. .

, ,

1.2.3 PLANEACION DE LA AUDITORIA

t

¡ ·
P l a n e a c í ó n Anual

La planeación de la auditoría está constituida tanto por la planeación a corto como a largo plazo. La

pl an e a c i ó n a corto plazo toma en cuenta los aspectos relevantes de auditoría que serán cubiertos durante

el año, mientras que la planeación a largo plazo se refiere a los planes de auditoría que tomarán en cuenta

id aspectos relacionados con riesgos debido a los cambios en la dirección estratégica de TI de la

organización que afectarán el ambiente de TI de la organización.

;; ...

, . . -

El análisis de los aspectos relevantes a corto y a largo plazo debe hacerse por lo menos una vez al año.
I

Esto es necesario para tomar en consideración los nuevos aspectos de control, los cambios en el entorno

del riesgo, la cambiante tecnología, los procesos de negocio en constante cambio y las técnicas mejoradas

de evaluación. Los resultados de este análisis para la p l a n e a c i ó n de futuras actividades de auditoría deben
t ser revisados por la alta dirección, y aprobados por el comité de auditoría, si existiera, o alternativamente

por la Junta Directiva y comunicados a los niveles de dirección relevantes.

1 ;

Asignaciones de Auditoría Individual

Además de la planeación general anual, cada tarea individual de auditoría debe ser planeada

adecuadamente. El auditor de SI debe entender que otras consideraciones, tales como los resultados de la

evaluación periódica de riesgos, cambios en la aplicación de tecnología, y aspectos de privacidad

evolucionantes y requisitos regulatorios pueden afectar el enfoque general de la auditoría. El auditor. de

SI debería también considerar las fechas límites establecidas para la implementación/actualización d e los

sistemas, las tecnologías actuales y futuras, requerimientos de los dueños del proceso de negocio y las

limitaciones de recursos de SI.

J.

Al planear una auditoría, el auditor de SI debe tener un entendimiento general del ambiente a revisar.

Esto debería incluir una comprensión general de las diversas prácticas del negocio y de las funciones
1 ·

1
relativas al sujeto de la auditoría, así como también los tipos de sistemas de información y la tecnología

que soportan la actividad. Por ejemplo, el auditor de SI debería estar familiarizado con el marco

regulatorio en el que opera el negocio.

Para realizar la planeación de la auditoría, el auditor de SI debería realizar os pasos siguientes:

• Lograr un entendimiento de la misión, los objetivos, el propósito y los procesos del negocio,

incluyendo los requerimientos de información y procesamiento, tales como disponibilidad, integridad,

seguridad y tecnología del negocio y la confidencialidad de información.

• Identificar contenidos específicos tales como políticas, estándares y directrices requeridos,

procedimientos y estructura de la organización

• Realizar un análisis de riesgos para ayudar a diseñar el plan de auditoría

• Llevar a cabo una revisión de los controles internos relacionados con TI.

• Establecer el alcance y los objetivos de la auditoría.

• Desarrollar el enfoque o la estrategia de auditoría.

• Asignar recursos humanos a la auditoría

• Dirigir la logístlca del trabajo de auditoría

Los Estándares de Auditoría de SI de ISA CA requieren que el auditor de SI planee el trabajo de auditoría

de SI para alcanzar los objetivos de auditoría y cumplir con los estándares profesionales de auditoría

aplicables (Planeación S5). El auditor de SI debe desarrollar un plan de auditoría que tome en

consideración los objetivos del auditado relevantes al área auditada y a su infraestructura tecnológica. Si

Manual de Preparación al Examen CISA 2008 15

 .

es necesario, el auditor de SI debería también considerar el área bajo revisión y su relación con la .

organización (estratégica, financiera y/u operativamente) y obtener información sobre el plan estratégico, ri .

incluyendo el plan estratégico de SI. El auditor ele SI debería tener un entendimiento de la arquitectura de

tecnología de la información y de la dirección tecnológica del auditado para disefiar un plan apropiado .

para la tecnología actual y donde aplique, para la tecnología futura del auditado.
t '

Los pasos que un auditor de SI podría tornar para lograr el entendimiento del negocio incluyen: .... .

..

- Recorrido de las instalaciones clave de la organización

- Lectura de antecedentes incluyendo publicaciones de la industria, informes anuales e informes de

l
¡f

análisis financieros independientes

- Revisión del negocio y de los planes estratégicos de TI a largo plazo

- Entrevistas a los gerentes clave para entender pormenores del negocio

- Revisión de informes anteriores o informes relacionados con TI (provenientes de auditorías externas o ·

i nternas o revision s especí e fi cas tales co m o revisiones regulatorias).

- I denti fi car las regulaciones espe c í fi cas aplica les a T b I

- I dent i fi car l as funciones ele T I o las actividades re acion das l a q ue han sido co tr tadas e n a x ternamente.

O tro co m ponente b ásico de l a planeación es lograr corres p ondencia entre los recursos e le audito rí a

dis p on b es y las tareas d

i l e fi nidas en el p lan de auditoría . E l auditor de S I q ue pre are e p l pl an de er a b í

considerar los requerimientos de [ pro ecto ele auditor a

y í , recursos el e personal y otras li m ita ionesc . E ste

e ercicio d
j e as gnación de recu sos de er a cons derar las neces dades de los proyectos i
i r b í i i n divid u ales d e

a uditor a í as! como también las necesidades generales d e l de ar ame to de auditor a p t n í .

1 . 2 . 4 EFECTO DE LAS LEYES Y REGULACIONES SOBRE LA

PLANIFICACIÓN DE AUDITORÍA DE SI

Toda org n a i z ac ón i , independiente m ente e su ta

el m a o o de la indust
ñ ri a en la q ue o era p , deber á cu m p r l i

con un n ú mero de requerim entos i gubernamentales y e terno

x s relacionados con las pr cticasá y los

controles de lo s si temas
s c omp utari adosz y con la manera en que se almacena n y s e usan l as

com utadoras p , l os programas y los datos . A d cionalmente

i , las regulaciones el e negocio p ueden impactar

la forma en q u e los e latos se procesan , se trans m iten y se almacenan ( bolsa de val o res , bancos centrales ,

etc . ) .

Se debe prestar es ecial atenc ón a estos asuntos en p i aq u ellas indust ri as que h istórica m ente h an te i n d o u n

m arco regulatorio muy e stricto . P or e ej m plo , l a industria bancar a en todo el mundo tiene penal i i z acione s

severas p ara las co m pa ñ í as y para su s funcionarios en caso e que la organización no

el p ueda proveer un

n i v e l adec ado de ser u v icio a ca u sa de p rocedi m ientos de res aldo y recuperación p q ue e t n por deb
s é aj o e le

los est ndares á . Tamb én, en var os países

i i , los proveedores de ser v icios de I nternet e tán sujetos a leye s s

e sp ec í fi ca s res ecto a la con

p fi dencialidad y a la d sponibilidad del servicio
i .

L os auditores el e SI deber ía n revisar la política e

d l a administración sobre privacidad , pa ra deter min ar si

é sta toma e n cuenta lo s re qu erimientos l egales y reg u latorio s de privac dad i aplicables, i ncl u yendo

re qu isito s de flu jo de datos a l cru ar front ras tales como

z e P u e rt o S eguro (Safe H arbor ) y las d ir e tr ces de
c i

la O rgani aci n z ó p ara l a C oo eración Econ mica y el

p ó Desarrollo (OECD ) q e rigen la protección de la
u

privacidad y los fluj os transfrontera de datos personales .

]6
Manual ele Manual de Preparación al Examen CISA 2008
 ......

Protección y mecanismos de detección contra ataques internos y externos

El auditor de SI debe entender los conceptos de los procedimientos de control de SI y cómo aplicarlos en

la planeación de una auditoría.

r·
L.�J

r'·

L
La auditoría puede definirse como un proceso sistemático por el cual un equipo o una persona competente

e independiente obtiene y evalúa objetivamente la evidencia respecto a las afirmaciones acerca de un

proceso con el fin de formarse una o p i n i ó n sobre el particular e informar sobre el grado de cumplimiento

en dicha afirmación es implementada.

