Lectura Costos

7/21/2019 Lectura Costos

1/41

Materia: Auditora de Sistemas

Profesor: Francisco Cardozo - 1 -

Lectura 1

1. Introduccin.La auditora es una actividad necesaria, y en muchos casos requerida legalmente, en las

organizaciones y empresas de la actualidad. En esta lectura se estudiarn los conceptos bsicosde los procesos de auditora. Primeramente, se plantear una visin global de su campo deaccin, para luego enfocarse especficamente en la rama de la auditora de sistemas deinformacin, tambin denominada auditora informtica.

La ingeniera de sistemas es una disciplina relativamente nueva, por lo que la auditora desistemas tambin lo es, hay mucho por camino por recorrer en este campo. Es por ello que laauditora informtica (o de sistemas) est basada en los procedimientos de la auditora general, enla que se destaca la auditora financiera, por ser esta la ms formalizada, estudiada y aplicada.

Sin embargo y a pesar de los pocos aos de existencia, hay importantes estudiosrealizados sobre la auditora en los sistemas de informacin, tanto para el desarrollo de software,como para la seguridad de la informacin, las bases de datos y las redes de comunicacin, entreotros.

2. Conceptos Bsicos de Auditora y Consultora.

2.1. Auditora.La auditora puede definirse como un proceso sistemtico de revisin y evaluacin

objetiva, realizada sobre las actividades de una organizacin con el objetivo de verificar su

cumplimento a las normas y condiciones preestablecidas.Debe ser efectuada por un auditor calificado e independiente, el cual recolecta evidencias

y emite una opinin profesional para determinar el grado de fiabilidad del objeto analizado. Esdecir, por medio de su observacin, considera si las actividades realizadas por la organizacinrepresentan adecuadamente las condiciones o las expectativas que le son atribuidas.

Los conceptos elementales a tener en cuenta en la definicin anterior son que:

El contenido de una auditora ser una opinin comunicada en un informe y elevada alas personas interesadas.

La condicin de una auditora es que sea de carcter profesional, es decir, realizadapor una persona que posea los conocimientos y las habilidades tcnicas necesariaspara la actividad.

La justificacin de una auditora est sustentada en procedimientos para su correctaelaboracin, adems cuenta con herramientas tecnolgicas de soporte.

El objetivo de una auditora es comunicar la informacin obtenida por losprocedimientos realizados.

La finalidad de una auditora es informar el grado de adecuacin a la realidad y a lasexpectativas del objeto en estudio.

La auditora no es un proceso que busca detectar fraudes ni tampoco juzgar las conductasde las personas. Sin embargo, el auditor debe sistemticamente recoger evidencias, agruparlas y

evaluarlas, para estudiar los mecanismos y procedimientos reales ejecutados por una


2/41



organizacin. Luego presentar una evaluacin profesional del grado de eficiencia y eficacia en ellogro de los objetivos establecidos por los niveles gerenciales.

Es fundamental la condicin y la caracterstica de objetividad e independencia en el rol deauditor con respecto a la organizacin analizada. El Boletn de la Comisin de Normas y AsuntosProfesionales del Instituto de Auditores Internos de Argentina define de lo siguiente:

El trmino independencia hace referencia a que el auditor a cargo del rea deberesponder ante un nivel jerrquico tal en la organizacin que le permita emitir opinionesimparciales y equilibradas, lo cual es esencial para realizar adecuadamente una auditora.Asimismo, esa funcin independiente dentro de la Organizacin le permite estar libre deinjerencias al momento de determinar el alcance de la auditora, durante la ejecucin de la mismay al momento de comunicar sus resultados.

Cuando hablamos de objetividad, nos referimos que el auditor interno debe tener una

actitud imparcial y neutral, y debe evitar los conflictos de intereses. Con relacin al tema de"conflicto de intereses", las normas indican que el auditor interno debe abstenerse de evaluaroperaciones en aquellos casos en los que haya provisto servicios en una actividad de la cual lmismo haya tenido responsabilidad dentro del ltimo ao.i

La auditora se basa en la afirmacin de que la informacin a estudiar es verificable. Elinforme del auditor representa su visin formal y sistemtica orientada a acciones correctivas de laestructura organizacional, los planes y procedimientos, la forma de operar, el uso de los recursoshumanos y fsicos y el cumplimiento a las leyes y regulaciones establecidas.

2.2. Clases de Auditora.Inicialmente, la auditora se limitaba a verificar los flujos financieros de las organizaciones.

Ms adelante el concepto se extendi a otras actividades, actualmente existen numerosasdivisiones o clases de esta actividad, las siguientes son algunas de ellas:

Auditora Financiera:realizada por un profesional experto en contabilidad de los libros yregistros financieros, con el propsito de opinar sobre la veracidad de la informacincontenida en ellos y sobre el cumplimiento de las normas contables vigentes en el pas.El auditor presenta su opinin sobre los estados contables y su reflejo de la realidadpatrimonial y financiera del ente auditado.

Auditora de Seguridad: analiza los sistemas, principalmente los informticos, y lacapacidad de la gestin de seguridad para identificar y posteriormente corregir lasdiversas vulnerabilidades que pudieran presentarse en la organizacin. Adems, validalas medidas de proteccin que se llevan a cabo basadas en la poltica de seguridad y

verifica que las reglas de esta poltica se apliquen correctamente. Auditora de calidad: por una parte verifica el cumplimiento del sistema de calidad

existente y la efectividad del mismo. Por otra parte, verifica el nivel de cumplimiento alos requerimientos por parte de los servicios o productos elaborados, as como el gradode satisfaccin a las necesidades de los clientes. En ambos casos el objetivo esmaximizar la efectividad del sistema auditado para conseguir un producto de calidad.

Auditora Poltica: es la revisin sistemtica de los procesos y las actividadesrealizadas por quienes ocupan cargos de eleccin popular de carcter pblico, ascomo tambin los logros alcanzados en beneficio de la ciudadana.

Auditora Informtica:evala los sistemas de informacin para verificar la integridad de

los datos que administra y el cumplimiento, tanto de los objetivos organizacionales,


3/41



como de las polticas, estndares, normas y leyes vigentes. Se aplica procedimientospara auditar el uso y el mantenimiento del software y el hardware de la organizacin.

Auditora de Gestin: es la combinacin de la auditora administrativa y a la auditoraoperacional, las cuales son reemplazadas por la auditora de gestin. Se enfoca enevaluar los objetivos, planes y polticas de toda la empresa y su cumplimiento. Controlala existencia y el correcto seguimiento de los mtodos operacionales y la correctaadministracin de los recursos disponibles.

Adems de las expuestas, existen otras clases de auditoras que se ejecutan en lasorganizaciones, algunas de ellas estn relacionadas entre s y su alcance depende de la manerade implementarla de las empresas en particular.

2.3. Tipos de Auditora.Dependiendo de la ubicacin organizativa del auditor, es posible clasificar a la auditora en

dos categoras: interna y externa. La auditora interna es generalmente realizada por personal de lamisma organizacin que es auditada, mientras que la auditora externa la efecta otraorganizacin contratada para tal fin y generalmente especializada en este tipo de actividades. Otradiferencia fundamental de la auditora interna y externa son sus enfoques, la auditora externabusca expresar una opinin profesional independiente, habitualmente sobre las cuentas de unaentidad, mientras que el objetivo principal de la auditora interna es comprobar y evaluar elcumplimiento a las normas y procedimientos establecidos para el control interno.

2.4. Auditora Interna.La auditora interna examina la estructura organizativa de una empresa, organizacin o sus

departamentos y sus mtodos de operacin, a fin de verificar el uso que le est asignando a sus

recursos. Intenta encontrar deficiencias o irregularidades en alguna de las partes examinadas, ybusca posibles soluciones a las mismas. Su finalidad es ayudar a la gerencia a lograr una mejor yms efectiva administracin de la empresa a travs de recomendaciones y asesoramiento.

El Instituto de Auditores Internos de Argentina (IAIA) define a la auditora interna de lasiguiente manera:

La auditora interna es una actividad independiente y objetiva de aseguramiento yconsulta concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda auna organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado paraevaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno.ii

La auditora interna verifica el grado de exactitud en la observancia a las polticas,

procedimientos, mtodos, normas y leyes, as como el desempeo de todas las reas de laestructura organizativa. Evala el trabajo del personal y el funcionamiento de los equipos y lossistemas. Generalmente la auditora interna intenta encontrar e identificar pequeosinconvenientes antes que se conviertan en grandes problemas o sean descubiertos por losauditores externos.

En su boletn informativo de Febrero de 2007iii, la consultora Hernndez y Asociadosresumen las principales funciones y servicios que presta la auditora interna, estas son:

Asesorar y apoyar a los diferentes niveles en el cumplimiento efectivo de susresponsabilidades por medio de visitas a las diferentes reas de la empresa.

Anticipar y solucionar los futuros problemas potenciales.

Generar manuales y memorandos con el fin de unificar criterios en cuanto a normas ycontroles de la empresa.


4/41



Hacer el seguimiento a las recomendaciones y medidas planteadas para las diferentestareas y sus procesos.

Habitualmente las empresas deben realizar la auditora interna debido a requisitosformales de normas y estndares, como por ejemplo las acreditaciones ISO 9000 (calidad ygestin continua de calidad) e ISO 14000 (gestin ambiental) las cuales requieren explcitamenteque se realice una auditora interna regularmente. El modelo o la forma de la auditora se defineninternamente en la organizacin y debe ejecutarse como mnimo una vez al ao.

