AUDITORÍA INFORMÁTICA

Introducción

HistoriaSe piensa que el origen de la escritura surge como respuesta a la necesidad de auditarEn el 1800 se extiende la auditoría en Reino Unido y NorteaméricaEn 1950 la informática se convierte en una herramienta importante en labores de auditoría.Primeros casos de fraude en los años 60’s.Surge la “Auditoría del Computador”.

Cambios en el tiempo.De Sociedad Industrial a Sociedad de la Información.Empresas deben adaptarse rápidamente para sobrevivir.La COMPETENCIA GLOBAL ha llegado. Las empresas deben orientarse a operaciones cada vez más competitivas, por lo que deben aprovechar todos los avances tecnológicos.I+T son los activos más importantes para muchas organizaciones.

Auditoría

Conceptos“La auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas”. Auditoría Informática, Piattini y Del Peso.

Clases de AuditoríaEl Objeto sometido a estudio, y la finalidad con que se realiza el estudio definen el tipo de auditoría. Entre las cuales se encuentran:

PROCEDIMIENTOSLa opinión profesional, esencial en la auditoría, se fundamenta y justifica por medio de procedimientos específicos que nos permitirán entregar una seguridad razonable de lo que se afirma.Cada una de las clases de auditoría posee sus propios procedimientos para alcanzar su fin.La amplitud y profundidad de los procedimientos que se apliquen definirán el alcance de la auditoría.

1 | P á g i n a

La evidencia obtenida debe recogerse adecuadamente, ya que servirá de evidencia y soporte del trabajo efectuado.La introducción de las TI’s en los sistemas de información, afecta a los auditores de forma dual:

Cambia el soporte objeto de su actividadLa utilización de tecnología para la ejecución de sus procedimientos.

ConsultoríaLa consultoría consiste en dar asesoramiento o consejo de carácter especializado sobre lo que se ha de hacer o como llevar adecuadamente una actividad para obtener los fines deseados. Lo anterior en base a un examen o análisis.La auditoría verifica a posteriormente si estas condiciones se cumplen y los resultados pretendidos se obtienen realmente.

Control Interno y Auditoría InformáticaEn el pasado el control interno estaba limitado a los controles contables internos.El control interno en muchas empresas no incluía actividades operativas claves para la detección de riesgos potenciales en la organización.Hoy en día, ante la rapidez de los cambios (fusiones, alianzas estratégicas, respuestas a la competencia, etc.) las organizaciones están tomando conciencia de que para evitar fallos significativos se deben evaluar y reestructurar sus sistemas de control interno.Se debe actuar con pro-actividad.El auditor ha dejado de centrarse en la evaluación y la comprobación de resultados de procesos, desplazando su atención en la evaluación de riesgos de riesgos y en la comprobación de controles.

Las Funciones de Control Interno y Auditoría Informática

Control Interno Informático

Suele ser un staff del Área de Informática.El control interno informático controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas por la organización.La misión del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados sean correctas y válidas.Debe asesorar sobre el conocimiento de las normas.Colaborar y apoyar el trabajo del equipo de auditoría.Realizar en los diferentes sistemas y entornos informáticos las siguientes acciones:

Controles sobre la producción diariaControles sobre la calidad y eficiencia del desarrollo y mantención de softwareControles en las redes de comunicacionesControles sobre el software baseLa seguridad informática (usuarios, normas de seguridad, control de información clasificada)Licencias y relaciones contractuales con terceros

La auditoría informática es el proceso de recoger, agrupar, y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, cumple con los fines de la organización y utiliza eficientemente los recursos.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos.

2 | P á g i n a

Se pueden establecer tres grupos de funciones a realizar por el auditor informático:Participar en el ciclo de desarrollo de software.Revisar y juzgar los controles implantados en los sistemas informáticos para validar el cumplimiento de las normas y políticas de la organización.Revisar y juzgar los niveles de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

Control Interno y Auditoría: Campos Análogos.

Definición y Tipos de Controles Internos

Se puede definir como control interno a cualquier actividad o acción realizada manual o automáticamente para prevenir y corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

Los objetivos de los controles informáticos se clasifican en:Controles preventivos: para tratar de evitar algún hecho no deseado. Por ejemplo, un software de seguridad que impida los accesos no autorizados al sistema.Controles detectivos: Cuando fallan los preventivos, trata de conocer cuanto antes el evento. Por ejemplo, registro de intento de acceso no autorizado.