La auditoría de SI puede definirse como cualquier auditoría que abarca la revisión y evaluación (parcial o

total) de los sistemas automatizados de procesamiento de información, procesos relacionados no

automatizados y las interfaces entre e l l o s .

[
Para realizar una auditoría, se requieren varios pasos. Una planeación adecuada es el primer paso

necesario para realizar auditorías de SI efectivas. Para usar efectivamente los recursos de auditoría de SI,

las organizaciones de auditoría, deben evaluar todos los riesgos de las áreas generales y de aplicación y

servicios relacionados a auditar y luego desarrollar un programa de auditoría que comprenda objetivos y

procedimientos de auditoría que satisfagan los objetivos de auditoría. El proceso de auditoría requiere

que el auditor de SI recolecte evidencia a través de pruebas de auditoría, evalúe las fortalezas y

debilidades de los controles basándose en la evidencia reunida y prepare un informe de auditoría que

presente en u n a forma objetiva dichos asuntos a la gerencia.

La gerencia de auditoría debe asegurarse de que haya d i s p o n i b i l i d a d de recursos de auditoría adecuados y

una agenda para llevar a cabo las auditorías y, en el caso de una auditoría interna de SI, para realizar

revisiones de seguimiento respecto al avance de las acciones correctivas emprendidas por la dirección.

Una discusión sobre auditoría debería incluír el alcance, los objetivos, criterios y procedimientos de
e:
auditoría, la evidencia, conclusiones y opiniones, e informe a la gerencia después de discusión con los

cluefios clave del proceso.

[l,
,-,

Las restricciones del auditado pueden incluir:

- Reciente rotación o no disponibilidad de empleado .

- infracción de las fechas tope o fecha ele procesamiento cíclico

- ausencia general de conocimientos o ele documentación

Para entender estas restricciones sobre la realización de una auditoría, el auditor de SI debe tener un buen

entendimiento de las técnicas generales de administración ele proyectos. A menudo, estas restricciones

pueden ser minimizadas o evitadas mediante una planeación adecuada.

Las técnicas de administración de proyectos para gestionar y administrar proyectos de auditoría, ya sea

automatizado o manual, incluyen los siguientes pasos básicos:

34 Manual de Manual de Preparación al Examen CISA 2008

 - Desarfollar un plan detallado - El plan debe dispersar los pasos de auditoría necesarios en toda la línea

de'tíe'mpo. Se deben hacer estimados realistas de los requerimientos de tiempo para cada tarea con la

debida consideración a la disponibilidad del auditado.

- Reportar actividad de proyecto contra el plan - Debería haber algún tipo de sistema de reporte instalado

· . . demodo que los auditores de SI puedan reportar su progreso real contra los pasos planeados de auditoría.

··'i
· - 'Ajus'tar el plan y emprender acción correctiva - se deberían medir los logros reales contra el plan
�-·

establecido de manera continua. Se deberían hacer cambios en las asignaciones del auditor de SI o en los

cronogramas planeados, a medida que se requiera:

L6.l CLASIFICACIÓN DE LAS AUDITORÍAS

E l . auditor de SI debería entender los diversos tipos de auditorías que pueden efectuarse interna o

externamente, y los procedimientos de auditoría asociados con cada uno de ellos:

Auditorías financieras - El propósito de una auditoría financiera es determinar la exactitud de los

,,,J· estados financieros de una organización. Una auditoría financiera a menudo implicará pruebas

sustantivas detalladas, aunque cada vez más, los auditores están poniendo más un método de auditoría

;. basado en riesgo y control. Este tipo de auditoría se relaciona con la integridad y confiabilidad de la

información financiera.

Auditorías Operativas - Una auditoría operativa está diseñada para evaluar la estructura del control

interno en un proceso o área determinada. Las auditorías de SI de controles de aplicación o de sistemas

de seguridad lógica, son algunos ejemplos de auditorías operativas. ·

Auditorías. integradas - Una auditoría integrada combina pasos de auditoría financiera y Operativa.

También se realiza para evaluar los objetivos generales dentro de una organización, relacionados corrla

información financiera y la salvaguarda de activos, la eficiencia y el cumplimiento. Una auditoría

integrada puede ser ejecutada por auditores externos o internos e incluiría tanto pruebas de cumplimiento

a los controles internos como pruebas sustantivas.

Auditorías administrativas - Estas están orientadas a evaluar aspectos relacionados con la eficiencia de

la productividad operativa dentro de una organización.

Auditorías de SI - Este proceso recolecta y evalúa la evidencia para determinar si los sistemas de

información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y la

.1 disponibilidad de los datos y del sistema, proveen información relevante y confiable, logran de forma

efectiva las metas organizacionales, usan eficientemente los recursos y tienen en efecto controles internos

que proveen una certeza razonable que los objetivos de negocio, operacionales y de control serán

alcanzados y que los eventos no deseados serán prevenidos o detectados y corregidos de forma oportuna.

Auditorías especializadas - Dentro de la categoría de las auditorías de sistemas de información, existen

un número de revisiones especializadas que examinan áreas tales como los servicios realizados por

terceros. En vista de que los negocios dependen cada vez más de servicios prestados por terceros, es

importante que se evalúen los controles internos en estos ambientes. La declaración sobre Estándares de

Auditoría (SAS) 70, titulada "Informes sobre el Procesamiento de las Transacciones por Organizaciones

de Servicio" es un estándar de auditoría ampliamente conocido desarrollado por el Instituto Americano de

Contadores Públicos Certificados (AICPA). SAS 70, define los estándares profesionales usados por un

auditor de servicios para evaluar los controles internos de una organización de servicios. Este tipo de

auditoría se ha vuelto cada vez más relevante debido a la actual tendencia de contratar externamente

( outsourcing) procesos financieros y de negocios a terceros proveedores de servicios que en algunos casos

pueden operar en diferentes jurisdicciones o incluso en diferentes países. Se debe notar que una revisión

del tipo 2 SAS 70 es una variación más exhaustiva de una revisión regular SAS 70, que a menudo se

requiere en relación con revisiones regulatorias. Muchos otros países tienen su propio equivalente de ese

estándar. Una auditoría tipo SAS 70 es importante porque significa que una organización de servicios ha

pasado por una auditoría profunda de sus actividades de control, que incluyen generalmente controles de

tecnología de información y procesos relacionados. Las revisiones de tipo SAS70 proveen directrices q u e ·

Manual de Preparación al Examen CISA 2008 35

permiten a un auditor independiente (auditor de servicios) emitir una opinión sobre la descripción de

controles de una organización ele servicios a través del informe de un auditor de servicios, en el que luego

el auditor de la entidad que utiliza los servicios de la organización de servicios puede basarse.

Auditorías forenses - Tradicionalmente, la auditoría forense ha sido definida como una auditoría

especializada en descubrir, revelar y dar seguimiento a fraudes y crímenes. El propósito primario de

dicha revisión era el desarrollo de evidencia para ser revisada por autoridades policiales y judiciales. En

afios recientes, el profesional forense ha sido llamado a participar en investigaciones relacionadas con .....
¡_.·

fraude corporativo y crímen cibernético . . En los casos en que los recursos de computadora puedan haber L

llió
s i d o mal empleados, una investigación adicional es necesaria para recopilar evidencia de posible actividad

criminal que puede luego ser reportada a las autoridades competentes. Una investigación forense de

computadora incluye el análisis de dispositivos electrónicos, tales como computadoras, teléfonos, PDAs,

discos, switches, routers, hubs y otro equipo electrónico. El auditor de SI que posea las habilidades

necesarias puede asistir al gerente de seguridad ele información en la realización de las investigaciones

forenses y llevar a cabo la auditoría de l ó s sistemas para asegurar que se cumplan los procedimientos de

recolección de evidencia para la investigación forense; La evidencia electrónica es vulnerable a

alteraciones. Por lo que es necesario manejarla con extremo cuidado y se deben asegurar controles para

asegurar que no pueda ocurrir ninguna manipulación. Se debe establecer una cadena de custodia de

evidencia para cumplir con los requerimientos legales.

