoria a la alta direcei6n, el auditor de SI deberfa discutir los hallazgos con el personal directivo de Ia entidad auditada, El propésito de dicha discusién es el de llegar, 1 un acuerdo sobre los hallazgos y desarrollar un curso de accién correctiva. En el caso de que exista un desacuerdo, el auditor de SI deberfa profundizar sobre la importancia del hallazgo y los riesgos y el efecto de no corregir la debilidad de control. En algunas ocasiones la direccién dol drea auditada puede requerir el apoyo del auditor de SI pata implementar las mejoras recomendadas al control. E] auditor de SI deberfa comunicar la diferencia entre el rol de un auditor y el de un consultor, y explicar euidadosamente cémo el apoyar al auditado puede afectar adversamente st independencia como auditor de SI. ‘Una vez que se han Jogrado acuerdos con el auditado, la gerencia de auditoria de SI deberia enviar un corto resumen a la alta direceién de la organizacién auditada, Periédicamente, se debe proporcionar un resumen de las actividades de auditoria al cor de auditoria. Los comités de auditoria estdn tipicamente ‘Manual de Preparacion al Examen CISA 2008 3compuestos por personas que no trabajan directamente para la organizacién y de ese modo proveen a los auditores un camino independiente para reportar los hallazgos sensitivos, Estructura y Contenido de un Informe de Auditoria Los informes de auditoria son el producto final del trabajo de auditorfa de SI. Son usados por el auditor de SI pata reportar a la direccién sus hallazgos y recomendaciones. El formato exacto de un informe de aiiditorfa varia en cada organizacién. Sin embargo, el aucitor de SI experimentado deberia entender los ‘componentes basicos de un informe de auditoria y eémo éste comunica los hallazgos de auditoria a la direccién, No existe un formato especifico para un informe de auditorla de SI, sin embargo, las politicas y los procedimientos de auditorla de fa organizacién generalmente diotardn el formato. No obstante, los informes de auditorfa usualmente tendrén la estructura y contenido siguientes: Una introduccién al informe, incluyendo una declaracién de los objetivos, limitaciones para la auditoria y aleance, el periodo cubierto por la auditoria y una declaracién general sobre el cardeter y Ia extensién ce los procedimientos de auditoria realizados y los procesos examinados durante la auditoria, declaracién sobre la metodologia de la auditoria de ST y directrices seguidas, Una buena prictica es incluir hallazgos de auditoria en anexos separados. Estos hallazgos pueden ser agrupados en anexos por materialidad y/o receptor pretendido. La conclusién y fa opinién generales det auditor de SI respecto a si los controles y procedimientos examinados durante la auditoria son los adecuados, y los riesgos potenciales reales identificados como consecuencia de las deficiencias detectadas. Las reservas 0 calificaciones del auditor de SI con relacién a la auditorfa, Estas pueden declarar que se tencontré que los controles 0 procedimientos examinados son adecuados 0 inadecuados. El balance del informe de auditoria deberia respaldar dicha conclusién y toda la evidencia recopilada durante 1a auditoria deberia proveer tn nivel atin mayor de respaldo para las concfusiones de auditor. Los hallazgos detallados y las recomendaciones de la auditoria. El auditor de ST decidiria incluir o no fos haliazgos especificos en tn informe de auditoria, Esto deberfa hacerse con base en Ia materialidad de los haliazgos y los destinarios proyectados del informe de auditoria, Un informe de auditoria dirigido al Comité de Auditoria de Ia Junta Directiva, por ejemplo, puede no incluir hallazgos que son importantes solamente para la gerencia local pero que tienen poca importancia de control para la organizacién en general. La decisién de qué incluir en los distintos niveles de los informes de auditoria depende de la orientacién provista por la alta direceién. Una variedad de hatlazgos, algunos de los cuales pueden ser considerablemente materiales mientras que ‘otros son menotes en su cardcter. El auditor de SI, sin’ embargo, deberia tomar la decisién final acerca de qué incluir o excluir del informe de auditoria, Generalmente, el auditor de SI deberfa preocuparse de proveer un informe balanceado, que describa no solamente Jos aspectos negativos en términos de hallazgos sino también comentarios constructivos sobre procesos y controles en perfeccionamiento o sobre controles efectivos ya existentes, Sobre todo, el auditor de SI deberia ejerver independencia en el proceso de reporte w ‘Manual de Manual de Preparacion al Examen CISA 2008La gerencia del auditado evalita los hallazgos, estableciendo las acciones correctivas a tomar y estableciendo fechas para su implementacién. Puede que la gerencia no pueda implementar de inmediato todas las recomendaciones de la auditoria. Por ejemplo, el auditor de SI puede recomendar cambios a un sistema de