6 ESTÁNDARES DE AUDITORÍA Y PRÁCTICAS DE CONTROL DE SI

6.1. ESTÁNDARES DE AUDITORÍA DE SI6.1.1. Normas Profesionales6.1.2. Código de ética profesional6.1.3. Otras reglamentaciones pertinentes

6.2. ANÁLISIS DE RIESGOS

6.3. CONTROL(ES) INTERNO(S)6.3.1. Objetivos de control interno6.3.2. Objetivos de control de SI6.3.3. Cobit (Control Objetives for Information Tecnologies)6.3.4. Controles generales6.3.5. Control de SI6.3.6. Clasificación de los controles

6.4. REALIZACIÓN DE UNA AUDITORÍA DE SI6.4.1. Clasificación de las auditorías6.4.2. Programas de auditoría6.4.3. Metodología de una auditoría6.4.4. Auditoría basada en el riesgo6.4.5. Técnicas de análisis de riesgos6.4.6. Objetivos de auditoría 6.4.7. Pruebas de cumplimiento vs. pruebas sustantivas 6.4.8. Evidencia6.4.9. Muestreo6.4.10. Técnicas de Auditoría Asistida por Ordenador (CAATs Computer

Assisted Audit Techniques) 6.4.11. Evaluación de las Fortalezas y Debilidade6.4.12. Comunicación de los resultados de la auditorí6.4.13. Gestión de las acciones para implementar las recomendaciones6.4.14. Documentación de la auditoría

Los objetivos del capítulo 6 son: • conocer los estándares profesionales y éticos en auditoría de SSI• profundizar en algunos de los elementos que intervienen en la realización de una

auditoría introducidos en el capítulo 5.

6.1 ESTÁNDARES DE AUDITORÍA DE SI La ISACA (Information Systems Audit and Control Association) es una organización que emite estándares de auditoría y control de SI (código ético, normas,

74

objetivos y procedimientos de control, guías de auditoría, etc.) que son generalmente aceptados por la comunidad internacional de auditoría de SI.

Esta asociación expide, a quién cumpla sus requisitos, el certificado CISA (Certified Information Systems Auditor) de reconocido prestigio internacional.

6.1.1 Normas Profesionales de la ISACALos miembros de la Asociación, en especial los poseedores de la certificación

CISA, deberán tener una buena comprensión de las Normas Generales de Auditoría de Sistemas de Información, y las Resoluciones sobre Normas de Auditoría de Sistemas de Información.

Las Normas Generales para la Auditoría de Sistemas constan de diez Normas Generales que abarcan independencia, competencia técnica y realización del trabajo y de informes.

Normas Generales para Auditoría de Sistemas de Información de la ISACAl: ACTITUD Y APARIENCIA:

En todas las cuestiones relacionadas con la auditoría, el Auditor de SI debe ser independiente de quien es auditado en actitud y apariencia.2: RELACIÓN EN LA ORGANIZACIÓN:

La función de Auditoría de SI ha de estar lo suficientemente independiente del área que se audita para permitir una realización objetiva de la auditoría.3: CÓDIGO DE ÉTICA PROFESIONAL:

El Auditor de SI debe cumplir el Código de Ética Profesional de la ISACA.4: DESTREZAS Y CONOCIMIENTOS:

El Auditor de SI ha de ser competente técnicamente, con las destrezas y conocimientos necesarios para la realización de las tareas de auditoría.5: EDUCACIÓN PROFESIONAL PERMANENTE:

El Auditor de SI ha de mantener su competencia técnica por medio de la correspondiente capacitación permanente.6: PLANIFICACIÓN Y SUPERVISIÓN:

Las Auditorías de SI han de ser planificadas y supervisadas para brindar seguridad de que se alcanzan los objetivos de auditoría y se cumplen estas normas.7: EXIGENCIA DE EVIDENCIA:

Durante la realización de la Auditoría, el Auditor de SI ha de obtener evidencia que por su naturaleza y suficiencia respalden los hallazgos y conclusiones informadas.8: DEBIDO CUIDADO PROFESIONAL:

Debe observarse el debido cuidado profesional en todos los aspectos de la tarea del Auditor de SI, incluyendo el cumplimiento de las normas de auditoría aplicables.9: INFORME DE LA EXTENSIÓN DE LA AUDITORÍA:

Al preparar los informes, el Auditor de SI ha de expresar los objetivos de la auditoría, el período que cubre y la naturaleza y extensión de las tareas llevadas a cabo.10: INFORME DE LOS HALLAZGOS Y DE LAS CONCLUSIONES:

Al preparar los informes, el Auditor de SI ha de expresar las observaciones y conclusiones respecto de las tareas de auditoría llevadas a cabo, y cualquier reserva o salvedad que el auditor tenga respecto de la auditoría.

75

76

6.1.2 Código de ética de la ISACAEl Código de ética Profesional de la ISACA constituye una directiva para la

actuación profesional y personal de los miembros de la Asociación.El Código de Ética establece que los miembros de la ISACA deben:• Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles para los sistemas de información.• Cumplir las Normas de Auditoría de Sistemas de información según las adopte la Asociación.• Actuar en interés de sus empleadores, accionistas, clientes y el público en general en forma diligente, leal y honesta y a sabiendas de no contribuir en actividades ilícitas o incorrectas.• Mantener la confidencialidad de la información obtenida en el curso de sus deberes. La información no será utilizada para propio beneficio o divulgada a terceros no legitimados.• Cumplir con sus deberes en forma independiente y objetiva, y evitar toda actividad que comprometa, o parezca comprometer, su independencia.• Mantener su capacidad y conocimientos en los campos interrelacionados de la auditoría y los sistemas de información por medio de su participación en actividades de capacitación.• Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar sus conclusiones y recomendaciones.• Informar a las partes involucradas del resultado de las tareas de auditoría llevadas a cabo.• Apoyar la educación de la gerencia, los clientes y al público en general para mejorar la comprensión de la auditoría y los sistemas de información.• Mantener altos estándares de conducta y carácter tanto en las actividades profesionales como en las privadas.

6.1.3 Otras reglamentaciones pertinentesCada organización, sea cual fuere su tamaño o la industria en la que opere, debe

cumplir con requerimientos gubernamentales o externos a la organización relacionados con las prácticas y controles de sistemas informatizados, y respecto de la manera en la que se utilizan los ordenadores, programas y datos.

Estas cuestiones son de especial importancia en aquellas industrias que históricamente han sido reguladas exhaustivamente. Por ejemplo, la banca en todo el mundo recibe graves penalizaciones, tanto la sociedad como sus empleados, en caso de que la empresa no pueda ofrecer niveles de servicios adecuados, por lo que los procedimientos de respaldo y recuperación serán de importancia crítica.

Adicionalmente, debido al crecimiento de las funciones de Tecnologías de la Información (TI), muchos países se están esforzando en reglamentar la función de Auditoria de Informática. Estas regulaciones se refieren:

• reglamentación• organización• responsabilidades

77

• correlación de las funciones de auditoria financieras y operativas

El personal gerencial pertinente debe tener en cuenta el conocimiento de los requerimientos externos a la organización que sean pertinentes para las metas y planes de la organización y para las responsabilidades y actividades del departamento/función/actividad de Servicios de Información.

