Universidad del Valle de Mxico. Campus Tlalpan.

Departamento de Posgrado. Maestra en Gestin de Tecnologas de la Informacin. Auditora Informtica.

Lectura 1. Captulo 1: El proceso de auditora de sistemas de informacin.

Presentan: Alumnos: Ing. Jazmn A. Gaytn Fernndez. Lic. Ma. de los ngeles Ramrez Medina. Ing. Gerardo A. Reyes Ramrez. Ing. Daniel Garrido Archundia. Profesor: Mtro. Ral Zarco Rbago.

Mxico D.F. a 13 de febrero de 2012.

Pgina 1 de 16

ndice.
Introduccin. .................................................................................................................................................................................. 4 El proceso de auditora de sistemas de informacin. ................................................................................................ 5 Objetivos del Control Interno. ........................................................................................................................................... 6 Objetivos de Control de los Sistemas de Informacin. ....................................................................................... 7 Procedimientos de Control General. ............................................................................................................................. 7 Realizar una auditora de SI. ................................................................................................................................................. 7 Clasificacin de las Auditoras. ........................................................................................................................................ 8 Procedimientos bsicos en la realizacin de una auditora. ........................................................................... 8 Procedimientos para la prueba y evaluacin de los controles de los SI. .................................................... 8 Metodologa de Auditora. .................................................................................................................................................. 9 Riesgo y Materialidad de las Auditoras. ..................................................................................................................... 9 Riesgo de auditora. ......................................................................................................................................................... 9 Tcnicas de Evaluacin de Riesgos. ................................................................................................................ 10 Objetivos de la Auditora. ......................................................................................................................................... 10 Pruebas de Cumplimiento vs. Pruebas Sustantivas. .............................................................................. 10 Evidencia ............................................................................................................................................................................ 10 Muestreo ............................................................................................................................................................................. 11 Tcnicas de Auditoria Asistidas por Computadora (TAACs CAATs)................................................. 12 Evaluacin de las Fortalezas y Debilidades de la Auditoria....................................................................... 12 Juzgando la Materialidad de los Hallazgos ........................................................................................................ 12 Comunicacin de los Resultados de la Auditoria ............................................................................................ 12 Estructura y Contenido de un Informe de Auditoria ....................................................................................... 12 Acciones de la gerencia para implementar las Recomendaciones. ........................................................... 13 Documentacin de la Auditora. ................................................................................................................................... 13 Limitaciones en la Realizacin de la Auditora. ................................................................................................ 13 Tcnicas de Administracin de Proyectos .......................................................................................................... 13 Autoevaluacin del Control (control self assessment). ..................................................................................... 13 La Funcin del Auditor en los CSAs ...................................................................................................................... 14 Impulsadores de la Tecnologa para el Programa de CSA ........................................................................ 14 Enfoque Tradicional vs. CSA .................................................................................................................................... 14 Gobierno Corporativo ........................................................................................................................................................ 14
Pgina 2 de 16

Gobierno de TI ................................................................................................................................................................. 14 Conclusiones. ............................................................................................................................................................................. 16

Pgina 3 de 16

Introduccin.
ISACA resalta en la organizacin de la funcin de auditora de SI, la administracin de recursos, la planificacin, el efecto de las leyes y regulaciones, cdigo de tica, los estndares y directrices, procedimientos, anlisis de riesgos y controles internos. En toda organizacin se considera que la informacin es el activo ms importante, para ello se tiene que tomar en cuenta toda la seguridad requerida para salvaguardarla. Aunque se implemente toda la seguridad es necesario corroborar que esta se cumpla segn con la normatividad, para ello se encarga la auditoria informtica El proceso de auditora involucra adems de un conjunto de acciones para una correcta implementacin de las recomendaciones que de estas se deriven, un proceso de documentacin establecido para salvaguardar todo documento que surja durante el procedimiento de sta. Como todo proceso, tendr ciertas limitantes, para ello debemos buscar la manera de controlar esas limitaciones. El Control Self Assessment es una herramienta til para el proceso de auditora, veremos sus puntos importantes dentro de una organizacin. Asimismo, entenderemos los conceptos de Gobierno Corporativo y Gobierno de TI as como sus interrelaciones entre ambas figuras dentro de una empresa.

