Explicacin del tema 1

Proyecto integrador de administracin de tecnologas de informacin Tema 1. Planeacin de la auditora

1.1 Tipos de auditora
Las auditoras se pueden clasificar en tres tipos, cada uno de los cuales representa un nivel de confianza diferente y la definicin de objetivos nicos; sin embargo, en todos se propone determinar la verdad. 1. Auditoras y valoraciones internas. Involucra auditar a la organizacin donde trabajas para descubrir evidencia de lo que est ocurriendo dentro de la organizacin. 2. Auditora externa. Involucra que el cliente realice la auditora o que tu empresa audite a algn proveedor. 3. Auditora independiente . Es realizada por entidades externas especializadas en el tema. Como auditor debes auditar productos, procesos, sistemas o los documentos financieros, cada uno de los cuales requiere un enfoque distinto; por ejemplo: Productos. Revisar atributos con base en las especificaciones del diseo (tamao, color y marcas). Procesos. Evaluar el mtodo de procesos para determinar si las actividades o las secuencias de actividades cumplen con los requerimientos establecidos en la empresa. Sistemas. Evaluar la administracin del sistema, incluyendo su configuracin. Financiera. Verificar los documentos financieros, transacciones y cuentas de balance.

Al iniciar una auditora es importante que identifiques los diferentes programas de auditora a los cuales puedes estar ligado: 1. 2. 3. 4. 5. Productos o servicios. Eficiencia, efectividad, controles y costos del ciclo de vida Procesos. Mtodos o resultados Sistema. Diseo o configuracin Controles generales. Preventivos, detecciones y correctivos Planes organizacionales. Objetivos actuales y futuros

Como puedes observar, cada tipo de auditora se enfoca en diferentes componentes de la organizacin, por lo que es necesario que, para que la auditora refleje completamente el estado actual de la organizacin (con sus reas de oportunidad y sus fortalezas), el auditor se enfoque en una bsqueda de hechos. A su vez, debers considerar los requerimientos especficos del negocio ya que algunos son nicos para cada auditora y otros pueden ser comunes dependiendo de su entorno, ya que cada negocio tiene sus propias oportunidades, desafos y limitaciones. Es necesaria una planeacin adecuada para asegurar que la auditora misma no afecte a la

empresa, o desperdicie recursos valiosos incluyendo tiempo y dinero.

1.2 Pre-planeacin de auditora

Para realizar una auditora exitosa, el primer paso es generar la planeacin del proyecto de auditora, necesaria para establecer los objetivos de la misma. Los anlisis deben realizarse, como mnimo una vez al ao, para incorporar el flujo constante de actualizaciones en la industria en donde se realizar la auditora y en el proceso de la auditora misma. Los objetivos de auditora deben incluir el cumplimiento de los estndares profesionales de auditora (por ejemplo ISACA) y las leyes aplicables al momento de la auditora. Como auditor de sistemas de informacin debes estar preparado para justificar cualquier incumplimiento de los estndares profesionales de auditora. Para generar una planeacin necesitas considerar el impacto de la auditora en la operacin de la organizacin, por lo que debes entender el negocio, su propsito y definir los lmites de la auditora; lo cual se debe basar en los tipos de auditora y en los componentes que se exponen en la siguiente tabla, en donde se explica el fundamento de cada uno y algunas preguntas como ejemplo que ayuden a obtener la informacin necesaria. Componentes de la empresa Fundamento Pregunta Se han promulgado leyes nuevas que afecten a la auditora? Cules son los ciclos de negocio en la empresa? Cul es la direccin y la estructura de la organizacin en la empresa?

Para poder definir y alinear adecuadamente Conocimiento del la auditora es importante que conozcas las entorno de regulaciones que se establecen en el negocio entorno industrial o comercial en donde se desenvuelve la empresa.