informacién que esti experimentando otros eambios o mejoras. El auditor de SI no deberia necesariamente esperar que los ftros cambios sean suspendidos hasta que se hayan implementado sus recomendaciones, En lugar de ello, todo puede ser implementado al mismo tiempo. El auditor de SI deberia discutir las recomendaciones y las fechas planeadas de implementacién mientras esti en el proceso de emitir el informe de auditoria. EI auditor de SI deberia darse cuenta que restricciones diversas, tales como limitaciones de personal, presupuestos u otros proyectos, pueden restringir la implementacién inmediata, La direcoién deberia desarrollar un programa s6lido pars las aceiones correctivas. Es importante obtener un conipromiso por parte del auditado /direccién sobre la fecha en que ol plan de accién seré implementado (la solucidn puede en si misma requerir_un tiempo largo de implementacién) y la manera en que se Hlevaré a cabo, ya que la aceién correctiva puede en si misma introducir ciertos riesgos que pueden evitarse si se los identifica mientras se discute y se finaliza el informe de auditorla. Si fuera apropiado, el auditor de SI podrfa reportar a la alta direceién sobre el progreso de la implantacién de las recomendaciones. La Directriz para Auditoria de SI de ISACA, “Bsténdar de Auditoria $7 de SI” y “ISACA Sl, sobre Reportes establece que el informe deberia incluir todos los hallazgos de auditoria significativos. Cuando un hallazgo requiere explicacién, el auditor de SI deberia describir el hallazgo, su causa, y su riesgo. Civando sea apropiado, el auditor de SI deberfa proveer Ia explicacién en un documento separado y hacer referencia a éste en el informe. Por ejemplo, este enfoque puede ser apropiado para asuntos altamente confidenciales. El auditor de Si deberia también identificar Ios criterios organizacionales, profesionales y gubemamentales aplicados, tales como Objetivos de Control para Ia Informacién y la Tecnologia Relacionada (COBIT), publicada por el Instituto de Gobierno de TI. El informe deberia ser emitido oportunamente para fomentar Ia pronta accién correctiva. Cuando sea apropiado, el auditor de SI deberia comunicar prontamente los hallazgos significativos a las personas adecuadas antes de Ia emisién del informe. La comunicacién previa de hallazgos significativos no deberia alterar la intencién 0 el contenido el informe. ao 1.6.18 ACCIONES DE LA GERENCIA PARA IMPLEMENTAR LAS RECOMENDACIONES Los Auditores de SI deberian estar conscientes de que la auditoria es un proceso continuo, El auditor de SI no ¢s eficaz si se realizan las auditorias y se emiten los informes, pero no se realiza el seguimiento para determinar si la direccién ha emprendido las acciones correctivas apropiadas. Los Auditores de SI deberfan tener un programa de seguimiento para determinar si se han implementado las acciones correetivas acordadas. A pesar de que los auditores de SI que trabajan para firmas de auditorfa externas pueden no necesariamente seguir este proceso, ellos pueden lograr estas tareas si lo aeuerdan con la entidad auditada, Manual de Preparacion al Examen CISA 2008 orEl momento del seguimiento dependerd de la gravedad de los hallazgos y estarfa sujeto al ‘auditor de SI. Los resultados del seguimiento deberfan ser comunicados a los niveles apropiados de la gerencia, El nivel de ta revisi6n en el seguimiento del auditor de SI dependeré de varios factores. En algunos casos, el auditor de SI puede slo necesitar averiguar sobre el estado actual. En otros casos, el auditor de SI que trabaja en una funcién de auditorfa interna puede tener que llevar a cabo ciertos pasos de auditoria para determinar si las acciones correctivas acordadas por la direccién han sido implementadas. 1.6.19 DOCUMENTACION DE LA AUDITORIA La documentacién de auditoria debe incluir, como minimo, un registro de: ~ laplaneacién y preparacién del aleance y objetivos de la audi = ladeseripoién y/o recortidos en el area de auditoria vista = el programa de auditoria = tos pasos de auditorfa realizados y ta evidencia de auditorfa recopilada = el uso de servicios de otros auditores y expertos = os hallazgos, conclusiones y recomendaciones ce auditoria ia documentacién de auditorfa relacionacia con la identificacién y fechas de documentos ‘También se recomienda que la documentacién incluya: = una copia del informe emitido como resultado del trabajo de auditoria = evidencia de revisién supervisoria de auditoria Los documentos deben incluir informacién que es requerida por leyes y regulaciones, estipulaciones contractuales, y estindares profasionales. La documentacién de auditoria es la evidencia necesaria que soporta las conclusiones alcanzadas y, de abi que debe ser clara, completa, ficilmente recuperable y suficientemente comprensible. La documentacién de auditoria es generalmente propiedad de la entidad de auditorfa y debe set accesible s6lo al personal autorizado bajo permiso especifica o