A continuación se enumeran los pasos que un profesional del control de sistemas de información debe realizar para determinar el nivel de cumplimiento por parte de una organización respecto de los requerimientos externos a ella:l. Identificar los requerimientos gubernamentales u otros externos a la organización, que

sean relevantes y que atañan a las prácticas y los controles de sistemas información, a la forma en que los programas y los datos se almacenan en los ordenadores y que sean pertinentes a la organización o a las actividades del departamento/función/actividad de los Servicios de Información.

2. Documentar las leyes, reglamentaciones, etc. pertinentes3. Evaluar si la gerencia de la organización y la función de Si han tenido en cuenta los

requerimientos externos relevantes cuando realizan la planificación y cuando establecen las políticas, estándares y procedimientos.

4. Revisar los documentos del departamento/función/actividad interna de Servicios de Información que tratan del cumplimento de leyes aplicables a la industria en la que opera la organización.

Determinar el cumplimiento de los procedimientos establecidos que tratan tales requerimientos.

6.2 ANALISIS DE RIESGOSEl análisis de riesgos es parte de la planificación de una auditoría. Ayuda a

identificar los riesgos y vulnerabilidades para que el auditor pueda determinar los controles que son necesarios para mitigar esos riesgos.

Para evaluar los procesos de negocio basados en la utilización de TI de una organización, es importante entender la relación entre riesgo y control. Concretamente, los tipos de riesgos y los controles que se utilizan para mitigarlos. La evaluación de riesgos sirve para poner el foco de la auditoría en las áreas de que tengan mayor riesgo y planificar, en consecuencia, el trabajo de auditoría.

Hay muchas definiciones de riesgo, que reflejan que riesgo significa diferentes cosas a diferentes personas. Quizás una de las definiciones más sucintas utilizada en el mundo de la seguridad de la información es la que se da en Guías para la Gestión de la seguridad de la TI de la International Organization for Standardization (ISO):El potencial de que una amenaza dada pueda explotar las vulnerabilidades de un activo o grupo de activos y cause pérdida o daño a los activos. El impacto o severidad relativa del riesgo es proporcional al valor que para el negocio tiene la pérdida/daño y la frecuencia estimada de la amenaza.

Los riesgos tienen los siguientes elementos:

78

• Amenazas a, y vulnerabilidades de, los procesos y/o los activos, tanto activos físicos como lógicos.

• Impacto en los activos basado en las amenazas y las vulnerabilidades• Probabilidad de las amenazas (combinación de la probabilidad y la frecuencia de

ocurrencia)Los riesgos de negocio son aquellas amenazas que pueden impactar los activos, o

procesos u objetivos de una organización. La naturaleza de estas amenazas puede ser financiera, reglamentaria u operacional. Una clase particular de riesgos asociados con la información y los SIs que la soportan es la que está definida por el potencial de pérdida de la confidencialidad, disponibilidad o integridad de la información.

En una auditoría también se puede pedir que se evalúe el proceso de gestión de riesgos que utiliza una organización para identificar, evaluar y gestionar los riesgos que tiene que hacer frente. La gestión de riesgos es el proceso de: identificar los riesgos de la seguridad de un sistema e identificar la probabilidad de ocurrencia, el impacto resultante y las salvaguardas que podrían mitigar el impacto en caso de ocurrencia. Esto abarca a tres procesos: identificación de riesgos, mitigación de riesgos y evaluación de riesgos.

El proceso de gestión de riesgos comienza con la identificación de los objetivos de negocio, los activos de información y los sistemas o recursos de información que generan, almacenan, utilizan o manipulan los activos (hardware, software, bases de datos, redes, instalaciones, personal, etc.) que sean críticos para alcanzar dichos objetivos. El mayor esfuerzo en la gestión de riesgos se debe centrar en los activos más críticos. Una vez que se han identificado estos activos críticos, se evalúan las amenazas y el impacto en caso de que se materialicen estas amenazas frente a las vulnerabilidades que tienen dichos activos

El siguiente paso es identificar y evaluar los controles establecidos como medidas para mitigar el impacto de las amenazas. Estas medidas pueden prevenir o reducir la probabilidad de que un riesgo ocurra, detectar la ocurrencia de un riesgo y minimizar el impacto o transferir el riesgo a otra organización.

Esto se puede conseguir:• Identificando todos los controles que existen para minimizar el riesgo• Determinando y evaluando todo control nuevo o adicional que se identifique durante el

análisis del riesgo de negocio• Priorizando todos los riesgos identificados, identificando aquellos controles que sean

más eficaces y eficientes en la mitigación del riesgo.La selección de los controles más eficaces/eficientes dependerá de:• El coste del control comparado con el benefició que reporta su implantación• El nivel de riesgo que la organización está preparada para aceptar• Los métodos de reducción de riesgos preferidos por la dirección (eliminar el riesgo, minimizar la probabilidad de ocurrencia, minimizar el impacto, transferencia el riesgo)

6.3 CONTRO(LES) INTERNO(S)El objetivo de los controles internos es el dar una confianza razonable de que una

organización consiga sus objetivos de negocio y que se prevendrán o detectarán y corregirán los eventos de riesgo no deseados.

79

Los controles internos toman forma de políticas, procedimientos, prácticas y estructura organizacional. Las actividades de control y los procesos que las soportan pueden ser manuales o automatizadas. Deben estar establecidos en todos los niveles de la organización. El comité de dirección y el primer nivel de dirección son los responsables de establecer la cultura apropiada para facilitar un sistema de control interno eficaz y para hacer un seguimiento continuo de su eficacia. Cada individuo de una organización debe participar en este proceso.

6.3.1 Objetivos del control internoUn SI bien diseñado debe incluir controles en todas las grandes funciones. Una

división de los controles es la siguiente:• Controles internos contables que van dirigidos primariamente a la contabilización de

las operaciones. Les concierne la salvaguarda de los activos y la fiabilidad de los registros financieros.

• Controles operacionales que les concierne las operaciones del día a día, funciones y actividades y el aseguramiento de que las operaciones están alcanzando los objetivos de negocio.

• Controles administrativos que les concierne la eficiencia operacional y el cumplimiento de las políticas. Los controles administrativos soportan a los controles operacionales involucrados con la eficiencia operacional y el cumplimiento de las políticas organizacionales.

Los objetivos de control interno son declaraciones del resultado o propósito deseado a conseguir por la implementación de los procedimientos de control en una actividad particular. En otras palabras, el control es el medio de conseguir los objetivos de control.

Los principales objetivos de control se pueden categorizar como sigue:• Salvaguarda de activos de TI• Cumplimiento de los requerimientos de información de los usuarios y de las políticas y

procedimientos de la organización, así como de las leyes y reglamentaciones aplicables (objetivos de cumplimiento)

• Aseguramiento de la integridad de los entornos de sistemas operativos, incluyendo la gestión de redes y las operaciones del ordenador.