Objetivos estratgicos

Esta estrategia define lo que la empresa estar haciendo durante los siguientes tres o Cul es el plan cinco aos. organizacional para la integracin de los sistemas de informacin? Cmo son administrados sus activos? Enfoque para el manejo de sus inversiones. Cules son los planes de continuidad del negocio? Las actividades operacionales se enfocan en el funcionamiento en un perodo del negocio (usualmente de 12 a 14 meses); siendo el enfoque que se tiene que hacer en el da a da y en el ao. Cules son las polticas o procedimientos que se deben probar? Esta auditora solamente se basar en aspectos administrativos?

Objetivos financieros

Objetivos operacionales para el control interno

Cmo se administran las mtricas de rendimiento?

1.3 Directrices de la auditora

Una vez que conozcas cmo la empresa desarrolla sus procesos y administra su entorno, debes recordar que el objetivo principal de una auditora de sistemas de informacin es asegurar que no haya riesgos de seguridad, operacin, cumplimiento de regulaciones y desempeo financiero para la compaa . Las principales directrices son las siguientes: Desarrollar e implementar una estrategia de auditora basada en el riesgo para la organizacin en las demandas con los estndares de auditora de SI y mejores prcticas. Planear auditoras especficas para asegurar que la tecnologa de informacin y los sistemas de informacin del negocio son protegidos y controlados. Dirigir auditoras de acuerdo con los estndares de auditora de sistemas de informacin y las mejores prcticas para alcanzar los objetivos planeados de la auditora. Comunicar problemas que surjan, riesgos potenciales y los resultados de la auditora a los socios ms importantes de la empresa. Aconsejar la importancia de la implementacin de la administracin de riesgo y prcticas de control dentro de la organizacin mientras se mantiene la independencia.

1.4 Administracin de proyectos

La auditora de sistemas de informacin y la administracin de proyectos son dos ramas que van de la mano, ya que como administrador de proyectos defines lo que debes cumplir y las acciones que realizas como parte del proyecto (que prcticamente corresponde a los mismos pasos que realizas al hacer una auditora). Otra de las grandes coincidencias entre la administracin de proyectos y la auditora es el propsito, el cual es crear un mejor resultado que el que actualmente est ocurriendo y ayudar a superar las limitaciones de tiempo, recursos y calidad. Todos los proyectos tienen las siguientes caractersticas: 1. Es temporal. Tiene una duracin establecida. 2. Es nico. Todos los proyectos son aplicados con un propsito nico. 3. Es elaborado progresivamente . Empiezan con ideas de alto nivel y se van especificando conforme va avanzando la planeacin. Como puedes ver, existe mucha similitud entre la administracin de proyectos y la aplicacin de una auditora, por lo que es recomendable que como auditor de sistemas de informacin tengas conocimiento de lo que significa la administracin de proyectos. La entidad ms reconocida para

PM (Administracin de Proyectos) es PMI (Project Management Institute ), la cual cuenta con varias certificaciones y lineamientos establecidos para ser un administrador de proyectos certificado. Un administrador de proyectos debe balancear las demandas y su valor se puede dividir en: mbito de aplicacin. En dnde se est realizando el proyecto y cmo afecta en la organizacin. Recursos (costo, tiempo). Especificar y administrar costos, riesgos y tiempo para la realizacin del proyecto. Calidad. Establecer los estndares mnimos para la realizacin del proyecto.

A su vez, un administrador de proyectos debe contar con un conjunto de habilidades y conocimientos, que como auditor facilitarn el trabajo: Saber cmo liderar y administrar los proyectos. Entender los detalles del entorno del negocio. Ser amable y sin embargo convencer a la gente de llegar a un acuerdo. Saber cmo funcionan, especficamente, las aplicaciones.