general. Cuando las partes externas solicitan acceso a documentaciin de auditorfa, el auditor debe obtener la previa ‘aprobacién de la alta gerencia /oliente. El auditor de SI /departamento de auditoria de SI debe también desarrollar politicas respecto a la custodia, requisitos de reteneién y liberacién de la documentacién de auditorta. El formato de documentacién y los medios son opcionales, pero Ia debida diligencia y las mejores pricticas requieren que los papeles de trabajo estén fechados, inicializados, numeredas sus paginas, relevantes, completos, claros, autocontenidos y debidamente etiquetados, archivados y mantenidos en custodia, Los papeles de trabajo no tienen necesariamente que estar en papel — en copia dura. Los auditores de SI deben en particular considerar emo mantener la integridad y la proteccién de le evidencia de prueba de auditoria APRA preservar su valor de prueba en soporte de los resultados de auditor, La documentacién de auditorfa o los papeles de trabajo pueden ser considerados el puente 0 interfaz entre os objetivos de auditoria y el reporte final. Ellos deben proveer una transicién impecable ~ con B “Manual de Manual de Preparacién al Examen CISA 2008rastreabilidad y cargabilidad — de los objetivos al informe y del informe a los objetivos. El informe de auditoria, en este contexto, puede ser visualizado como papeles de trabajo particulares, La documentacién de auditoria deberia apoyar los hallazgos y lasconclusiones /la opinién. La fecha de la ‘evidencia seré a veces crucial para sustentar Ios hallazgos y las conclusiones de auitoria. E} auditor de SI deberia tener suficiente cuidedo al asegurarse que la evidencia reunida y documentada podré sustentar los hallazgos y conclusiones de auditoria. Un auditor de SI debe ser capaz de elaborar papeles de trabajo adecuados, narratives, cuestionatios y diagramas de flujo comprensibles de los sistemas. Los auditores de SI son un recurso escaso y caro. Cualquier tecnologia capaz de aumentar la productividad de la auditoria es bienvenida. Automatizar los papeles de trabajo afecta la productividad directa ¢ indirectamente (otorgando acceso a otros auditores, reutilizando documentos o parte de ellos en las auditorias recurrentes, ete), Los intentos de integrar los papeles de trabajo en el entomo electrénico del auditor ha tenido como consecuencia paquetes importantes de administracién de auditoria y proyectos, CATS y sistemas expertos que offecen un arreglo completo de documentacién automatizada y funciones de importacién exportacién. Los Estindares y Directrices de Auditoria de ISACA SI establecen muchas especificaciones sobre los papeles de trabgjo., incluyendo cémo usar los de otros auditores (anteriores 0 contratistas), la necesidad de documentar el plan, programa y evidencia de auditoria, o el uso de CATs o muestrreo (GI Usando el Trabajo de Otros Auditores; G2 Requerimientos de Evidencia de Auditorfa; G3 Uso de Técnicas de Auditoria Asistida por Computadora; G8 Documentacién de Auditoria). del control (CSA) puede definirse como una técnica de Ie direccién que asegura a los accionistas, clientes y otros que el sistema de control interno del negocio es confiable, También asegura que: los-empleados estén concientes de los riesgos del negocio y que realicen revisiones proactivas periddicas de los controles, Esta es una metodologia usada para revisar los objetivos clave del negocio, los riesgos involucrados en alcanzar los objetivos del negocio y los controles internos disefiados para ‘administrar estos riesgos del negocio en un proceso colaborativo formal y documentado. En la préctica, CSA es una serie de herramientas que abarcan desde simples cuestionarios hasta talleres de facilitacién disefiados para recopilar informacién sobre la organizacién, solicitindola a los que tienen conocimientos de trabajo cotidiano de un drea asi como también a sus directivos. Las herramientas bbasicas usadas durante un proyecto de CSA son las mismas ya sea que el proyecto sea técnico, financiero 1 operativo. Estas herramientas incluyen reuniones de direccién, talleres de clientes, hojas de trabajo, hojas de clasificacién y el enfoque de proyecto de CSA. Al igual que para el conjunto de herramientas usadas para recopilar “informacidn, existen diferentes enfoques para los niveles inferiores a la direccién que son encuestados; algunas organizaciones incluso incluyen personas externas (tales como clientes © socios de negocios) cuando se realizan evaluaciones de CSA. El programa de CSA puede ser implementado mediante diversos métodos. Para las pequeiias unidades de negocio dentro de las organizaciones, se puede implementar mediante talleres de facilitacién en los que la direecién funcional y los profesionales de’control, como los auditores, pueden reunirse y deliberar sobre ccémo desarrollar de la mejor manera una estructura de control para la unidad de negocio. “Manual de Preparacion al Examen CISA 2008 S