La evidencia de computadora manejada de manera inadecuada puede ser considerada inadmisible por las

autoridades judiciales. La consideración más importante para un auditor forense es la de obtener una

imagen completa (bit-stream) del dispositivo objetivo y examinar esa imagen sin alterar los sellos de

fecha u otra información atribuible a los archivos examinados. · Además, las herramientas y técnicas de

auditoría forense, tales como el mapeo de datos para la evaluación de riesgos de privacidad y seguridad y

la búsqueda de propiedad intelectual para la protección de datos, también se están usando para

prevención, cumplimiento y aseguramiento.

1 . 6 . 2 PROGRAMAS DE AUDITORÍA

....
Los programas de auditoría para auditorías financieras, operativas, integradas, administrativas y ele

sistemas de información se basan en el alcance y el objetivo de la asignación en particular. Los auditores

de SI evalúan a menudo las funciones y los sistemas de TI desde perspectivas diferentes, tales como la

seguridad (confidencialidad, integridad y disponibilidad), la calidad ( efectividad, eficiencia), fiduciaria

(cumplimiento, confiabilidad), el servicio y la capacidad. Es importante subrayar que el programa ele

trabajo de auditoría es la estrategia y el plan de auditoría - é s t e identifica el alcance, los objetivos y los

procedimientos de auditoría para lograr evidencia suficiente y competente para obtener y sustentar las
''"

conclusiones y opiniones de auditoría.

Los procedimientos generales de auditoría son los pasos básicos en la ejecución de una auditoría y

habitualmente incluyen lo siguiente:

- Obtención y documentación del conocimiento sobre el área/objeto de la auditoría

- Evaluación ele riesgos y planeación general de la auditoría y cronograma

- Planeación detallada de auditoría

- Revisión preliminar del área /objeto de la auditoría · .., ,

- Evaluación del área /objeto de la auditoría

- Verificación y evaluación de la c o r r e c c i ó n . d e los controles disefiaclos para cumplir los objetivos de ""'

control.

- Pruebas de cumplimiento (pruebas de la implementación ele controles y su aplicación consistente)

....
36 Manual de Manual de Preparación al Examen CISA 2008
 - Pruebas sustantivas (que confirmen la exactitud de la información)

- Informe ( comunicación de los resultados)

- Seguimiento en casos en los que hay una función de auditoría interna

i :-r: -

i f
El auditor de SI debe entender los procedimientos para la prueba y evaluación de los controles de SI.

Estos procedimientos podrían incluir:

El uso de software generalizado de auditoría para examinar el contenido de los archivos de datos

(incluyendo los registros (logs) del sistema)

El uso de software especializado para evaluar el contenido de los archivos de parámetros de la base de
e-:
ti · · · . datos y de aplicación del sistema operativo (o detectar deficiencias en el establecimiento de parámetros
"¡.
f'." ., del sistema) ·

Técnicas de elaboración de diagramas de flujo para la documentación de aplicaciones automatizadas y del

¡.... :
proceso de negocio

El uso de registros/ reportes de auditoría disponibles en los sistemas operativos /de aplicación

Revisión de la documentación

Observación

El auditor de SI debe tener un entendimiento suficiente de estos procedimientos que le permitan planear

¡ ,, . pruebas apropiadas de auditoría.

l'l''-,··

1
,:
1.6.3 METODOLOGÍA DE AUDITORÍA
{

;,
Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría diseñados
11·'
,.
¡; 1 para alcanzar los objetivos de auditoría planeados. Sus componentes son una declaración del alcance, una
�-
declaración de los objetivos de la auditoría y una declaración de los programas de auditoría.

¡.' 1 .

La metodología de auditoría debería ser establecida y aprobada por la gerencia de auditoría para lograr
�
consistencia en el enfoque de auditoría. Esta metodología debería ser formalizada y comunicada a todo el

personal de auditoría.

La Figura 1.3 enumera las fases de una auditoría típica. Un producto temprano y crítico del proceso de

auditoría debería ser un programa de auditoría que sea una guía para la ejecución y documentación de

todos los pasos siguientes de auditoría y la extensión y tipo de evidencia revisada.

Figura 1.3

r
Fase de auditoría Descripción
1

Sujeto de la auditoría • Identificar el área que será auditada

1·
'

Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un objetivó

•
podría ser determinar que los cambios al código fuente de los

programas se realicen en un ambiente bien definido y controlado.

Alcance de la auditoría Identificar los sistemas específicos, la función o unidad de la

•
organización a ser incluida en la revisión. Por ejemplo, en el ejemplo

de cambios a un programa, la declaración de alcance podría limitar la

revisión a un solo sistema de aplicación o a un período limitado de

tiempo.

M a n u a l de Preparación .al Examen CISA 2008 37

Planeación de Auditoría
• Identificar las habilidades y recursos técnicos que se necesitan .

P r e l i m i n a r o Preauditoría
• Identificar las fuentes de información para probarlas o revisarlas tales

como organigramas funcionales, políticas, estándares, procedimientos

y documentos de trabajo de auditorías previas.

• Identificar la ubicación o las instalaciones que serán auditadas .

Procedimientos de Identificar y seleccionar el método de auditoría para verificar y.

•
Auditoría y pasos para la probar los controles.

recopilación de datos Identificar una lista de personas para entrevistar

•
• Identificar y obtener políticas, estándares, y directrices de los

departamentos para su revisión.

• Desarrollar herramientas y metodologías de auditoría para comprobar

y verificar los controles.

Procedimientos para Específica de la organización

•
evaluar la prueba o revisar

los resultados

Procedimientos de • . Específica ele la organización

comunicación con la

gerencia

Elaboración del informe de Identificar los procedimientos de la revisión de seguimiento

•
auditoría
• Identificar los procedimientos para evaluar/probar la eficiencia y

efectividad operativa

• Identificar los procedimientos para probar los controles

• Revisar y evaluar la corrección de los documentos, las políticas y los

procedimientos.

A pesar que un programa de auditoría no sigue necesariamente un conjunto específico de pasos, el auditor
r·
,.
,

.t·=·

de SI generalmente seguiría, como un mínimo curso de acción, pasos secuenciales del programa para

obtener un entendimiento de la entidad que se está auditando, evaluar la estructura de control y probar los

controles.

Cada departamento de auditoría debería diseñar y aprobar una metodología de auditoría, así como

también los pasos m í ni m os a ser observados en cualquier asignación de auditoría.

Todos los planes, programas, actividades, pruebas, hallazgos e incidentes ele auditoría deberán estar

debidamente documentados en papeles ele trabajo.

Su formato y medios ele papeles de trabajo son opcionales, pero la debida d i l i g e n c i a y las mejores

prácticas requieren que los documentos de tra bajo estén fechados, inicializados, con páginas numeradas,

sean relevantes, completos, claros, autoexplicatorios y debidamente etiquetados, archivados y mantenidos

en custodia. Los papeles de trabajo no tienen necesariamente que estar impresos en pape!. Los auditores

de SI deberían considerar en particular cómo mantener evidencia de prueba ele auditoría para preservar su

valor de prueba en respaldo de los resultados de auditoría.

Los documentos de trabajo se pueden considerar los puentes o interfaces entre los objetivos y el informe

final de auditoría. Estos debieran proveer una transición impecable - pudiendo ser rastreados y los

responsables del trabajo identificados - desde los objetivos hasta el informe y desde el informe hasta los

objetivos. El informe de auditoría, en este contexto, puede ser visualizado como sólo un papel de trabajo

en particular.