Pgina 4 de 16

El proceso de auditora de sistemas de informacin. La funcin de auditora de los sistemas de informacin (SI) debe de estar establecida por un estatuto de auditora, la Gerencia en su nivel alto y el comit de auditora, si existe esta funcin dentro de la organizacin deben aprobar este estatuto. Los estndares de auditora de SI de ISACA requieren que el auditor de SI sea tcnicamente competente, tenga la destreza y los conocimientos necesarios para realizar el trabajo del auditor. Adems el auditor de SI ha de mantener la competencia tcnica a travs de una educacin profesional continuada. La Planificacin de la Auditora a corto plazo toma en cuenta los problemas de auditora sern cubiertos durante el ao, mientras que la planificacin a largo plazo se refiere a los planes de auditora que tomarn en cuenta aspectos relacionados con riesgos respecto a los cambios en la direccin estratgica de TI de la organizacin que afectarn el ambiente de TI de la organizacin. Las metodologas resultantes de ese anlisis para la planificacin de actividades futuras de la Auditora deben de ser revisadas y aprobadas por la gerencia superior y por el comit de Auditora, si existiera, y deben ser comunicadas a los niveles de la gerencia que sean pertinentes. Adems de la planificacin general anual, cada asignacin individual de auditora debe ser planeada adecuadamente, cuando se planea una auditora, el auditor de SI debe tener una comprensin general del ambiente que est en revisin. Esto debe incluir un entendimiento general de las diversas prcticas del negocio y de las funciones relativas al sujeto de auditora, as como tambin los tipos de sistemas de informacin que respaldan la actividad. Los estndares de Auditora de SI de ISACA requieren que el auditor de SI planee el trabajo de auditora de o sistemas de informacin para alcanzar los objetivos de auditora y cumplir con los estndares profesionales aplicables de auditora. El auditor de SI debe desarrollar un plan de auditora que tome en consideracin los objetivos relevantes del auditado para el rea de auditora y su infraestructura de tecnologa. Efecto de las Leyes y Regulaciones, sobre la Planificacin de SI, independientemente de su tamao o de la industria dentro de la cual opera, necesitar cumplir con un nmero de requisitos del gobierno y externos relacionados con las prcticas y los controles de los sistemas computarizados. La industria bancaria en todo el mundo tiene penalizaciones severas para las entidades y sus funcionarios si la entidad no pudiera proveer un nivel adecuado de servicio a causa de procedimientos de respaldo y de recuperacin que estn por debajo de los estndares. Tambin los proveedores de servicios de internet estn sujetos, en varios pases, a leyes especficas respecto a la confidencialidad y a la disponibilidad del servicio. Los auditores de SI deben revisar la poltica de privacidad de la administracin para determinar que toman en cuenta los requisitos de las leyes y regulaciones de privacidad aplicables. La Asociacin de Auditora y Control de Sistemas de Informacin (ISACA) establece un Cdigo de tica Profesional para guiar la conducta profesional y personal de los miembros de la asociacin y/o a los tenedores de su certificacin, el no cumplir con este Cdigo de tica Profesional puede tener como consecuencia una investigacin de la conducta de un miembro y/o del tenedor de certificacin y, en ltima instancia, medidas disciplinarias. Estndares de ISACA para la Auditora de los Sistemas de Informacin, una de las metas de la Asociacin es adelantar los estndares para satisfacer esta necesidad. El desarrollo y la divulgacin de los Estndares para la Auditora de Sistemas de Informacin es la piedra angular de la contribucin profesional de la Asociacin a la comunidad de auditores. El auditor de SI necesita estar consciente de que puede haber estndares adicionales, o incluso requisitos legales a travs de legislacin, puestos sobre el auditor. El Cdigo de tica Profesional de ISACA requiere que los miembros de ISACA y quienes cuentan con la designacin de CISA cumplan con los Estndares de Auditora de Sistemas de Informacin adoptados por ISACA. El incumplimiento evidente de las mismas puede tener como consecuencia que ISACA o una junta o comit apropiado de ISACA, realicen una investigacin de la conducta de los miembros o poseedores de la designacin CISA. Esto podra dar lugar a una medida disciplinaria. Los objetivos de los Estndares de ISACA para la Auditora de los Sistemas de Informacin son informar a los auditores de los sistemas de informacin sobre el nivel mnimo requerido de desempeo aceptable para cumplir con las responsabilidades profesionales establecidas en el Cdigo de tica Profesional para los
Pgina 5 de 16

Auditores de Sistemas de Informacin. As como informar a la Gerencia y a otros interesados sobre las expectativas de la profesin en relacin con el trabajo de los auditores. El objetivo de las directrices de ISACA para la auditora de SI es proveer informacin sobre cmo cumplir con los Estndares de ISACA para la Auditora de los Sistemas de Informacin. El auditor de SI debe considerarlos para determinar cmo implementar los estndares, debe usar el juicio profesional para aplicarlos y debe poder justificar cualquier desviacin o diferencia. Los procesamientos desarrollados por la Junta de Estndares de ISACA proveen ejemplos del posible proceso que un auditor de SI seguir en un compromiso de auditora. Al determinar la correccin de cualquier procedimiento especfico, el auditor de SI debe aplicar su propio juicio profesional a las circunstancias especficas. Los documentos del procedimiento proveen in formacin sobre cmo satisfacer los estndares cuando se realiza un trabajo de auditora de SI, pero no fija los requisitos. Los estndares definidos por ISACA deben ser cumplidos por el auditor de SI. Las directrices dan asistencia sobre cmo el auditor puede implementar los estndares en diversas asignaciones de auditora. Los procedimientos proveen los ejemplos de pasos que pueden ser seguidos por el auditor en una asignacin especfica de auditora del modo de cmo emplear estndares, sin embargo, el auditor de SI debe usar su juicio profesional cuando use las directrices y los procedimientos. El anlisis de riesgo es parte de la planificacin de auditora y ayuda a identificar los riesgos y vulnerabilidades para que el auditor pueda determinar los controles que se necesitan para mitigar esos riesgos. El evaluar los procesos del negocio relacionados con TI aplicados por una organizacin, para los profesionales de auditora y control de SI es importante entender la relacin entre riesgo y control. Los auditores de SI deben poder identificar y diferenciar los tipos de riesgo y los controles usados para mitigarlos. Las polticas, procedimientos, prcticas y estructuras, organizacionales puestas para reducir riesgos tambin son referidas como controles internos. Los controles internos son desarrollados para proveer un aseguramiento razonable de que los objetivos del negocio de la organizacin sern alcanzados y que se previenen o detectarn y corregirn los eventos de riesgo no deseados basados o bien en asuntos de cumplimiento o iniciados por la Gerencia. Las actividades de control interno y los procesos de soporte son o bien manuales o impulsadas por recursos automatizados de informacin. Estas operan a todos los niveles dentro de una organizacin para mitigar sus exposiciones a los riesgos que podran potencialmente impedirle alcanzar sus objetivos de negocio. Los controles internos no slo encaran los objetivos de negocio/operativos, sino que tambin deben encarar los eventos no deseados a travs de la prevencin, deteccin y correccin de los eventos no deseados. Objetivos del Control Interno. Son declaraciones del resultado deseado o del propsito a ser alcanzado implementando procedimientos de control en una actividad en particular. Incluyen lo siguiente: 1. Controles internos contables: salvaguardar o mantener los activos y la veracidad de los registros financieros. 2. Controles operativos: aseguran que la operacin (operaciones, funciones y actividades cotidianas) est cumpliendo los objetivos del negocio. 3. Controles administrativos: se ocupan de la eficiencia operativa en un rea funcional y el acatamiento de las polticas organizacionales incluyendo controles operativos. Los objetivos de control incluyen: Proteccin de los activos de tecnologa de informacin Cumplimiento con las polticas corporativas o requisitos legales Autorizacin / Ingreso de informacin Exactitud e integridad del procesamiento de transacciones Salida de informacin Confiabilidad de los procesos Respaldo / recuperacin
Pgina 6 de 16