2.5. Auditora Externa.Esta auditora la realiza una empresa externa a la organizacin, la cual es contratada para

llevar a cabo este servicio. Se pueden encontrar varios beneficios que motivan a lasorganizaciones a buscar estas prestaciones, uno de ellos es la experiencia y el conocimiento queposeen las prestatarias puesto que son empresas especializadas en auditoras, ellas pueden

efectuar la actividad en menor tiempo y de manera ms eficiente que si lo hiciera internamente laorganizacin con sus propios recursos internos.

Otro motivo para buscar una empresa de auditora externa es que el juicio que ellosrealicen no estar sesgado por presiones ni intereses internos, sino que ser ms objetivo y msreal al momento opinar sobre las tareas que deban corregirse en la organizacin.

En algunos casos es un requisito legal, o en cumplimiento a una normativa, el hecho quesea una empresa acreditada y externa quien efecte la auditora. Como es el caso de las normasISO 9000 e ISO 14000 ya nombradas en la auditora interna, o en industrias como la farmacutica,alimenticia o financiera. En estos casos el auditor externo acta en calidad de regulador oinspector para confirmar que todos los requerimientos normativos son cumplidos.

El mbito financiero es el ms especializado en auditoras externas, esto se debeprincipalmente a que las compaas financieras deben cumplir requisitos impuestos por leyesgubernamentales. Al mismo tiempo, con la auditora externa, las empresas pueden generarconfianza en sus estados contables y mostrarse solventes a inversores y clientes.

Las siguientes son las cuatro principales empresas internacionales de auditora externa.Se las conoce principalmente en el mbito de las finanzas, pero tambin proveen una ampliavariedad de servicios:

1. PricewaterhouseCoopers: es la mayor firma de servicios profesionales del mundo.Se divide en tres grandes lneas de negocio: Auditora, Consultora de Negocio yFinanciera y Asesoramiento Legal y Fiscal. Provee servicios a las siguientesindustrias: Productos Industriales, Servicios Financieros, Tecnologa de la

Informacin y Servicios Gubernamentales2. Deloitte Touche Tohmatsu: cuenta aproximadamente con unos 165.000

profesionales en 140 pases del mundo. Sus reas de negocio incluyencontabilidad, asesoramiento fiscal, de riesgo, impuestos, administracin, finanzas,tecnologa y consultora de recursos humanos.

3. Ernst & Young: sus servicios incluyen auditora, impuestos, finanzas, contabilidad yasesoramiento en la gestin de la empresa. Trabajan sobre una amplia gama deindustrias que incluyen la automotriz, los bancos, la biotecnologa y lastelecomunicaciones entre otras. Segn la revista Forbes, a finales del ao 2008 porsu tamao era la novena mayor empresa privada de los Estados Unidos.

4. KPMG: con presencia en 148 pases, posee una gran variedad de serviciosagrupados en tres grandes departamentos: Auditora, Impuestos y Asesora. Sus


5/41



mercados incluyen: servicios financieros, tecnologa y productos industriales entreotros.

Este grupo es llamado Big Four (Cuatro Grandes) debido a que son las cuatrocorporaciones ms grandes de auditora y consultora. Originalmente al grupo lo componan ochoempresas, pero luego de una serie de fusiones y problemas se redujeron a cuatro empresas.

Se puede mejorar la efectividad de los procesos de auditora al hacer uso de las fortalezasque poseen tanto los auditores internos como los externos. Por ejemplo, los auditores internostienen un mejor entendimiento del trabajo y la cultura de la compaa debido a que trabajan enella, y con este conocimiento pueden ayudar a los auditores externos en sus visitas a ver cosasque ellos no veran por s mismos. Los auditores externos trabajan con mltiples clientes, lo queles permite estar expuestos a una variedad de problemas y experiencias de diferentesorganizaciones, por lo que se encuentran mejor preparados para descubrir y solucionar problemasen comparacin con los auditores internos.

Al coordinar la labor de los auditores internos y externos se consigue un trabajo mseficiente, los auditores externos pueden generar esfuerzos duplicados si desconocen las tareas yaefectuadas por los auditores internos, o viceversa.

2.6. Procedimientos de Auditora.Primeramente es necesario unificar algunos trminos para entender mejor esta seccin y

poder hablar en un lenguaje comn. La Real Academia Espaola brinda estas definiciones:

Tcnica:

Perteneciente o relativo a las aplicaciones de las ciencias y las artes.Persona que posee los conocimientos especiales de una ciencia o arte.

Conjunto de procedimientos y recursos de que se sirve una ciencia o un arte.Pericia o habilidad para usar de esos procedimientos y recursos.Habilidad para ejecutar cualquier cosa, o para conseguir algo.

Procedimiento:

Accin de proceder.Mtodo de ejecutar algunas cosas.Actuacin por trmites judiciales o administrativos.

Herramienta:

Instrumento, por lo comn de hierro o acero, con que trabajan los artesanos.Conjunto de estos instrumentos.

Como se puede apreciar, estos trminos se encuentran muy relacionados y es posibleconfundirlos con facilidad. Sin embargo, existe una definicin comn aceptada en el mbito de lasauditoras.

2.6.1. Tcnica de Auditora:

Son los mtodos disponibles para obtener el material de evidencia. Es decir, es el conjuntode mtodos de investigacin y prueba utilizados por el auditor para fundamentar, con evidencias,sus resultados en forma de opiniones y conclusiones. Deben ser empleados dependiendo de lascircunstancias y basndose en el criterio o juicio del auditor.

2.6.2. Procedimiento de Auditora:

Los procedimientos son el conjunto de las tcnicas de auditora a ser aplicables a losartefactos revisados en una actividad de auditora. Se podra decir que las tcnicas son las


6/41



herramientas de trabajo de un auditor y los procedimientos son la combinacin de estasherramientas aplicadas a una situacin en particular. Por lo tanto, si las tcnicas no son las

adecuadas, los procedimientos sern incorrectos y se fallar en el resultado final del trabajo deauditora.

2.6.3. Naturaleza de los procedimientos de auditora:

La naturaleza es el tipo de procedimiento que debe aplicarse a la circunstancia particularde la auditora. En otras palabras, el auditor no puede utilizar los mismos mtodos, tcnicas yprocedimientos en todas las situaciones por igual. As tambin hay ocasiones en que el auditordebe aplicar varios mtodos, tcnicas o procedimientos a los mismos artefactos o conjunto dehechos para sustentar su opinin, es decir, usar procedimientos de distinta naturaleza. Elauditor, de acuerdo con su criterio profesional, debe contar con flexibilidad en la toma de decisinen cuanto qu procedimiento, o combinacin de los mismos, aplicar a las situaciones particularesde cada auditora.

2.6.4. Alcance del procedimiento de auditora:

El alcance es la amplitud, intensidad y profundidad con que se realiza el procedimiento deauditora. Tiene su fundamento en que no siempre es posible revisar detalladamente todas lastransacciones de una partida global en un anlisis de auditora, muchas veces las cantidades deoperaciones de una organizacin son repetitivas y numerosas. En estos casos se debe tomarmuestras representativas del conjunto para derivar el resultado global de la partida. En el campode las auditoras esto se denomina pruebas selectivas y el porcentaje o la relacin entre cas osanalizados en comparacin con el total del universo es lo que se conoce como alcance oextensin del procedimiento de auditora.

Es muy importante determinar correctamente el alcance durante las etapas de anlisis y

diseo de la auditora, dado que si considera un alcance muy reducido se seleccionarn muestrasde la poblacin que no logren representar el comportamiento real del conjunto. O caso contrario,con un gran nmero de ejemplares a analizar, el tiempo y esfuerzo que deban emplearse resulteinviable econmicamente para la organizacin.

Por ejemplo, en una organizacin dedicada al desarrollo de software, donde se llevan acabo un nmero considerable de proyectos por trimestre, y donde cada proyecto tiene un tamaotal, que resulta fsicamente imposible para un auditor examinar toda la documentacin de cadauno de ellos en el tiempo asignado a la auditora. En este caso, se deber seleccionar soloalgunos proyectos y sobre ellos analizar todos tems a ser verificados en la auditora. El resultadose presentar como la opinin del auditor sobre todo el proceso de desarrollo de software de laorganizacin, tal como si se hubiese revisado cada componente.

2.6.5. Oportunidad de los procedimientos de auditora:La oportunidad es la poca, o punto en el tiempo, en que debe realizarse la auditora.

Dependiendo de la organizacin y de tipo de auditora requerida, existen perodos de tiempo enque no es conveniente efectuar un procedimiento de auditora, es ms, hay ocasiones donderesulta de mayor utilidad y se aplican mejor. Por ejemplo, luego de terminado un trimestre deproyectos y luego del cierre del ao fiscal de la corporacin.

2.6.6. Ejemplo de Procedimiento de Auditora:

Lo siguiente es parte de la documentacin del procedimiento de auditora de calidad de laAdministracin de Alimentos y Drogas de los Estados Unidos, FDA por sus siglas en ingls:

POLTICA: se realizarn auditoras peridicas y planificadas de los sistemas, procesos de

capacitacin de documentacin y flujo del producto. A fin de garantizar el cumplimiento derequisitos reglamentarios y requerimientos corporativos.


7/41



ALCANCE: Todas las instalaciones, las actividades de diseo, las operaciones de fabricacin, ylas lneas de productos.

GUA DE PROCEDIMIENTO: Una auditora de las actividades de diseo se llevar a cabo anualmente.Auditoras de calidad de rutina en zonas de produccin seleccionados se llevar a cabo cada mes. Toda laoperacin cubrir un ciclo de 12 meses. Un rea puede ser auditada ms de una vez. Una "accin deauditora" para cualquier rea o elemento puede ser iniciado por el Gerente de Aseguramiento de la Calidaden cualquier momento si surge un problema especial.

