Professional Documents
Culture Documents
Planeacion de Auditoria
Planeacion de Auditoria
, ,
¡ ·
P l a n e a c í ó n Anual
La planeación de la auditoría está constituida tanto por la planeación a corto como a largo plazo. La
pl an e a c i ó n a corto plazo toma en cuenta los aspectos relevantes de auditoría que serán cubiertos durante
el año, mientras que la planeación a largo plazo se refiere a los planes de auditoría que tomarán en cuenta
, . . -
El análisis de los aspectos relevantes a corto y a largo plazo debe hacerse por lo menos una vez al año.
I
Esto es necesario para tomar en consideración los nuevos aspectos de control, los cambios en el entorno
del riesgo, la cambiante tecnología, los procesos de negocio en constante cambio y las técnicas mejoradas
de evaluación. Los resultados de este análisis para la p l a n e a c i ó n de futuras actividades de auditoría deben
t ser revisados por la alta dirección, y aprobados por el comité de auditoría, si existiera, o alternativamente
1 ;
Además de la planeación general anual, cada tarea individual de auditoría debe ser planeada
adecuadamente. El auditor de SI debe entender que otras consideraciones, tales como los resultados de la
SI debería también considerar las fechas límites establecidas para la implementación/actualización d e los
sistemas, las tecnologías actuales y futuras, requerimientos de los dueños del proceso de negocio y las
Al planear una auditoría, el auditor de SI debe tener un entendimiento general del ambiente a revisar.
Esto debería incluir una comprensión general de las diversas prácticas del negocio y de las funciones
1 ·
1
relativas al sujeto de la auditoría, así como también los tipos de sistemas de información y la tecnología
que soportan la actividad. Por ejemplo, el auditor de SI debería estar familiarizado con el marco
• Lograr un entendimiento de la misión, los objetivos, el propósito y los procesos del negocio,
• Llevar a cabo una revisión de los controles internos relacionados con TI.
Los Estándares de Auditoría de SI de ISA CA requieren que el auditor de SI planee el trabajo de auditoría
de SI para alcanzar los objetivos de auditoría y cumplir con los estándares profesionales de auditoría
aplicables (Planeación S5). El auditor de SI debe desarrollar un plan de auditoría que tome en
consideración los objetivos del auditado relevantes al área auditada y a su infraestructura tecnológica. Si
es necesario, el auditor de SI debería también considerar el área bajo revisión y su relación con la .
organización (estratégica, financiera y/u operativamente) y obtener información sobre el plan estratégico, ri .
incluyendo el plan estratégico de SI. El auditor ele SI debería tener un entendimiento de la arquitectura de
tecnología de la información y de la dirección tecnológica del auditado para disefiar un plan apropiado .
para la tecnología actual y donde aplique, para la tecnología futura del auditado.
t '
Los pasos que un auditor de SI podría tornar para lograr el entendimiento del negocio incluyen: .... .
..
- I dent i fi car l as funciones ele T I o las actividades re acion das l a q ue han sido co tr tadas e n a x ternamente.
O tro co m ponente b ásico de l a planeación es lograr corres p ondencia entre los recursos e le audito rí a
e ercicio d
j e as gnación de recu sos de er a cons derar las neces dades de los proyectos i
i r b í i i n divid u ales d e
PLANIFICACIÓN DE AUDITORÍA DE SI
controles de lo s si temas
s c omp utari adosz y con la manera en que se almacena n y s e usan l as
la forma en q u e los e latos se procesan , se trans m iten y se almacenan ( bolsa de val o res , bancos centrales ,
etc . ) .
Se debe prestar es ecial atenc ón a estos asuntos en p i aq u ellas indust ri as que h istórica m ente h an te i n d o u n
m arco regulatorio muy e stricto . P or e ej m plo , l a industria bancar a en todo el mundo tiene penal i i z acione s
n i v e l adec ado de ser u v icio a ca u sa de p rocedi m ientos de res aldo y recuperación p q ue e t n por deb
s é aj o e le
é sta toma e n cuenta lo s re qu erimientos l egales y reg u latorio s de privac dad i aplicables, i ncl u yendo
]6
Manual ele Manual de Preparación al Examen CISA 2008
......
El auditor de SI debe entender los conceptos de los procedimientos de control de SI y cómo aplicarlos en
r'·
L
La auditoría puede definirse como un proceso sistemático por el cual un equipo o una persona competente
proceso con el fin de formarse una o p i n i ó n sobre el particular e informar sobre el grado de cumplimiento
La auditoría de SI puede definirse como cualquier auditoría que abarca la revisión y evaluación (parcial o
[
Para realizar una auditoría, se requieren varios pasos. Una planeación adecuada es el primer paso
necesario para realizar auditorías de SI efectivas. Para usar efectivamente los recursos de auditoría de SI,
las organizaciones de auditoría, deben evaluar todos los riesgos de las áreas generales y de aplicación y
servicios relacionados a auditar y luego desarrollar un programa de auditoría que comprenda objetivos y
procedimientos de auditoría que satisfagan los objetivos de auditoría. El proceso de auditoría requiere
que el auditor de SI recolecte evidencia a través de pruebas de auditoría, evalúe las fortalezas y
debilidades de los controles basándose en la evidencia reunida y prepare un informe de auditoría que
una agenda para llevar a cabo las auditorías y, en el caso de una auditoría interna de SI, para realizar
revisiones de seguimiento respecto al avance de las acciones correctivas emprendidas por la dirección.