Controles correctivos: facilitan la vuelta atrás cuando se han producido incidentes. Por ejemplo, la recuperación de un BD a partir de copias de seguridad.

Implantación de Controles Internos InformáticosLos controles se pueden implantar en diferentes niveles

Es necesario que conozcamos la configuración tecnológica de la empresa para saber dónde implantar los controles, como también poder identificar riesgos.

Entorno de red: topología, HW de comunicaciones, etc.Configuración de Servidores y Pc’s: SO, SW, HW.Entorno de AplicacionesProductos y herramientasSeguridad

3 | P á g i n a

1.- Controles Generales Organizativos.

Políticas: Deberán servir de base para la planificación, control y evaluación de las actividades del departamento de informática.

Planificación:Plan Estratégico: Realizado por la alta dirección, en donde se definen los procesos corporativos y se considera el uso de diversas tecnologías de información, así como las amenazas y oportunidades de su uso o ausencia.Plan Informático: Realizado por el área de informática, el cual debe cubrir las necesidades estratégicas de la compañía.Plan de Seguridad: Que garantice confidencialidad, integridad y disponibilidad de la información.Plan de emergencia ante desastres: Que garantice la disponibilidad de los sistemas ante eventos.

Estándares: que regulen la adquisición de recursos, el diseño, desarrollo, modificación y explotación de sistemas.Procedimientos: que describan la forma y las responsabilidades de ejecución.

Organizar al departamento de informática en un nivel suficientemente alto en la estructura organizativa.Definiciones claras de las funciones y responsabilidades de cada integrante de la organización.Políticas de personal: selección, plan de formación, plan de vacaciones, evaluación y promoción.Asegurar que existe una política de clasificación de la información, y las restricciones a los usuarios.

2.- Controles de desarrollo, adquisición y mantenimientos de sistemas de información.

Metodología de Ciclo de Vida del Desarrollo de Sistemas: Su correcto empleo nos debería llevar a alcanzar los objetivos definidos para el sistema. Algunos controles que deben existir en la metodología son:

La alta dirección debe publicar una normativa sobre el uso de metodología de ciclo de vida en el desarrollo de sistemas.La metodología debe establecer los papeles y responsabilidades de las distintas áreas del depto. De informática.Las especificaciones del nuevo sistema deben quedar definidas por los usuarios (stackeholders), y quedar escritas y aprobadas antes que comience el proyecto.Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto, acompañadas de análisis coste-beneficio.

Cuando se seleccione una alternativa debe realizarse un plan director del proyecto, con una metodología de control de costos.Procedimientos para la definición y documentación de especificacionesPlan de validación, verificación y pruebas.Estándares de prueba de programas o sistemas.Prueba de aceptación funcional final.Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la organización.

4 | P á g i n a

La contratación de servicios externos deberá ser justificada.Deberán prepararse manuales de operación, usuario y mantenimiento como parte de todo proyecto.

Explotación y mantenimiento: El establecimiento de controles asegurará que los datos se tratan correctamente y que la mantención de los sistemas deberá efectuarse con las autorizaciones necesarias.

3. Controles de explotación de sistemas de información

Planificación y Gestión de Recursos.PresupuestoAdquisición de EquiposGestión de la Capacidad de Equipos

Controles para usar de manera efectiva los recursos en computadores.Calendario de carga de trabajoProgramación de personalMantenimiento preventivoGestión de problemas y cambiosProcedimientos de facturación de usuarios

Procedimientos de selección del software, instalación, mantención, de seguridad y control de cambios.Seguridad física y lógica.

4.- Controles en Aplicaciones.

Control de entrada de datos: Conversión, validación y corrección de datos.Control de manipulación de datosControles de salidas de datos

5.- Controles específicos de ciertas tecnologías.

Controles en Sistemas de Gestión de Base de Datos (SGBD)Controles sobre el acceso a los datos y concurrenciaRecuperación de la BD en caso de fallos

Controles en computación distribuida y redesProcedimientos de cifrado de información sensible que viaja en la red.Detectar la correcta o mala recepción de mensajes.Revisar contratos de mantención.

Controles sobre computadores personalesControles de acceso a las redesProcedimientos de control de software licenciado

Conclusión

5 | P á g i n a

Es necesario revisar frecuentemente los controles internos para asegurarnos que el proceso funciona según lo previsto. Lo anterior es muy importante, ya que a medida que cambian los factores internos o externos, los controles que antes eran adecuados, ahora no lo son.