38 Manual de Manual de Preparación al Examen CISA 2008

establece las bases para administrar el departamento de auditoría de manera efectiva

provee un resumen de cómo se relaciona el sujeto individual de la auditoría con el resto ele la

organización así como también con los planes de negocios.

1 . 6 . 9 OBJETIVOS DE LA AUDITORÍA

Los objetivos de auditoría se refieren a las metas específicas que deben cumplirse por parte de la

auditoría. En contraste, un objetivo de control se refiere a cómo debería funcionar un control interno,.

Una auditoría puede incorporar, y generalmente lo hace, varios objetivos ele auditoría.

Los objetivos de auditoría se enfocan a menudo en validar que existen controles internos para minimizar

los riesgos del negocio, y que estos funcionen como se espera. Estos objetivos ele auditoría incluyen el

aseguramiento del cumplimiento. con requerimientos legales y regulatorios así como también la

confidencialidad, integridad, confiabilidad y disponibilidad de recursos de información y ele TI. La

gerencia de auditoría puede dar al auditor de SI un objetivo general de control para revisar y evaluar al

llevar a cabo una auditoría. ·

Un elemento clave en la planeación de la auditoría ele sistemas de información es traducir los objetivos de

auditoría básicos y de amplio alcance en objetivos específicos de auditoría de sistemas de información.

Por ejemplo, en una auditoría financiera/operacional, un objetivo de control interno podría ser asegurar

que las transacciones sean debidamente registradas en las cuentas del libro mayor del sistema contable.

S i n embargo, en la auditoría de sistemas de información, el objetivo podría ampliarse para asegurar que

existen funciones ele e d i ció n para detectar los errores en la codificación de las transacciones que podrían

tener un impacto en las actividades ele registro de las cuentas.

El auditor de SI debe tener un entendimiento de cómo se pueden traducir los objetivos generales ele

auditor í a en objetivos específicos de control de los sistemas de información. La determinación de los

objeti v os de un a audi t oría es un p aso crítico en la planeación de una auditoría de SI.

Un o de los propósitos básicos de cu a l q uier audito rí a de SI es identi fi car los objetivos de cont r ol y los

controles relacionados que tratan el objetivo.

Por ejemplo, la revisi ó n inicial de un sistema de información llevada a cabo por un auditor de SI deber í a

identificar los controles clave. El auditor de SI debería entonces d ecidir si prueba estos controles para

verificar su cumplimiento. El auditor de SI debería identificar los controles clave tanto generales como

los de apl i cación despu é s ele entender y de document a r los p roceso s del ne g ocio y las

ap li c a ci ones / funcione s que soportan estos procesos y los sis t emas de soporte en general, S obre la base de

ese ente n di m iento, el auditor de SI debería identificar los puntos clave de control.

De manera alternativa, un auditor de SI puede ayudar en la evaluación de la integridad de los datos de un

informe fi n a nc i ero, la cual es conocida como prueba sustantiva, a través de técnicas de auditoría asistidas

por computadora.

46 Manual de Manual de Preparación al Examen CISA 2008

 1 . 6 . 1 0 PRUEBAS DE CUMPLIMIENTO VS. PRUEBAS SUSTANTIVAS

La prueba de cumplimiento es la recolección de evidencia con el fin de comprobar el cumplimiento de

una organización con los procedimientos de control. Esto difiere de la prueba sustantiva, en la que la

evidencia se recoge para evaluar la integridad de transacciones individuales, datos u otra información.

Una prueba de cumplimiento determina si los controles están siendo aplicados de manera que cumplen

con las políticas y los procedimientos de la dirección. Por ejemplo, si al auditor de SI Je preocupa si los

controles de las bibliotecas (library) de programas de producción están funcionando· correctamente, el

auditor de SI podría seleccionar una muestra de programas para determinar si las versiones fuente y

objeto son las mismas. El objetivo amplio de cualquier prueba de cumplimiento es el de proveer a los

auditores de SI una certeza razonable de que un control en particular sobre el cual el auditor de Sl planea

poner su confianza está operando como el auditor de SI lo percibió en la evaluación preliminar.

Es importante que el auditor de SI entienda el objetivo específico de una prueba de cumplimiento y del

control que se está probando. Las pruebas de cumplimiento pueden usarse para probar la existencia y

efectividad de un proceso definido, el cual puede incluir una pista de evidencia documental y/o

automatizada, por ejemplo, para proveer la certeza de que sólo se realizan modificaciones autorizadas a

los programas de producción.

Una prueba sustantiva fundamenta la integridad de un procesamiento real. Provee evidencia de la validez

e integridad de los saldos en los estados financieros y de las transacciones que respaldan dichos saldos.

Los auditores dé SI podrían usar pruebas sustantivas para comprobar si hay errores monetarios que

afecten directamente a los saldos de los estados financieros u otros datos relevantes de la organización.

Adicionalmente, un auditor de SI podría desarrollar una prueba sustantiva para determinar si los registros

del inventario de la librería de cintas son correctos. Para realizar esta prueba, el auditor de SI podría

realizar un inventario completo o podría usar una muestra estadística, que le permita llegar a una

conclusión respecto de la exactitud de todo el inventario. ·

Existe una correlación directa entre el nivel de los controles internos y la cantidad de pruebas sustantivas

requeridas. Si los resultados de las pruebas a los controles (pruebas de cumplimiento) revelaran la

presencia de controles internos adecuados, entonces el auditor de SI tiene una justificación para

minimizar los procedimientos sustantivos. De manera inversa, si la prueba a los controles revelara

debilidades en los controles que podrían generar dudas sobre la integridad, exactitud o validez de las

cuentas, las pruebas sustantivas pueden responder esas dudas.

El auditor de SI podría también decidir durante la evaluación preliminar de los controles, incluir algunas

pruebas sustantivas, si los resultados de esta evaluación preliminar indican que los controles

implementados no son confiables o no existen.

La Figura 1 . 5 muestra la relación entre las pruebas de cumplimiento y las pruebas sustantivas y describe

las dos categorías de pruebas sustantivas.

Manual de Preparación al Examen CISA 2008 47

 r:·
�

Figura 1.5
..

C '

'--�������R_e_v_is_a_r_e__
l s_is_te_m�a�a_ra-.-ic_le_n_t_fi
i _c
1_a_r_o
l _s�co_1_1t_ro__
l e_s���-��=:::=::J

Evaluar los controles para determinar una base de confianza

la naturaleza, alcance el momento ara las ruebas sustantivas

Probar saldos y transacciones Realizar procedimientos analíticos de

revisión

..
'

..,

1 . 6 1 1 EVIDENCIA

La evidencia es cualquier información usada por el auditor ele SI para determinar si la entidad o los datos
,.

que están siendo auditados cumplen con los criterios u objetivos establecidos, y soporta las conclusiones

ele auditoría. Es un requisito que las conclusiones del auditor se basen en evidencia suficiente, relevante y

competente. Al planear el trabajo de auditoría de SI, el auditor de SI debe tomar en cuenta el tipo de

evidencia de auditoría a ser recopilada, su uso como evidencia ele auditoría para alcanzar los objetivos ele

auditoría y su diferente nivel ele confiabilidad.

La evidencia ele auditoría puede incluir observaciones del auditor de SI (notificados a la gerencia), notas

de las entrevistas, material extractado de la correspondencia y documentación interna, o los contratos con

socios externos o los resultados de los procedimientos de prueba de auditoría. Aún cuando toda la

evidencia apoyará al auditor de SI en el desarrollo de las conclusiones de la auditoría, alguna evidencia es

más confiable que otra. Las reglas de evidencia y suficiencia así como también de competencia de la

evidencia se deben tomar en cuenta, como lo requieren los estándares de auditoría.