Una discusión sobre auditoría debería incluír el alcance, los objetivos, criterios y procedimientos de
e:
auditoría, la evidencia, conclusiones y opiniones, e informe a la gerencia después de discusión con los
[l,
,-,
Para entender estas restricciones sobre la realización de una auditoría, el auditor de SI debe tener un buen
entendimiento de las técnicas generales de administración ele proyectos. A menudo, estas restricciones
Las técnicas de administración de proyectos para gestionar y administrar proyectos de auditoría, ya sea
de'tíe'mpo. Se deben hacer estimados realistas de los requerimientos de tiempo para cada tarea con la
- Reportar actividad de proyecto contra el plan - Debería haber algún tipo de sistema de reporte instalado
· . . demodo que los auditores de SI puedan reportar su progreso real contra los pasos planeados de auditoría.
··'i
· - 'Ajus'tar el plan y emprender acción correctiva - se deberían medir los logros reales contra el plan
�-·
establecido de manera continua. Se deberían hacer cambios en las asignaciones del auditor de SI o en los
E l . auditor de SI debería entender los diversos tipos de auditorías que pueden efectuarse interna o
,,,J· estados financieros de una organización. Una auditoría financiera a menudo implicará pruebas
sustantivas detalladas, aunque cada vez más, los auditores están poniendo más un método de auditoría
;. basado en riesgo y control. Este tipo de auditoría se relaciona con la integridad y confiabilidad de la
información financiera.
Auditorías Operativas - Una auditoría operativa está diseñada para evaluar la estructura del control
Auditorías. integradas - Una auditoría integrada combina pasos de auditoría financiera y Operativa.
También se realiza para evaluar los objetivos generales dentro de una organización, relacionados corrla
integrada puede ser ejecutada por auditores externos o internos e incluiría tanto pruebas de cumplimiento
Auditorías administrativas - Estas están orientadas a evaluar aspectos relacionados con la eficiencia de
Auditorías de SI - Este proceso recolecta y evalúa la evidencia para determinar si los sistemas de
información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y la
.1 disponibilidad de los datos y del sistema, proveen información relevante y confiable, logran de forma
efectiva las metas organizacionales, usan eficientemente los recursos y tienen en efecto controles internos
que proveen una certeza razonable que los objetivos de negocio, operacionales y de control serán
alcanzados y que los eventos no deseados serán prevenidos o detectados y corregidos de forma oportuna.
un número de revisiones especializadas que examinan áreas tales como los servicios realizados por
terceros. En vista de que los negocios dependen cada vez más de servicios prestados por terceros, es
importante que se evalúen los controles internos en estos ambientes. La declaración sobre Estándares de
Auditoría (SAS) 70, titulada "Informes sobre el Procesamiento de las Transacciones por Organizaciones
Contadores Públicos Certificados (AICPA). SAS 70, define los estándares profesionales usados por un
auditor de servicios para evaluar los controles internos de una organización de servicios. Este tipo de
auditoría se ha vuelto cada vez más relevante debido a la actual tendencia de contratar externamente
( outsourcing) procesos financieros y de negocios a terceros proveedores de servicios que en algunos casos
pueden operar en diferentes jurisdicciones o incluso en diferentes países. Se debe notar que una revisión
del tipo 2 SAS 70 es una variación más exhaustiva de una revisión regular SAS 70, que a menudo se
requiere en relación con revisiones regulatorias. Muchos otros países tienen su propio equivalente de ese
estándar. Una auditoría tipo SAS 70 es importante porque significa que una organización de servicios ha
pasado por una auditoría profunda de sus actividades de control, que incluyen generalmente controles de
tecnología de información y procesos relacionados. Las revisiones de tipo SAS70 proveen directrices q u e ·
controles de una organización ele servicios a través del informe de un auditor de servicios, en el que luego
el auditor de la entidad que utiliza los servicios de la organización de servicios puede basarse.
Auditorías forenses - Tradicionalmente, la auditoría forense ha sido definida como una auditoría
dicha revisión era el desarrollo de evidencia para ser revisada por autoridades policiales y judiciales. En
afios recientes, el profesional forense ha sido llamado a participar en investigaciones relacionadas con .....
¡_.·
fraude corporativo y crímen cibernético . . En los casos en que los recursos de computadora puedan haber L
llió
s i d o mal empleados, una investigación adicional es necesaria para recopilar evidencia de posible actividad
criminal que puede luego ser reportada a las autoridades competentes. Una investigación forense de
computadora incluye el análisis de dispositivos electrónicos, tales como computadoras, teléfonos, PDAs,
discos, switches, routers, hubs y otro equipo electrónico. El auditor de SI que posea las habilidades
necesarias puede asistir al gerente de seguridad ele información en la realización de las investigaciones
forenses y llevar a cabo la auditoría de l ó s sistemas para asegurar que se cumplan los procedimientos de
alteraciones. Por lo que es necesario manejarla con extremo cuidado y se deben asegurar controles para
asegurar que no pueda ocurrir ninguna manipulación. Se debe establecer una cadena de custodia de
La evidencia de computadora manejada de manera inadecuada puede ser considerada inadmisible por las
autoridades judiciales. La consideración más importante para un auditor forense es la de obtener una
imagen completa (bit-stream) del dispositivo objetivo y examinar esa imagen sin alterar los sellos de
fecha u otra información atribuible a los archivos examinados. · Además, las herramientas y técnicas de
auditoría forense, tales como el mapeo de datos para la evaluación de riesgos de privacidad y seguridad y
la búsqueda de propiedad intelectual para la protección de datos, también se están usando para
1 . 6 . 2 PROGRAMAS DE AUDITORÍA
....