CLASE 2

Estándares Internacionales

ISACA, Information Systems Audit and Control AssociationFundado en 1969.Reconocido como líder mundial en governance, control y seguridad en Sistemas de InformaciónLa misión de ISACA es soportar los objetivos de la empresa a través de investigación, desarrollo, estándares, competencias y prácticas para un efectivo governance, control, aseguramiento de la información, sistemas y tecnología en la empresa.

Sus normas de auditoría y control de SI son seguidos por profesionales de todo el mundo ISACA además ofrece cuatro certificaciones:

Certified Information Systems Auditor (CISA) Certified Information Security Manager, (CISM)Certified in the Governance of Enterprise IT (CGEIT) Certified in Risk and Information Systems Control (CRISC)

Procesos de Auditoría en Sistemas de Información

Estándar de Auditoría en SI.Los estándares, guías, y códigos de ética, son la base de la actividad de auditoría de sistemas.Los estándares son bastante claros, y describen los requerimientos básicos de la auditoría de sistemas:

La responsabilidad y autoridad de las funciones de auditoría deben ser apropiadamente documentadas en una carta de auditoría o carta de compromiso.En todas las materias relacionadas con la auditoría, el auditor debe ser independiente del auditado, en actitud y apariencia.La función de auditoría debe ser completamente independiente del área a ser auditada, con el objeto de efectuar una auditoría en profundidad.El auditor debe adherir al código profesional de ISACAEl auditor debe ser capaz de aplicar con atención los estándares de auditoría.El auditor es técnicamente competente, teniendo habilidades y conocimientos necesarios para ejecutar las tareas de auditoría.El auditor debe mantener las competencias técnicas, a través de una continua preparación educacional.El auditor necesita un plan del trabajo de auditoría que lo dirija hacia el objetivo de esta, cumpliendo los estándares establecidos.Durante el curso de la auditoría, el auditor reúne suficiente evidencia para cumplir efectivamente los objetivos de la auditoría. Los hallazgos y conclusiones son soportados por esta evidencia.El auditor debe generar un reporte completo con los hallazgos, conclusiones y recomendaciones con acciones que deben ser implementadas tempranamente.

6 | P á g i n a

Enfoque Basado en Riesgos

El propósito de un auditor es identificar riesgos y asegurar que los riesgos residuales (que quedan después de aplicar controles) son aceptables de administrar.Todas las actividades presentan riesgos, en algunas más que en otras. Es el costo de todo negocio.Las consecuencias de un riesgo son evaluadas, los riesgos medidos, y se seleccionan alternativas.Un auditor debe considerar tres tipos de riesgos cuando planifica una auditoría:

Riesgos Inherentes: La susceptibilidad de un error en un negocio o proceso, no presente en un control interno. P.e.: Instalar UNIX sin sus parches de seguridad y conectar servidor en red.Riesgo de Control: Un control puesto en algún lugar no prevendrá, corregirá o detectará un error en sus fases tempranas. Revisión de Log.Riesgo de Detección: El riesgo de que los procedimientos del auditor no detecten un error. En este caso el auditor podría necesitar información adicional.

Know Your Business

7 | P á g i n a

El auditor debe conocer el negocio y sus objetivos. Por ejemplo, debe saber cuál es el estado de negocios similares en el mundo, cuales son las tendencias actuales y futuras de los productos o servicios que provee la compañía, cual es la cultura organizacional, cual es la experiencia de los ejecutivos, etc.

CLASE 3Protección de los Activos de Información

IntroducciónPara muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos.Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders).

Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI. La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.

El gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.Las organizaciones deben satisfacer la calidad, los requerimientos fiduciarios y de seguridad de su información, así como de todos sus activos.Los distintos controles que hemos visto en clases, pueden ser agrupados en tres categorías, sobre la base de los objetivos que se desean cumplir:

Control Interno: busca asegurar eficiencia y eficacia de las operaciones, cumplimiento de leyes, normas y regulaciones, y confiabilidad de la información.Seguridad: busca asegurar la disponibilidad, confidencialidad e integridad de las operaciones.La Gestión de Calidad: busca asegurar la adecuada calidad, entrega y costo de las operaciones.

El adecuado uso de los objetivos anteriormente señalados permitirá alcanzar una razonable seguridad en el cumplimiento de los objetivos planteados para los diversos procedimientos de TI.

A través de ISACA, el Instituto de Gobierno de TI (IGTI) publica un marco de gobierno y control de TI que incorpora buenas prácticas de administración de TI, el cual se denomina COBIT.