Manual ele Manual ele Preparación al Examen CISA 2008

 Los determinantes para evaluar la confiabilidad de la evidencia de auditoría incluyen:

Independencia del proveedor de la evidencia - La evidencia obtenida de fuentes externas es más

confiable que la obtenida dentro de la organización. Esta es la razón por la cual se usan las cartas de

confirmación para verificar los saldos de las cuentas por cobrar. Adicionalmente, los contratos o acuerdos

firmados con partes externas podrían ser considerados confiables si los documentos originales se ponen a

disposiciones para revisión.

Credenciales de la persona que suministra la información o evidencia - El auditor de SI debería

siempre considerar las credenciales y las responsabilidades funcionales de las personas que suministran la

información independientemente de si estas personas son internas o externas a la organizaciónEste

aspecto también puede considerarse respecto del auditor de SI. Si un auditor de SI no tiene un buen

entendimiento del área técnica que está en revisión, la información recopilada de las pruebas en esa área

puede no ser confiable, especialmente si el auditor de SI no entiende la prueba por completo.

Objetividad de la evidencia - La evidencia objetiva es más confiable que la evidencia que requiere

opinión o interpretación considerable. La revisión de inventario de medios de un auditor de SI es una

evidencia objetiva y directa. El análisis de un auditor de SI de la eficiencia de una aplicación, basado en

discusiones con determinado personal, puede no ser una evidencia de auditoría objetiva.

Tiempo de disponibilidad de la evidencia - El auditor de SI debería considerar el tiempo durante el cual

la información existe o está disponible al determinar la naturaleza, el tiempo y la extensión de las pruebas

de cumplimiento y, si fuera aplicable, las pruebas sustantivas. Por ejemplo, la evidencia de auditoría

procesada por intercambio electrónico de datos (EDI), procesamiento de imagen de documentos (DIP) y

sistemas dinámicos, tales como hojas de trabajo pueden no ser rescatables después de un período de

tiempo determinado si los cambios a los archivos no son controlados o si los archivos no son respaldados.

El auditor de SI reúne una variedad de evidencias durante la auditoría. Algunas de ellas pueden ser

relevantes para los objetivos de la auditoría, mientras que otras evidencias pueden ser consideradas

periféricas. El auditor de SI debería enfocarse en los objetivos generales de la revisión y no en la

naturaleza de la evidencia recopilada.

El auditor de SI deberá evaluar tanto la calidad como la cantidad de la evidencia. La Federación

Internacional de Contadores (IFAC) se refiere a estas dos características como competencia (Calidad) y

suficiencia (Cantidad). La evidencia es competente cuando es tanto válida como relevante. Con base en

el jucio de auditoría se determina cuándo se logra la suficiencia, de la misma manera que se determina la

competencia de la evidencia.

Es importante que los auditores de SI tengan un entendimiento de las reglas de la evidencia, ya que es

posible que encuentren una variedad de tipos de evidencia.

La recolección de evidencia es un paso clave en el proceso de auditoría. El auditor de SI debe estar

consciente de las diversas formas de evidencia de auditoría y de cómo puede ser recopilada y revisada. El

auditor de SI debería entender el estándar de auditoría S6 y S 1 4 y debería obtener evidencia suficiente

cuya naturaleza soporte los hallazgos de auditoría.

Las siguientes son técnicas para la recopilación de evidencia:

Revisión de las estructuras organizacionales de los Sistemas de Información - Una estructura

organizacional que provee una adecuada separación o segregación de funciones es un control general

clave en ui1 ambiente de sistemas de información. El auditor'• de SI debería entender los controles

Manual de Preparación al Examen CISA 2008 49

 ,-.il'
-;;
l

¡:_:,.

¡ "; '

¡,;.;,

generales de la organización y ser capaz de evaluarlos en la organización que audita. Donde haya un

fuerte énfasis en un procesamiento distribuido cooperativo o en la computación de usuario final, las

funciones de SI pueden estar organizadas un poco diferente de la organización "clásica" de SI, constituida

por funciones operativas y de sistemas separadas. El auditor de SI debería poder revisar estas estructuras ,.....
1-.·

organizacionales y determinar el nivel de control que proveen.

L;.
Revisión de las políticas y procedimientos de SI - Un auditor de SI debería revisar si se cuenta con

políticas y procedimientos apropiados establecidos, determinar si el personal entiende las políticas ·y

procedimientos implementados y asegurar que éstos se están cumpliendo. El auditor de SI debería

verificar que la dirección asume plena responsabilidad por la formulación, desarrollo, documentación,

publicación y control de las políticas que abarcan propósitos y directivas generales. Así mismo, se ,_.
deberían llevar a cabo revisiones regulares de las políticas y de los procedimientos para asegurar que i

1.-.

siguen siendo adecuados. .....

Revisión de los estándares de SI - Primero, el auditor ele SI debería entender los estándares vigentes

existentes dentro de la organización.

Revisión de la documentación de SI - Un primer paso al revisar la documentación para un sistema de

información es entender la documentación existente vigente con que cuenta la organización. Esta

documentación podría ser mantenida en forma de copia dura, o almacenadaelectrónicamente (e.g, imáges
\.
' ,
.

de documentos almacenadas en la red corporativa interna). S i esto último fuera el caso, el auditor de SI ......

debería evaluar los controles para preservar la integridad de los documentos. El auditor de SI debería

buscar que exista un nivel mínitno de documentación de los sistemas de información que podrá incluir:

Documentos de inicio del desarrollo de sistemas (por ejemplo, estudio de factibilidad)

Documentación suministrada por proveedores externos de aplicación

Contratos de nivel de servicio con proveedores externos ele TI

Requerimientos funcionales y especificaciones de diseño

Planes e informes de pruebas

Programa y documentos de operaciones

Registros (logs) e historial de cambio a programas j,

r -
...,.
Manuales del usuario

Manuales de operación

Documentos relacionados con la seguridad (por ejemplo, planes de seguridad, evaluación del riesgo)

Planes de Continuidad del Negocio

Informes de aseguramiento ele calidad

Reportes sobre métrica de seguridad

'-

._.,
r
'

Entrevistas al Personal Apropiado - Las técnicas de entrevista contituyen una habilidad importante para

el auditor de SI. Las entrevistas deberían ser organizadas ele antemano con objetivos claramente

comunicados, deberían seguir un patrón fijado y deberían ser documentadas por medio de notas de i

¡¡,..,.
entrevista. Un buen método es un formulario de entrevista o lista de verificación preparada por un

auditor ele SI. El auditor de SI debería recordar siempre que el propósito ele dicha entrevista es recopilar

evidencia de auditoría. Las entrevistas al personal tienen naturaleza de descubrimiento y nunca deberían
-·
'
l ·

L..
ser acusatorias. Si estas notas fueran necesarias para soportar conclusiones, el auditor de SI d e b e r i a

verificar la exactitud de las notas con la entrevistada.

r-·
• Observación de Procesos y del Desempeño de los Empleados - La observación de procesos es una ¡ _

t....
técnica clave de auditoría para muchos tipos ele revisiones. El auditor de SI no debería ser obstructivo

al realizar sus observaciones y debería documentar todo con suficiente detalle como para poder

presentarlo, si se requiere, como evidencia de auditoría en una fecha posterior. En algunas r

1

situaciones, la publicación del reporte de auditoría puede no ser lo suficientemente oportuno como ....r

para usar esta observación como evidencia. Esto puede necesitar que se emita un reporte interino a la

gerencia del área que se esté auditando. El auditor ele SI puede también querer considerar si la

50 Manual de Manual de Preparación al Examen CISA 2008

.
,....

1
¡ ·
...r
 í

,
¡ 1

, ¡ .

:
evidencia documentaria sería útil como evidencia (e.g. fotograflade una habitación de servidores con

las puertas totalmente abiertas).

1 · ;

1 .

i .

¡,;

Todas estas técnicas 'mencionadas de recolección de evidencia, son parte de una auditoría, pero una

auditoría no es considerada sólo un trabajo de revisión. Una auditoría incluye examen que incorpora por

necesidad, la comprobación de los controles y la evidencia de auditoría, y por lo tanto incluye los

resultados de las pruebas de auditoría.