Los programas de auditoría para auditorías financieras, operativas, integradas, administrativas y ele
de SI evalúan a menudo las funciones y los sistemas de TI desde perspectivas diferentes, tales como la
trabajo de auditoría es la estrategia y el plan de auditoría - é s t e identifica el alcance, los objetivos y los
procedimientos de auditoría para lograr evidencia suficiente y competente para obtener y sustentar las
''"
Los procedimientos generales de auditoría son los pasos básicos en la ejecución de una auditoría y
- Verificación y evaluación de la c o r r e c c i ó n . d e los controles disefiaclos para cumplir los objetivos de ""'
control.
i f
El auditor de SI debe entender los procedimientos para la prueba y evaluación de los controles de SI.
El uso de software generalizado de auditoría para examinar el contenido de los archivos de datos
El uso de software especializado para evaluar el contenido de los archivos de parámetros de la base de
e-:
ti · · · . datos y de aplicación del sistema operativo (o detectar deficiencias en el establecimiento de parámetros
"¡.
f'." ., del sistema) ·
El uso de registros/ reportes de auditoría disponibles en los sistemas operativos /de aplicación
Revisión de la documentación
Observación
El auditor de SI debe tener un entendimiento suficiente de estos procedimientos que le permitan planear
l'l''-,··
1
,:
1.6.3 METODOLOGÍA DE AUDITORÍA
{
;,
Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría diseñados
11·'
,.
¡; 1 para alcanzar los objetivos de auditoría planeados. Sus componentes son una declaración del alcance, una
�-
declaración de los objetivos de la auditoría y una declaración de los programas de auditoría.
¡.' 1 .
La metodología de auditoría debería ser establecida y aprobada por la gerencia de auditoría para lograr
�
consistencia en el enfoque de auditoría. Esta metodología debería ser formalizada y comunicada a todo el
personal de auditoría.
La Figura 1.3 enumera las fases de una auditoría típica. Un producto temprano y crítico del proceso de
auditoría debería ser un programa de auditoría que sea una guía para la ejecución y documentación de
Figura 1.3
r
Fase de auditoría Descripción
1
tiempo.
P r e l i m i n a r o Preauditoría
• Identificar las fuentes de información para probarlas o revisarlas tales
los resultados
comunicación con la
gerencia
efectividad operativa
procedimientos.
A pesar que un programa de auditoría no sigue necesariamente un conjunto específico de pasos, el auditor
r·
,.
,
.t·=·
de SI generalmente seguiría, como un mínimo curso de acción, pasos secuenciales del programa para
obtener un entendimiento de la entidad que se está auditando, evaluar la estructura de control y probar los
controles.
Cada departamento de auditoría debería diseñar y aprobar una metodología de auditoría, así como
Todos los planes, programas, actividades, pruebas, hallazgos e incidentes ele auditoría deberán estar
Su formato y medios ele papeles de trabajo son opcionales, pero la debida d i l i g e n c i a y las mejores
prácticas requieren que los documentos de tra bajo estén fechados, inicializados, con páginas numeradas,
en custodia. Los papeles de trabajo no tienen necesariamente que estar impresos en pape!. Los auditores
de SI deberían considerar en particular cómo mantener evidencia de prueba ele auditoría para preservar su
Los documentos de trabajo se pueden considerar los puentes o interfaces entre los objetivos y el informe
final de auditoría. Estos debieran proveer una transición impecable - pudiendo ser rastreados y los
responsables del trabajo identificados - desde los objetivos hasta el informe y desde el informe hasta los
objetivos. El informe de auditoría, en este contexto, puede ser visualizado como sólo un papel de trabajo
en particular.
provee un resumen de cómo se relaciona el sujeto individual de la auditoría con el resto ele la
1 . 6 . 9 OBJETIVOS DE LA AUDITORÍA
Los objetivos de auditoría se refieren a las metas específicas que deben cumplirse por parte de la
auditoría. En contraste, un objetivo de control se refiere a cómo debería funcionar un control interno,.
Una auditoría puede incorporar, y generalmente lo hace, varios objetivos ele auditoría.
Los objetivos de auditoría se enfocan a menudo en validar que existen controles internos para minimizar
los riesgos del negocio, y que estos funcionen como se espera. Estos objetivos ele auditoría incluyen el
aseguramiento del cumplimiento. con requerimientos legales y regulatorios así como también la
gerencia de auditoría puede dar al auditor de SI un objetivo general de control para revisar y evaluar al
Un elemento clave en la planeación de la auditoría ele sistemas de información es traducir los objetivos de
Por ejemplo, en una auditoría financiera/operacional, un objetivo de control interno podría ser asegurar
que las transacciones sean debidamente registradas en las cuentas del libro mayor del sistema contable.