COBITExisten marcos de referencia para una efectiva gestión de los recursos de tecnología, los cuales establecen controles mínimos con los cuales una organización debería contar para lograr sus objetivos.Entre los marcos existentes mencionaremos especialmente a COBIT (Control Objetives for Information and Technology), el cual es un marco de referencia integro que incluye distintos aspectos de la gestión de TI.Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica.Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución.

8 | P á g i n a

Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.

Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:

Estableciendo un vínculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos generalmente aceptado Identificando los principales recursos de TI a ser utilizados Definiendo los objetivos de control gerenciales a ser considerados

Primero, la dirección requiere objetivos de control que garanticen que:Se alcancen los objetivos del negocio. Se prevengan o se detecten y corrijan los eventos no deseados.Segundo, la dirección busca continuamente información oportuna y condensada, para tomar decisiones difíciles respecto a riesgos y controles, de manera rápida y exitosa. ¿Qué se debe medir y cómo? .

COBIT da soporte al gobierno de TI al brindar un marco de trabajo que garantiza que: TI está alineada con el negocio TI capacita el negocio y maximiza los beneficios Los recursos de TI se usen de manera responsable Los riesgos de TI se administren apropiadamente

La medición del desempeño es esencial para el gobierno de TI. COBIT le da soporte e incluye el establecimiento y el monitoreo de objetivos que se puedan medir, referentes a lo que los procesos de TI requieren generar (resultado del proceso) y cómo lo generan (capacidad y desempeño del proceso)

Áreas Focales del Gobierno de TI

9 | P á g i n a

CRITERIOS DE INFORMACIÓN DE COBIT

Para satisfacer los objetivos del negocio, la información necesita adaptarse a ciertos criterios de control, los cuales son referidos en COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron los siguientes siete criterios de información:

La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia consiste en que la información sea generada optimizando los recursos (más productivo y económico). La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada. La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne con la protección de los recursos y las capacidades necesarias asociadas.El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. La confiabilidad significa proporcionar la información apropiada para que la gerencia administre la entidad y ejercite sus responsabilidades fiduciarias y de gobierno.

RECURSOS DE TILos recursos de TI identificados en COBIT se pueden definir como sigue:

Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información. La información son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio. La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Las personas son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

10 | P á g i n a

Administración de los recursos de TI para garantizar las metas de TI

Procesos orientadosCOBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios. Estos dominios son:

Planear y OrganizarAdquirir e ImplementarEntregar y Dar SoporteMonitorear y Evaluar

Los dominios se equiparan a las áreas tradicionales de TI de planear, construir, ejecutar y monitorear.

PLANEAR Y ORGANIZAR (PO)Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

Este dominio cubre los siguientes cuestionamientos típicos de la gerencia: ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos?¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI?¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

ADQUIRIR E IMPLEMENTAR (AI)

11 | P á g i n a

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas así como la implementación e integración en los procesos del negocio. Este dominio, cubre los siguientes cuestionamientos de la gerencia:

¿Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? ¿Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios afectarán las operaciones actuales del negocio?

ENTREGAR Y DAR SOPORTE (DS)Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales. Aclara las siguientes preguntas de la gerencia:

¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

MONITOREAR Y EVALUAR (ME)Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del gobierno. Abarca las siguientes preguntas de la gerencia:

¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

LOS PROCESOS REQUIEREN CONTROLES

Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos. Los objetivos de control de COBIT son los requerimientos mínimos para un control efectivo de cada proceso de TI.

12 | P á g i n a

Modelo de Control:

MODELOS DE MADUREZ

Cada vez con más frecuencia, se les pide a los directivos de empresas corporativas y públicas que se considere qué tan bien se está administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información.

¿Qué están haciendo nuestra competencia en la industria, y cómo estamos posicionados en relación a ellos? ¿Cuáles son las mejores prácticas aceptables en la industria, y cómo estamos posicionados con respecto a estas prácticas?

Con base en estas comparaciones:¿Se puede decir que estamos haciendo lo suficiente? ¿Cómo identificamos lo que se requiere hacer para alcanzar un nivel adecuado de administración y control sobre nuestros procesos de TI?

La gerencia de TI debe buscar constantemente herramientas de evaluación por benchmarking y herramientas de auto-evaluación como respuesta a la necesidad de saber qué hacer de manera eficiente.Comenzando con los procesos y los objetivos de control de alto nivel de COBIT, el propietario del proceso se debe poder evaluar de forma progresiva, contra los objetivos de control. Esto responde a tres necesidades: Una medición relativa de dónde se encuentra la empresa

Una manera de decidir hacia dónde ir de forma eficiente Una herramienta para medir el avance contra la meta

La capacidad, el desempeño y el control son dimensiones de la madurez de un proceso.