El enfoque de trabajo en equipo se utilizar para identificar y corregir las deficiencias

El equipo de auditora estar integrado por el Auditor Superior de Calidad (jefe de equipo), ademsde uno o ms individuos de otras disciplinas que no tengan responsabilidad directa en el rea que estsiendo auditada. Un equipo de auditora de una unidad de operaciones debera incluir un representante de I+ D. Un equipo que audite una unidad del sistema de calidad deber incluir un representante deoperaciones. Una auditora de las actividades de diseo deber incluir un representante tanto de la

reglamentacin y las divisiones de fabricacin.El Gerente de Aseguramiento de la Calidad selecciona los miembros del equipo en

consulta con los gerentes de departamento.

A. PREPARACIN DE LA AUDITORA - El Auditor de Calidad (jefe de equipo) revisa losregistros de control de cambios aplicables posteriores a la transferencia de diseo,cualquier retraso en la aprobacin de la FDA, los registros de reclamos, los procedimientosde fabricacin estndar, los historiales de los dispositivos, los historiales de quejas, lasetiquetas de los dispositivos, las auditoras anteriores con sus resultados, los puntos averificar en las auditoras, as como cualquier otro documento relativo a la auditora.

B. INICIACIN DE LA AUDITORA - El Auditor de Calidad prepara / actualiza una lista decomprobacin para el examen sistemtico del rea a auditar, informa al Jefe del

departamento a ser auditado el inicio de la auditora, y revisa las observaciones con elGerente de Departamento.

C. ANLISIS DE LA AUDITORA - El Auditor de Calidad revisa los datos recogidos, verificalos detalles importantes, y escribe un informe de auditora de acuerdo con el formatodelineado en el esquema de informe de auditora provisto.

D. EMISIN DE INFORME DE AUDITORA - El Auditor de Calidad eleva el informe deauditora por escrito al Presidente y a los jefes de departamento dentro de los tres dashbiles siguientes a la finalizacin de la auditora. Si las condiciones son crticas, elGerente de Aseguramiento de la Calidad deber informar verbalmente a los miembrosapropiados del personal dentro de las 12 horas siguientes a la finalizacin de auditora. Losinformes de auditora deber llevar el sello de "confidencial".

E. ACCIN CORRECTIVA - El gerente apropiado ser elegido para ser responsable dedesarrollar un programa para corregir las deficiencias citadas en el informe de auditora, ypresentarla dentro de los cinco das hbiles al Gerente de Aseguramiento de la Calidad.Incluido en el programa de correccin estar la persona responsable y la fecha en que laaccin correctiva se habr completado. El Gerente de Aseguramiento de la Calidadactuar como rbitro, si es necesario, para juzgar la validez de la deficiencia, la personaresponsable, y la fecha razonable para completar la accin correctiva.

F. SEGUIMIENTO DE LA AUDITORA - El Auditor de Calidad mantiene un registro de lasdeficiencias, la persona responsable, la fecha lmite para la accin correctiva, y la fechareal de la correccin. Si la misma deficiencia ocurre en una segunda auditora en forma

consecutiva, el Presidente ser notificada por escrito por el Gerente de Aseguramiento dela Calidad.


8/41



G. REGISTRO Y SEGUIMIENTO DE LAS AUDITORAS - El registro maestro ser mantenidopor el Auditor Superior de Calidad. El registro de auditora deber incluir una copia de las

auditoras en curso, una lista de zonas que deben ser auditadas durante el perodo de 12meses, y una lista de las zonas auditadas hasta la fecha.

H. NMEROS DEL INFORME los nmeros de la auditora estar compuesta de la fechaseguido por el nmero secuencial de la auditora en cuestin (por ejemplo, 98-4 de laauditora 4 en 1998).iv

2.7. Consultora.El consultor Jack S. Fleitman Schvarcer define a la consultora de esta manera:

es un servicio al cual los propietarios, directores de empresas y funcionarios pblicospueden recurrir si sienten la necesidad de ayuda o asesora en la solucin de problemas. Esproporcionar recomendaciones viables e implantar medidas apropiadas para aumentar laproductividad y la competitividad de las empresas.v

Por lo tanto, la consultora es la contratacin de un especialista en una materia particularpara obtener un asesoramiento o consejo profesional. Este consultor realiza un anlisis sobre unaactividad o funcin especfica de la empresa y presenta un informe sobre el estado actual y queacciones debera llevarse a cabo para que se obtengan los resultados pretendidos. Adems, elconsultor verifica la correcta implementacin de sus recomendaciones y comprueba los resultadosfinales de los nuevos procesos.

La consultora puede dividirse en dos etapas, primeramente en recomendaciones oconsejos a priori, es decir modificaciones o acciones que deben efectuarse en la organizacin; ysegundo en la verificacin y chequeo de las correcciones implementadas.

En qu se diferencia consultora de la auditora? Es posible contentar esta preguntadiciendo que, la consultora, brinda informe de las acciones que deben efectuarse en la empresapara mejorara su rendimiento. En cambio, la auditora slo comunica a los interesados(generalmente a los directores) las observaciones registradas de las actividades y de losprocesos. La auditora debe ser un proceso sistemtico en las organizaciones, deben estarestablecidos su tiempo, mtodos y alcance. La consultora no forma parte de las operacionesregulares de las empresas, slo se lleva cabo en momentos especficos de su ciclo de vida, porejemplo, cuando se desea certificar la calidad de sus procesos por organismos de estndares(como ISO o CMMI), o cuando se intenta optimizar el funcionamiento de alguna de sus reas denegocios.

El siguiente es un extracto de un caso de xito expuesto por la consultora Sarein, esta

compaa fue contratada por la empresa Confianz para renovar su plataforma informtica con elfin de mejorar el rendimiento global de sus sistemas, disponer de una solucin de altadisponibilidad y acceso remoto e incrementar su capacidad de almacenamiento de datos:

CONFIANZ es una firma especialista en la prestacin de servicios profesionales deasesora econmica y jurdica a empresas slidamente implantada en el mercado. El crecimientode la compaa en los ltimos aos unido a la apuesta de su direccin por el empleo de lasltimas tecnologas orientadas a la mejora de su servicio y productividad de sus recursos, haceemprender un importante reto, la renovacin de su plataforma informtica para alcanzar lossiguientes objetivos:

Mejora del rendimiento global de los sistemas.

Solucin de alta disponibilidad para minimizar tiempos y costes de parada. Escalabilidad de los sistemas, disponer de capacidad de crecimiento.


9/41



Incrementar la de capacidad de almacenamiento de datos.

Disponer de una solucin robusta de acceso remoto.Tras un exhaustivo anlisis de las necesidades Sarein plantea un proyecto que comprende

la integracin de los siguientes sistemas:

Solucin de alta disponibilidad basada en la replicacin en caliente de mquinasvirtuales VMware para los servicios crticos de Exchange y SQL Server.

Implantacin de una solucin de almacenamiento masivo basado en una cabinaISCSI.

Implantacin de granja de servidores Citrix Metaframe 4.5 para el acceso remotoseguro a sus aplicaciones y datos.

Consolidacin de todos los sistemas y comunicaciones en un CPD adecuadamenteprotegido y aclimatado.

Con la ejecucin del proyecto Confianz ha consolidado una plataforma sobre la cualapoyar su crecimiento y aumentar el valor de sus servicios en los prximos aos. La implantacinde una solucin de servidores de aplicaciones Citrix le ha permitido el crecimiento geogrfico,minimizando las inversiones informticas al disponer de una infraestructura centralizada, y lasolucin de alta disponibilidad le garantiza la continuidad del negocio ante posibles contingenciasen los sistemas.vi

ESTE TEMA DEBE SER PROFUNDIZADO EN EL CAPTULO 1 LA INFORMTICA COMOHERRAMIENTA DEL AUDITOR FINANCIERO.PGINAS 3 A 23 DE LA BIBLIOGRAFA BSICAAUDITORA INFORMATICA - PIATTINI - DEL PESO(2 EDICIN AMPLIADA Y REVISADA)

2.8. Auditoria Informtica.Hasta ahora se ha presentado la auditora en su concepto general, sin entrar en detalles

acerca de su implementacin en las distintas industrias o reas de negocios. Las bibliografassobre la materia de auditora generalmente se basan en la auditora financiera. Esta ltima sediferencia de la auditora informtica en que intenta evaluar si la organizacin se adhiere a lasprcticas estndares de contabilidad. Mientras que la auditora informtica busca evaluar el diseode control y la efectividad de los sistemas de informacin internos, que incluyen a los protocolosde seguridad y eficiencia, procesos de desarrollo, gobierno IT, y dems reas informticas queposea la organizacin.

De aqu en adelante nos enfocaremos casi exclusivamente a la aplicacin de la auditora alos sistemas de informacin. En el libro Auditora Informtica de Piattini Del Peso, que es ellibro de consulta principal de esta asignatura, encontramos la siguiente definicin:

La auditora Informtica es el proceso de recoger, agrupar y evaluar evidencias paradeterminar si un sistema informatizado:

a. Salvaguarda los activos,

b. Mantiene la integridad de los datos,

c. Lleva a cabo eficazmente los fines de la organizacin y,

d. Utiliza eficientemente los recursos.vii


10/41



Los objetivos de la auditoria informtica deben contemplar los objetivos tradicionales de laauditora. As, la auditora Informtica se enfoca en ayudar a las organizaciones a cumplir sus

metas y planes. En forma ms particular, la auditora informtica verifica que los activosinformticos se usen adecuadamente para lograr el objetivo de la organizacin.