S i n embargo, en la auditoría de sistemas de información, el objetivo podría ampliarse para asegurar que
existen funciones ele e d i ció n para detectar los errores en la codificación de las transacciones que podrían
El auditor de SI debe tener un entendimiento de cómo se pueden traducir los objetivos generales ele
Un o de los propósitos básicos de cu a l q uier audito rí a de SI es identi fi car los objetivos de cont r ol y los
Por ejemplo, la revisi ó n inicial de un sistema de información llevada a cabo por un auditor de SI deber í a
identificar los controles clave. El auditor de SI debería entonces d ecidir si prueba estos controles para
verificar su cumplimiento. El auditor de SI debería identificar los controles clave tanto generales como
los de apl i cación despu é s ele entender y de document a r los p roceso s del ne g ocio y las
ap li c a ci ones / funcione s que soportan estos procesos y los sis t emas de soporte en general, S obre la base de
ese ente n di m iento, el auditor de SI debería identificar los puntos clave de control.
informe fi n a nc i ero, la cual es conocida como prueba sustantiva, a través de técnicas de auditoría asistidas
por computadora.
una organización con los procedimientos de control. Esto difiere de la prueba sustantiva, en la que la
evidencia se recoge para evaluar la integridad de transacciones individuales, datos u otra información.
Una prueba de cumplimiento determina si los controles están siendo aplicados de manera que cumplen
con las políticas y los procedimientos de la dirección. Por ejemplo, si al auditor de SI Je preocupa si los
auditor de SI podría seleccionar una muestra de programas para determinar si las versiones fuente y
objeto son las mismas. El objetivo amplio de cualquier prueba de cumplimiento es el de proveer a los
auditores de SI una certeza razonable de que un control en particular sobre el cual el auditor de Sl planea
Es importante que el auditor de SI entienda el objetivo específico de una prueba de cumplimiento y del
control que se está probando. Las pruebas de cumplimiento pueden usarse para probar la existencia y
efectividad de un proceso definido, el cual puede incluir una pista de evidencia documental y/o
automatizada, por ejemplo, para proveer la certeza de que sólo se realizan modificaciones autorizadas a
Una prueba sustantiva fundamenta la integridad de un procesamiento real. Provee evidencia de la validez
e integridad de los saldos en los estados financieros y de las transacciones que respaldan dichos saldos.
Los auditores dé SI podrían usar pruebas sustantivas para comprobar si hay errores monetarios que
afecten directamente a los saldos de los estados financieros u otros datos relevantes de la organización.
Adicionalmente, un auditor de SI podría desarrollar una prueba sustantiva para determinar si los registros
del inventario de la librería de cintas son correctos. Para realizar esta prueba, el auditor de SI podría
realizar un inventario completo o podría usar una muestra estadística, que le permita llegar a una
Existe una correlación directa entre el nivel de los controles internos y la cantidad de pruebas sustantivas
requeridas. Si los resultados de las pruebas a los controles (pruebas de cumplimiento) revelaran la
presencia de controles internos adecuados, entonces el auditor de SI tiene una justificación para
minimizar los procedimientos sustantivos. De manera inversa, si la prueba a los controles revelara
debilidades en los controles que podrían generar dudas sobre la integridad, exactitud o validez de las
El auditor de SI podría también decidir durante la evaluación preliminar de los controles, incluir algunas
pruebas sustantivas, si los resultados de esta evaluación preliminar indican que los controles
La Figura 1 . 5 muestra la relación entre las pruebas de cumplimiento y las pruebas sustantivas y describe
Figura 1.5
..
C '
'--�������R_e_v_is_a_r_e__
l s_is_te_m�a�a_ra-.-ic_le_n_t_fi
i _c
1_a_r_o
l _s�co_1_1t_ro__
l e_s���-��=:::=::J
revisión
..
'
..,
1 . 6 1 1 EVIDENCIA
La evidencia es cualquier información usada por el auditor ele SI para determinar si la entidad o los datos
,.
que están siendo auditados cumplen con los criterios u objetivos establecidos, y soporta las conclusiones
ele auditoría. Es un requisito que las conclusiones del auditor se basen en evidencia suficiente, relevante y
competente. Al planear el trabajo de auditoría de SI, el auditor de SI debe tomar en cuenta el tipo de
evidencia de auditoría a ser recopilada, su uso como evidencia ele auditoría para alcanzar los objetivos ele
La evidencia ele auditoría puede incluir observaciones del auditor de SI (notificados a la gerencia), notas
de las entrevistas, material extractado de la correspondencia y documentación interna, o los contratos con
socios externos o los resultados de los procedimientos de prueba de auditoría. Aún cuando toda la
más confiable que otra. Las reglas de evidencia y suficiencia así como también de competencia de la
confiable que la obtenida dentro de la organización. Esta es la razón por la cual se usan las cartas de
confirmación para verificar los saldos de las cuentas por cobrar. Adicionalmente, los contratos o acuerdos
firmados con partes externas podrían ser considerados confiables si los documentos originales se ponen a
siempre considerar las credenciales y las responsabilidades funcionales de las personas que suministran la
aspecto también puede considerarse respecto del auditor de SI. Si un auditor de SI no tiene un buen
entendimiento del área técnica que está en revisión, la información recopilada de las pruebas en esa área
Objetividad de la evidencia - La evidencia objetiva es más confiable que la evidencia que requiere
discusiones con determinado personal, puede no ser una evidencia de auditoría objetiva.
la información existe o está disponible al determinar la naturaleza, el tiempo y la extensión de las pruebas
de cumplimiento y, si fuera aplicable, las pruebas sustantivas. Por ejemplo, la evidencia de auditoría
procesada por intercambio electrónico de datos (EDI), procesamiento de imagen de documentos (DIP) y
sistemas dinámicos, tales como hojas de trabajo pueden no ser rescatables después de un período de
tiempo determinado si los cambios a los archivos no son controlados o si los archivos no son respaldados.