El modelado de la madurez para la administración y el control de los procesos de TI se basa en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5). Los niveles de madurez están diseñados como perfiles de procesos de TI que una empresa reconocería como descripciones de estados posibles actuales y futuros. Si se usan los procesos de madurez desarrollados para cada uno de los 34 procesos TI de COBIT, la administración podrá identificar:

El desempeño real de la empresa. Dónde se encuentra la empresa hoy El estatus actual de la industria. La comparación

13 | P á g i n a

El objetivo de mejora de la empresa. Dónde desea estar la empresa

Representación gráfica de los modelos de madurez

14 | P á g i n a

MODELOS DE MADUREZEn resumen, los modelos de madurez brindan un perfil genérico de las etapas a través de las cuales evolucionan las empresas para la administración y el control de los procesos de TI, estos son:

Un conjunto de requerimientos y los aspectos que los hacen posibles en los distintos niveles de madurez Una escala donde la diferencia se puede medir de forma sencilla Una escala que se presta a sí misma para una comparación práctica La base para establecer el estado actual y el estado deseado • Soporte para un análisis de brechas para determinar qué se requiere hacer para alcanzar el nivel seleccionado Tomado en conjunto, una vista de cómo se administra la TI en la empresa

15 | P á g i n a

El Cubo COBITLos recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio básico del marco de trabajo COBIT

16 | P á g i n a

17 | P á g i n a

CLASE 4Clasificación de las Auditorías

El auditor de TO debe entender los diversos tipos de auditorías que pueden identificarse interna o externamente, y los procedimientos de auditoría asociados a cada uno de ellos.

Auditorías financieras: Determina la exactitud de los estados financieros de la organización.Auditorías Operativas: Está diseñada para evaluar la estructura de control interno en un proceso o área determinada.Auditorías Integradas: Combina la auditoría financiera y operativa.Auditorías Administrativas: Están orientadas aspectos relacionados con la eficiencia de la productividad operativa dentro de una organización.Auditorías de TI: Este proceso recolecta y evalúa la evidencia para determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos, entre otros.Auditorías especializadas: Existe revisiones especializadas que examinan áreas tales como los servicios realizados por terceros.Auditorías Forenses: Es una auditoría especializada en descubrir, rebelar y dar seguimiento a fraudes y crímenes.

SAS70SAS70 define los estándares profesionales usados por un auditor para evaluar los controles internos de una organización de servicios.Este tipo de auditoría se ha vuelto cada vez más relevante debido a la tendencia de contratar externamente algunos servicios (outsourcing).Una auditoría tipo SAS70 es importante porque una organización de servicios ha pasado por una auditoría profunda de sus actividades de control, que incluyen controles de TI y procesos relacionados.

Metodología de la AuditoríaUna metodología de auditoría es un conjunto de procedimientos documentados de auditoría, diseñados para alcanzar los objetivos de la auditoría.La metodología de la auditoría debe ser aprobada por la gerencia de auditoría, y debe ser comunicada a todo el personal de auditoría.

18 | P á g i n a

Fases de la Auditoría.

Ejecución de una Auditoría

Proceso de recolección y evaluación de evidencia para determinar si los SI y los recursos relacionados:Salvaguardan adecuadamente los activos,Mantienen la integridad de los datos y del sistema,Proveen información relevante y confiable,Alcanzan efectivamente los objetivos organizacionales,Consumen los recursos eficientemente, yCuentan con controles internos que provean una seguridad razonable de que los objetivos operacionales y de control serán satisfechos y de que los eventos no deseados serán prevenidos o detectados y corregidos de manera oportuna.