Explicacin del tema 2

Proyecto integrador de administracin de tecnologas de informacin Tema 2. Documentos operacionales en la empresa
2.1 Polticas
Las polticas son los documentos de ms alto nivel dentro de la empresa y son firmados por una persona con muy alta autoridad (como por ejemplo un CEO, presidente, vicepresidente u oficial corporativo). La poltica es un documento muy simple donde se establece que un objetivo de control particular es muy importante para el xito de la empresa. Las polticas pueden estar redactadas solamente en una pgina y representan la visin de los puestos directivos de la empresa para lograr el xito. Todas las polticas son obligatorias y se deben cumplir. Las caractersticas ms importantes de las polticas son las siguientes: Proveen nfasis a objetivos vitales en la empresa. Definen la direccin de la empresa. Son firmadas por una autoridad directiva reconocida. Se crean, principalmente, por los ejecutivos en jefe, oficiales financieros y oficiales operativos.

2.2 Estndares
Son documentos de nivel medio que aseguran la aplicacin uniforme de las polticas. Despus de que los estndares son aprobados por la administracin, su cumplimiento es obligatorio. Todos los estndares son utilizados como puntos de referencia para asegurar que se cumplan, en todo el entorno de la empresa y en su estructura organizacional, los niveles esperados en la aplicacin de las polticas. Los estndares son utilizados como base en las pruebas y en las auditoras para verificar que los procesos y los sujetos estn realizando las acciones o pasos a seguir de acuerdo a lo establecido por la empresa y, de esta forma, certificar que hay un nivel mnimo uniforme de cumplimiento. Sus caractersticas ms importantes son las siguientes: Especifican mtodos uniformes para la aplicacin de la poltica. Su cumplimiento es obligatorio. Estndares pblicos incluyen a los siguientes: o ISO (International Organization for Standardization ) o Sarbanes-Oxley o Las leyes establecidas por el gobierno en donde se desenvuelve la empresa

2.3 Lneas
Estn diseadas para proveer consejo sobre cmo los objetivos organizacionales pueden ser obtenidos en caso de que los estndares no estn aprobados por la administracin. Su propsito es proveer informacin que ayude a tomar decisiones acerca de las acciones que afecten directamente al cumplimiento de los objetivos (lo que se debe hacer), beneficios alternativos (lo que se puede hacer) y acciones que no podran crear problemas (lo que no lastimar). Su uso es discrecional. Sus principales caractersticas son: Son acciones sugeridas y a considerar en caso de que no exista un estndar aplicable. Su uso es discrecional. Se pueden utilizar como base para la creacin de nuevos estndares.

2.4 Procedimientos
Los procedimientos los puedes ver como libros de cocina, ya que se realizan las instrucciones paso a paso y se llevan a cabo tareas especficas que son necesarias para cumplir un estndar. Los detalles de estas tareas son escritos y se utiliza un formato que muestre el paso a paso, es decir, desde el inicio del procedimiento hasta el final del mismo. Deben incluir un apartado de problemas comunes y los pasos necesarios para que en caso de que el usuario se tope con alguno de ellos sea capaz de resolverlo y cumplir con el estndar establecido sin afectar el funcionamiento del procedimiento. El cumplimiento de los procedimientos establecidos esobligatorio, ya que se asegura consistencia y exactitud en los resultados. El propsito de un proceso es mantener control del resultado. Sus principales caractersticas son las siguientes: Instrucciones paso a paso para realizar acciones deseadas. Proveen soporte para el cumplimiento del estndar. El cumplimiento es obligatorio.

Ejemplo

Explicacin del tema 3

Proyecto integrador de administracin de tecnologas de informacin Tema 3. Estndares de sistemas de informacin
3.1 Verificacin de calidad en la definicin de procedimientos
La naturaleza especializada de la auditora de SI (sistemas de informacin) as como las habilidades y conocimientos necesarios para realizar dicha auditora, requieren estndares de calidad globales. Estos estndares: Son los niveles mnimos de rendimiento requeridos para alcanzar las responsabilidades profesionales, establecidos en el Cdigo de tica Profesional para un auditor de SI. Establecen la comunicacin entre los directores u otros departamentos interesados en la auditora de SI.