El auditor de SI reúne una variedad de evidencias durante la auditoría. Algunas de ellas pueden ser
relevantes para los objetivos de la auditoría, mientras que otras evidencias pueden ser consideradas
Internacional de Contadores (IFAC) se refiere a estas dos características como competencia (Calidad) y
suficiencia (Cantidad). La evidencia es competente cuando es tanto válida como relevante. Con base en
el jucio de auditoría se determina cuándo se logra la suficiencia, de la misma manera que se determina la
competencia de la evidencia.
Es importante que los auditores de SI tengan un entendimiento de las reglas de la evidencia, ya que es
consciente de las diversas formas de evidencia de auditoría y de cómo puede ser recopilada y revisada. El
organizacional que provee una adecuada separación o segregación de funciones es un control general
clave en ui1 ambiente de sistemas de información. El auditor'• de SI debería entender los controles
¡:_:,.
¡ "; '
¡,;.;,
generales de la organización y ser capaz de evaluarlos en la organización que audita. Donde haya un
funciones de SI pueden estar organizadas un poco diferente de la organización "clásica" de SI, constituida
por funciones operativas y de sistemas separadas. El auditor de SI debería poder revisar estas estructuras ,.....
1-.·
verificar que la dirección asume plena responsabilidad por la formulación, desarrollo, documentación,
publicación y control de las políticas que abarcan propósitos y directivas generales. Así mismo, se ,_.
deberían llevar a cabo revisiones regulares de las políticas y de los procedimientos para asegurar que i
1.-.
Revisión de los estándares de SI - Primero, el auditor ele SI debería entender los estándares vigentes
información es entender la documentación existente vigente con que cuenta la organización. Esta
documentación podría ser mantenida en forma de copia dura, o almacenadaelectrónicamente (e.g, imáges
\.
' ,
.
de documentos almacenadas en la red corporativa interna). S i esto último fuera el caso, el auditor de SI ......
debería evaluar los controles para preservar la integridad de los documentos. El auditor de SI debería
buscar que exista un nivel mínitno de documentación de los sistemas de información que podrá incluir:
r -
...,.
Manuales del usuario
Manuales de operación
Documentos relacionados con la seguridad (por ejemplo, planes de seguridad, evaluación del riesgo)
._.,
r
'
Entrevistas al Personal Apropiado - Las técnicas de entrevista contituyen una habilidad importante para
el auditor de SI. Las entrevistas deberían ser organizadas ele antemano con objetivos claramente
comunicados, deberían seguir un patrón fijado y deberían ser documentadas por medio de notas de i
¡¡,..,.
entrevista. Un buen método es un formulario de entrevista o lista de verificación preparada por un
auditor ele SI. El auditor de SI debería recordar siempre que el propósito ele dicha entrevista es recopilar
evidencia de auditoría. Las entrevistas al personal tienen naturaleza de descubrimiento y nunca deberían
-·
'
l ·
L..
ser acusatorias. Si estas notas fueran necesarias para soportar conclusiones, el auditor de SI d e b e r i a
t....
técnica clave de auditoría para muchos tipos ele revisiones. El auditor de SI no debería ser obstructivo
al realizar sus observaciones y debería documentar todo con suficiente detalle como para poder
situaciones, la publicación del reporte de auditoría puede no ser lo suficientemente oportuno como ....r
para usar esta observación como evidencia. Esto puede necesitar que se emita un reporte interino a la
gerencia del área que se esté auditando. El auditor ele SI puede también querer considerar si la
.
,....
1
¡ ·
...r
í
,
¡ 1
, ¡ .
:
evidencia documentaria sería útil como evidencia (e.g. fotograflade una habitación de servidores con
1 .
i .
¡,;
Todas estas técnicas 'mencionadas de recolección de evidencia, son parte de una auditoría, pero una
auditoría no es considerada sólo un trabajo de revisión. Una auditoría incluye examen que incorpora por
necesidad, la comprobación de los controles y la evidencia de auditoría, y por lo tanto incluye los
Los auditores de SI deberían reconocer que con las técnicas de desarrollo de sistemas (CASE) o creación
automatizada en vez de estar en papel. Sin embargo, el auditor de SI debería buscar estándares y
. . .
El auditor de SI debería poder revisar la documentación para un sistema dado y determinar si el mismo : · ,
sigue los estándares de documentación de la organización. Además, el auditor de SI debería entender los
enfoques actuales de desarrollo de sistemas, tales como los métodos orientados a objetos, herramientas
1
l.
base de datos, descripción de archivos o listados de programas autodocumentados. 1
Funciones reales - La observación podría ser una prueba adecuada para asegurar que la persona asignada
y autorizada para realizar una función en particular es la persona que está realmente haciendo el trabajo.