Ejecución de una Auditoría

Procedimientos generales de auditoría:Entendimiento del área u objeto a auditarValoración de riesgos y plan general de auditoríaPlaneación detallada de la auditoríaRevisión preliminar del área u objeto a auditarEvaluación del área u objeto a auditarPruebas de cumplimiento

19 | P á g i n a

Pruebas sustantivasReporte (comunicación de resultados)Seguimiento

Metodología/estrategia de auditoría

Definición del alcanceDefinición de los objetivos de auditoríaDefinición del programa de trabajo

Fases Típicas de una AuditoríaIdentificar

El área a auditarEl propósito de la auditoríaLos sistemas específicos, funciones o unidades de la organización a ser incluidas en la revisión.Las habilidades técnicas y recursos necesariosLas fuentes de información para pruebas o revisión tales como diagramas de flujo funcionales, políticas, estándares, procedimientos y papeles de trabajo de auditorías anteriores.Ubicación de las instalaciones a auditar.Selección del enfoque de auditoría para verificar y probar los controlesLista de personas a entrevistarObtener políticas departamentales, estándares y guías para revisiónProcedimientos para revisiones de seguimientoProcedimientos para evaluar/probar la eficiencia y efectividad operacionalProcedimientos para probar controles

DesarrollarHerramientas y metodología de auditoría para probar y verificar el controlProcedimientos para evaluar los resultados de las pruebas o revisionesProcedimientos de comunicación con la gerenciaRevisar y evaluar la solidez de los documentos, políticas y procedimientos

Evidencia Es un requerimiento que las conclusiones del auditor deben basarse en evidencia suficiente y competente

Independencia del proveedor de la evidenciaCalificación de la persona que provee la información o evidenciaObjetividad de la evidenciaOportunidad de la evidencia

Técnicas para obtener evidencia:Revisar las estructuras organizacionales de SIRevisar las políticas, procedimientos y estándares de SIRevisar documentación de SIEntrevistar al personal apropiadoObservar el desempeño de los procesos y de los empleados

Funciones RealesProcesos/Procedimientos RealesConcientización sobre Seguridad

20 | P á g i n a

MuestreoEnfoques generales de muestreo en auditoría:

Muestreo estadístico: Es un enfoque objetivo para determinar el tamaño y los criterios de selección de la muestra. Usa las leyes de las probabilidades para: calcular el tamaño de la muestra, seleccionar los objetos de la muestra, y evaluar los resultados de la muestra y hacer inferencias.Para que una muestra sea estadística, cada elemento de la población debe tener igual probabilidad de ser seleccionado.Muestreo no-estadístico:El método de muestreo, el número de elementos que serán examinados en una población (tamaño de una muestra), y cuales elementos seleccionar son determinados en base al juicio del auditor.

Tanto el muestreo estadístico como el no-estadístico exigen que el auditor utilice su propio juicio al definir características del muestreo, y por lo tanto sufren del riesgo de que el auditor llegue a una conclusión errónea a partir de la muestra (riesgo de muestreo).

Métodos de muestreo utilizados por los auditores:Muestreo de atributos: también denominado muestreo estimativo, es la técnica utilizada para estimar el valor de ocurrencia de un control.Muestreo de variables: también denominado estimación dólar o muestreo de estimación media, es la técnica que se utiliza para estimar el valor del dólar u alguna otra unidad de medida.

Muestreo de atributosMuestreo parar-o-seguir: Es un modelo de muestreo que ayuda a prevenir el muestreo excesivo de un atributo permitiendo que una prueba de auditoría sea detenida lo antes posible. Se usa cuando el auditor considera que se encontrarán pocos errores.Muestreo por descubrimiento: Es un modelo de muestreo que puede usarse cuando la tasa de ocurrencia que se espera es extremadamente baja. Se utiliza cuando el objetivo de la auditoría es encontrar fraudes u otras irregularidades.Muestreo de variablesMedia estratificada por unidad: Es un modelo estadístico en la cual la población estas divididas en grupos y se extraen muestras de los diferentes grupos.Media no-estratificada por unidad: Es un modelo estadístico por el cual el promedio de la muestra es calculado y proyectado como un total estimado.

Términos de muestreo estadístico:Coeficiente de confianza: se expresa como un porcentaje de la probabilidad de que las características de la muestra sea una veraz representación del universo. Cuanto más grande es el nivel de confiabilidad, mayor es el tamaño de la muestra.Nivel de riesgo: esta cifra es 1 menos el nivel de confiabilidad (si el nivel de confiabilidad es 95% el nivel de riesgo es del 5% 1-0.95=0.05) Precisión: la precisión la fija el auditor y representa el rango de diferencia entre la muestra y el universo real de la muestra.Tasa de error esperada: se expresa como un porcentaje y es el valor estimado de los errores que pueden presentarse.

21 | P á g i n a

Media de la muestra: es la suma de todos los valores de la muestra dividido por el tamaño de la muestra.Desviación estándar de la muestra: calcula la varianza de los valores de la muestra respecto de la mediana de la muestra. Mide la extensión o dispersión de los valores de la muestra.Tasa de error tolerable: describe el valor máximo de error o el número de errores que puede existir sin que una cuenta este materialmente equivocada.