Los auditores de SI deberían reconocer que con las técnicas de desarrollo de sistemas (CASE) o creación

de prototipos, no se requerirá la documentación de sistemas tradicionales o estará en una forma

automatizada en vez de estar en papel. Sin embargo, el auditor de SI debería buscar estándares y

prácticas de documentación dentro de la organización de SI.

. . .

El auditor de SI debería poder revisar la documentación para un sistema dado y determinar si el mismo : · ,

sigue los estándares de documentación de la organización. Además, el auditor de SI debería entender los

enfoques actuales de desarrollo de sistemas, tales como los métodos orientados a objetos, herramientas
1

CASE o creación de prototipos y cómo se genera la documentación. El auditor de SI debería reconocer

¡
otros componentes de la documentación de los sistemas de información tales como especificaciones de ¡

l.
base de datos, descripción de archivos o listados de programas autodocumentados. 1

1 . 6 . 1 2 ENTREVISTAS Y OBSERVACIÓN AL PERSONAL EN EL

DESEMPEÑO DE SUS FUNCIONES

La Observación al personal en el desempeño de sus funciones ayuda a un auditor de SI a identificar:

Funciones reales - La observación podría ser una prueba adecuada para asegurar que la persona asignada

y autorizada para realizar una función en particular es la persona que está realmente haciendo el trabajo.

Esto permite al auditor de SI contar con una oportunidad de presenciar cómo se entienden y ponen en

práctica.las políticas y procedimientos. Dependiendo de la situación específica, los resultados de este tipo

de prueba deben ser comparados con los respectivos derechos de acceso lógico.

Procesos /procedimientos reales - La ejecución de un recorrido de proceso /procedimiento permite que

el auditor de SI obtenga evidencia de cumplimiento y observe desviaciones, si las hubiera. Este tipo de

observación podría probarse que es útil para los controles físicos.

Concientización sobre seguridad - Se debe observar el grado de concientización sobre seguridad que

una persona tiene para verificar la comprensión y la práctica de buenas medidas de seguridad preventivas

y de detección para salvaguardar los activos y datos de la compañía. Este tipo de información podría ser

complementado con un examen de entrenamiento de seguridad anterior y planeado.

Líneas de reporto- Las líneas de reporte deben observarse para asegurar que se practiquen las

responsabilidades 'asignadas y una segregación adecuada de funciones. A menudo, los resultados de este

tipo de pruebas deben ser comparados con los respectivos derechos de acceso lógico.

Las entrevistas al personal y a la dirección de procesamiento de información deberían proveer una

certeza adecuada que el personal tiene las destrezas técnicas requeridas para realizar su trabajo. Éste es

un factor importante que contribuye a que la operación sea efectiva y eficiente.

Manual de Preparación al Examen CISA 2008 51

 .

E .

1 . 6 . 1 6 EVALUACIÓN DE LAS FORTALEZAS Y DEBILIDADES

-

El auditor de SI revisará la evidencia recopilada durante la auditoría para determinar si las operaciones e' r.

revisadas están bien controladas y son efectivas. Esta es también un área que requiere el juicio y la

experiencia del auditor de SI. El auditor de SI debe evaluar las fortalezas y debilidades de los controles

evaluados y luego determinar si son efectivos para cumplir los objetivos de control establecidos como

parte del proceso de planeación de la auditoría.

A menudo se utiliza una matriz de control para determinar el nivel apropiado de los controles. Los tipos

conocidos de error que pueden ocurrir en el área bajo revisión, se colocan en el eje superior y los

controles conocidos para detectar o para corregir los errores, en el eje lateral. Luego, usando un método

de categorización, se llena la matriz con las medidas apropiadas. Cuando se haya completado, la matriz

ilustrará las áreas donde los controles son débiles o faltan.

En algunas instancias, un control fuerte puede compensar un control débil en otra área. Por ejemplo, si el

auditor de SI encuentra debiliclacles en un reporte de errores de transacción de sistemas, el auditor de SI

puede hallar que un proceso detallado ele balanceo manual de las transacciones compensa la debilidad del

reporte de errores. El auditor de SI debería estar consciente de controles compensatorios en áreas donde

los controles han sido identificados como débiles.

Mientras que una situación ele control compensatorio ocurre cuando un control más fuerte soporta a uno -
1

más débil, los controles solapados son dos controles fuertes. Por ejemplo, si un centro de datos emplea �1

un sistema de tarjetas llave para controlar el acceso físico y un guardia dentro de la puerta requiere que

los empleados muestren su tarjeta llave o su tarjeta de identificación, existe control solapado. Cualquiera

de los controles podría ser adecuado para restringir el acceso y los dos se complementan entre sí.

Normalmente, un objetivo de control no se alcanza considerando que un control es adecuado. Por el

contrario, el auditor ele SI llevará a cabo una variedad de procedimientos de prueba y evaluará cómo estos

se relacionan entre sí. Un auditor de SI debería siempre revisar si existen controles compensatorios antes

de reportar una debilidad de control.

-
,

(''.
. .

El auditor de SI puede encontrar que no todos los procedimientos de control están establecidos pero
,·.

�
debería evaluar la totalidad de los controles considerando las fortalezas y las debifidades de los

procedimientos de control.

Juzgando la Materialidad de los Hallazgos

El concepto de materialidad es un tema clave al decidir qué hallazgos llevar al informe de auditoría. La

clave para determinar la materialidad de los hallazgos de la auditoría es la determinación de qué sería

significativo para los diferentes niveles de dirección. La determinación requiere juzgar el efecto potencial

del hallazgo si no se realizan acciones correctivas. Una debilidad en los controles de seguridad de acceso

físico en un sitio de cómputo distribuido remoto puede ser significativa para la dirección del sitio, pero no

será necesariamente material para la alta dirección en la oficina central. Sin embargo, puede haber otros

asuntos en el sitio remoto que serían materiales para la alta gerencia.

El auditor de SI debe usar su buen juicio al decidir cuáles hallazgos presentar a los distintos niveles de

dirección. Por ejemplo, el auditor ele SI puede encontrar que el formulario de intercambio para el envío

de cintas al lugar ele almacenamiento externo, no está debidamente firmado por la dirección como lo

58 Manual de Manual de Preparación al Examen CISA 2008

 requieren los procedimientos. Sin embargo, si el auditor de SI encuentra que la dirección presta de otro

modo atención a este proceso y que no ha habido problemas en esta área, el auditor de SI puede decidir

que la falla de firmar los documentos de intercambio no es lo suficientemente material como para llamar
.': •'
' . la atención de la alta dirección. El auditor de SI podría decidir discutir esto únicamente con la dirección

!
• ' .

local de operaciones. Sin embargo, puede haber otros problemas de control que harán que el auditor de SI
. . ,
·

. . . . . , . ..
llegue a la conclusión que éste es un error material, porque puede conducir a un problema de control

r· mayor en otras áreas. El auditor de SI debería juzgar siempre cuáles hallazgos son materiales para los

distintos niveles de la dirección y debería reportarlos en consecuencia.

1 . 6 . 1 7 COMUNICACIÓN DE LOS RESULTADOS DE LA AUDITORÍA

La entrevista final, llevada a cabo al final de la auditoría, provee al auditor de SI la oportunidad de

discutir los hallazgos y las recomendaciones con la dirección. Los objetivos y el alcance de la auditoría

pueden ser discutidos y el proceso de auditoría de SI puede ser explicado. Durante la entrevista final, el

auditor de SI debería:

Asegurarse de que los hechos presentados en el informe estén correctos,

Asegurarse de que las recomendaciones sean realistas y eficientes desde el punto de vista de los costos, y

si no lo fueran, buscar alternativas negociando con la gerencia del auditado,

Sugerir fechas de implementación para las recomendaciones acordadas.