En primer lugar, la organizacin de tener definidas las polticas, los procedimientos y loscontroles para la correcta administracin y uso de sus sistemas de informacin. Estos sondesarrollos y comunicados por el departamento de sistemas de la empresa, y deben proporcionarla confianza de que, si son utilizados de acuerdo con los mtodos especificados, mantendrn laintegridad de los datos y manejarn los recursos informticos de la forma ms eficiente posible.

Una vez que la organizacin tiene establecido los procedimientos para el uso de lossistemas de informacin, entra en escena la auditora informtica, la cual verifica, en ciertosmomentos de tiempo, el cumplimiento a estos controles dentro de la infraestructura informtica.

Los puntos principales que un auditor informtico debe examinar son: Disponibilidad: el sistema de computacin de la organizacin debe estar disponible

para el uso del negocio cuando sea requerido.

Confidencialidad: la informacin almacenada en los sistemas puede ser accedida slopor el personal autorizado.

Integridad: la informacin provista por el sistema siempre sea exacta, fiable y oportuna.

Richard A. Goodman and Michael W. Lawlesviiiafirman que hay tres enfoques especficos ysistemticos para ejecutar una auditora de Tecnologas de la Informacin (TI):

1. Auditora del proceso de innovacin tecnolgico: esta auditora intenta construir unmodelo para realizar el proceso de auditora a los proyectos existentes, y a los nuevosproyectos de la organizacin. Se basa en la informacin histrica de la empresa, suespecializacin y su manera de trabajar en el rea de negocios que se encuentre.

2. Auditora de comparacin de la innovacin: analiza la capacidad de innovar de laorganizacin en comparacin con sus competidores, examina las habilidades deinvestigacin y de desarrollo de nuevos productos.

3. Auditora de la posicin tecnolgica: revisa si la organizacin posee, o necesitaadicionar, tecnologa necesaria para competir en el negocio actual.

Otros autores clasifican a la auditora informtica en cinco categoras:

1. Sistemas y Aplicaciones: revisa que los sistemas y las aplicaciones sean apropiados,

eficientes, y controlados adecuadamente para asegurar su validez, confiabilidad,oportunidad y seguridad en todos los niveles de actividad y procesamiento.

2. Instalaciones de Procesamiento de la Informacin: auditora para verificar que lasinstalaciones de procesamiento sean debidamente controladas, con el fin de asegurarsu funcionamiento de manera oportuna, precisa y eficiente, bajo condiciones normalesy potencialmente peligrosas.

3. Desarrollo de Sistemas: verifica que el desarrollo de los sistemas cumpla los objetivosde la organizacin, y que los procesos de desarrollo se adecan a las normas ymejores prctica aceptadas por la industria para el desarrollo de sistemas.

4. Administracin de la TI y la Arquitectura Empresarial: es una auditora para verificarque la administracin TI posee procedimientos necesarios para gestionar la estructuraorganizativa y para garantizar un entorno controlado y eficiente para el procesamientode la informacin.


11/41



5. Cliente/Servidor, Telecomunicaciones, Intranets y Extranets: una auditora paraverificar los controles del lado del cliente (equipo receptor), del lado del servidor y

tambin en la red que conecta a los clientes y servidores.

2.9. Control Interno Informtico.ISACA, la organizacin internacional de estndares para el gobierno, control, seguridad y

auditora de informacin, brinda la siguiente definicin del trmino control refirindose al controlinterno informtico:

Control se define como las polticas, procedimientos, prcticas y estructurasorganizacionales diseadas para brindar una seguridad razonable que los objetivos de negocio sealcanzarn, y los eventos no deseados sern prevenidos o detectados y corregidos.ix

Es decir, el control interno se encarga de monitorear diariamente las actividades de lossistemas de informacin, su funcin es verificar que se cumplan los procedimientos, las normas ylos estndares definidos por la organizacin.

La gerencia (generalmente la gerencia de sistemas) es quien define ciertos requerimientosde alto nivel, que sern los objetivos a verificar por el control interno informtico. Estos objetivosdeben ser acciones especficas que la organizacin debe implementar para aumentar su valor yreducir su riesgo. Adems, la gerencia debe decidir qu controles sern aplicados, cmoimplementarlos (su frecuencia y alcance) y aceptar el riesgo de aquellos que se decida noimplementar. Habitualmente, el personal del departamento de control interno dependejerrquicamente del departamento de sistemas de la organizacin.

Los controles que se diseen deben ser completos, simples, fiables, revisables, adecuadosy rentables. La mayora de los controles con los que cuentan las empresas son automticos y

vienen incluidos en las herramientas de software empresariales. Estos se vuelven cada vez mscomplejos a medida que aumentan las capacidades de los equipos informticos. Sin embargo,existen controles que siguen siendo completamente manuales o algunos que son unacombinacin de procesos manuales y herramienta de software y/o hardware. Podemos clasificar alos controles internos informticos en tres categoras:

1. Controles Preventivos: se basan en evitar que ocurra una accin no deseada. Por ejemplo,la restriccin de accesos por software a cierta informacin.

2. Controles de Deteccin: su funcin es dar a conocer y registrar la ocurrencia de algnevento. Por ejemplo, modificaciones a datos de produccin por el personal de desarrollo osoporte.

3. Controles Correctivos: facilitan la vuelta a la actividad normal ante cadas del sistema,como son fallas en discos o suministro elctrico.

Una caracterstica interesante de los controles informticos es que a medida que lossistemas han ido evolucionando, los controles internos pasaron a forman parte intrnseca de losproductos de software, por lo que resulta difcil diferenciarlos de las caractersticas normalmenteesperadas en los productos comerciales de administracin TI. Por ejemplo, los podemos encontraren los sistemas operativos para servidores de redes o tambin en el software de los equipos decomunicaciones. En muchos casos un mismo grupo de mtodos de control satisface a los trestipos de controles descriptos.

Los principales objetivos del control internos son:

Verificar el cumplimiento de todas las actividades a las normas (especialmente las

legales) y a los procedimientos establecidos. Brindar asesoramiento sobre las normas a cumplir.


12/41



Ayudar y asesorar en las auditoras internas y externas.

Participar en el diseo, implantacin y verificacin de los mecanismos de control sobrelos sistemas de informacin.

Los lugares donde se debe ejercer el control interno pueden incluir, entre otros, al controlde cambios y versiones, a produccin, a la calidad en el desarrollo de software, a las redes decomunicacin, al software de base, a la seguridad informtica, a las licencias y a los riesgos.

Dentro del control sobre la seguridad informtica podemos incluir el asegurarse de que losusuarios del sistema, las responsabilidades de los mismos y sus perfiles se asignen y semantengan adecuadamente. Tambin que se observen las normas de seguridad y de control de lainformacin confidencial, as como el control dual de la informacin.

Cul es la relacin entre el control interno y la auditora informtica? En primera instancia,el rea informtica de la empresa define y monta los procesos que deben seguirse para mantener

la integridad y seguridad de los activos. Estos procedimientos deben ser obtenidos en base a unametodologa apropiada para el tipo de organizacin, y deben estar correctamente documentados yaprobados. El control interno se encarga de implementar los controles que verificarn que seempleen, en forma adecuada, los procesos definidos. Finalmente la auditora evala cul es elgrado de control que existe realmente sobre los procesos informticos, en otras palabras,identifica el nivel de exposicin a los riesgos en los sistemas por la falta de controles, yrecomienda acciones correctivas para los mismos. Otra diferencia del control interno con laauditora, es que el primero es un proceso constante de verificacin y no slo una actividad en unpunto particular del tiempo.

A continuacin se explican algunos conceptos y trminos que deben conocerse paracomprender mejor al control interno informtico y sus estndares internaciones:

Estndar: Que sirve como tipo, modelo, norma, patrn o referencia (RAE). Ej: TCP/IP, SQL,HTML. Los estndares del control interno son pautas establecidos por organizacionesinternacionales para ayudar a las empresas a implementarlos de la forma ms eficiente posible.

Gobierno IT (IT Governance): es un subconjunto del Gobierno Corporativo enfocado en lossistemas de informacin. La caracterstica principal del IT Governance es el incluir a la gerenciageneral de la organizacin (tambin denominada direccin) en las decisiones relacionas con lossistemas de informacin, y no delegar esta responsabilidad slo a la gerencia informtica, comoes costumbre en muchas empresas. No se debe confundir este concepto con la aplicacin del TI ala administracin pblica, ms bien el trmino se refiere a cmo la direccin debe dirigir y controlar(gobernar) las tecnologas de informacin desde un punto de vista del negocio, con el fin deoptimizar las inversiones en TI y administrar de forma adecuada los riesgos y las oportunidades

asociadas.Marcos de Referencia de Control (Control Framework): los marcos de referencia son utilizadospor la auditora para describir a los sistemas de informacin, con un nivel de abstraccin suficienteque le permita independizarse de la tecnologa subyacente, de forma tal que el modelo propuestosea utilizable para diferentes organizaciones (ISACA, ITIL, ISO, etc). Los frameworks brindan unadescripcin sistemtica del control, consiguiendo facilitar la tarea de planificacin y de supervisinen la labor de control y auditora.

Herramientas de Control Interno: son instrumentos hardware y utilidades de software que debenmanejar los profesionales de auditora y control interno para verificar los sistemas informticos. Esposible encuadrar a los marcos de referencia dentro de las herramientas de control.