• Aseguramiento de la integridad de los entornos de los sistemas de aplicación (objetivos de información) a través de la:

• Autorización de la entrada de las transacciones• Exactitud y completitud del proceso de las transacciones• Exactitud, completitud y seguridad de la salida• Integridad de las bases de datos

• Asegurar la eficacia y eficiencia de las operaciones (objetivos operacionales)• Desarrollo de planes de respaldo y recuperación• Desarrollo de respuesta y manejo de incidencias, tales como planificación de la

continuidad del negocio y recuperación ante desastres

6.3.2 Objetivos de control de SI (informatizado)

80

Los objetivos de control interno se aplican a todas las áreas, ya sean manuales o automatizadas. Por lo tanto, conceptualmente, los objetivos de control interno en un ambiente de SI informatizado son los mismos que en uno manual. No obstante, las características del control pueden ser diferentes. Por lo tanto, los objetivos de control interno deben ser tratados de forma específica cuando los procesos están informatizados.

Los siguientes son ejemplos de objetivos de control de SI:

• la información esté asegurada de accesos no autorizados y se mantenga actualizada.• cada transacción esté autorizada y solo se introduzca una vez.• todas las transacciones se registren e introduzcan en el sistema de forma oportuna.• se informe de todas las transacciones rechazadas y de las duplicadas.• se haga un respaldo adecuado de todos los ficheros para permitir su recuperación

adecuada.• todos los cambios al software estén aprobados y probados.

6.3.3 COBIT (Control Objetives for Information Tecnologies)

La ISACA ha publicado los Objetivos de Control para la Información y la Tecnología asociada. El producto COBIT se ha convertido en el marco de referencia para que los objetivos de control de SI y las buenas prácticas relacionadas con ellos den soporte en el gobierno, control y aseguramiento de la información y la tecnología relacionada.

COBIT es un conjunto de 34 objetivos de control de alto nivel a alcanzar por los procesos de TI. Esto 34 objetivos de alto nivel se agrupan en cuatro dominios: • planificación y organización, • adquisición e implementación, • entrega y soporte y • seguimiento.

La consecución de estos 34 objetivos, aseguran a una organización que su infraestructura de TI le proporciona un adecuado sistema de control.

Los 34 objetivos de control de alto nivel se detallan en más de 300 objetivos de control detallados.

COBIT está dirigido tanto al personal y la dirección de SI, los departamentos de control, las funciones de auditoría y, lo que es más importante, a los propietarios de los procesos de negocio que utilicen procesos de TI para asegurar la confidencialidad, integridad y disponibilidad de información crítica y sensible. Los componentes de COBIT son: • el resumen ejecutivo, • el marco de referencia, • los objetivos de control, • las guías de gestión, • las guías de auditoría, y • el conjunto de herramientas de implementación.

COBIT puede utilizarse como material de estudio suplementario para entender los objetivos de control.

81

6.3.4 Controles GeneralesLos controles generales son los que aplican a todas las áreas de una organización.

Estos incluyen las políticas, procedimientos y prácticas operativas establecidas por la dirección con el objetivo de dar una razonable seguridad de que se consigan los objetivos específicos de control. Los controles generales incluyen:• Controles contables, que son los que están dirigidos a las operaciones de

contabilización. Se refieren a la salvaguarda de los activos y a la confiabilidad de los registros financieros.

• Controles operativos, que se ocupan de las operaciones, funciones y actividades cotidianas y aseguran que las operaciones están cumpliendo los objetivos del negocio.

• Controles administrativos, que se ocupan de la eficiencia operativa en un área funcional.

• Políticas y procedimientos de seguridad lógica, para asegurar la debida autorización de las transacciones y las actividades.

• Políticas generales para el diseño y uso de documentos y registros, para audar a asegurar el registro apropiado de las transacciones (pistas de auditoría de transacciones)

• Políticas y funciones de protección del acceso y uso de activos.

6.3.5 Control de SICada procedimiento de control general puede ser traducido en un procedimiento de

control específico de SI. Por ejemplo, el procedimiento general para asegurar la adecuada salvaguarda del acceso a los activos

e instalaciones puede traducirse en un conjunto de procedimientos de control relacionado con sistemas de información, que abarque controles de acceso a los programas de ordenador, datos y ordenadores.

Los procedimientos de control de SI incluyen:• La estrategia y la dirección• La organización y la gestión• El acceso a los datos y a los programas• Las metodologías de desarrollo de sistemas y el control de los cambios• Las operaciones de proceso de datos• La programación de sistemas y las funciones de soporte técnico• Los procedimientos de aseguramiento de la calidad del proceso de datos• Los controles de acceso físico• La planificación de la recuperación de desastres y de la continuidad del negocio• Las redes y las comunicaciones• La administración de las bases de datos 6.3.6 Clasificación de los controles

Normalmente, los controles se clasifican en las siguientes clases: preventivos, detectivos y correctivos. En la figura 6.1 se muestran las tres categorías, funciones y ejemplos.

Clasificación de los controlesClase Función Ejemplos

Preventivos • Detectan los problemas antes de que aparezcan

• Contratar solo personal cualificado

82

• Controlan las operaciones y las entradas• Intentan predecir problemas potenciales

antes de que ocurran y realizan ajustes• Previenen un error, omisión o acto

malicioso de su ocurrencia

• Segregar responsabilidades• Control de acceso a las

instalaciones• Uso de documentos bien

diseñados• Establecer procedimientos

adecuados de autorización de transacciones

• Rutinas de validación en los programas

• Software de control de acceso para permitir que solo acceda a los ficheros personal autorizado

Detectivos • Detectan e informan de la ocurrencia de un error, omisión o acto malicioso

• Totales de control• Puntos de comprobación en los

trabajos• Controles de eco en

telecomunicaciones• Mensajes de error • Pruebas duplicadas de cálculos• Auditoría interna

Correctivos • Minimizan el impacto de una amenaza• Remedian los problemas detectados por un

control detectivo• Identifican la causa del problema• Corrigen los errores ocasionados por un

problema• Modifican el procesamiento para

minimizar las futuras ocurrencias del problema

• Planificación de contingencias• Procedimientos de respaldo• Procedimientos de reejecución

Figura 6.1 Clasificación de los controles

6.4 REALIZACIÓN DE UNA AUDITORÍA DE SIEl proceso de auditoría, realizado por un equipo o una persona competente e

independiente, consiste en reunir evidencias, evaluar las fortalezas y debilidades de los controles basadas en las evidencias recopiladas, y presentar esos temas de auditoría en forma objetiva a la gerencia en el informe final de auditoría.

La realización de una auditoría de SI requiere varios pasos. El primero de ellos es la planificación de la auditoría. Después, primero se deben evaluar los riesgos globales y luego desarrollar un programa de auditoria teniendo en cuenta esos riesgos. Este programa debe contener los objetivos y los procedimientos de auditoria para alcanzar los objetivos de auditoría.

Asimismo, la gerencia de auditoría debe garantizar una disponibilidad de recursos de auditoría y su asignación adecuada para realizar las tareas y para efectuar las revisiones de seguimiento sobre las acciones correctivas, que surjan de los hallazgos de la auditoría, emprendidas por la gerencia.

Se debe tener un gran conocimiento tanto del Código de Ética como de las Normas Profesionales.

83

6.4.1 Clasificación de las auditorías Hay varios tipos de auditoría de SI, cada una con procedimientos de auditoría

asociados a cada uno de ellos.• Auditorías financieras. Su propósito es evaluar la corrección de los estados

financieros de una organización. Normalmente, se realizan pruebas sustantivas detalladas. Están relacionadas con la integridad y fiabilidad de la información. Normalmente son realizadas por auditores externos.