Pasos claves en la selección de la muestraDeterminar los objetivos de la pruebaDefinir la población a ser muestreadaDeterminar el método de muestreo, tales como el muestreo de atributos versus el muestreo de variables.Calcular el tamaño de la muestraSeleccionar la muestraEvaluar la muestra desde una perspectiva de auditoría.

Técnicas de auditoría asistidas por computadorLas herramientas CAAT (Computer Assisted Audit Tools and Techniques ) son muy importantes para los auditores de SI en la recolección independiente de información

Utilización de técnicas CAAT Generador de datos de prueba: para preparar un lote de prueba para verificar la lógica de los programas de aplicaciónSistemas expertos: aplicaciones desarrolladas a fin de contener una base de conocimiento experto y lógica provista por expertos en determinado campoUtilitarios estándaresPaquetes de biblioteca de software: para verificar la integridad y corrección de cambios a programas.

Utilización de técnicas CAATInstalaciones de prueba integradas: consiste en crear entidades en un sistema de aplicación y procesar datos de prueba o producción sobre la entidad a fin de verificar la exactitud de procesamiento.Instantánea: consiste en tomar fotografías de una transacción a medida que recorre el sistema computadorizadoArchivo de revisión de auditoría de control del sistema: consiste en integrar módulos de auditoría en un sistema de aplicación para realizar un monitoreo continuo de las transacciones del sistema.Software especializado de auditoría: para que el auditor realice diversa tareas tales como muestreo y comparaciones.

Ventajas de las técnicas CAAT:Reducen el nivel de riesgo de auditoríaMayor independencia respecto del auditadoCobertura más amplia y coherente de la auditoríaMayor disponibilidad de informaciónMejor identificación de excepcionesMayor flexibilidad de tiempos de ejecuciónMayores oportunidades de cuantificar las debilidades de control internoMejor muestreoAhorro de tiempo con el transcurso del tiempo

El auditor debe sopesar los costos y beneficios de las técnicas CAAT. Ha de tener en cuenta:22 | P á g i n a

Facilidad de utilizaciónRequisitos de capacitaciónComplejidad de codificación y mantenimientoFlexibilidad de usoRequisitos de instalaciónEficiencia de procesamientoEsfuerzo que se requiere para llevar a la información fuente al CAAT para su auditoría

Cuando se desarrolla un CAAT debe conservarse la siguiente documentación:Listados de los programasFlujo gramas, tanto detallados como generalesInformes de muestrasDiseños de registros y archivosDefiniciones de camposInstrucciones de operaciónDescripción de los documentos fuentes

HASTA ACA LLEGA LA PRUEBA.

Evaluación de fortalezas y debilidades de auditoríaLuego de desarrollar un programa de auditoría y recopilar la evidencia de auditoría, el siguiente paso es evaluar la información recopilada a fin de desarrollar una opinión de auditoría. Lo anterior le exige al auditor de sistemas que tenga en cuenta una serie de fortalezas y debilidades y que luego desarrolle opiniones y recomendaciones de auditoría.

Evaluación de requerimientos de controlEl auditor debe evaluar los resultados de la evidencia recopilada para el cumplimiento de los requerimientos de control.A menudo se utiliza una matriz de control para evaluar el nivel correcto de controles. Sobre el eje vertical se colocan los tipos conocidos de errores que pueden presentarse en el área y en el eje horizontal los controles conocidos para detectar o corregir errores. Utilizando un método de ranking se llena la matriz con las medidas correctas. Una vez completada, la matriz muestra las áreas en las que los controles son débiles o inexistentes.

Información pertinente y periféricaDebe aplicarse el juicio para determinar qué material es directamente apropiado para los objetivos perseguidos en la auditoría y que material no es específicamente pertinente.

Consideración de controles compensatorios y redundantesUn control fuerte puede compensar un control débil en otra área. El auditor de sistemas debe tener en cuenta la existencia de controles compensatorios en áreas cuyos controles se han identificados como débiles.Una situación de control compensatorio se presenta cuando un control más fuerte respalda a uno más débil, los controles redundantes son dos controles fuertes.

Determinación de materialidad de hallazgosEste es un tema clave en el momento de decidir cuáles hallazgos presentar en un informe de auditoría a la gerencia. La clave para determinar la materialidad de los hallazgos es evaluar los que podrían ser significativos para diferentes niveles gerenciales.