COBIT (sigla en ingls de Control OBjectives for Information and Related Technology): marco dereferencia o conjunto de mejores prcticas para el manejo de la TI. Proporciona un conjunto de


13/41



objetivos de control aceptados por los gestores de negocios y auditores, y les ayuda desarrollar unmodelo de administracin al entender su sistema de informacin y decidir el nivel de seguridad y

control necesario para proteger los activos de su organizacin. Actualmente ISACA a desarrolladola versin 4.1 de COBIT que puede ser descargado en forma gratuita de la pgina www.isaca.org.COBIT ser visto en profundidad en la unidad Metodologa de Control Interno.

ISACA Asociacin de Auditora y Control de Sistemas de Informacin (sigla en ingls deInformation Systems Audits and Control Association): es una organizacin lder en gobernabilidad,control, aseguramientos y auditora TI con sede en Chicago, USA. Su funcin principal esdesarrollar estndares para el IT Governance, proveer conocimiento a los profesionales, brindarcertificaciones internacionales de control interno y brindar servicios relacionados con la TI. Poseems de 86.000 miembros en ms de 160 pases. ISACA desarrolla y mantiene el marco dereferencia COBIT. El Consejo Normativo de ISACA emiti 16 Normas Generales para la Auditorade los Sistemas de Informacin, estas normas tienen el objetivo de informar a los auditores del

nivel mnimo de rendimiento aceptable en un trabajo profesional de auditora. La tabla 1 muestralos ttulos de cada norma y esta lectura las utilizarn repetidamente como referencias.


14/41



S1 Estatuto

S2 Independencia

S3 tica y normas profesionales

S4 Competencia profesional

S5 Planeacin

S6 Realizacin de labores de auditora

S7 Reporte

S8 Actividades de seguimiento

S9 Irregularidades y accionesilegales

S10 Gobernabilidad de TI

S11 Uso de la evaluacinde riesgos en la planeacin

de auditoraS12 Materialidad de la auditora

S13 Uso del trabajo de otros expertos

S14 Evidencia de auditora

S15 Controles de TI

S16 Comercio electrnico

NORMAS GENERALES PARA LOS SISTEMAS DE

AUDITORA DE LA INFORMACIN

Tabla 1.

Normas Generales para la Auditora de los Sistemas de Informacin de ISACA.

Links para descarga gratuita y en espaol de las normas:

1.Audit Standard(PDF File)2.Independence Standard(PDF File)3.Ethics Standard(PDF File)4.Competency Standard(PDF File)5.Planning Standard(PDF File)6.Performance of Audit Work Standard(PDF File)7.Reporting Standard(PDF File)8.Folow-up Activities Standard(PDF File)

9. Irregularities and Illegal Acts(PDF File)10. IT Governance(PDF File)
http://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/2.IndependenceStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/4.CompetencyStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/5.PlanningStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/8.Follow-upActivitiesStandardREVISED4-20-06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S10_ITGovernanceStandardSpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/1.AuditStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/1.AuditStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/2.IndependenceStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/2.IndependenceStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/3.EthicsStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/3.EthicsStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/4.CompetencyStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/4.CompetencyStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/5.PlanningStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/5.PlanningStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/6.PerformanceofAuditWorkStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/6.PerformanceofAuditWorkStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/8.Follow-upActivitiesStandardREVISED4-20-06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/8.Follow-upActivitiesStandardREVISED4-20-06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S9_IrregIllegaActsStandard_SpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S9_IrregIllegaActsStandard_SpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S10_ITGovernanceStandardSpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S10_ITGovernanceStandardSpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S10_ITGovernanceStandardSpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S9_IrregIllegaActsStandard_SpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/8.Follow-upActivitiesStandardREVISED4-20-06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/7.ReportingStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/6.PerformanceofAuditWorkStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/5.PlanningStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/4.CompetencyStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/3.EthicsStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/2.IndependenceStandard_ES.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/1.AuditStandard_ES.pdf


15/41



11. Use of Risk Assessment in Audit Planning(PDF File)12. Audit Materiality(PDF File)

13. Using the Work of Other Experts(PDF File)14. Audit Evidence(PDF File)15. IT Controls(PDF File)16. E-Commerce(PDF File)

2.10. Auditora Informtica en el Ciclo de Vida de Desarrollo de Sistemas.En un artculo publicado por ISACAx, Tommie W. Singleton profesor de Sistemas de

Informacin en la universidad de Alabama en Birmingham (USA), describe cules son las cosasque deben ser consideradas por un auditor informtico en cada etapa del ciclo de vida dedesarrollo de sistemas (SDLC, sigla en ingls de System Development Life Cycle).

El SDLC encierra un conjunto de mejores prcticas conocidas por los profesionales en eldesarrollo de sistemas y generalmente aplicadas de manera similar. Estas prcticas incluyen lageneracin de documentacin para el control de los procesos, la cual es una fuente de evidenciapotencial para los auditores informticos. Generalmente en la industria se divide al SDLC en ochoetapas como se aprecia en la figura 1, esto puede variar dependiendo del tamao de laorganizacin de desarrollo:

1. Planeamiento del Sistema: En esta etapa la direccin de la organizacin planea el sistemade informacin de una manera estratgica, se evala la efectividad del sistema en trminosdel cumplimiento de la misin y de los objetivos corporativos. Se escribe un planestratgico a largo plazo, el cual ser la base para el desarrollo de los sistemas deinformacin.

Se podra comparar esta fase con el IT governance, debido a que ambas piensan lossistemas con un enfoque estratgica del negocio. Por lo que, lo primero que el auditortiene que observar son las implementaciones de las actividades del IT governance.

Los documentos que se generan en esta etapa incluyen al plan de largo plazo, a laspolticas para los proyectos TI, al presupuesto para TI a corto y largo plazo, as como a losestudios de factibilidad preliminares y a las autorizaciones a los proyectos. Otrosdocumentos que ya deberan existir en este momentos son las propuestas de proyectos ylos calendarios de los mismos dentro la lista de proyectos aprobados.

Estos documentos denotan la existencia de una estructura formal para el desarrollo deproyectos de sistemas de informacin, enfocndose en la etapa del planeamiento eincluyendo a las actividades del IT governance. Los auditores informticos querrn verificarla presencia de esta etapa y revisar la documentacin para corroborar la efectividad de lamisma. Los mismos procedimientos de auditora se repetirn en las siguientes fases deldesarrollo de sistemas, por lo que no se har mencin de la verificacin del auditor en losprximos prrafos.

2. Anlisis del Sistema: En esta fase los profesionales TI recolectan la informacin necesariopara realizar los proyectos, especialmente se definen y se aprueban por el cliente losrequerimientos detallados de los sistemas. Estos requerimientos son procesados por losanalistas y los desarrolladores para crear los documentos de reporte de anlisis delsistema de informacin, que sern utilizados en las etapas posteriores. Toda estadocumentacin requiere revisin y aprobacin formal que ser verificada por el auditorinformtico.

3. Diseo Conceptual: En base al anlisis formal y escrito de los requisitos del sistema, secrea el diseo conceptual del mismo, el cual resume todas las visiones individuales de los
http://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S11_UseofRiskAssessmentStandardSpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S11_UseofRiskAssessmentStandardSpanishLMF.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_AuditMaterialityStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_AuditMaterialityStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_UsingWorkOtherAuditorStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_UsingWorkOtherAuditorStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_AuditEvidenceStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_AuditEvidenceStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S15_IT_Controls_Spanish_27May08.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S15_IT_Controls_Spanish_27May08.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S16_E-Commerce_Spanish_27May08.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S16_E-Commerce_Spanish_27May08.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S16_E-Commerce_Spanish_27May08.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S15_IT_Controls_Spanish_27May08.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_AuditEvidenceStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_UsingWorkOtherAuditorStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/ES_AuditMaterialityStandard13May06.pdfhttp://www.isaca.org/Content/ContentGroups/Standards2/Standards,_Guidelines,_Procedures_for_IS_Auditing/S11_UseofRiskAssessmentStandardSpanishLMF.pdf


16/41



analistas sobre cmo ser el sistema de informacin a desarrollar. Se pueden escribirvarios documentos, como los diagramas de flujo de datos y los modelos de

comportamiento.4. Evaluacin y Seleccin del Sistema: Aqu es donde los directivos y los profesionales TI

escogen, de entre las alternativas de los sistemas, cul cubrir mejor los requerimientosdel cliente y cumplir con la estrategia y las polticas corporativas.

Como parte del anlisis de alternativas de los sistemas, se llevan a cabo estudios defactibilidad ms exhaustivos y detallados, como por ejemplo:

Estudio de factibilidad tcnica, que estudia si la infraestructura TI existente permitela implementacin de una alternativa especfica.

Estudio de factibilidad legal, que examina las ramificaciones legales de cadaalternativa.

Estudio de factibilidad operacional, que verifica si los actuales procesos de negocio,los procedimientos organizaciones y las habilidades del personal son suficientespara satisfacer los requisitos de alguna alternativa.

Estudio de factibilidad del calendario, relacionado con la capacidad de laorganizacin para cumplir con el calendario requerido por cada alternativa. Todosestos estudios deben estar incluidos en el reporte de factibilidad.

Otros aspectos de esta etapa son los anlisis de costo-beneficios, que cuantifican loscostos y beneficios tangibles e intangibles, para finalmente llegar a una seleccin de lasalternativas de sistemas descripta en un reporte con los respectivos estudios.