• Auditorías operacionales. Su propósito es evaluar la estructura de control interno de un proceso o área. Ejemplos de este tipo son las auditorías de los controles de las aplicaciones o de los sistemas de seguridad lógica. Normalmente, se realizan pruebas de los controles. Normalmente son realizadas por auditores internos.

• Auditorías integradas. Son una mezcla de las dos anteriores. Puede ser realizada por auditores internos o externos.

• Auditorías administrativas. Su propósito es evaluar la eficacia y eficiencia de las operaciones. Puede ser realizada por auditores internos o externos.

• Auditorías de sistemas de información. En ellas se recogen y evalúan evidencias para determinar si el sistema de información y los recursos relacionados salvaguardan los activos, mantienen la integridad de los datos y del sistema, proveen información fiable y relevante, consigue los objetivos operacionales de forma eficaz, utiliza eficientemente los recursos y tiene establecidos los controles internos para dar una razonable seguridad de que se alcanzan los objetivos operacionales y de control.

6.4.2 Programas de auditoría Las funciones de SI se pueden evaluar desde diferentes puntos de vista tales como,

seguridad, calidad, nivel de servicio, eficiencia, fiabilidad y capacidad. Por tanto, un programa de auditoría se basa en los objetivos y el alcance concretos que se determine.

Los procedimientos generales de auditoría son los pasos básicos en la realización de una auditoría y entre ellos se encuentran los siguientes:• Obtención y documentación del entendimiento del área/tema de auditoría• Evaluación de riesgos y planificación general de la auditoría• Plan detallado de la auditoría• Revisión preliminar del área/tema de auditoría• Evaluación del área/tema de auditoría• Pruebas de cumplimiento (normalmente conocidas como pruebas de los controles)• Pruebas sustantivas (que confirmen la exactitud de la información)• Comunicación de los resultados (realización del informe)• Seguimiento post-auditoría (cuando hay una función de auditoría interna).

Los procedimientos para probar y evaluar los controles utilizan las siguientes técnicas/herramientas:• Software general de auditoría para ver el contenido de los ficheros• Software específico para evaluar el contenido de los ficheros de parámetros del sistema• Técnicas de diagramas de flujo de datos para documentar el entendimientos de las

aplicaciones informatizadas

84

• Registros/informes de auditoría disponibles en los sistemas operativos/de aplicación.• Revisiónde documentación.• Observación.

6.4.3 Metodología de auditoría Una metodología de auditoría es un conjunto de procedimientos documentados de

auditoría diseñados para alcanzar los objetivos de auditoría planificados. Sus componentes son la especificación del objetivo de auditoría, su alcance y los programas de auditoría.

En la figura 6.2 se listan las fases típicas de una auditoría. Un producto temprano y crítico del proceso de auditoría es un programa de auditoría que sirve como guía para documentar los pasos realizados y la extensión y tipo de la materia revisada.

Fases de una auditoríaTema de la auditoría Identifica el área a ser auditada.Objetivo de la auditoría Identifica el propósito de la auditoría. Por ejemplo, determinar si los

cambios al código fuente tienen lugar en un entorno bien definido y controlado.

Alcance de la auditoría

Identifica los sistemas específicos o unidades de la organización que se han de auditar. Siguiendo con el ejemplo anterior, el alcance podría limitarse a la revisión de un solo sistema de aplicación o a un periodo de tiempo determinado.

Planificación previa de la auditoría

• se identifican las destrezas técnicas que deben tener los auditores y los recursos que se necesitan

• se identifican las fuentes de información para pruebas o revisiones, tales como la estructura funcional, políticas, normas, procedimientos o papeles de trabajo de auditorias previas

• se identifican los lugares físicos o instalaciones a auditarProcedimientos de auditoría y pasos para la recogida de información

• Identificación y selección del enfoque de auditoría que se vaya a utilizar para verificar y probar los controles

• Identificación de una lista personas a entrevistar• Identificación y obtención de políticas, normas y directrices del departamento para su revisión• Desarrollo de herramientas y metodologías para probar y verificar los controles.

Procedimientos para evaluar los resultados de las pruebas y revisiones

Las tareas son específicas de los procedimientos utilizados

Procedimientos de comunicación con la gerencia.

Las tareas son específicas de los procedimientos utilizados

Preparación del informe de auditoría

Comprende las actividades que se realizan para preparar el informe final de auditoría

Figura 6.2 Fases típicas de una auditoría

6.4.4 Auditoría basada en el riesgoCada vez más organizaciones se decantan por una estrategia de auditoría basada en

la evaluación de riesgos para desarrollar y mejorar el proceso de auditoría continua. Esta estrategia utiliza la evaluación de riesgos para ayudar a tomar la decisión de si realizar pruebas de los controles o ir directamente a realizar pruebas sustantivas.

85

Los riesgos de negocio son los temas acerca de los efectos probables de un evento incierto en la consecución de los objetivos de negocio establecidos. La naturaleza de estos riesgos puede ser financiera, regulatoria u operacional.

Por ejemplo, una compañía aérea está sujeta a fuertes regulaciones de seguridad y cambios económicos, ambos con impacto en la continuidad de las operaciones de la compañía.

Entendiendo la naturaleza del negocio se puede identificar y categorizar los tipos de riesgos que mejor determinarán el modelo o estrategia de riesgos para realizar la auditoría. El modelo de riesgos puede ser tan simple como dar pesos a los tipos de riesgos asociados al negocio e identificar los riesgos. Por otra parte, la evaluación de riesgos puede ser un esquema donde a los riesgos se les dan pesos basados en la naturaleza del negocio o del impacto del riesgo.

Un vistazo simplista de la estrategia de auditoría basada en riesgos es la que se muestra en la figura 6.3.

Figura 6.3 Estrategia de auditoría basada en riesgos

86

Obtención de información y planificación • Conocimiento del negocio y la industria en la que opera• Normas regulatorias• Evaluaciones de riesgos inherentes• Informes de auditorías previos• Información financiera reciente

Obtención del entendimiento del control interno • Entorno de control• Procedimientos de control• Evaluación del riesgo de detección• Evaluación del riesgo de control• Cálculo del riesgo global

Realización de pruebas de los controles• Pruebas de las políticas y procedimientos• Prueba de la segregación de las responsabilidades

Realización de pruebas sustantivas• Procedimientos analíticos• Pruebas sustantivas

Finalización de la auditoría• Dar recomendaciones• Escribir el informe de auditoría

Estrategia de auditoría basada en riesgos

El término material, asociado con algunos de los componentes del riesgo (inherente, de control, detección –ver capítulo 3-) , se refiere a un error que deba considerarse significativo para alguna parte a la que le concierna un tema en cuestión.

El concepto de materialidad exige un juicio claro. Se puede detectar un pequeño error y considerar que sea significativo para la gerencia de nivel operativo pero que tal vez no sea visto como significativo por la gerencia superior. Las consideraciones de materialidad, combinadas con una comprensión del riesgo de auditoría, son conceptos esenciales para planificar las áreas a auditar así como las pruebas específicas que se han de realizar en una auditoría determinada.

La materialidad es aún más complicada en auditoría de SI. Por ejemplo, un parámetro de seguridad lógico que permite que un programador acceda sin

autorización al código fuente de todos los programas puede constituir un error material. Sin embargo, esos mismos derechos de acceso, tan solo para algunos programas menos significativos podrían no ser considerados materiales por un auditor.