23 | P á g i n a

Informes de auditoríaLos informes de auditoría son el producto final del auditor de sistemas. Ese es el vehículo que el auditor utiliza para informar sus observaciones y recomendaciones a la gerencia.El formato exacto del informe variará según la organización.

Estructura y contenido del informeNo existe un formato específico para un informe de auditoría de sistemas de información, y las normas de auditoría de la organización normalmente marcarán el formato. Los informes de auditoría tienen la siguiente estructura y contenido:Introducción, incluyendo los objetivos y alcance de la auditoría, el período cubierto y un resumen sobre la naturaleza y extensión de los procedimientos de auditoría realizadosConclusión global del auditor de sistemas expresando una opinión sobre la adecuación de los controles o procedimientos revisados durante la auditoríaObservaciones y recomendaciones detalladas de auditoríaRespuestas de la gerencia a las observaciones con las acciones correctivas a llevar a cabo y la oportunidad de implementación de tales acciones correctivas

Restricciones sobre la implementación de recomendacionesEl auditor de sistemas debe reconocer que tal vez la gerencia no esté en condiciones de implementar todas las recomendaciones de auditoría en forma inmediata.El auditor de sistemas debe tratar las recomendaciones y las posibles fechas de implementación durante el proceso de divulgación del informe de auditoría. Debe darse cuenta que diversas restricciones, tales como limitaciones de personal, presupuestos, u otro proyecto, pueden limitar la implementación inmediata.La gerencia debe desarrollar un programa sólido de acción correctiva.

Comunicación de resultados a la gerencia y al comité de auditoríaEl auditor debe tener presente que su responsabilidad final es la gerencia superior y el comité de auditoría del directorio

Conclusiones y opinionesEl informe de auditoría debe incluir una sección con la opinión respecto de las observaciones de auditoría.Puede exponerse como que los controles o procedimientos examinados son adecuados o no. El resto del informe de auditoría debe respaldar esa conclusión, y la evidencia global recopilada durante la auditoría debe brindar un nivel mayor de respaldo.

Existen cuatro tipo de informes:Informe sin salvedades: implica una auditoría limpia en la que no se hallan problemas materiales o declaraciones erróneas. Esta opinión normalmente dice que los estados contables de la organización auditada están de acuerdo con principios de contabilidad generalmente aceptados.Informe con salvedades: los auditores externos utilizan un informe con salvedades para indicar que la información contable de la organización auditada cumple con las normas de auditoría generalmente aceptadas, salvo que por una excepción de condiciones o situaciones mencionadas expresamente. Estas excepciones no tienen que tener una importancia que afecte materialmente la situación patrimonial de la organizaciónOpinión adversa; los auditores externos emiten una opinión adversa cuando consideran que los estados contables de la organización auditada están mal expuestos o significativamente no cumplen con los principios contables generalmente aceptados.

24 | P á g i n a

Renuncia de opinión: se emite tal tipo de informe cuando los auditores externos consideran que la situación financiera de la organización auditada es muy precaria y puede conllevar con la disolución de la misma.

Entrevista de finalización o salidaLa entrevista de finalización que se lleva a cabo al final de la auditoría, le brinda al auditor los medios para discutir los hallazgos y recomendaciones con la gerencia. Durante esta entrevista, puede asegurarse que los hechos que se presentan en el informe son correctos, asegurarse de que las recomendaciones son realistas y efectivas en términos de costos, y de no ser así, buscar alternativas a través de la negociación con el área auditada, y tratar de obtener fechas de implementación para las recomendaciones sobre las que se ha llegado a un acuerdo.

Técnicas de exposiciónA menudo se le solicita al auditor de sistemas que exponga los resultados de las tareas de auditoría a diversos niveles gerenciales. Las técnicas de exposición incluyen:

Resumen ejecutivo: es un informe de fácil lectura, gramaticalmente correcto y breve que presenta los hallazgos a la gerencia en forma comprensible. Los anexos pueden ser de naturaleza técnica ya que la gerencia operativa necesitará los detalles para corregir las situaciones informadasPresentaciones visuales: pueden incluir transparencias, diapositivas o gráficos.

Acciones de la gerencia para implementar recomendacionesLos auditores deben darse cuenta que la auditoría es un proceso continuo. Los auditores deben tener un programa de seguimiento para determinar si se han tomado las acciones correctivas prometidas según las recomendaciones de auditoría.Los resultados del seguimiento deben ser comunicados a los niveles gerenciales correspondientes.

25 | P á g i n a