 Eficiencia y economa de las operaciones. Objetivos de Control de los Sistemas de Informacin. Proteccin de los activos. La informacin es protegida contra accesos impropios y se mantiene actualizada. Asegurar la completitud e integridad de los ambientes y datos a travs de: Autorizacin en el ingreso -Cada transaccin es autorizada e ingresada slo una vez. Exactitud e integridad del procesamiento de las transacciones - Todas las transacciones son registradas e ingresadas en la computadora en el perodo correcto. Confiabilidad de las actividades generales de procesamiento de informacin. Exactitud, completitud, integridad y seguridad de la informacin de salida Integridad de la base de datos. Asegurar la eficiencia y efectividad de las operaciones (objetivos operativos). Cumplimiento con los requerimientos de los usuarios, las polticas y procedimientos organizacionales, las leyes y reglamentaciones aplicables (objetivos de cumplimiento). Desarrollo de planes de continuidad del negocio y recuperacin de desastres. Desarrollo de un plan de manejo, administracin y respuesta a incidentes. CobiT es el marco principal de la industria para los objetivos de control de los Sistemas de Informacin y buenas prcticas relacionadas en respaldo del gobierno, control y aseguramiento para la informacin y sus tecnologas relacionadas. CobiT es un marco con un conjunto de 34 objetivos de control de alto nivel que representan los procesos de TI agrupados en cuatro dominios: planificacin y organizacin, adquisicin e implementacin, entrega y soporte, y monitoreo. Procedimientos de Control General. Se aplican a todas las reas de la organizacin. stos incluyen polticas y prcticas establecidas por la gerencia para proveer garantas razonables de que los objetivos especficos sern alcanzados. Los procedimientos de control incluyen: Controles internos contables. Controles operativos Controles administrativos Procedimientos de Control de los Sistemas de Informacin. Estrategia y direccin Organizacin y administracin general Acceso a los datos y programas Metodologas de desarrollo de sistemas y control de cambios Operaciones de procesamiento de datos Programacin de sistemas y funciones de apoyo tcnico Procedimientos de aseguramiento de calidad en el procesamiento de datos Controles fsicos de acceso Planificacin de continuidad del negocio/recuperacin de desastres Redes y comunicaciones Administracin de la base de datos Realizar una auditora de SI. La auditora puede definirse como un proceso sistemtico por el cual una persona competente e independiente, obtiene y evala objetivamente evidencias respecto a afirmaciones sobre una entidad econmica o un evento con el fin de formarse una opinin sobre ello e informar sobre el grado en que dicha afirmacin se ajusta a un conjunto determinado de estndares. Auditora de SI puede definirse como cualquier auditora que abarca revisin y evaluacin (en su totalidad o en parte) de los sistemas de procesamiento de informacin automatizados, procesos no automatizados relacionados y las interfaces entre ellos.
Pgina 7 de 16