5. Diseo Detallado: En este momento es cuando se desarrollan y documentan los detallesdel diseo conceptual del sistema. Ejemplos de documentos de diseo detallados son losdiagramas del UML, como los casos de uso, diagramas de entidad relacional, diagrama decomunicacin, de colaboracin, entre otros.

Otro tipo de documentos que tambin podra ser necesario crear en esta etapa, son losexmenes del sistema existente con los defectos encontrados en el mismo. Inclusive, en eldiseo detallado, se pueden escribir hasta los pseudo-cdigos de los programas acodificar. En Resumen, en esta etapa es donde se explican y documentan los pasos yprocedimientos que van a ser llevados a cabo para el desarrollo del sistema.

6. Programacin y Testeo del Sistema: El auditor informtico examina las herramientas deprogramacin y los procedimientos que posee la organizacin para la codificacin y el

testeo del software. Estas herramientas incluyen, entre otros, al tipo de programacin (si esorientado a objetos o estructurado), los procedimientos de calidad (revisin de pares,inspeccin de cdigo), la gestin de configuracin y versionado de los programas.

La etapa del test del sistema es el elemento de mayor importancia del SDLC. Y tambin elms cuestionado y comprimido por la gerencia de proyectos a la hora de reducir los costosdel proyecto. El auditor debe verificar que las pruebas de los sistemas se realicen demanera adecuada y con los recursos suficientes.

7. Implementacin del Sistema: Para poder implementar el sistema se debe contar con laaceptacin final y por escrita del cliente, ningn sistema debera implementase sin estaaceptacin. El auditor debe verificar que est incluida en la documentacin de esta fase.

El SDLC no concluye con la implementacin del sistema, sino que se realizan revisionespos-implementacin para verificar los costos y los beneficios finales del proyecto. Tambin


17/41



se revisa el diseo del sistema y se lo compara con el desempeo del sistemaimplementado, con el objetivo de verificar el grado de cumplimiento con los requerimientos.

Un punto fundamental de esta etapa es la verificacin de la documentacin del sistema,que ser entregada al equipo de mantenimiento y soporte del sistema. Estadocumentacin se debe confeccionar de conformidad con las mejores prcticas del SDLCy deben ser aprobadas por la gerencia de mantenimiento, quien ser responsable por elsistema luego de su implementacin.

8. Mantenimiento del Sistema: La correcta documentacin del sistema ayuda ms queconsiderable a su mantenimiento. En la industria del software aproximadamente el 80% delcosto y el tiempo se consumen en el mantenimiento, por lo que la documentacinproporciona una oportunidad no menor para reducir costos.

Adems del mantenimiento, el cliente realiza pedidos de cambios al sistema. Deben existir

procedimientos en la organizacin para la gestin de los cambios. Ellos deben seraprobados, desarrollados, testeados e implementados en el sistema, y la documentacininicial resulta de gran beneficio.


18/41



Figura 1. Etapas del SDLC con su documentacin asociada.ESTE TEMA DEBE SER PROFUNDIZADO EN EL CAPTULO 2 CONTROL INTERNO YAUDITORA INFORMTICA. PGINAS 25 A 44 DE LA BIBLIOGRAFA BSICA AUDITORAINFORMATICA - PIATTINI - DEL PESO(2 EDICIN AMPLIADA Y REVISADA)

3. Proceso de Auditora.La asociacin de contadores pblicos de los Estados Unidos, AICPA (sigla en ingls de

American Institute of Certified Public Accountants), dedicada a desarrollar estndares tcnicos yprofesionales, ha adoptado el estndar GAAS (sigla en ingls de Generally Accepted AuditingStandards) para los profesionales que se dedican a las tareas de auditora externa. Este modeloes el ms conocido y de mayor aplicacin en las auditoras financieras. Sin embargo, esteestndar puede ser aplicado a la auditora de sistemas de informacin con algunas adaptaciones


19/41



necesarias. Resulta de mucha utilidad aplicar los principios descriptos por el GAAS en cualquiertipo de auditora, los siguientes son sus puntos principalesxi:

Estndares Generales:

1. El auditor debe contar con la capacitacin tcnica y la competencia adecuada para realizarla auditora.

2. El auditor debe mantener la independencia en la actitud mental en todos los aspectosrelacionados con la auditora.

3. El auditor debe ejercer la debida profesionalidad en el desempeo de la auditora y en lapreparacin del informe.

Estndares de Trabajo de Campo:

1. El auditor debe planear debidamente el trabajo y supervisar correctamente a cualquier

asistente.2. El auditor debe obtener la necesaria comprensin de la entidad y de su entorno, incluyendo

su control interno.

3. El auditor debe obtener las suficientes evidencias mediante la realizacin deprocedimientos de auditora, para proporcionar una base razonable a su opinin sobre elmaterial auditado.

Estndares de Presentacin del Informe:

1. El auditor deber indicar en el informe, si las declaraciones se presentan de conformidadcon los principios aceptados por las mejores prcticas y normas aplicables.

2. El auditor debe determinar en el informe aquellas circunstancias en que tales principios nose han observado de forma consistente, en el perodo actual en relacin con el perodoanterior.

3. Cuando el auditor determina que la divulgacin informativa no es razonablementeadecuada, deber hacerlo constar en el informe.

4. En el informe, el auditor debe expresar una opinin respecto a las declaraciones auditadasen su conjunto, o declarar que una opinin profesional no puede ser expresada. Cuando elauditor no puede expresar una opinin general, debe exponer las razones de ello.

3.1. Etapas del Proceso de Auditora.Cada proceso de auditora contiene particularidades en los procedimientos a seguir

dependientes de la organizacin evaluada. Sin embrago, de manera general es posible agruparlas diversas actividades en tres etapas principales:

1. Planificacin: tambin llamada Diagnstico Preliminar o Programacin. Algunas de susactividades ms importantes incluyen una visita previa con un diagnstico preliminar,revisin de la documentacin de auditoras anteriores, creacin del plan de auditora,redaccin de cuestionarios de control interno y elaboracin del programa de auditora.

2. Ejecucin o trabajo de campo: sus actividades abarcan el anlisis de la organizacincliente con su sistema de control interno, la aplicacin de los procedimientos deauditora, la elaboracin de los papeles de trabajo y la comunicacin constante con ladireccin.

3. Conclusin: informe de resultado o reporte de la auditora. Incluye la preparacin ypresentacin de un informe borrador sobre hallazgos y recomendaciones, as como la


20/41



presentacin del reporte final que contendr un detalle de los hallazgos y lasrecomendaciones respectivas.

3.2. Etapa de Planificacin.El documento de la norma S5 Norma de Auditora de SI Planeacin, ISACA establece el

siguiente estndar:

El auditor de SI debe planear la cobertura de la auditora de sistemas de informacin para cubrirlos objetivos de la auditora y cumplir con las leyes aplicables y las normas profesionales deauditora.

El auditor de SI debe desarrollar y documentar un enfoque de auditora basado en riesgos.

El auditor de SI debe desarrollar y documentar un plan de auditora que detalle la naturaleza y losobjetivos de la auditora, los plazos y alcance, as como los recursos requeridos.

El auditor de SI debe desarrollar un programa y/o plan de auditora detallando la naturaleza, losplazos y el alcance de los procedimientos requeridos para completar la auditora.

La primera tarea que se debe realizar en un proceso de auditora, es establecer el contratoo acuerdo entre el auditor y la organizacin. Por supuesto que los trminos y caractersticas delmismo dependern del tipo de auditora, si es interna o externa y de la forma de trabajo de laorganizacin auditada.

Sin embargo, en cada caso debe definirse claramente cul ser el alcance y el objetivo deltrabajo, debe asentarse por escrito temas como la profundidad, la independencia y los entregablesde la auditora con fechas especficas. Adems, debe definirse con cunta responsabilidadcontar el auditor y cul ser el nivel autoridad que tendr para examinar la informacin

corporativa.Una vez cerrado el acuerdo para que se realice la auditora, el auditor debe lograr un

entendimiento de la organizacin y del entorno en que se encuentra. Para ello debe reunirinformacin acerca de la naturaleza de los sistemas de informacin, su administracin, gobierno,objetivos, estrategias y procesos de negocio. Debe revisar, en forma preliminar, las aplicacionesque sea significativas para obtener los datos a ser auditados. Esta informacin debe servirle debase al auditor para disea el plan de auditora.

3.2.1. Riesgos:

En especial la informacin recolectada debe ser de utilidad para conocer los riesgos de laauditora. Los principales riesgos a considerar incluyen al no contar con la informacin suficientepara lograr una opinin profesional representativa de la realidad, tambin el hecho de que la

corporacin no pueda cumplir con sus objetivos de negocio, y por ltimo la capacidad con quecuenta la empresa para responder a los mismos. En este punto, el auditor realiza un juiciopreliminar sobre los riesgos del cliente con el fin de establecer el alcance de la auditora y poderplanificarla. Podemos resumir los distintos tipos de riesgos de la siguiente manera:

Riesgo de Auditora: es el riesgo de llegar a una conclusin errnea en base a los resultados de laauditora. Abarca a los siguientes riesgos:

Riesgo Inherente: es la posibilidad de que las reas auditadas contengan errores que puedanmaterializarse en fallas, independientemente de la existencia de los sistemas de control. Esteriesgo se encuentra totalmente fuera del control del auditor y es propio de la operatoria del ente.Un ejemplo de riesgo inherente es la existencia en el sistema de una numerosa devolucin de unproducto, o la existencia de activos superados por la tecnologa que le quiten competitividad a laempresa.