Los estndares de auditora se clasifican de la siguiente manera: S1. Informe de auditora. El propsito, responsabilidad, autoridad y cumplimiento de la auditora de SI o de las asignaciones de la auditora, as como todas las obligaciones del auditor, deben ser apropiadamente documentados en un informe de auditora o en una carta de responsabilidad. El informe o carta de responsabilidad debe ser validado y aprobado dentro de los niveles adecuados en la organizacin. S2. Independencia. Independencia profesional. En todos los trminos relacionados a la auditora, el auditor de SI debe ser totalmente independiente del auditado en la actitud y en laapariencia. Independencia organizacional. La funcin de auditora de SI debe ser independiente del rea o actividad que est siendo revisada y que implique cumplir con el objetivo asignado de la auditora. S3. tica profesional y estndares. El auditor de SI debe cumplir con el Cdigo de tica Profesional de ISACA y debe ejercer y mantener su cuidado profesional, incluyendo observancia de los estndares de calidad de auditora. S4. Competencia profesional. El auditor debe ser profesionalmente competente y mantener una competencia profesional mediante una educacin continua y capacitacin profesional adecuada. S5. Planeacin. Se debe planear la cobertura de la auditora para cumplir con los objetivos,

las leyes reguladoras y los estndares de auditora. A su vez se debe desarrollar y documentar una auditora con la base de riesgo calculado. S6. Rendimiento del trabajo de auditora. El auditor debe cumplir cabalmente con una supervisin adecuada, obtencin de evidencia y documentar todo el proceso de la auditora. S7. Presentacin de informes. Se debe proveer un informe que presente todos los resultados y las recomendaciones de la auditora, y debe ser entregado con base en los acuerdos establecidos en el informe de auditora y en la carta de responsabilidad. S8. Actividades de seguimiento. Al presentar los resultados y las recomendaciones, el auditor debe solicitar y evaluar la informacin relevante para concluir las acciones a realizar en un tiempo determinado. S9. Irregularidades y actos ilegales. El auditor debe tener en cuenta todas las irregularidades y actos ilegales que puede detectar en la auditora y reportarlos en caso de que los llegara a confirmar. Para que esto suceda, debe recabar suficiente evidencia para que respalde cualquier hallazgo que signifique algn problema legal para la empresa. S10. Gobierno de TI. El auditor debe verificar que las funciones de SI estn alineadas con la misin, visin, valores, objetivos y estrategias; a su vez, debe verificar que los recursos de SI estn siendo utilizados de la mejor manera por la administracin. S11. Uso de la evaluacin de riesgos en la planeacin de la auditora. Se debe determinar un mtodo que asegure un clculo de riesgos en la auditora, lo ms cercano a la realidad posible. S12. Importancia de la auditora. Se debe cumplir con la posible ausencia de controles en los procesos de la empresa y se deben reportar a la gerencia. S13. Utilizando el trabajo de otros expertos. Se debe consultar el trabajo de expertos en auditora, siempre y cuando sea adecuado al proyecto en cuestin. S14. Auditora de evidencias. Se debe obtener suficiente evidencia para apoyar sus conclusiones, en las cuales estarn basados los resultados de la auditora. El cumplimiento de estos estndares asegura que la calidad de la auditora, en los SI de la empresa, sea de acuerdo a los estndares internacionales de ISACA; sin embargo, para hacer acuerdos de niveles mnimos de calidad en la empresa se utilizan los acuerdos de nivel de servicios, mejor conocidos como SLA (Service Level Agreement).

3.2 SLA

Los SLA son medios contractuales para ayudar al departamento de SI a administrar los recursos de informacin bajo el control de un proveedor; estipulan y comprometen al proveedor a un nivel mnimo de servicio y opciones de servicios. Esto incluye garantizar un nivel de rendimiento del sistema con respecto del tiempo de inactividad, as como el tiempo de actividad, acompaado de un nivel de soporte al cliente, previamente establecido. El software y hardware requerido para que se provea el servicio son establecidos en los SLA y se especifican las multas y opciones para reforzar los servicios que no sean provistos por el proveedor; tambin puede incluir incentivos como bonos o aumentos de participacin por exceder los niveles mnimos establecidos.