Con frecuencia solicitarán al auditor de SI que presente los resultados del trabajo de auditoría a los

r
�,· 1
distintos niveles de la dirección. El auditor de SI debería tener un profundo entendimiento de las técnicas

de presentación necesarias para comunicar estos resultados.

Las técnicas de presentación podrían incluir las siguientes:

Mi
"1

Resumen Ejecutivo - Un informe conciso y fácil de leer, que presenta los hallazgos a la dirección en una

forma comprensible. La mayoría de los directores ejecutivos no están muy familiarizados con la jerga de
¡ � *¡

computación; por lo tanto, los resúmenes ejecutivos deberían minimizar el uso de terminología compleja.

r Los 'hallazgos y las recomendaciones deberían ser comunicados desde una perspectiva de negocio. Los

anexos detallados pueden ser de naturaleza m á s técnica ya que la dirección de operaciones requerirá el

detalle para corregir las situaciones que se informan.

Presentación Visual - Esto puede incluir transparencias, diapositivas o gráficas de computadora.

Los Auditores de SI deberían estar conscientes de que al final, ellos son los responsables frente a la alta

dirección y el Comité de Auditoría de la Junta Directiva. Los Auditores de SI deberían sentirse en

libertad para comunicar los asuntos o preocupaciones a dicha dirección. Un intento de negar acceso por

niveles inferiores a la alta dirección limitaría la independencia de la función de auditoría.

Antes de comunicar los resultados de una auditoría a la alta dirección, el auditor de SI debería discutir los

hallazgos con el personal directivo de la entidad auditada. El propósito de dicha discusión es el de llegar

a un acuerdo sobre los hallazgos y desarrollar un curso de acción correctiva. En el caso de que exista un'

desacuerdo, el auditor de SI debería profundizar sobre la importancia del hallazgo y los riesgos y el efecto

de no corregir la debilidad de control. En algunas ocasiones la dirección del área auditada puede requerir

el apoyo del auditor de SI pata implementar las mejoras recomendadas al control. El auditor de SI debería

comunicar la diferencia entre el rol de un auditor y el de un consultor, y explicar cuidadosamente cómo el

apoyar al auditado puede afectar adversamente su independencia como auditor de SI.

Una vez que se han logrado acuerdos con el auditado, la gerencia de auditoría de SI debería enviar un

corto resumen a la alta dirección de la organización auditada. Periódicamente, se debe proporcionar un

resumen de las actividades de auditoría al comité de auditoría. Los comités de auditoría están típicamente

Manual de Preparación al Examen CISA 2008 59

 i

compuestos por personas que no trabajan directamente para la organización y de ese modo proveen a los
.1

auditores un camino independiente para reportar los hallazgos sensitivos.

1 '

'

i
Estructura y Contenido de un Informe de Auditoría
1

Los informes de auditoría son el producto final del trabajo de auditoría de SI. Son usados por el auditor

de SI para reportar a la dirección sus hallazgos y recomendaciones. El formato exacto de un informe de

aúditoría varía en cada organización. Sin embargo, el auditor de SI experimentado debería entender los

componentes básicos de un informe de auditoría y cómo éste comunica los hallazgos de auditoría a la

dirección.

No existe un formato específico para un informe de auditoría de SI, sin embargo, las políticas y los

procedimientos de auditoría de la organización generalmente dictarán el formato. No obstante, los

informes de auditoría usualmente tendrán la estructura y contenido siguientes:

Una introducción al informe, incluyendo una declaración de los objetivos, limitaciones para la auditoría y

alcance, el período cubierto por la auditoría y una declaración general sobre el carácter y la extensión de

los procedimientos de auditoría realizados y los procesos examinados durante la auditoría, declaración

sobre la metodología de la auditoría de SI y directrices seguidas.

Una buena práctica es incluir hallazgos de auditoría en anexos separados. Estos hallazgos pueden ser

agrupados en anexos por materialidad y/o receptor pretendido . .

La conclusión y la opinión generales del auditor de SI respecto a si los controles y procedimientos

examinados durante la auditoría son los adecuados, y los riesgos potenciales reales identificados como

consecuencia de las deficiencias detectadas.

Las reservas o calificaciones del auditor de SI con relación a la auditoría. Éstas pueden declarar que se

encontró que los controles o procedimientos examinados son adecuados o inadecuados. El balance ele!

informe de auditoría debería respaldar dicha conclusión y toda la evidencia recopilada durante la auditoría

debería proveer un nivel aún mayor de respaldo para las conclusiones de auditoría.

Los hallazgos detallados y las recomendaciones de la auditoría. El auditor de SI decidiría incluir o no los

hallazgos específicos en un informe de auditoría. Ésto debería hacerse con base en la materialidad ele los

hallazgos y los destinados proyectados del informe de auditoría. Un informe de auditoría dirigido al

Comité de Auditoría ele la Junta Directiva, por ejemplo, puede no incluir hallazgos que son importantes

solamente para la gerencia local pero que tienen poca importancia de control para la organización en

general. La decisión de qué incluir en los distintos niveles de los informes ele auditoría depende ele la

orientación provista por la alta dirección.

Una variedad de hallazgos, algunos de los cuales pueden ser considerablemente materiales mientras que

otros son menores en su carácter.

El auditor de SI, sin· embargo, debería tomar la decisión final acerca de qué incluir o excluir del informe

de auditoría. Generalmente, el auditor de SI debería preocuparse ele proveer un informe balanceado, que

describa no solamente los aspectos negativos en términos de hallazgos sino también comentarios

constructivos sobre procesos y controles en perfeccionamiento o sobre controles efectivos ya existentes.

Sobre todo, el auditor ele SI debería ejercer independencia en el proceso de reporte.

60 Manual de Manual de Preparación al Examen CISA 2008

 La gerencia del auditado evalúa los hallazgos, estableciendo las acciones correctivas a tomar y

estableciendo fechas para su implementación.

Puede que la gerencia no pueda implementar de inmediato todas las recomendaciones de la auditoría. Por

ejemplo, el auditor de SI puede recomendar cambios a un sistema de información que está

experimentando otros cambios o mejoras. El auditor de SI no debería necesariamente esperai· que los

otros cambios sean suspendidos hasta que se hayan implementado sus recomendaciones. En lugar de ello,

todo puede ser implementado al mismo tiempo.

-
El auditor de SI debería discutir las recomendaciones y las fechas planeadas de implementación mientras

está en el proceso de emitir el informe de auditoría. El auditor de SI debería darse cuenta que

restricciones diversas, tales como limitaciones de personal, presupuestos u otros proyectos, pueden

restringir la implementación inmediata. La dirección debería desarrollar un programa sólido para las

acciones correctivas. Es importante obtener un compromiso por parte del auditado /dirección sobre la

fecha en que el plan de acción será implementado (la solución puede en sí misma requerir un tiempo

largo de implementación) y la manera en que se llevará a cabo, ya que la acción correctiva puede en sí

I ,
misma introducir ciertos riesgos que pueden evitarse si se los identifica mientras se discute y se finaliza el

informe de auditorfa. Si fuera apropiado, el auditor de SI podría reportar a la alta dirección sobre el

progreso de la implantación de las recomendaciones.

l '
· La Directriz para Auditoría de SI de !SACA, "Estándar de Auditoría S7 de SI" y "ISACA SI, sobre

Reportes establece que el informe debería incluir todos los hallazgos de auditoría significativos. Cuando

( un hallazgo requiere explicación, el auditor de SI debería describir el hallazgo, su causa, y su riesgo.

\ Cuando sea apropiado, el auditor de SI debería proveer la explicación en un documento separado y hacer

referencia a éste en el informe. Por ejemplo, este enfoque puede ser apropiado para asuntos altamente

confidenciales. El auditor· de SI debería también identificar los criterios organizacionales, profesionales y

1 1
gubernamentales aplicados, tales como Objetivos de Control para la Información y la Tecnología

Relacionada (COBIT), publicada por el Instituto de Gobierno de TI. El informe debería· ser emitido

oportunamente para fomentar la pronta acción correctiva. Cuando sea apropiado, el auditor de SI debería

comunicar prontamente los hallazgos significativos a las personas adecuadas antes de la emisión del

informe. - La comunicación previa de hallazgos significativos no debería alterar la intención o el contenido

del informe.