Esto permite al auditor de SI contar con una oportunidad de presenciar cómo se entienden y ponen en
práctica.las políticas y procedimientos. Dependiendo de la situación específica, los resultados de este tipo
de prueba deben ser comparados con los respectivos derechos de acceso lógico.
el auditor de SI obtenga evidencia de cumplimiento y observe desviaciones, si las hubiera. Este tipo de
Concientización sobre seguridad - Se debe observar el grado de concientización sobre seguridad que
una persona tiene para verificar la comprensión y la práctica de buenas medidas de seguridad preventivas
y de detección para salvaguardar los activos y datos de la compañía. Este tipo de información podría ser
Líneas de reporto- Las líneas de reporte deben observarse para asegurar que se practiquen las
responsabilidades 'asignadas y una segregación adecuada de funciones. A menudo, los resultados de este
tipo de pruebas deben ser comparados con los respectivos derechos de acceso lógico.
certeza adecuada que el personal tiene las destrezas técnicas requeridas para realizar su trabajo. Éste es
E .
El auditor de SI revisará la evidencia recopilada durante la auditoría para determinar si las operaciones e' r.
revisadas están bien controladas y son efectivas. Esta es también un área que requiere el juicio y la
experiencia del auditor de SI. El auditor de SI debe evaluar las fortalezas y debilidades de los controles
evaluados y luego determinar si son efectivos para cumplir los objetivos de control establecidos como
A menudo se utiliza una matriz de control para determinar el nivel apropiado de los controles. Los tipos
conocidos de error que pueden ocurrir en el área bajo revisión, se colocan en el eje superior y los
controles conocidos para detectar o para corregir los errores, en el eje lateral. Luego, usando un método
de categorización, se llena la matriz con las medidas apropiadas. Cuando se haya completado, la matriz
En algunas instancias, un control fuerte puede compensar un control débil en otra área. Por ejemplo, si el
puede hallar que un proceso detallado ele balanceo manual de las transacciones compensa la debilidad del
reporte de errores. El auditor de SI debería estar consciente de controles compensatorios en áreas donde
Mientras que una situación ele control compensatorio ocurre cuando un control más fuerte soporta a uno -
1
más débil, los controles solapados son dos controles fuertes. Por ejemplo, si un centro de datos emplea �1
un sistema de tarjetas llave para controlar el acceso físico y un guardia dentro de la puerta requiere que
los empleados muestren su tarjeta llave o su tarjeta de identificación, existe control solapado. Cualquiera
de los controles podría ser adecuado para restringir el acceso y los dos se complementan entre sí.
contrario, el auditor ele SI llevará a cabo una variedad de procedimientos de prueba y evaluará cómo estos
se relacionan entre sí. Un auditor de SI debería siempre revisar si existen controles compensatorios antes
-
,
(''.
. .
El auditor de SI puede encontrar que no todos los procedimientos de control están establecidos pero
,·.
�
debería evaluar la totalidad de los controles considerando las fortalezas y las debifidades de los
procedimientos de control.
El concepto de materialidad es un tema clave al decidir qué hallazgos llevar al informe de auditoría. La
clave para determinar la materialidad de los hallazgos de la auditoría es la determinación de qué sería
significativo para los diferentes niveles de dirección. La determinación requiere juzgar el efecto potencial
del hallazgo si no se realizan acciones correctivas. Una debilidad en los controles de seguridad de acceso
físico en un sitio de cómputo distribuido remoto puede ser significativa para la dirección del sitio, pero no
será necesariamente material para la alta dirección en la oficina central. Sin embargo, puede haber otros
El auditor de SI debe usar su buen juicio al decidir cuáles hallazgos presentar a los distintos niveles de
dirección. Por ejemplo, el auditor ele SI puede encontrar que el formulario de intercambio para el envío
de cintas al lugar ele almacenamiento externo, no está debidamente firmado por la dirección como lo
modo atención a este proceso y que no ha habido problemas en esta área, el auditor de SI puede decidir
que la falla de firmar los documentos de intercambio no es lo suficientemente material como para llamar
.': •'
' . la atención de la alta dirección. El auditor de SI podría decidir discutir esto únicamente con la dirección
!
• ' .
local de operaciones. Sin embargo, puede haber otros problemas de control que harán que el auditor de SI
. . ,
·
. . . . . , . ..
llegue a la conclusión que éste es un error material, porque puede conducir a un problema de control
r· mayor en otras áreas. El auditor de SI debería juzgar siempre cuáles hallazgos son materiales para los
discutir los hallazgos y las recomendaciones con la dirección. Los objetivos y el alcance de la auditoría
pueden ser discutidos y el proceso de auditoría de SI puede ser explicado. Durante la entrevista final, el
auditor de SI debería:
Asegurarse de que las recomendaciones sean realistas y eficientes desde el punto de vista de los costos, y
Con frecuencia solicitarán al auditor de SI que presente los resultados del trabajo de auditoría a los
r
�,· 1
distintos niveles de la dirección. El auditor de SI debería tener un profundo entendimiento de las técnicas
Resumen Ejecutivo - Un informe conciso y fácil de leer, que presenta los hallazgos a la dirección en una
forma comprensible. La mayoría de los directores ejecutivos no están muy familiarizados con la jerga de
¡ � *¡
computación; por lo tanto, los resúmenes ejecutivos deberían minimizar el uso de terminología compleja.