21/41



Riesgo de Control: se refiere a que existan errores materializados, que no hayan podido serprevenidos ni detectados, debido fallas o debilidades en los controles realizados. Por ejemplo, la

inexistencia de procedimientos de autorizacin.Riesgos de Deteccin: es el riesgo de que una falla no sea detectada debido a la aplicacinincorrecta de un procedimiento por parte del auditor.

Con la estimacin de los riesgos el auditor est en una mejor posicin para justificar ycuantificar los recursos del plan de auditora. Adems, contando con el conocimiento obtenido delos riesgos, se puede priorizar las reas y procesos a revisar en la auditora.

3.2.2. Materialidad de la auditora:

Dentro del Estndar ISACA S12 podemos encontrar la siguiente descripcin del trminomaterializacin en las auditoras:

La debilidad en el control se considera material si la ausencia del mismo ocasiona que no existauna garanta razonable de que se cumplir con el objetivo de control.

Una debilidad clasificada como material implica lo siguiente:

Los controles no estn establecidos y/o los controles no son utilizados y/o los controles soninadecuados.

Puede producir un escalamiento.

Una debilidad material es una deficiencia importante o una combinacin de deficienciasimportantes que originan, con una probabilidad ms que remota, que un evento indeseado no seaprevenido o detectado.

Existe una relacin inversa entre materialidad y el nivel de riesgo de auditora aceptable para elauditor de SI; es decir, cuanto mayor sea el nivel de materialidad, menor ser la capacidad deaceptacin del riesgo de auditora, y viceversa. Esto permite al auditor de SI determinar lanaturaleza, los plazos y el alcance de los procedimientos de auditora. Por ejemplo, al planificar unprocedimiento especfico de auditora, el auditor de SI determina que la materialidad es menor,aumentando por lo tanto el riesgo de auditora. El auditor de SI querr entonces compensarlo yasea extendiendo la prueba de los controles (reducir la evaluacin del riesgo del control) oextendiendo los procedimientos de pruebas sustantivas (reducir la evaluacin del riesgo dedeteccin).

Con el objetivo de tratar de establecer el nivel de materialidad, el auditor tendr que auditarlos productos no financieros, tales como controles de acceso fsicos y lgicos, sistemas de gestinde personal, gestin de produccin, diseo, control de calidad, y similares.

Basndose en la materializacin para la planificacin de las actividades del plan, el auditorpuede identificar los objetivos de control que sean relevantes, y determinar cules tienen que serexaminados.

3.2.3. Presupuesto de la Auditora:

Como parte del planeamiento, el auditor prepara el presupuesto de la auditora que deberser aprobado por la gerencia de auditora, en el caso de una auditora interna, o por l direccin ogerencia del cliente en el caso de la auditora externa. Este presupuesto est basado en el tiempoque tomar todo el proceso, incluyendo temas como las entrevistas, reuniones informativas,capacitacin al personal auditor y preparacin del informe entre otros.

Un factor que impacta profundamente al presupuesto en el grado de riesgos que se vaya a

asumir en la auditora. Debido a que los recursos son escasos (tiempo, personal, dinero) no esposible econmicamente realizar un examen completo de toda la organizacin, sino que al definir


22/41



el alcance, se deber precisar el grado de efectividad y extensin que tendr la auditora. Mientrasms grande sea el alcance, ms confiable ser el resultado pero ms costoso el presupuesto. Se

debe llegar a un punto de consenso entre la confianza deseada y el dinero que se desea invertir.Para esta decisin se deben considerar, no solo las normas legales a cumplir con la auditora, sinotambin las repercusiones comerciales que podr tener en los clientes e inversores.

3.2.4. Plan de Auditora:

Una vez entendida la naturaleza de las actividades de la organizacin y conocidos losriesgos presentes, el entorno y los objetivos de la auditora, el auditor prepara el plan de auditorapropiamente. Este plan es el marco de referencia para todas las actividades de la auditora. Elauditor debe asegurarse que sea diseado de la manera ms efectiva y eficiente posible y debeabarcar los sistemas de informacin y sus objetivos, adems de cumplir con las leyes yestndares profesionales de auditora. Finalmente el plan deber ser aprobado por un comit deauditora si se haya formado o por la gerencia interesada en el proceso.

Resumiendo, el plan contiene el entendimiento del auditor sobre el cliente, los riesgospotenciales, un presupuesto de cmo se utilizarn los recursos y los procedimientos de auditora aseguir. El plan detalla los objetivos de la auditora y todos los pasos necesarios para asegurar quelos asuntos importantes sern cubiertos. Este plan resulta de ayuda fundamental para que auditorpueda tener xito en su proceso.

3.2.5. Ejemplo:

El siguiente es un ejemplo real resumido de una lista de verificacin, que se revisa durantelas sesiones de auditora en una organizacin dedicada al desarrollo de software:

Etapa: Planeamiento del Plan de Proyecto.

Ubicacin

de lasEvidencias

Comienzo del Proyecto:

Herramienta de Gestin de Proyecto (Project ManagmentPM) donde sedocumentan los supuestos, problemas y/o restricciones.

Documentar Alcance y Enfoque:

Evidencia que el alcance del proyecto ha sido revisado.

Evidencia que los requerimientos de alto nivel fueron revisados por el

equipo de proyecto Documentacin de cumplimiento de exportacin.

Evidencia que el diseo de la solucin de la aplicacin ha sido creadaantes que el proyecto comenzara o que las etapas de Definicin y Anlisisde la Arquitectura y Requerimientos se ha planeado como la primeraunidad de trabajo del proyecto.

Validar el Plan de Entrega a Soporte a Produccin:

Evidencia de un Plan de Entrega a Soporte a Produccin

Definir los Componentes de Gestin Cuantitativa:

Plan de Gestin Cuantitativa


23/41



Preparar los Componentes del PlanAplicacin:

Herramienta de PM donde se documenta el Plan de Gestin Riesgos. Evidencia de un Plan de Gestin del Equipo:

o Definicin de Roles y Responsabilidades.

o Plan de Desarrollo del Equipo.

o Plan de Asignacin.

o Plan de Reconocimientos.

Evidencia de un Plan de Anlisis de Causas.

Resultados de las Estimaciones:

Las Estimaciones, incluyendo los datos utilizados para soportar laconstruccin de las estimaciones.

Crear el Calendario del Proyecto:

Calendario del Proyecto.

Compromiso del Proyecto:

Evidencia que el Plan de Calidad ha sido revisado y aprobado por unexperto en calidad.

Evidencia que el Plan de Mtricas ha sido revisado y aprobado por unexperto en mtricas.

Evidencia que el Plan de Gestin de la Configuracin (CM) ha sidorevisado como parte de la documentacin del planeamiento del proyecto.

Evidencia que los directores han revisado y aprobado los compromisosidentificados en el plan del proyecto.

Etapa: Ejecucin del Plan del ProyectoUbicacin

de lasEvidencias

Implementar los Recursos del Proyecto: Personal del Proyectoplaneado vs. actual.

Adquisicin/Ubicacin de Recursosplaneado vs. actual.

Evidencia que, si los recursos no han estado disponibles como loplaneado, se han realizado acciones correctivas para enfrentar lasituacin.

Ejecucin del Plan de Gestin:

Evidencia que las lneas base de la gestin de la configuracin han sidoverificadas por el Plan de CM.


24/41



Resultados de la Gestin del Proyecto:

Evidencia de captura peridica del tamao del cdigo como LOC, FP,mdulos, POD, etc. cmo se haya definido en el Plan de Mtricas

Evidencia que el paso crtico del calendario del proyecto es medido ymonitoreado.

Etapa: Definicin y Anlisis de la Arquitectura y los RequerimientosUbicacin

de lasEvidencias

Documentacin de los Requerimientos:

Documentos de Requerimientos.

Evidencia de aprobacin de los Requerimientos por los Stakeholdersinternos y externos.

Establecimiento de la Arquitectura del Software:

Documentos del Diseo de la Arquitectura.

Estimaciones del tamao del trabajo.

Evidencia de aprobacin del cliente.

Validar el Diseo de la Solucin y de la Estrategia:

Evidencia de aprobacin de lderes internos.

Evidencia de aprobacin del cliente.

Etapa: Diseo de los Componentes de la Aplicacin.Ubicacin

de lasEvidencias

Validar la Arquitectura Tcnica:

Evidencia que muestre las propuestas a los cambios tcnicos a laarquitectura han sido documentados o que la arquitectura propuesta han

sido evaluada y no necesita cambios. Evidencia de los documentos del diseo de las interfaces de usuario.

Evidencia de los documentos del diseo de la estructura de loscomponentes de la aplicacin.

Construccin de las Especificaciones de Testeo:

Especificaciones de Test de Unidad.

Especificaciones de Test de Integracin

3.3. Etapa de Ejecucin.


25/41



En esta etapa el auditor comienza su trabajo de campo, para ello disea, selecciona,evala y documenta evidencias de la entidad analizada para cumplir el objetivo de la auditora.

Estas evidencias tienen que cumplir con las cualidades de ser suficientes, confiables y relevantes,a fin de que puedan ser correctamente interpretables y sean capaces de soportar adecuadamenteel anlisis del auditor. Una vez llegado a este punto, el auditor est capacitado para plasmar susconclusiones sobre los hallazgos en un informe. Lo siguiente es el estndar S6 de ISACA para laejecucin de la auditora:

S6 Ejecucin de la auditora:

Estndar:

SupervisinEl personal de auditora de SI debe ser supervisado para brindar una garantarazonable de que se lograrn los objetivos de la auditora y que se cumplirn las normasprofesionales de auditora aplicables.