1 . 6 . 1 8 ACCIONES DE LA GERENCIA PARA IMPLEMENTAR LAS

r
i . RECOMENDACIONES

Los Auditores de SI deberían estar conscientes de que la auditoría es un proceso continuo. El auditor de

SI no es eficaz si se realizan las auditorías y se emiten los informes, pero no se realiza el seguimiento

para determinar si la dirección ha emprendido las acciones correctivas apropiadas. Los Auditores de SI

deberían tener un programa de seguimiento para determinar si se han implementado las acciones

correctivas acordadas. A pesar de que los auditores de SI que trabajan para firmas de auditoría externas

pueden no necesariamente seguir este proceso, ellos pueden lograr estas tareas si lo acuerdan con la

entidad auditada.

Manual de Preparación al Examen CISA 2008 61

El momento del seguimiento dependerá de la gravedad de los hallazgos y estaría sujeto al criterio del íl
,..

auditor de SI. Los resultados del seguimiento deberían ser comunicados a los niveles apropiados de la ili

gerencia.

El nivel de la revisión en el seguimiento del auditor de SI dependerá de varios factores. En algunos casos,

el auditor de SI puede sólo necesitar averiguar sobre el estado actual. En otros casos, el auditor de SI que

trabaja en una función de auditoría interna puede tener que llevar a cabo ciertos pasos de auditoría para

determinar si las acciones correctivas acordadas por la dirección han sido implementadas.

, '

1 . 6 . 1 9 DOCUMENTACION DE LA AUDITORIA

La documentación de auditoría debe incluir, como mínimo, un registro de:

la planeación y preparación del alcance y objetivos de la auditoría

la descripción y/o recorridos en el área ele auditoría vista

el programa de auditoría

los pasos de auditoría realizados y la evidencia de auditoría recopilada

el uso de servicios de otros auditores y expertos

los hallazgos, conclusiones y recomendaciones de auditoría

la documentación de auditoría relacionada con la identificación y fechas ele documentos

También se recomienda que la documentación incluya:

una copia del informe emitido como resultado del trabajo de auditoría

evidencia de revisión supervisoria de auditoría

Los documentos deben incluir información que es requerida por leyes y regulaciones, estipulaciones

contractuales, y estándares profesionales. La documentación de auditoría es la evidencia necesaria que J

soporta las conclusiones alcanzadas _y, de ahí que debe ser clara, completa, fácilmente recuperable y

suficientemente comprensible. La documentación ele auditoría es generalmente propiedad de la entidad ele

¡
:

f
auditoría y debe ser accesible sólo al personal autorizado bajo permiso específico o general. Cuando las
, ¡

partes externas solicitan acceso a documentación de auditoría, el auditor debe obtener la previa

aprobación de la alta gerencia /cliente.

.J
El auditor de SI /departamento de auditoría de SI debe también desarrollar políticas respecto a la custodia,

requisitos de retención y liberación de la documentación de auditoría.

El formato de documentación y los medios son opcionales, pero la debida diligencia y las mejores

prácticas requieren que los papeles ele trabajo estén fechados, inicializados, numeradas sus páginas,

relevantes, completos, claros, autocontenidos y debidamente etiquetados, archivados y mantenidos en

custodia. Los papeles de trabajo no tienen necesariamente que estar en papel - en copia dura. Los

auditores de SI deben en particular considerar cómo mantener la integridad y la protección de la evidencia

de prueba de auditoria APRA preservar su valor de prueba en soporte de los resultados de auditoría.

La documentación de auditoría o los papeles de trabajo pueden ser considerados el puente o interfaz entre

los objetivos de auditoría y el reporte final. Ellos deben proveer una transición impecable -- con

62 Manual ele Manual de Preparación al Examen CISA 2008

 rastreabilidad y cargabilidad - de los objetivos al informe y del informe a los objetivos. El informe de

auditoría, en este contexto, puede ser visualizado como papeles de trabajo particulares.

La documentación de auditoría debería apoyar los hallazgos y lasconclusiones /la opinión. La fecha de la

evidencia será a veces crucial para sustentar los hallazgos y las conclusiones de auditoría. El auditor de SI

debería tener suficiente cuidado al asegurarse que la evidencia reunida y documentada podrá sustentar los

. hallazgos y conclusiones de auditoría. Un auditor de SI debe ser capaz de elaborar papeles de trabajo

adecuados, narrativas, cuestionarios y diagramas de flujo comprensibles de los sistemas.

Los auditores de SI son un recurso escaso y caro. Cualquier tecnología capaz de aumentar la
1 .'
productividad de la auditoría es bienvenida. Automatizar los papeles de trabajo afecta la productividad
1

directa e indirectamente (otorgando acceso a otros auditores, reutilizando documentos o parte de ellos en

las auditorías recurrentes, etc.).

Los intentos de integrar los papeles de trabajo en el entorno electrónico del auditor ha tenido como

consecuencia paquetes importantes de administración de auditoría y proyectos, CAA Ts y sistemas

r expertos que ofrecen un arreglo completo de documentación automatizada y funciones de importación -

¡.
exportación.

Los Estándares y Directrices de Auditoría de ISACA SI establecen muchas especificaciones sobre los

papeles de trabajo., incluyendo cómo usar los de otros auditores (anteriores o contratistas), la necesidad

de documentar el plan, programa y evidencia de auditoría, o el uso de CAATs o muestrreo (01 Usando el

Trabajo de Otros Auditores; G2 Requerimientos de Evidencia de Auditoría; 03 Uso de Técnicas de

, ' Auditoría Asistida por Computadora; 08 D ocume n tación de Auditoría ) .

I f .

La autoevaluación del control ( CSA) puede definirse como una técnica de la dirección que asegura a los
8 -,

'
accionistas, clientes y otros que el sistema de control interno del negocio es con fi able. También asegura
},
quevlos- empleados estén concientes de los riesgos del negocio y que realicen revisiones proactivas

periódicas de los controles. Esta es una metodología usada para revisar los objetivos clave del negoc i o ,

los riesgos in volucrados en alcanzar los objetivos del negocio y los controles internos dise ñ ados para

administrar estos riesgos del n egocio en un proceso colaborativo formal y documentado.

r En la práctica, CSA es una serie de herramientas que abarcan desde s i mp l es cuestionar i os hasta talleres de

facilitación diseñados para recopilar información sobre la organización, solicitándola a los que tienen
J

conocimientos de trabajo cotidiano de un área así como también a sus directivo s . Las herramientas

básicas usadas durante un proyecto de CSA son las mismas ya sea q ue el proyecto sea técnico, fi nanciero

u operativo. Estas herramientas incluyen reuniones de dirección , talleres de clie n tes , hojas de trabajo,
¡ '
hojas de clasi fi caci ó n y el enfoque de proyecto de CSA. Al igual q ue para el conjunto de h e rr amien t as

usadas para reco p ilar información, existen diferentes enfoques para los ni v eles inferiores a la d ir ección
1

1 ! ; q ue son encuestados ; a l gun a s or g anizacione s in cl uso incl u y e n personas externas (tales como clientes o
1
socios de negocios ) c uando se realizan evaluaciones de C S A .

! '
El programa de CS A puede ser i m p lementado mediante diversos métodos. Para las pe q ue ñ as u nidades de

negocio dentro de las organizaciones, se puede imple m enta r mediante talleres de facilitación en l os que la

direcci ó n funcional y los profesionales de 'control, como l os auditores , pued e n reunirse y deli b erar sobre

cómo desarrollar de la mejor manera una estructura de control para la u n i d a d de negocio.

Manual de Preparación al Examen CISA 2008 63

' ,>_-;

· - -