6.4.5 Técnicas de evaluación de riesgosCuando se tenga que determinar las áreas que deben ser auditadas entre una

variedad de ellas, se deberán evaluar los riesgos de cada una de ellas para seleccionar para ser auditadas las que tengan más alto riesgo.

La utilización de la evaluación de riesgos para determinar las áreas a auditar:• Permite la asignación eficaz de los recursos limitados de auditoría• Asegura que se ha obtenido información relevante de todos los niveles de la gestión,

incluyendo el comité de dirección, las áreas funcionales de la gestión y los auditores de SI. Generalmente, la información ayuda a que los gestores deleguen sus responsabilidades y asegura que las actividades de auditoría se dirijan hacia las áreas de negocio con más alto riesgo.

• Establece una base para gestionar de forma eficaz la función de auditoría.• Da un resumen de cómo está relacionado un tema individual de auditoría con la

organización global así como con los planes de negocio. Hay varios métodos que se emplean para realizar una evaluación de riesgos. Uno de

ellos es el de un sistema de puntuación, que es útil para priorizar las auditorías basándose en una evaluación de los factores de riesgo. Para ello se consideran variables como la dificultad técnica, nivel de los procedimientos de control establecidos y nivel de pérdidas financieras. Estas variables se pueden o no ponderar. Los valores resultantes se comparan unos con otros y se planifican las auditorías de acuerdo a dichos valores.

Otra forma es realizando juicios de valor, en donde la decisión se hace basándose en el conocimiento del negocio, directrices de la dirección ejecutiva, perspectivas históricas, objetivos de negocio y factores del entorno.

También se utilizan una combinación de estas técnicas.

6.4.6 Objetivos de auditoríaUn objetivo de auditoría se refiere a una meta específica de la auditoría, mientras que

un objetivo de control se refiere a como debe funcionar un control interno. A menudo, los objetivos de auditoría se centran en determinar que controles internos existen para

87

minimizar los riesgos para alcanzar los objetivos de negocio. Estos objetivos de auditoría incluyen asegurar que se están cumpliendo los requerimientos legales, así como la confidencialidad, integridad, fiabilidad y disponibilidad de los recursos de información. La dirección puede dar al auditor un objetivo general a seguir en la realización de una auditoría.

Por ejemplo, puede pedir que el auditor evalúe globalmente los controles de un área dada o puede pedirle que pruebe el inventario de soportes magnéticos. En el primer caso, el auditor puede hacer una revisión general consistente en observaciones, entrevistas y revisiones de documentación. Puede que no haga una prueba detallada. En el segundo caso, el auditor realizaría pruebas detalladas del inventario de soportes magnéticos incluyendo accesos de los usuarios, conciliaciones y controles.

Un elemento clave para planificar una auditoría de sistemas es saber trasladar los objetivos básicos de auditoría a objetivos específicos de auditoría de SI.

Por ejemplo, en una auditoría financiera/operativa, un objetivo de control interno a verificar podría ser: garantizar que las transacciones estén imputadas correctamente en las cuentas del diario mayor. Sin embargo, en la auditoría de SI, el objetivo se podría extender para incluir una seguridad de que las funciones de edición que estén establecidas detectarán errores en la codificación de las transacciones que puedan afectar a las transacciones de imputación contable.

6.4.7 Pruebas de cumplimiento vs. pruebas sustantivasHay una diferencia entre los procedimiento para recoger evidencia con el propósito

de probar el cumplimiento de los procedimientos de control por una organización y los procedimientos para recoger evidencia para evaluar la integridad de las transacciones individuales, datos u otra información. A los primeros se les llama pruebas de cumplimiento y a los segundos pruebas substantivas.

Una prueba de cumplimiento determina si los controles se aplican de forma que cumplan con las políticas y procedimientos de la gestión.

Por ejemplo, si la auditoría es acerca de la adecuación de los controles de la librería de programas, el auditor podría seleccionar una muestra de programas para determinar si las versiones fuente y objeto corresponden.

El objetivo general de toda prueba de cumplimiento es el de dar al auditor una seguridad razonable de que un control particular está funcionando como se esperaba.

Una prueba sustantiva sustancia la integridad del proceso real. Provee evidencia de la validez e integridad de los informes financieros y de las transacciones que los originan. Mediante ellas se prueban los errores monetarios, o de otra unidad de medida como puede ser la de tiempo, que directamente afectan a los informes financieros.

Se podría realizar una prueba sustantiva para determinar si el inventario de soportes magnéticos es correcto. Para realizar esta prueba, se podría realizar un inventario completo o utilizar el muestreo estadístico, para inferir la exactitud de la totalidad del inventario.

Hay una correlación directa entre el nivel de fiabilidad de los controles internos y la cantidad de pruebas sustantivas necesarias. Si los resultados de las pruebas de los controles muestran que los controles son adecuados, se justifica que se minimicen las pruebas sustantivas. Por el contrario, si las pruebas de los controles muestran que existen debilidades en los controles que pongan en duda la completitud, exactitud o validez de los datos, las pruebas sustantivas deberán ser más extensas.

88

En la siguiente figura 6.4 se muestra la relación entre pruebas de cumplimiento y sustantivas y describe las dos categorías de pruebas sustantivas.

Figura 6.4 Pruebas de cumplimiento y pruebas sustantivas

6.4.8 EvidenciaEvidencia es toda la información que se utiliza para determinar si el ente o los datos

auditados siguen los criterios u objetivos de auditoría. La conclusión de una auditoría tiene que estar basada en evidencia suficiente y competente

Ejemplos de evidencia de auditoría son los siguientes:• observaciones del Auditor • notas tomadas en las entrevistas• documentación interna • resultados de los procedimientos de pruebas.

Si bien toda evidencia ayudará a llegar a las conclusiones de auditoría, cierta evidencia es más fiable que otra. Entre los factores que determinan la fiabilidad de la evidencia de auditoría se incluyen:

Independencia de quien provee la evidenciaLa evidencia que se obtiene de fuentes externas es más fiable que la que proviene de

la organización auditada.

Cualificación de quien provee la información o evidencia.Tanto provenga de dentro o fuera de la organización, siempre se debe tener en

cuenta la cualificación de quién provee la información.

89

Revisión del sistema para identificar los controles

Pruebas de cumplimiento para determinar si los controles están funcionando

Evaluación de los controles para determinar su fiabilidad y el alcance y extensión de las pruebas sustantivas

Utilización de dos tipos de pruebas sustantivas para evaluar la validez de los datos

Pruebas de las transacciones

Entendimiento del entorno de control y el flujo de transacciones

Procedimientos de revisión analítica

Esto también aplica al propio Auditor de SI; si un Auditor de SI no tiene una buena comprensión de un área técnica bajo examen, la información obtenida de la prueba de ese área puede no ser fiable.

Objetividad de la evidencia.La evidencia objetiva es mejor que la evidencia que exige juicios de valor o

interpretación. El balance que hace un auditor contable es evidencia directa y objetiva. El análisis de la eficiencia

de una aplicación que hace un auditor de SI, basada en reuniones con determinado personal, puede no constituir una evidencia de auditoría objetiva.