Pasos para realizar una auditoria se debe planificar la auditoria, es decir, determinar los riesgos totales para el rea general y de aplicacin que ser auditada para desarrollar un programa de auditora que comprenda estas reas de riesgo. El proceso de auditora requiere que el auditor rena evidencias para evaluar los puntos fuertes y dbiles de los controles, basndose en las evidencias reunidas y prepare un informe de auditora que presente a la gerencia dichos tpicos en una forma objetiva. La gerencia de auditora deber asegurar que haya disponibilidad de recursos de auditora adecuados y una agenda para llevar a cabo la auditora y para dar seguimiento a las revisiones sobre el estado de las acciones correctivas emprendidas por los auditados. La auditora deber contemplar: el alcance de la auditora, los objetivos de la auditora, criterios y procedimientos de auditora, la evidencia, las conclusiones y opiniones e informes. Clasificacin de las Auditoras. Pueden ser internas o externas y comprenden: 1. Auditoras financieras (estados o registros financieros). 2. Auditoras Operativas (controles internos d e procesos o reas determinadas). 3. Auditoras integradas (combina auditora financiera y operativa). 4. Auditoras administrativas (eficiencia de la productividad operativa). 5. Auditoras a los sistemas de informacin (determinar si los sistemas de informacin y los recursos relacionados protegen adecuadamente los activos, mantienen los datos y la integridad del sistema, proveen informacin relevante y confiable, busca que se obtengan las metas organizacionales, consumen eficiente los recursos y tienen un efecto sobre los controles internos que proveen un aseguramiento razonable de que los objetivos operacionales y de control del negocio sern alcanzados y que los eventos no deseados sern prevenidos o detectados y corregidos en una forma oportuna). 6. Auditoras especializadas (servicios realizados por terceros y la auditora forense). 7. Auditora forense (especializada en prevenir, descubrir, revelar y dar seguimiento a fraudes y crmenes, pudiendo ser estos ltimos cibernticos; desarrolla evidencia para su revisin por la autoridad policial y las autoridades judiciales; incluye el anlisis de dispositivos electrnicos tales como computadoras, telfonos, PDAs, discos, switches, routers, hubs y otros equipos). La regla ms importante para un auditor forense es hacer una imagen completa (bit-stream) del drive objeto de anlisis y examinar esa imagen sin alterar los sellos de fecha u otra informacin atribuible a los archivos examinados. Los Auditores de SI evalan a menudo las funciones y sistemas de TI desde perspectivas diferentes tales como la seguridad, (confidencialidad, integridad, disponibilidad, no repudio) la calidad (efectividad, eficiencia), fiduciaria (cumplimiento, confiabilidad), el servicio y la capacidad. Procedimientos bsicos en la realizacin de una auditora. Obtener y registrar un entendimiento del rea / objeto de la auditora Evaluacin de los riesgos y planificacin general de la auditora y cronograma Planificacin detallada de auditora Revisin preliminar del rea / sujeto de la auditora Evaluacin del rea /sujeto de la auditora Prueba de cumplimiento (pruebas de los controles) Prueba sustantiva Informe (comunicacin de los resultados) Seguimiento Procedimientos para la prueba y evaluacin de los controles de los SI. Uso de software de auditora para examinar el contenido de los archivos de datos (incluyendo los registros <logs> del sistema) Uso de software especializado para evaluar el contenido de los archivos de los parmetros del sistema operativo (o detectar deficiencias en el establecimiento de parmetros del sistema) Elaboracin de diagramas de flujo para documentar las aplicaciones automatizadas y procesos del
Pgina 8 de 16

negocio Revisin de la documentacin Observacin Metodologa de Auditora. Conjunto de procedimientos documentados de auditora diseados para alcanzar los objetivos de auditora que se planificaron. Sus componentes son una declaracin del alcance, una declaracin de los objetivos de la auditora y una declaracin de los programas de trabajo Debe ser formalizada y comunicada a todo el personal de auditora. Un programa de auditora es una gua para documentar los diferentes pasos de la auditora que se realizaron. Provee un rastro del proceso usado y a quien(es) se debe adjudicar la responsabilidad de la realizacin de la auditoria. Riesgo y Materialidad de las Auditoras. Cada vez ms organizaciones estn pasndose a un mtodo de auditora basado en riesgos que usualmente est adaptado para desarrollar y mejorar el proceso de auditora continua. En este, los Auditores de SI no estn basndose slo en el riesgo, estn tambin basndose en los controles internos y operativos as como tambin en sus conocimientos de la empresa o del negocio. Los riesgos del negocio son las preocupaciones sobre los probables efectos de un evento incierto sobre el logro de objetivos establecidos. La naturaleza de estos riesgos puede ser financiera, regulatoria u operativa, puede tambin incluir riesgos derivados de tecnologas especficas por ejemplo, una compaa de aviacin. Entendiendo la naturaleza del negocio, los auditores de SI pueden identificar y clasificar los tipos de riesgos que determinarn mejor el modelo de riesgo o la metodologa para llevar a cabo la auditora. El anlisis del riesgo puede ser un esquema donde a los riesgos se les ha dado pesos elaborados basados en la naturaleza del negocio y en la importancia del riesgo. Pruebas de Cumplimiento: comprobar las polticas y procedimientos, comprobar la segregacin de tareas. Pruebas Substantivas: procedimientos analticos, pruebas detalladas de balances de cuenta, otros procedimientos sustantivos de auditora. Riesgo de auditora. Puede ser definido como el riesgo de que la informacin / informe financiero pueda contener errores materiales que pueden pasar sin ser detectados durante el curso de la auditora. Se usa tambin a veces para describir el nivel de riesgo que un auditor de SI est preparado para aceptar durante una asignacin de auditora; los tipos son: Riesgo inherente: susceptibilidad a una afirmacin equivocada en la ausencia de controles relacionados. Por ejemplo, los clculos complejos tienen ms probabilidades de ser expresados errneamente que los clculos sencillos y que el dinero tiene ms probabilidades de ser robado que un inventario de carbn. Pueden ocurrir debido a la naturaleza del negocio. Riesgo de control: riesgo de que exista un error material que no sea prevenido ni detectado oportunamente por el sistema de controles internos. El riesgo de control asociado con procedimientos computadorizados de validacin de datos es por lo general bajo porque los procesos se aplican consistentemente. Riesgo de deteccin: riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que no existen errores materiales cuando en realidad existen. Riesgo general de auditora: La combinacin de las categoras individuales de riesgos de auditora determinados para cada objetivo de control especfico. Un objetivo al formular el mtodo de auditora es limitar el riesgo de auditora. La palabra material, asociada con cualquiera de estos componentes de riesgo, se refiere a un error que debera ser considerado significativo para cualquier parte a la que le concierna el punto en cuestin. El auditor de SI debera darse cuenta de que es posible que un sistema determinado no detecte un error menor. Sin embargo, ese error especfico, combinado con otros, podra llegar a ser material
Pgina 9 de 16