EvidenciaDurante el transcurso de la auditora, el auditor de SI debe obtener evidenciasuficiente, confiable y pertinente para alcanzar los objetivos de auditora. Los hallazgos yconclusiones de la auditora debern ser soportados mediante un apropiado anlisis einterpretacin de dicha evidencia.

DocumentacinEl proceso de auditora deber documentarse, describiendo las labores deauditora realizadas y la evidencia de auditora que respalda los hallazgos y conclusiones delauditor de SI.

Todos los integrantes del equipo de auditora deben tener definidos sus roles yresponsabilidades antes de iniciarse el proceso, debe saber exactamente cules sern lasactividades que debern llevar a cabo y cul ser en grado de decisin que tendrn.

Cada actividad de la auditora debe seguir los procedimientos descriptos y documentadosen el plan de auditora, esta informacin ser de utilidad en aspectos como los objetivos yalcances de las tareas o del programa de pasos a seguir.

Al momento de efectuar cada actividad de la auditora, se debe ir registrando los detallesde las tareas realizadas en los documentos preestablecidos en el plan. Se deben registrar losdatos de las tareas, las decisiones tomadas, los pasos efectuados y los resultados obtenidos. Lasbuenas prcticas de auditora recomiendan que cada documento sea revisado por otro miembrodel equipo de auditora para evitar errores y mejorar la calidad del trabajo. La cantidad dedocumentacin registrada y el nivel de detalle de las mismas, debe ser de un nivel de calidad tal,que una tercera empresa tome los mismos documentos y pueda llegar a las mismas conclusionesy los mismos resultados realizando nuevamente los procedimientos de auditora.

A continuacin se analizarn los puntos fundamentales de la etapa de ejecucin.3.3.1. Auditora por Muestreo:

La auditora por muestreo se realiza cuando el auditor est incapacitado para verificar el100% de la poblacin entidad del cliente, generalmente debido al gran tamao de esta. Porejemplo, cuando se cuenta con un nmero elevado de tickets de soporte a produccin en unsistema bancario, tal que no pueda revisarse a todos en profundidad en el tiempo presupuestado.En estos casos el auditor debe disear la seleccin de una parte de los elementos para serauditados, la cantidad de los mismos se conoce estadsticamente como el tamao de la muestra.

Gran parte del xito de la auditora depender de la correcta seleccin del tamao de lamuestra, esta debe ser lo suficientemente grande para representar el comportamiento de la

poblacin, si exceder los recursos (tiempo, dinero, personal) disponibles. Adems, el tamao de lamuestra representa el riesgo que el auditor est dispuesto a correr, por el hecho de llegar a unaconclusin errnea si la muestra elegida contenga sesgos y no abarque al comportamiento real


26/41



del conjunto. Es decir, el riesgo consiste en que la conclusin del proceso realizada por muestreono sea el mismo que la conclusin a la que se llegara, si el proceso se hubiera realizado

analizando toda la poblacin. Este riesgo se puede dividir en: El Riesgo de una Aceptacin Incorrecta: el riesgo de que una evidencia se considere

aceptable, cuando en realidad es errnea.

El Riesgo de un Rechazo Incorrecto: el riesgo de que una evidencia se considereinaceptable, cuando en realidad es correcta.

Los siguientes son algunos mtodos para tratar de mitigar este riesgo:

Mtodos de Muestreo Estadstico:

1. Muestreo Aleatorio: con este mtodo nos aseguramos que todas las combinaciones posiblesde la poblacin contengan la misma probabilidad de ser seleccionados. Para mitigar el riesgo

de la conclusin errnea, se debe repetir varias veces este mtodo y as poder representarmejor a la poblacin.

2. Muestreo Sistemtico: para aplicarlo se debe dividir a la poblacin en intervalos, el primerintervalo se lo elige de manera aleatorio, y a partir de all se van seleccionando en formasistemtica las muestras con un intervalo fijo.

Mtodos de Muestreo No-Estadstico:

1. Muestreo al Azar: en este caso las muestras son escogidas sin seguir ningn patrn oestructura de seleccin.

2. Muestreo por Juicio: el auditor impone su juicio de experto para filtrar la seleccin, por ejemploescogiendo slo las muestras que se encuentren por arriba de cierto valor.

Algunas consideracin a tener en cuenta al momento de seleccionas las muestras son, porejemplo, elegir muestras donde se puedan llevar a cabo los procedimientos de auditoraplaneados. Tambin el comparar los resultados esperados con los obtenidos en las muestras paraidentificar picos o ruidos en los datos. Adems, se puede evaluar el nivel de riesgo existente en elmuestreo realizado. Por ltimo, el auditor debe tener en consideracin los aspectos cualitativos deresultados incorrectos, como ser,

El auditor debe llevar un registro de todo el proceso de muestreo, en l se indicarn temascomo cules fueron los objetivos del muestreo y cul fue la metodologa realizada. Tambin seregistrar la informacin pertinente a las fuentes de la poblacin, parmetros de seleccin, temsescogidos, detalles de las pruebas realizadas, y las conclusiones alcanzadas.

3.3.2. Recoleccin de la Evidencia:Al seguir los procedimientos documentados en el plan se obtiene informacin y otros

elementos que servirn como fundamentos para las conclusiones y resultados. Las evidencias sonpruebas que certifican el cumplimiento a procedimientos o normas establecidos para la actividadauditada. El estndar ISACA para las evidencias de las auditoras es el S14 y dice lo siguiente:

S14 Evidencia de auditora:

Estndar:

El auditor de SI debe obtener evidencias de auditora suficientes y apropiadas para llegar aconclusiones razonables sobre las que basar los resultados de la auditora.

El auditor de SI debe evaluar la suficiencia de las evidencias de auditora obtenidas durante lamisma.Los atributos que deben poseer las evidencias incluyen a:


27/41



La condicin: se resume en lo que es, es decir, describe a la situacin presente de laevidencia.

El criterio: se resume en lo que debe ser, son los estndares, normas o reglamentacionesque el objeto en estudio debera cumplir.

La causa: se resume en por qu sucedi, es el origen o motivo por el cual se produjo lasituacin actual del objeto.

El efecto: se resume en la diferencia entre lo que es y lo que debe ser, son lasconsecuencias que se produjeron en la organizacin.

Otra clasificacin de las cualidades que deben poseer estas pruebas o evidencias es:

3.3.2.1. Evidencia Relevante:

El hecho que la evidencia sea relevante significa que tenga relacin con el objetivo de laauditora que se est llevando a cabo. Por ejemplo, en una auditora de seguridad informtica notendr mucho sentido recolectar informacin sobre el plan de asignacin de recursos, quecorresponde a la auditora gestin de proyectos, pero si tendr sentido lgico verificar elcumplimiento a las polticas de acceso a los servidores.

3.3.2.2. Evidencia Apropiada:

La evidencia apropiada es la que influye en las conclusiones del auditor de una maneracualitativa. Incluye a los procedimientos realizados por el auditor, los resultados de los mismos, losdocumentos fuente (ya sean en formato electrnico o impresos en papel), los registros einformacin de corroboracin utilizados para apoyar la auditora y los hallazgos y resultados deltrabajo de auditora.

Adems, la evidencia apropiada es la que demuestra que el trabajo fue realizadocumpliendo con las normas, polticas y estndares aplicables.

3.3.2.3. Evidencia Fiable:

Son las evidencias vlidas y objetivas. El auditor tiene que analizar la fuente y lanaturaleza de cada la informacin recolectada para evaluar su fiabilidad. Estas evidencias poseenun nivel de confianza que depende de factores como: el formato (si se encuentra documentado enlugar de oral), la ubicacin de fuentes (si la obtiene el auditor o ya viene dado por el sistemaauditado), el grado de independencia de las fuentes y el grado de independencia del ente quemantiene y certifica la informacin recolectada.

3.3.2.4. Evidencia Suficiente:

Esta evidencia influye de manera cuantitativa en las conclusiones del auditor, es decir,soporta todas las preguntas materiales pertinente al objetivo y al alcance de la auditora. Comoadicional al estndar S14, ISACA aclara que la suficiencia es una medida de la cantidad deevidencias de auditora, mientras que lo apropiado es la medida de la calidad de la evidencia deauditora, estando ambos conceptos relacionados entre s. En este contexto, cuando se obtieneinformacin de la organizacin que es utilizada por el auditor de SI para realizar losprocedimientos de auditora, el auditor de SI debe tambin poner nfasis en la precisin ycompletitud de la informacin.

3.3.2.5. Procedimientos de Recoleccin y Tipos de Evidencias:

Recordemos que los procedimientos a seguir para recolectar las evidencias dependernde sistema de informacin auditado. Algunos procedimientos pueden ser:

Consultas: generalmente son entrevistas a empleados para averiguar las actividades querealizan.


28/41



Observacin: los auditores pueden mirar tanto la forma de trabajo del personal como laactividad del sistema informtico.

Inspeccin: es cuando se analiza la documentacin de la organizacin. Por ejemplo, en eldesarrollo de software el auditor puede examinar los repositorios de la gestin deconfiguracin y control de versiones, o puede confirmar que cada cambio cuente todas conlas aprobaciones requeridas por los procesos de calidad de la organizacin.

Monitoreo: ver los resultados o salidas de los procesos para analizar sus puntos de controly medir su desempeo o buscan posibles fallas.

Otros procedimientos incluyen a la consulta y confirmacin, repeticin de la ejecucin,repeticin del clculo, computacin, procedimientos analticos y otros procedimientos generalesaceptados.

La evidencia tambin puede ser catalogada de acuerdo con la forma en que es obtenida,podemos nombras los siguientes tipos de ev

Lectura Costos

Documents

Transcript of Lectura Costos