La comprensión de las reglas sobre evidencia es importante ya que se puede encontrar diversos tipos de evidencia.

El auditor debe evaluar tanto la calidad como la cantidad de la evidencia. A esas dos características se les llama competencia(calidad) y suficiencia (cantidad) de la evidencia. La evidencia es competente cuando es a la vez válida y relevante.

La recopilación de material de evidencia es un paso clave en el proceso de la auditoría. Algunas de las técnicas de recopilación de evidencia más usuales son las siguientes:

Revisión de las estructuras organizativas de SIUna sólida estructura organizativa con una adecuada segregación de funciones es

un control general clave en una función de SI. Las funciones de SI, en las que se ponga un importante énfasis sobre el

procesamiento distribuido cooperativo o en informática de usuario final, pueden estar organizadas de manera distinta de la organización de SI clásica con funciones separadas de sistemas y operaciones. El auditor deberá ser capaz de revisar esas estructuras y determinar el nivel de control que proveen.

Revisión de las Normas de Documentación de SIUn primer paso para revisar la documentación de un SI es conocer las normas

vigentes sobre documentación dentro de la organización. Se debe buscar un nivel mínimo de documentación del SI que incluirá:

• Documentos para iniciar el desarrollo de sistemas• Especificaciones de diseño funcional• Historial de cambios a programas• Manuales de documentación de usuario.Hay diferentes técnicas de desarrollo de sistemas. No obstante, se deben buscar las

normas y prácticas de documentación concretas que se apliquen dentro de la organización de SI.

Entrevistas al personal apropiadoAunque la literatura sobre auditoría de SI no enfatiza en las técnicas de entrevistas

de auditoría, esta es una destreza de gran importancia para un auditor. Las entrevistas deben organizarse de antemano, deben seguir un determinado

esquema y deben documentarse con notas. Un buen enfoque es un formulario de entrevista

90

preparado previamente o una lista de control. El propósito de tales entrevistas es recopilar evidencia de auditoría.

Las entrevistas al personal deben tener una naturaleza de descubrimiento y no acusatoria.

Observación de las operaciones y la actuación de los empleadosLa observación de las operaciones es una técnica de auditoría clave para muchos

tipos de revisiones. No debe ser inoportuno al hacer sus observaciones y se debe documentar todo con

suficiente grado de detalle como para estar en condiciones de presentarlas posteriormente como evidencia de auditoría si le fuera exigido.

6.4.9 MuestreoEl muestreo se utiliza cuando, por cuestiones de tiempo o costo, se hace prohibitiva

una verificación del 100% de las transacciones o sucesos en un universo determinado. Un universo es el grupo total de ítems que deben ser revisados, y se denomina muestra a un subconjunto del universo. El muestreo se utiliza para inferir las características de un universo, a partir de los resultados del examen de las características de una muestra de ese universo. Hay que tener en cuenta que el muestreo, por lo general, no es aplicable cuando el universo se refiere a un control o función intangible o no documentado, tal como la segregación de funciones o la existencia de un supervisor.

Existen dos enfoques generales para el muestreo de auditoría: estadístico y no estadístico. El muestreo estadístico es un método objetivo para determinar el tamaño de la muestra y los criterios de selección de los ítems de la muestra. Con el muestreo estadístico, el auditor decide cuantitativamente con qué ajuste la muestra debe representar al universo (evaluación de la precisión de la muestra); y el número de veces en 100 que la muestra representa al universo (veracidad del nivel de confianza). Esta evaluación se expresa en porcentaje.

En el muestreo no estadístico (normalmente se denomina muestreo por juicio). El Auditor utiliza su criterio, basado en su experiencia, para determinar el método de muestreo, el número de ítems que se examinarán dentro del universo (tamaño de la muestra), y cuáles de esos ítems se seleccionarán (selección de la muestra). Estas decisiones se basan en juicios subjetivos del auditor sobre que ítems/transacciones son materiales, tienen más riesgos, etc.

Tanto el muestreo estadístico como el no estadístico exigen que el auditor utilice su propio juicio para definir las características del muestreo, y por lo tanto sufren el riesgo de que el auditor llegue a una conclusión errónea a partir de la muestra (riesgo de muestreo). Sin embargo, el muestreo estadístico permite que el auditor cuantifique la probabilidad del error (coeficiente de confianza).

Para que sea una verdadera muestra, cada miembro de la muestra debe tener oportunidades de ser escogido. Para que constituya una muestra estadística, cada miembro del universo debe tener una oportunidad igual de ser escogido.

El auditor tiene a su disposición dos enfoques generales para el muestreo de auditoría con dos métodos básicos de muestreo:

91

1 Muestreo de atributos, también denominado muestreo estimativo, que es la técnica utilizada para estimar el valor de ocurrencia de un control dado o un conjunto de controles relacionados (los atributos).

Un ejemplo de atributo que puede ser probado es la aprobación con firmas en los formularios de solicitud de acceso al ordenador. Este tipo de muestreo es particularmente útil para realizar pruebas de cumplimiento.

2 Muestreo de Variables es la técnica que se utiliza para estimar valores monetarios o de alguna otra unidad de medida, como el peso o la población, a partir de una porción que constituya una muestra.

Un ejemplo del muestreo de variables sería estimar el número de módulos de código objeto obsoletos a partir de una evaluación de una muestra de la biblioteca de código objeto en producción. Se adapta especialmente a las pruebas sustantivas.

Para poder realizar un muestreo estadístico es necesario conocer los siguientes conceptos:Coeficiente de confianza(también denominado nivel de confianza o factor de fiabilidad).

Se expresa como un porcentaje (90%, 95%, 99%, etc.) de la probabilidad de que las características de la muestra sea una fiel representación del universo. Por lo general una fiabilidad del 95% se considera de alto grado. Si el auditor entiende que los controles internos son fuertes, podría reducir el coeficiente de confianza.

Cuanto más grande el nivel de confianza, mayor debe ser el tamaño de la muestra.Nivel de riesgo

Esta cifra es 1 menos el nivel de confianza. Por ejemplo, si el nivel de confianza es 95%, el nivel de riesgo es del 5% (1 –0,95 = 0,05).Precisión

La precisión la fija el auditor y la diferencia aceptable entre la muestra y el universo real de la muestra. Se expresa como un porcentaje para el muestreo de atributos y como una cifra monetaria o, número para el muestreo de variables.

Cuanto más alta sea la cifra de precisión, más pequeña deberá ser la muestra, y mayor el riesgo de que una cifra mayor de error no sea detectada. Un nivel de precisión muy bajo puede llevar a tener un tamaño de muestra demasiado grande.Tasa esperada de error

Se expresa como un porcentaje y es el valor estimado de los errores que pueden presentarse. Cuanto más grande es la tasa esperada de error, mayor será el tamaño de la muestra. Esta cifra se aplica en las fórmulas de muestreo de atributos, pero no a las fórmulas de muestreo de variables.Media de la muestra

Es la suma de todos los valores de la muestra, dividido por el tamaño de la muestra. Mide el valor promedio de la muestra.Desviación estándar de la muestra

Calcula la varianza de los valores de la muestra respecto de la media de la muestra. Mide la distribución o dispersión de los valores de la muestra.Desviación estándar del universo

Es un concepto matemático que mide la relación con la distribución normal. Cuanto más grande es la desviación estándar, mayor el tamaño de la muestra. Esta cifra se utiliza en las fórmulas de muestreo por variables, pero no en las de atributos.