para la totalidad del sistema. El auditor de SI puede detectar un error pequeo que podra ser considerado significativo en un nivel operacional pero podra no ser considerado como significativo para la alta gerencia. Tcnicas de Evaluacin de Riesgos. El auditor de SI debera evaluar estos diferentes candidatos de riesgo para determinar cules son las reas de alto riesgo y por lo tanto las reas que deberan ser auditadas. Hay muchas metodologas de evaluacin de riesgos, automatizadas y no automatizadas; los tipos son: 1. Clasificaciones sencillas de clculos alto, medio y bajo basados en el juicio del auditor de SI 2. Clculos complejos o cientficos) que consideran variables tales como la complejidad tcnica, nivel de procedimientos de control establecidos y nivel de prdida financiera. 3. Juicio, es tomada en base al conocimiento del negocio, las directivas de la gerencia ejecutiva, las perspectivas histricas, las metas del negocio y los factores ambientales. 4. Combinacin de tcnicas. El uso de anlisis de riesgos para determinar las reas que sern auditadas: 1. Permite que la gerencia asigne de manera efectiva los recursos limitados de auditora. 2. Asegura que las actividades de auditora estn dirigidas a las reas de alto riesgo del negocio. Objetivos de la Auditora. Un objetivo de control se refiere a cmo debera funcionar un control interno. Un objetivo de auditora se refiere a las metas especficas de la auditora, una auditora puede incorporar varios objetivos de auditora. Los objetivos de la auditora se centran a menudo en fundamentar que los controles internos existen para minimizar los riesgos del negocio, que aseguran el cumplimiento de los requisitos legales y regulatorios as como tambin la confidencialidad, integridad, confiabilidad y disponibilidad de recursos de informacin. La gerencia puede dar al auditor de SI un objetivo general de control para revisar y evaluar cuando lleve a cabo una auditora. Un elemento clave en la planificacin de la auditora de los sistemas de informacin es traducir los objetivos bsicos de auditora en objetivos especficos de auditora de los sistemas de informacin, por ejemplo, en una auditora financiera/operacional, un objetivo del control interno podra ser asegurar que las transacciones sean debidamente registradas en las cuentas del sistema contable. Sin embargo, en la auditora de sistemas de informacin, el objetivo podra ampliarse para asegurar que existen funciones de edicin para detectar los errores en la codificacin de las transacciones que podra tener un impacto en las actividades de registro de las cuentas. El auditor de SI debe tener un entendimiento de cmo se pueden traducir los objetivos generales de auditora en objetivos especficos de control de los sistemas de informacin. Pruebas de Cumplimiento vs. Pruebas Sustantivas. Hay una diferencia entre la recoleccin de evidencias con el fin de comprobar el cumplimiento de una organizacin con procedimientos de control y la recoleccin de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra informacin. Los procedimientos mencionados primero se llaman pruebas de cumplimiento y los mencionados posteriormente se llaman pruebas sustantivas. Los Auditores de SI generalmente usan las pruebas sustantivas para comprobar si hay errores monetarios que afecten directamente los balances de los estados financieros. Si la prueba de control revelara que hay puntos dbiles en los controles que podran generar dudas sobre la integridad, exactitud o validez de las cuentas, una prueba sustantiva puede aliviar esas dudas. Evidencia La evidencia es cualquier informacin usada por el auditor de SI para determinar si la entidad o los datos que estn siendo auditados cumplen con los criterios u objetivos de auditoria establecidos. Es una requisitos que las conclusiones del auditor deben estas basadas en evidencia suficiente, relevante y competente. La evidencia de auditoria puede incluir observaciones del auditor de SI, notas tomadas de las entrevistas, material extrado de la correspondencia y documentacin interna o los resultados de los procedimientos de
Pgina 10 de 16