r Los 'hallazgos y las recomendaciones deberían ser comunicados desde una perspectiva de negocio. Los
anexos detallados pueden ser de naturaleza m á s técnica ya que la dirección de operaciones requerirá el
Los Auditores de SI deberían estar conscientes de que al final, ellos son los responsables frente a la alta
libertad para comunicar los asuntos o preocupaciones a dicha dirección. Un intento de negar acceso por
Antes de comunicar los resultados de una auditoría a la alta dirección, el auditor de SI debería discutir los
hallazgos con el personal directivo de la entidad auditada. El propósito de dicha discusión es el de llegar
a un acuerdo sobre los hallazgos y desarrollar un curso de acción correctiva. En el caso de que exista un'
desacuerdo, el auditor de SI debería profundizar sobre la importancia del hallazgo y los riesgos y el efecto
de no corregir la debilidad de control. En algunas ocasiones la dirección del área auditada puede requerir
el apoyo del auditor de SI pata implementar las mejoras recomendadas al control. El auditor de SI debería
Una vez que se han logrado acuerdos con el auditado, la gerencia de auditoría de SI debería enviar un
resumen de las actividades de auditoría al comité de auditoría. Los comités de auditoría están típicamente
compuestos por personas que no trabajan directamente para la organización y de ese modo proveen a los
.1
'
i
Estructura y Contenido de un Informe de Auditoría
1
Los informes de auditoría son el producto final del trabajo de auditoría de SI. Son usados por el auditor
aúditoría varía en cada organización. Sin embargo, el auditor de SI experimentado debería entender los
componentes básicos de un informe de auditoría y cómo éste comunica los hallazgos de auditoría a la
dirección.
No existe un formato específico para un informe de auditoría de SI, sin embargo, las políticas y los
Una introducción al informe, incluyendo una declaración de los objetivos, limitaciones para la auditoría y
alcance, el período cubierto por la auditoría y una declaración general sobre el carácter y la extensión de
los procedimientos de auditoría realizados y los procesos examinados durante la auditoría, declaración
Una buena práctica es incluir hallazgos de auditoría en anexos separados. Estos hallazgos pueden ser
examinados durante la auditoría son los adecuados, y los riesgos potenciales reales identificados como
Las reservas o calificaciones del auditor de SI con relación a la auditoría. Éstas pueden declarar que se
encontró que los controles o procedimientos examinados son adecuados o inadecuados. El balance ele!
informe de auditoría debería respaldar dicha conclusión y toda la evidencia recopilada durante la auditoría
debería proveer un nivel aún mayor de respaldo para las conclusiones de auditoría.
Los hallazgos detallados y las recomendaciones de la auditoría. El auditor de SI decidiría incluir o no los
hallazgos específicos en un informe de auditoría. Ésto debería hacerse con base en la materialidad ele los
hallazgos y los destinados proyectados del informe de auditoría. Un informe de auditoría dirigido al
Comité de Auditoría ele la Junta Directiva, por ejemplo, puede no incluir hallazgos que son importantes
solamente para la gerencia local pero que tienen poca importancia de control para la organización en
general. La decisión de qué incluir en los distintos niveles de los informes ele auditoría depende ele la
Una variedad de hallazgos, algunos de los cuales pueden ser considerablemente materiales mientras que
El auditor de SI, sin· embargo, debería tomar la decisión final acerca de qué incluir o excluir del informe
de auditoría. Generalmente, el auditor de SI debería preocuparse ele proveer un informe balanceado, que
describa no solamente los aspectos negativos en términos de hallazgos sino también comentarios
Puede que la gerencia no pueda implementar de inmediato todas las recomendaciones de la auditoría. Por
experimentando otros cambios o mejoras. El auditor de SI no debería necesariamente esperai· que los
otros cambios sean suspendidos hasta que se hayan implementado sus recomendaciones. En lugar de ello,
-
El auditor de SI debería discutir las recomendaciones y las fechas planeadas de implementación mientras
está en el proceso de emitir el informe de auditoría. El auditor de SI debería darse cuenta que
restricciones diversas, tales como limitaciones de personal, presupuestos u otros proyectos, pueden
restringir la implementación inmediata. La dirección debería desarrollar un programa sólido para las
acciones correctivas. Es importante obtener un compromiso por parte del auditado /dirección sobre la
fecha en que el plan de acción será implementado (la solución puede en sí misma requerir un tiempo
largo de implementación) y la manera en que se llevará a cabo, ya que la acción correctiva puede en sí
I ,
misma introducir ciertos riesgos que pueden evitarse si se los identifica mientras se discute y se finaliza el
informe de auditorfa. Si fuera apropiado, el auditor de SI podría reportar a la alta dirección sobre el
l '
· La Directriz para Auditoría de SI de !SACA, "Estándar de Auditoría S7 de SI" y "ISACA SI, sobre
Reportes establece que el informe debería incluir todos los hallazgos de auditoría significativos. Cuando
\ Cuando sea apropiado, el auditor de SI debería proveer la explicación en un documento separado y hacer
referencia a éste en el informe. Por ejemplo, este enfoque puede ser apropiado para asuntos altamente
Relacionada (COBIT), publicada por el Instituto de Gobierno de TI. El informe debería· ser emitido
oportunamente para fomentar la pronta acción correctiva. Cuando sea apropiado, el auditor de SI debería
comunicar prontamente los hallazgos significativos a las personas adecuadas antes de la emisión del
del informe.