92

Los pasos claves en la construcción y selección de una muestra para una prueba de auditoría incluyen:1. Determinación del objetivo de la prueba2. Definición del universo que se someterá a muestreo3. Elección de la técnica de muestreo

El muestreo de atributos, que se usa por lo general en pruebas de cumplimiento, se aplica a la presencia o ausencia de un atributo, y da conclusiones que se expresan como tasas de incidencia. El muestreo de variables, por su parte, se usa para las pruebas sustantivas, se aplica a características del universo, como valores monetarios o pesos, y da conclusiones que se refieren a desviaciones respecto de la norma estadística.

4. Calcular el tamaño de la muestra.A continuación se presentan las fórmulas de muestreo de atributos y de variables:

Muestreo de atributos t2 * P * Q

Tamaño de la muestra = -------------- PRE2

Muestreo de variables t2 * S2

Tamaño de la muestra = -------------- PRE2

Donde:t = Un factor que depende del nivel de confianza P = Tasa esperada de error (se utiliza para muestreo de atributos)Q = 1-P (se utiliza para muestreo de atributos)PRE = Precisión promedio requeridaS = Desviación Estándar del Universo (se utiliza para el muestreo de variables)

5. Selección de la muestra.6. Evaluar la muestra.

6.4.10 Técnicas de Auditoría Asistida por Ordenador (CAATs Computer Assisted Audit Techniques)

Un Auditor de SI debe tener un profundo conocimiento de las técnicas informáticas de auditoría y dónde deben ser aplicadas. Este conocimiento debe incluir tanto la utilización de software general de auditoría como de técnicas más avanzadas tales como generadores de datos de prueba y técnicas para efectuar pruebas integradas.

Además de seleccionar la técnica correcta, debe saber la importancia de documentar los resultados de tales pruebas con fines de la evidencia de auditoría.

Cuando se solicite acceso a los datos de producción para utilizarlos mediante CAATs, el auditor debe solicitar que se le dé acceso de solo lectura. Cualquier

93

manipulación que el auditor realice debe ser hecha sobre copias de los archivos de producción en un entorno controlado que asegure que los datos de producción no queden expuestos a manipulación no autorizada.

Los siguientes son ejemplos de CAATs:• Software general de auditoría • Utilidades de software• Mandatos SQL• Software de control de acceso• Sistemas de aplicación• Generadores de datos de prueba

A continuación se describen algunos de ellos:Software general de auditoría

El software general de auditoría se puede utilizar para analizar datos que provengan de uno o varios archivos.

Los tipos de software de auditoría genérico incluyen:• Prueba de cálculos de archivos

Se puede utilizar el software genérico de auditoría para probar la exactitud de los cálculos en archivo. Esta prueba se puede realizar sobre una muestra o para el archivo completo.• Comparación de datos

A menudo, se deben comparar los datos de diferentes archivos para asegurar su sincronización.• Secuenciamiento o resumen de datos

Se puede requerir que a los datos se les cambie su ordenación primaria para, p.e., determinar su antigüedad o que se resuman para realizar totales de archivos.

Generadores de datos de prueba Software que genera transacciones y datos de acuerdo con criterios específicos para

facilitar la prueba de aplicaciones. Las transacciones se pueden procesar a través de la aplicación y su salida comparada con los resultados esperados o predefinidos.

Estrategia de auditoría concurrenteUna importante ventaja de la utilización de CCATs es su habilidad para mejorar la

eficiencia de la auditoría, especialmente en entornos sin papeles, mediante la utilización de técnicas de auditoría concurrente.

Estas técnicas permiten en recoger evidencias al mismo tiempo que se están ejecutando las aplicaciones en un ambiente de producción. En el apartado 10.5.7.1 Auditoría concurrente se da una breve visión de algunas de estas técnicas.

6.4.11 Evaluación de las Fortalezas y Debilidades de Auditoría

94

Después de recopilar la evidencia de auditoría, el siguiente paso es evaluar la información recopilada para poder emitir una opinión de auditoría y, posteriormente, plasmarla en el informe de auditoría.

Esto le exige que, teniendo en cuenta la serie de fortalezas y debilidades encontradas, se desarrollen las opiniones y recomendaciones de auditoría. Estos pasos exigen un buen juicio profesional, que surge más de la experiencia en auditoría que de la lectura de bibliografía de referencia.

Para la evaluación de la fiabilidad de los controles se suele utilizar matrices de control (ver 5.2.2.1 Identificación y prueba de los controles).

Controles compensatorios y redundantesEn una auditoría de SI se puede llegar a descubrir una variedad de controles que

pueden evaluarse, tanto fuertes como débiles. Todos ellos se deben tener en cuenta al evaluar la estructura global de control.

En ciertos casos, se puede encontrar un control que se considera fuerte que compensa a un control que se considera débil.

Por ejemplo, se podrían encontrar debilidades en un informe de errores de transacciones (control débil) y también se podría encontrar que se realice un proceso detallado de balance manual de todas las transacciones (control fuerte) que compense las debilidades del informe de errores.

El auditor siempre debe tratar de encontrar controles compensatorios en las áreas en que haya encontrado controles que haya evaluado como débiles.

Otro ejemplo de controles compensatorios, un Auditor de SI podría encontrar que un sistema de automatizado de administración de cintas en un centro de cálculo utiliza algunos parámetros que están fijados para ignorar las etiquetas escritas en los registros de cabecera de las cintas. Esa es una debilidad del control (de etiquetas de cintas magnéticas, que debería asegurar que siempre se cargue siempre la cinta correcta). Pero, podría descubrir que los procedimientos de inicialización, modificación y montaje de las cintas aseguran que sólo pueden ser montadas las cintas correctas. Si se considera que estos controles son adecuados, podría llegar a la conclusión de que esos controles compensan la debilidad respecto de los controles de etiquetas de cintas.

Un control redundante es el que mejora otro control que se considera adecuado (fuerte).

Por ejemplo, si un centro de datos utiliza un sistema de tarjetas de identificación para controlar el acceso físico y además un guarda de seguridad pide a los empleados que le muestren su tarjeta, existe un control redundante, ya que cada control, por sí mismo, puede ser adecuado para restringir el acceso y los dos se complementan mutuamente.

Consideración de las interrelaciones entre los controlesNormalmente, un objetivo de control no se puede alcanzar con considerar adecuado

un sólo control. Por lo que, se debe realizar una serie de procedimientos de pruebas y evaluar la interrelación entre los controles. Siempre se debe investigar y evaluar, en su caso, si hay controles compensatorios cada vez que encuentre un control débil antes de reportarlo como una debilidad de control.

Evaluación de la materialidad de los hallazgosEn el punto 6.4.4 se introdujo el concepto de materialidad. Este es un tema clave en

el momento de decidir qué hallazgos se deben presentar en un informe de auditoría.

95

La clave para determinar la materialidad de los hallazgos es evaluar lo que podría ser considerado significativo (importante) en los diferentes niveles gerenciales.