prueba de auditoria. Los determinantes para evaluar la confiabilidad de las evidencias de auditoria incluyen: Independencia del proveedor de la evidencia. Calificaciones de la persona que suministra la informacin o evidencia. Objetividad de la evidencia. Tiempo de disponibilidad de la evidencia. El auditor de SI deber estimar la calidad como la cantidad de evidencia. La Federacin Internacional de Contadores (IFAC siglas en ingls) se refiere a estas dos caractersticas como competente (calidad) y suficiencia (cantidad). El auditor de SI debera entender el estndar ISACA 060.020, Evidencia, para realizar una Auditoria de SI y debera obtener evidencia de la naturaleza y suficiencia para respaldar los hallazgos de auditoria. Las siguientes son tcnicas para la recoleccin de evidencia: Revisar las Estructuras de la Organizacin de los Sistemas de Informacin. Revisar las polticas y procedimientos de SI. Revisar los estndares de los Sistemas de Informacin. Revisar la documentacin de los sistemas de informacin. Entrevistar al Personal Apropiado Observar los Procesos y el Desempeo de los Empleados. Una auditoria incluye examen, que incorpora, la comprobacin de los controles y evidencia de auditoria y por lo tanto incluye los resultados de las pruebas de auditoria. Muestreo El muestreo es usado cuando las consideraciones de tiempo y de costo impiden una verificacin total de todas las transacciones o eventos en una poblacin definida previamente. El muestro se usa para inferir caractersticas relativas a una poblacin, basada en los resultados del examen de las caractersticas de una muestra de la poblacin. Los dos mtodos generales para muestro de auditoria son el mtodo estadstico y el mtodo no estadstico. Tanto el muestreo estadstico como el no estadstico requieren que el auditor de SI diseo y seleccione una muestra de auditoria, ejecute procedimientos de auditoria y evalu los resultados de la muestra para obtener evidencia de auditoria suficiente, confiable, relevante y utilizable. Dentro de estos dos mtodos generales para muestro de auditoria, hay dos mtodos primarios de muestreo usados por los auditores de SI: Muestreo de atributos: se refiere a tres tipos diferentes pero relacionados de muestro proporcional: Muestreo de atributos. Muestreo Parar y Seguir. Muestro de Descubrimiento. Muestreo de Variables: se refiere a un nmero de tipos diferentes de modelos de muestreo cuantitativos: Promedio Estratificado por Unidad. Promedio No estratificado por Unidad. Estimacin de Diferencia. Para realizar un muestro de atributos o de variables, es necesario entender los siguientes trminos de muestro estadstico: Coeficiente de Confianza. Nivel de Riesgo. Precisin. Tasa de Errores Esperados. Media de Muestra. Desviacin Estndar de la Muestra. Tasa Tolerable de Error. Desviacin Estndar de Poblacin. Los pasos claves en la construccin y seleccin de una muestra para una prueba de auditoria incluyen: 1. Determinar los objetivos de la prueba.
Pgina 11 de 16

2. Definir la poblacin a la que se le realizara el muestro. 3. Determinar el mtodo de muestreo. 4. Calcular el tamao de la muestra. 5. Seleccionar la muestra. 6. Evaluar la muestra a partir de una perspectiva de auditoria. Tcnicas de Auditoria Asistidas por Computadora (TAACs CAATs) Los entornos de procesamiento de la informacin en la actualidad platean un desafa difcil al auditor de SI para recolectar evidencia suficientes, relevantes y tiles ya que las evidencias existen en los medios magnticos. Los CAATs son herramientas importantes para el auditor de SI para recolectar informacin de estos entornos, Cuando los sistemas tienen diferentes entornos de hardware y de software, diferente estructura de datos, formatos de registro, funciones de procesamiento, etc., es casi imposible que los auditores recolecten evidencias sin una herramienta de software para recolectar y analizar los registros. Los CAATs tambin permiten a los auditores de SI, durante el desarrollo de la auditoria, reunir informacin de manera independiente. El Software Generalizado de Auditoria, se refiere al software estndar que tiene la capacidad de leer y tener acceso a datos directamente desde diversas plataformas de base de datos, sistemas de archivos planos y formato ASCII. Las funciones siguientes son soportadas por el software generalizado de auditoria: Acceso a archivos. Reorganizacin de datos. Seleccin de datos. Funciones estadsticas. Funciones aritmticas. El software utilitario es el subconjunto de software, que proveen evidencias a los auditores sobre la efectividad de los controles del sistema. Estas herramientas y tcnicas se pueden usar para efectuar diversos procedimientos de auditoria que incluyen: Pruebas de detalles de transacciones y balances. Procedimientos de revisin analtica. Pruebas de cumplimiento de los controles generales de SI. Pruebas de cumplimiento de los controles de aplicaciones de SI Pruebas de penetracin anlisis de vulnerabilidad de los sistemas operativos. Evaluacin de las Fortalezas y Debilidades de la Auditoria Despus de desarrollar un programa de auditoria y de recolectar evidencias de auditoria, el paso siguiente es evaluar la informacin recopilada para desarrollar una opinin de auditoria. El auditor de SI debe abalizar los resultados de las evidencias recogidas para cumplir con los requerimientos de control o con los objetivos establecidos durante la etapa de planificacin de la auditoria. Juzgando la Materialidad de los Hallazgos El concepto de materialidad es un tema clave cuando se decide qu hallazgos llevar a la discusin en un informe de auditora. Es clave para determinar la materialidad de los hallazgos de la auditoria la determinacin de qu sera importante para los diferentes niveles de gerencia. El auditor de SI deber usar su buen juicio cuando decide cuales hallazgos presentar a los distintos niveles de gerencia. Comunicacin de los Resultados de la Auditoria Antes de comunicar los resultados de una auditoria a la alta gerencia, el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada. El objetivo de dicha discusin sera llegar a un acuerdo sobre los hallazgos y desarrollar un curso de accin a seguir para corregirlos. Los informes de auditora son el producto final del trabajo. Este es el vehculo que usa el auditor de SI para reportar a la gerencia sus hallazgos y sus recomendaciones. Estructura y Contenido de un Informe de Auditoria Los informes de auditora tendrn usualmente la siguiente estructura y contenido: o Introduccin al informe
Pgina 12 de 16