Explicacin del tema 4

Proyecto integrador de administracin de tecnologas de informacin Tema 4. Recopilacin de la informacin
4.1 Tipos de evidencia
Como auditor debes estar consciente que la recoleccin de pruebas es uno de los objetivos bsicos de tu funcin, ya que con ellas puedes probar tus hallazgos y conclusiones; recuerda que laausencia de evidencia es la ausencia de pruebas. Las evidencias se clasifican en dos tipos principales: 1. Directas. Prueban la existencia de un hecho, sin interferencia o presuncin. La interferencia se da cuando se disea una proposicin lgica y razonable de algn supuesto que puede ser verdad. Este tipo de evidencia incluye los testimonios inalterados de testigos y documentos escritos. 2. Indirectas. Usan la hiptesis, sin evidencia directa, para hacer demandas consistentes en interferencias y presunciones. Esta evidencia est basada en una cadena de circunstancias, que las llevan a las demandas, sin la intencin de probar la existencia o no existencia de los hechos; tambin es conocida como evidencia circunstancial. Tambin es importante que evales la fiabilidad de la evidencia recolectada, esto lo haces basndote en las siguientes caractersticas: 1. Independencia del origen de la evidencia . La evidencia recolectada, por fuentes externas al auditado, es ms confiable que las recolectadas dentro de la organizacin. 2. Evaluaciones de la persona que provee la informacin/evidencia . Independientemente si la fuente es externa o interna de la organizacin, el auditor de sistemas de informacin debe siempre considerar las evaluaciones y las responsabilidades de la persona que provee la informacin. A su vez, el auditor debe comprender cmo funciona el rea a auditar, ya que en caso de que no comprenda cmo se desarrollan los procesos, la evidencia recolectada puede no serle til. 3. Objetividad de la evidencia. La evidencia objetiva es ms confiable que la evidencia que requiere un anlisis o interpretacin considerable. 4. Tiempo de vida de la evidencia . Se debe considerar el tiempo durante el cual la informacin existe y est disponible determinando el origen, tiempo y extensin de las pruebas de conformidad y, en caso de ser aplicable, realizar pruebas de confirmacin.

Como auditor, tu principal objetivo, en cuanto a la recoleccin de evidencias, es tratar de obtener la mejor evidencia en la auditora; lo ptimo es el uso de evidencia directa ya que la indirecta tiene un valor ms bajo por su naturaleza subjetiva. Una auditora sin evidencia directa, tpicamente, es inaceptable . Como auditor de SI utilizars tcnicas muy parecidas a un detective para recolectar evidencia, alguna ser de gran valor y otra no tendr tanto, por lo que siempre debers valorar la calidad y la cantidad de la evidencia. Podrs encontrar evidencia por medio de tus propias observaciones, revisando documentos internos, utilizando herramientas asistidas por computadora para auditora conocidas como CAAT, o revisando correspondencia y la minuta de las juntas. Algunas de las evidencias que puedes encontrar son las siguientes: 1. 2. 3. 4. 5. 6. Evidencia documentada Extraccin de datos por medio de herramientas automatizadas Reclamos del auditado Anlisis de la planeacin, polticas, procedimientos y diagramas de flujo de la organizacin Resultados de las quejas y exmenes de auditora de fondo Observaciones del auditor sobre el trabajo del auditado o repeticin del proceso seleccionado

Toda la evidencia debe evaluarse para determinar su relevancia y su fiabilidad, ya que la calidad de la evidencia que obtengas tendr un efecto directo sobre los hallazgos que desees probar al auditado.