Por ejemplo, una debilidad respecto de la seguridad física en los controles de acceso de un centro de cálculo remoto puede que sea significativa para la gerencia de ese centro de cálculo remoto pero no necesariamente tendrá que ser material para la alta gerencia en la Sede Central. Sin embargo, tal vez haya otros temas en esa sede remota que si sean materiales para la gerencia superior.

Se debe utilizar el juicio profesional para decidir qué observaciones se han de presentar en los diversos niveles gerenciales.

Por ejemplo, se podría descubrir que un formulario para tramitar la entrega de soportes magnéticos al centro de almacenamiento secundario no esté correctamente inicializado, tal como lo exigen los procedimientos. Sin embargo, si se encuentra que, la gerencia local le presta atención al proceso y que no ha habido problemas al respecto, en ese caso podría decidir que no inicializar los documentos de traslado no tiene suficiente materialidad como para presentarlo a la gerencia superior. El auditor podría decidir tratarlo sólo con la gerencia de operaciones locales. Sin embargo, cabe que haya otras debilidades de los controles que causen que el auditor llegue a la conclusión de que ese es un error material ya que contribuye a un problema de control mayor en otras áreas.

6.4.12 Comunicación de los resultados de auditoríaLa responsabilidad final de un auditor es frente a la Alta Dirección.Por tanto, se

debe tener la posibilidad de comunicar sin restricciones los temas importantes a ese nivel gerencial. Un intento de un nivel gerencial inferior de coartar ese acceso limitaría su independencia.

Antes de comunicar los resultados de la auditoría a la alta dirección, se deben presentar y discutir los hallazgos con el resto de los niveles de dirección. Su objetivo es el de llegar a un acuerdo sobre los hallazgos y desarrollar un plan de acciones correctivas.

El informe de auditoría es el producto final de una auditoría. Es el vehículo que se utiliza para informar de las observaciones y recomendaciones a la gerencia. El formato concreto del informe de auditoría variará según la organización.

Estructura y contenido del informeNo existe un formato estándar para un informe de auditoría de SI, serán las normas

de auditoría de cada organización las que normalmente marcarán el formato. Sin embargo, los informes de auditoría, normalmente, tienen la siguiente estructura y contenido:

• Una Introducción al informe, donde se incluyen los objetivos y alcance de la auditoría, el período que cubre la auditoría y un resumen sobre la naturaleza y extensión de los procedimientos de auditoría realizados.

• Una Conclusión global, donde se expresa la opinión global sobre la adecuación de los controles y de los procedimientos revisados durante la auditoría.

• Los Hallazgos detallados de auditoría y recomendaciones. Los hallazgos que se decida incluir en el informe deben estar basados en la materialidad que tengan los hallazgos para los destinatarios del informe. Por ejemplo, el informe de auditoría para el comité de dirección puede que no incluya hallazgos que si incluiría si el informe fuese para un nivel de dirección inferior.

• Una variedad de Hallazgos de auditoría todo tipo (materiales o no) La decisión final de que es lo que se debe incluir o excluir del informe corresponde

al auditor. Su independencia es la que le debe guiar en esa decisión. En el informe no solo se deben incluir los aspectos negativos encontrados sino también comentarios positivos

96

constructivos respectos a procesos que estén mejorando o a controles eficaces en funcionamiento.

Normalmente, la dirección a la que le atañe el informe, una vez leído, desarrolla y acuerda con el auditor un plan de acciones correctivas con fechas.

Restricciones sobre la implementación de las recomendacionesLa gerencia, tal vez, no esté en condiciones de implementar todas las

recomendaciones de forma inmediata. Puede haber factores que puedan demorarlas. Por ejemplo, se podría recomendar cambios a un SI que, en ese momento, está siendo sometido a

otros cambios o mejoras. En ese caso, el no se puede pretender que se suspendan los cambios en curso hasta que se realicen las recomendaciones. Lo preferible sería que ambos tipos de cambios se hiciesen al mismo tiempo.

El plan de acciones correctivas y las posibles fechas de implementación se discuten durante el proceso de divulgación del informe de auditoría (proceso que se realiza antes de la redacción final del informe). Es importante que se obtenga un compromiso de la dirección de la fecha de implementación del plan de acción ya que puede que las acciones correctivas conlleven ciertos riesgos que deben ser evitados. Hay restricciones, tales como limitaciones de personal, presupuestos u otros proyectos que pueden limitar la implementación inmediata.

Si corresponde, posteriormente el Auditor tal vez quiera informar a la gerencia superior sobre el progreso de la implementación de esas recomendaciones.

Entrevistas de finalización de la auditoríaLas entrevistas de finalización, que se realizan al final de la auditoría, deben basarse

en un borrador del informe de auditoría. Estas entrevistas brindan un medio para discutir los hallazgos y recomendaciones con la gerencia. En ellas, se deben discutir los objetivos y el alcance de la auditoría y debe explicarse detenidamente el proceso seguido en la auditoría.

Asimismo, estas entrevistas, sirven para: • asegurarse de que los hechos que se presentan en el informe son correctos• asegurarse de que las recomendaciones son realistas y efectivas en términos de costos, y

de no ser así, buscar alternativas negociando con el área auditada• obtener fechas de implementación de las recomendaciones.

Técnicas de exposición de los resultados de la auditoríaFrecuentemente se pedirá al auditor que exponga los resultados del trabajo de

auditoría a diversos niveles de dirección. Por ello se debe tener un gran conocimiento de las técnicas de exposición necesarias para comunicar esos resultados. Las técnicas de exposición incluyen, entre otras:• Resumen ejecutivo: que es un breve informe de fácil lectura, que presente los hallazgos

a la Alta Dirección en forma comprensible. La mayoría de los ejecutivos no dominan la jerga informática, por lo que los resúmenes ejecutivos deben carecer de terminología extraña para ellos. Los anexos detallados pueden ser de naturaleza más técnica ya que los directivos operacionales necesitarán los detalles para corregir las situaciones informadas.

97

• Presentaciones visuales: que pueden incluir transparencias, diapositivas o gráficos generadas por paquetes de software de gráficos.

6.4.13 Gestión de las acciones para implementar las recomendacionesNormalmente, una auditoría no es un hecho puntual, sino que es un proceso

continuo. Una auditoría no es eficaz si, una vez emitido el informe, no se hace un seguimiento para comprobar si la gerencia ha realizado las acciones correctivas recomendadas y acordadas.

La oportunidad del seguimiento dependerá del carácter crítico de las recomendaciones y queda sujeto al juicio del auditor. Los resultados del seguimiento deben ser comunicados a los niveles de dirección correspondientes.

El nivel de la revisión de seguimiento dependerá de diversos factores. En algunos casos, tal vez sólo se necesite preguntar por la situación actual. En otros casos, como puede ser una revisión técnica de SI, se tendrá que realizar ciertos pasos de auditoría para determinar si la gerencia ha implementado las acciones correctivas acordadas.

6.4.14 Documentación de auditoríaLa documentación de auditoría es el registro del trabajo de auditoría realizado y de

la evidencia que soporta las conclusiones de la auditoría. Debe incluir como mínimo:• la planificación y preparación del alcance y objetivos de la auditoría• la descripción y/o recorridos en el área de auditoría vista• el programa de auditoría• los pasos de auditoría realizados y la evidencia recopilada• los hallazgos, conclusiones y recomendaciones de auditoría

98