o La conclusin y la opinin generales del auditor de SI. o Reservas o calificaciones del auditor de SI con relacin a la auditoria. o Los hallazgos detallados y las recomendaciones de la auditoria. o Variedad de hallazgos, algunos de los cuales pueden ser considerablemente materiales mientras que otros son menores en su carcter. o Limitaciones para la auditoria o Declaraciones sobre las directrices seguidas para la auditoria de SI. La entrevista final, llevada a cabo al final de la auditoria, provee al auditor de SI el medio para discutir los hallazgos y las recomendaciones con la gerencias. Los objetivos y el alcance de la auditoria pueden ser discutidos y el proceso de auditora de SI puede ser explicado. Durante la entrevista final, el auditor de SI puede: o Asegurarse de que los hechos presentados en el informe estn correctos, o Asegurarse de que las recomendaciones sean realistas y eficientes. o Establecer fechas de implementacin para las recomendaciones acordadas. Acciones de la gerencia para implementar las Recomendaciones. Los Auditores de SI deben darse cuenta de que la auditora es un proceso continuo. Deben tener un programa de seguimiento para determinar si se han implementado las acciones correctivas acordadas. Los resultados del seguimiento deben ser comunicados a los niveles apropiados de la gerencia. El nivel de revisin depender de varios factores, en algunos casos, puede slo necesitar averiguar sobre la situacin actual en ese momento. En otros casos puede tener que llevar a cabo algunas acciones de auditora para determinar si las acciones correctivas acordadas por la gerencia han sido implementadas. Documentacin de la Auditora. La documentacin de la auditora de SI incluye el plan de auditora, una descripcin o diagrama del entorno de los sistemas de informacin, programas de auditora, actas de reuniones, evidencias de auditora, hallazgos, conclusiones y recomendaciones, cualquier informe emitido como resultado del trabajo de auditora, y comentarios de la revisin de supervisin si hubiera. Esta documentacin debe ser mantenida en custodio segura. ISACA ha publicado la directriz 060.020.010 Documentacin de las Auditoras La documentacin debe incluir como mnimo, un registro de: La planificacin y elaboracin del alcance y de los objetivos de la auditora. El entorno de los sistemas de informacin. El programa de auditora Los pasos de auditora efectuados y las evidencias de auditora reunidas Los hallazgos, conclusiones y recomendaciones de auditora Cualquier informe emitido como resultado del trabajo de auditora Revisin de supervisin. Limitaciones en la Realizacin de la Auditora. Puede haber restricciones que pueden limitar la disponibilidad del personal de la unidad de auditoria. Estas pueden incluir: Reciente rotacin o no disponibilidad de empleados Violacin de las fechas tope o de las fechas cclicas de procesamiento Falla total de conocimientos o de documentacin. Estas restricciones pueden ser minimizadas mediante una planificacin adecuada. Tcnicas de Administracin de Proyectos Estas tcnicas incluyen los siguientes pasos bsicos: Desarrollar un Plan Detallado Informe Actividad de Proyecto vs Plan Ajustar el Plan y Tomar la Accin Correctiva que se requiera. Autoevaluacin del Control (control self assessment). La autoevaluacin del control (CSA) puede definirse como una metodologa usada para revisar objetivos clave del negocio, los riesgos involucrados en alcanzar los objetivos del negocio y los controles internos
Pgina 13 de 16