4.2 Clasificacin de pruebas

Las pruebas se clasifican en dos tipos bsicos que son los siguientes: 1. Pruebas de cumplimiento. Comprueban la presencia o ausencia de algo, incluyendo la verificacin de polticas y procedimientos establecidos, y revisando que los usuarios, que cuenten con el permiso adecuado, puedan cambiar los controles de procesos llevando un control en los logs del sistema. Estas pruebas estn basadas en los siguientes tipos de muestras de auditora: a. Muestras de atributo. Su objetivo es determinar si un atributo est presente o ausente en la muestra. El resultado es especificado por la tasa de ocurrencia; por ejemplo, el archivo resultados_Nmes.xls se encuentra 1 en 5 meses que sera un 20%. b. Muestras de stop-and-go. Son utilizadas cuando los errores son esperados, ya que permite a la prueba ocurrir sin esfuerzos excesivos en muestreo y provee la oportunidad de detener la prueba lo ms pronto posible. c. Muestras de descubrimiento. Es usado para detectar fraude o cuando el porcentaje de descubrir evidencia es muy bajo.

d. Porcentaje de error esperado. Es el margen de error aceptable entre las muestras de auditora y la cantidad de la poblacin.

2. Pruebas extensas. Buscan verificar el contenido y la integridad de la evidencia, pueden incluir clculos complejos para verificar las cuentas de los balances, hacer inventarios fsicos, etc. Usan muestras de auditora seleccionadas por el valor monetario o para proyectar un grupo total de grupos con mismas caractersticas. Estn basadas en los siguientes tipos de muestras de auditora: a. Muestras variables. Designan el valor monetario o el peso de la efectividad de toda la poblacin mediante la segmentacin de un grupo ms pequeo. b. Estimacin diferencial. Determina la diferencia de valor entre los reclamos de los auditados y los no auditados.

4.3 Ciclo de vida de las evidencias

La evidencia pasa a travs de 7 fases en el ciclo de vida necesarios en cada auditora. Cada auditor de SI debe permanecer atento a las demandas legales, que siempre estn presentes, con base en el manejo de la documentacin y evidencia de los resultados de la auditora. Recuerda que toda la informacin que ests recabando en la empresa es la base de sus procesos y reflejan todas las ventajas, desventajas y oportunidades de las mismas, por lo que debes ser muy cuidadoso con el manejo de toda la evidencia que recabes. En caso de haber una falla en la cadena de custodia de la evidencia, sta podr ser descalificada; el manejo de la evidencia es tan importante como el descubrimiento de alguna actividad ilcita. Las 7 fases del ciclo de vida de las evidencias son las siguientes: 1. Identificacin. El auditor necesita identificar los artculos y objetos, que puedan ser evidencia, que se puedan solicitar a prstamo. 2. Coleccin. El proceso de coleccin involucra tomar posesin de la evidencia y colocarla bajo custodia de un auditor. 3. Preservacin inicial del almacenaje . Uno de los problemas ms graves con la evidencia es el reto de preservarla en su estado original, por lo que este proceso es un componente vital en la cadena de custodia, ya que su objetivo es que se garantice que est protegida y no sea alterada en ningn momento. 4. Anlisis. En esta fase, las muestras de evidencia son examinadas por observacin, exmenes cientficos y mediciones cualitativas y cuantitativas. Todo este proceso debe ser documentado. 5. Preservacin y post anlisis del almacenaje. Despus de las pruebas, la evidencia y las muestras deben ser regresadas para preservarse y tener un almacenaje seguro. La evidencia seguir en almacenaje hasta que se presente o se vuelvan a realizar exmenes; en caso de volver a realizar exmenes la evidencia se regresar a la fase de anlisis, de no ser as, continuar a la siguiente fase. 6. Presentacin. La evidencia y los hallazgos son presentados en apoyo del reporte del auditor, en caso de ser necesario la evidencia y hallazgos regresarn a la fase previa hasta que estn totalmente listos para presentarlos.

7. Regreso de la evidencia . La evidencia es regresada al dueo despus de que los exmenes de la auditora sean evaluados exitosamente o despus de que los procedimientos legales sean concluidos.