Los Auditores de SI deberían estar conscientes de que la auditoría es un proceso continuo. El auditor de
SI no es eficaz si se realizan las auditorías y se emiten los informes, pero no se realiza el seguimiento
para determinar si la dirección ha emprendido las acciones correctivas apropiadas. Los Auditores de SI
deberían tener un programa de seguimiento para determinar si se han implementado las acciones
correctivas acordadas. A pesar de que los auditores de SI que trabajan para firmas de auditoría externas
pueden no necesariamente seguir este proceso, ellos pueden lograr estas tareas si lo acuerdan con la
entidad auditada.
auditor de SI. Los resultados del seguimiento deberían ser comunicados a los niveles apropiados de la ili
gerencia.
El nivel de la revisión en el seguimiento del auditor de SI dependerá de varios factores. En algunos casos,
el auditor de SI puede sólo necesitar averiguar sobre el estado actual. En otros casos, el auditor de SI que
trabaja en una función de auditoría interna puede tener que llevar a cabo ciertos pasos de auditoría para
determinar si las acciones correctivas acordadas por la dirección han sido implementadas.
, '
1 . 6 . 1 9 DOCUMENTACION DE LA AUDITORIA
el programa de auditoría
una copia del informe emitido como resultado del trabajo de auditoría
Los documentos deben incluir información que es requerida por leyes y regulaciones, estipulaciones
soporta las conclusiones alcanzadas _y, de ahí que debe ser clara, completa, fácilmente recuperable y
f
auditoría y debe ser accesible sólo al personal autorizado bajo permiso específico o general. Cuando las
, ¡
partes externas solicitan acceso a documentación de auditoría, el auditor debe obtener la previa
.J
El auditor de SI /departamento de auditoría de SI debe también desarrollar políticas respecto a la custodia,
El formato de documentación y los medios son opcionales, pero la debida diligencia y las mejores
prácticas requieren que los papeles ele trabajo estén fechados, inicializados, numeradas sus páginas,
custodia. Los papeles de trabajo no tienen necesariamente que estar en papel - en copia dura. Los
de prueba de auditoria APRA preservar su valor de prueba en soporte de los resultados de auditoría.
La documentación de auditoría o los papeles de trabajo pueden ser considerados el puente o interfaz entre
los objetivos de auditoría y el reporte final. Ellos deben proveer una transición impecable -- con
auditoría, en este contexto, puede ser visualizado como papeles de trabajo particulares.
La documentación de auditoría debería apoyar los hallazgos y lasconclusiones /la opinión. La fecha de la
evidencia será a veces crucial para sustentar los hallazgos y las conclusiones de auditoría. El auditor de SI
debería tener suficiente cuidado al asegurarse que la evidencia reunida y documentada podrá sustentar los
. hallazgos y conclusiones de auditoría. Un auditor de SI debe ser capaz de elaborar papeles de trabajo
Los auditores de SI son un recurso escaso y caro. Cualquier tecnología capaz de aumentar la
1 .'
productividad de la auditoría es bienvenida. Automatizar los papeles de trabajo afecta la productividad
1
directa e indirectamente (otorgando acceso a otros auditores, reutilizando documentos o parte de ellos en
Los intentos de integrar los papeles de trabajo en el entorno electrónico del auditor ha tenido como
Los Estándares y Directrices de Auditoría de ISACA SI establecen muchas especificaciones sobre los
papeles de trabajo., incluyendo cómo usar los de otros auditores (anteriores o contratistas), la necesidad
de documentar el plan, programa y evidencia de auditoría, o el uso de CAATs o muestrreo (01 Usando el
I f .
La autoevaluación del control ( CSA) puede definirse como una técnica de la dirección que asegura a los
8 -,
'
accionistas, clientes y otros que el sistema de control interno del negocio es con fi able. También asegura
},
quevlos- empleados estén concientes de los riesgos del negocio y que realicen revisiones proactivas
periódicas de los controles. Esta es una metodología usada para revisar los objetivos clave del negoc i o ,
los riesgos in volucrados en alcanzar los objetivos del negocio y los controles internos dise ñ ados para
r En la práctica, CSA es una serie de herramientas que abarcan desde s i mp l es cuestionar i os hasta talleres de
facilitación diseñados para recopilar información sobre la organización, solicitándola a los que tienen
J
conocimientos de trabajo cotidiano de un área así como también a sus directivo s . Las herramientas
básicas usadas durante un proyecto de CSA son las mismas ya sea q ue el proyecto sea técnico, fi nanciero
u operativo. Estas herramientas incluyen reuniones de dirección , talleres de clie n tes , hojas de trabajo,
¡ '
hojas de clasi fi caci ó n y el enfoque de proyecto de CSA. Al igual q ue para el conjunto de h e rr amien t as
usadas para reco p ilar información, existen diferentes enfoques para los ni v eles inferiores a la d ir ección
1
1 ! ; q ue son encuestados ; a l gun a s or g anizacione s in cl uso incl u y e n personas externas (tales como clientes o
1
socios de negocios ) c uando se realizan evaluaciones de C S A .
! '
El programa de CS A puede ser i m p lementado mediante diversos métodos. Para las pe q ue ñ as u nidades de
negocio dentro de las organizaciones, se puede imple m enta r mediante talleres de facilitación en l os que la
direcci ó n funcional y los profesionales de 'control, como l os auditores , pued e n reunirse y deli b erar sobre
' ,>_-;
· - -