diseados para administrar estos riesgos del negocio en un proceso formal, documentado colaborativo. En una CSA, la gerencia y/o los equipos de trabajo estn directamente involucrados en juzgar y en monitorear la efectividad de los controles existentes. Los Auditores de SI sirven como profesionales del control y como facilitadores de la evaluacin. Cuando se emplea un programa de CSA, se deben desarrollar medidas del xito para cada etapa (planificacin, implementacin y monitoreo) para determinar el valor derivado de CSA y su uso futuro. Un factor crtico de xito es celebrar una reunin con los representantes de la unidad del negocio incluyendo tanto el personal apropiado y relevante como la gerencia para identificar el objetivo primario de la unidad de negocio, que es determinar el propsito de la unidad de negocios y soportar los objetivos. Adems, deben identificarse las acciones que aumenten la probabilidad de lograr el objetivo primario. La Funcin del Auditor en los CSAs La funcin del auditor en los CSAs se debe considerar aumentada cuando los departamentos de auditora se embarcan en un programa de CSA. Los auditores se convierten en profesionales del control interno y facilitadores de anlisis. El auditor debe entender el proceso del negocio que se est analizando para cumplir su funcin de facilitador e innovador. Impulsadores de la Tecnologa para el Programa de CSA El desarrollo de tcnicas para otorgar facultades, recopilar informacin y tomar decisiones es una parte necesaria de una implementacin de CSA. Algunos de los impulsadores (drivers) de tecnologa incluyen la combinacin de hardware y software para soportar la seleccin de CSA y el uso de un sistema electrnico de reunin y ayudas de decisin soportadas por computadora para facilitar la toma de decisiones del grupo. Enfoque Tradicional vs. CSA El enfoque tradicional puede resumirse como cualquier enfoque en el que la responsabilidad primaria de analizar e informar sobre el control interno y el riesgo son asignados a los auditores y, en menor grado, a los departamentos de contralora y consultores externos. Este enfoque, crea la nocin que los auditores y consultores, son responsables de analizar y reportar sobre el control interno. El enfoque CSA, enfatiza la gerencia y la responsabilidad sobre el desarrollo y monitoreo de los controles internos de los procesos de negocio sensitivo y crticos de la organizacin. Gobierno Corporativo El gobierno corporativo se define como un comportamiento tico corporativo que deben promover los directores u otros encargados del gobierno para la creacin y presentacin de beneficios para todas las partes interesadas. La OCDE lo define como La distribucin de derechos y responsabilidades entre los diferentes participantes en la corporacin, tales como la junta, los gerentes, los accionistas y todas las partes interesadas, y explica las reglas y procedimientos para tomar decisiones sobre los asuntos corporativos. Como parte de esta estructura, se deben establecer reglas para administrar e informar sobre los riesgos del negocio. Estas requieren que las compaas rengan un sistema de control interno para monitorear los riesgos cuando se exploten formas nuevas e innovadores para mejorar el negocio. Simultneamente, es una plataforma para la proteccin de las partes interesadas, ya que define las responsabilidades de la junta directiva. De ese modo, los accionistas, inversionistas y otras partes interesadas tendrn deberes definidos y una estructura adecuada para decidir sobre sus inversiones, en un marco transparente. Gobierno de TI El gobierno de TI es una estructura de relaciones y procesos para dirigir y controlar que la empresa alcance las metas de la empresa dando valor agregado mientras balancea el riesgo vs. el retorno sobre TI y sus procesos. El gobierno de TI es una estructura de relaciones y procesos para dirigir y controla que la empresa alcance las metas de la empresa dando valor agregado mientras balancea el riesgo vs. el retorno sobre TI y sus procesos. El uso de tecnologa en todos los aspectos de esfuerzos econmicos y sociales ha creado una dependencia crtica de la tecnologa de la informacin para iniciar, registrar, mover y administrar todos los aspectos de transacciones econmicas, informacin y conocimientos, creando un lugar crtico para el gobierno de TI dentro del gobierno de la empresa.
Pgina 14 de 16

El propsito del gobierno de TI es dirigir los esfuerzos de TI para asegurar que el desempeo de TI cumpla los objetivos de alinear a TI con los objetivos de la empresa y la realizacin de los beneficios prometidos. Los recursos de TI deberan usarse responsablemente, y los riesgos relacionados con TI deberan ser administrados de manera apropiada.

Manual de preparacin al examen CISA 2005. Illinois, EUA: ISACA Captulo 1 El proceso de auditora de sistemas de informacin.

Pgina 15 de 16

Conclusiones.
El Proceso de Auditora de los Sistemas de Informacin de ISACA garantiza que los auditores de SI certificados, cuenten con los conocimientos necesarios para planear y ejecutar auditoras. La evidencia es cualquier informacin usada por el auditor de SI para determinar si la entidad o los datos que estn siendo auditados cumplen con los criterios u objetivos de auditoria establecidos. Las tcnicas para la recoleccin de evidencia son: Revisar las Estructuras de la Organizacin de los Sistemas de Informacin. Revisar las polticas y procedimientos de SI. Revisar los estndares de los Sistemas de Informacin. Revisar la documentacin de los sistemas de informacin. Entrevistar al Personal Apropiado Observar los Procesos y el Desempeo de los Empleados. La estructura de los informes de auditora es: Introduccin al informe La conclusin y la opinin generales del auditor de SI. Reservas o calificaciones del auditor de SI con relacin a la auditoria. Los hallazgos detallados y las recomendaciones de la auditoria. Variedad de hallazgos, algunos de los cuales pueden ser considerablemente materiales mientras que otros son menores en su carcter. Limitaciones para la auditoria Declaraciones sobre las directrices seguidas para la auditoria de SI. La auditora de SI es un proceso continuo y va ms all al proponer el seguimiento en la implementacin de las acciones correctivas acordadas. La documentacin y salvaguarda de estos documentos es un factor importante y puede ser llevada a cabo con la directriz 060.020.010 de ISACA. Las limitaciones en el proceso de auditora pueden ser contrarrestadas o minimizadas mediante una planificacin adecuada. En el proceso de auditora se deben emplear las tcnicas bsicas de administracin de proyectos: planear, implementar y monitorear. Se debe entender la funcin correcta del auditor de SI como un profesional del control interno y facilitador de anlisis. Un auditor de SI debe tener claro los procesos de negocio que audita y manejar sin problema las estructuras, funciones, divisiones e interrelaciones que existen entre el Gobierno Corporativo y el Gobierno de TI dentro de su organizacin.

Pgina 16 de 16