Chapter 1 (Information System Audit Process)

INSTITUTO TECNOLGICO LATINOAMERICANO
Auditora de Tecnologa de Informacin
Dr. Francisco Rafael Trejo Macotela
Reporte: Captulo 1 Proceso de Auditora de Sistema de Informacin
Adrian Hernndez Medina

Alejandra Ramrez Antonio
Beatriz Alicia Rivera Mendoza
24-Julio-2015
Contenido
Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin
1.
Introduccin......................................................................................................... 3
2.
Objetivo................................................................................................................ 3
3.
Proceso de Auditora de Sistema de Informacin.................................................3

3.1.
Referencia Rpida.......................................................................................... 3
3.2.
Gestin de la Funcin de Auditora de SI........................................................4
3.3.
Estndares y Directrices de Aseguramiento y Auditora de TI de ISACA........5
3.4.
Anlisis de Riesgos...................................................................................... 17
3.5.
Controles Internos........................................................................................ 18
3.6.
Realizacin de Auditoras de SI....................................................................19
3.7.
Autoevaluacin del Control..........................................................................39
3.8.
Cambios Emergentes en el Proceso de Auditora de SI................................41
4.
Conclusiones...................................................................................................... 43
5.
Bibliografa......................................................................................................... 43
6.
Lista de acrnimos............................................................................................. 43
1. Introduccin
El presente trabajo tiene como finalidad presentar el proceso de Auditora de
Sistemas de Informacin de CISA (Auditor Certificado de Sistemas de
Informacin) la cual es una certificacin que forma parte de las
certificaciones que ofrece ISACA (Asociacin de Auditora y Control en
Sistemas de Informacin). Este reporte nicamente contempla el primer
captulo del manual de preparacin para la certificacin CISA, en este
captulo se abarcan los temas generales que se tratan en todo el manual,
con la finalidad de que el aspirante a presentar el examen comprenda los
conceptos abordados en todo el manual
2. Objetivo
Mostrar un marco de referencia de la certificacin CISA.
3. Proceso de Auditora de Sistema de Informacin

3.1. Referencia Rpida
En este captulo se muestra el marco para realizar un Auditora de SI, que
incluye los requerimientos obligatorios relacionados con la misin y actividad
del auditor tal como se muestra en la Figura 1
Figura 1 Referencia Rpida
Los temas clave que se desarrollan en este captulo son los siguientes:
Roles y responsabilidades del auditor incluyen los resultados esperados
Independencia del proceso de auditora y nivel de autoridad
Requerimiento de planificacin independientemente de los objetivos
Enfoque relacionado a controles para tener claro el enfoque de la
auditora
Alcance, Trabajo de Campo y Ejecucin se deben incluir en los riesgos
de auditora
Evidencia de Auditoria para respaldar la credibilidad y los reportes de
auditora
Responsabilidad de auditora y nivel de conocimientos al considerar los
requerimientos legales que afectan la auditoria
Enfoque orientado a Riesgos debe estar de acuerdo con los estndares
y marcos de SI
Comprender la diferencia entre objetivos y procedimientos de control
3.2. Gestin de la Funcin de Auditora de SI
4
En la Figura 2 se describe la Gestin de la Funcin de auditora
Figura 2 Gestin de la Funcin de auditora
3.3. Estndares y Directrices de Aseguramiento y Auditora de TI de ISACA

3.3.1 Cdigo de tica Profesional de ISACA
ISACA establece este Cdigo de tica Profesional para guiar la conducta profesional
y personal de los miembros de la asociacin y/o de los portadores de la
certificacin.
Figura 3 Cdigo de tica Profesional de ISACA
3.3.2 MARCO GENERA DE ESTNDARES DE ASEGURAMIENTO Y AUDITORA

DE TI DE ISACA
El carcter especializado de la auditoria de SI, y de las habilidades y

conocimientos necesarios para llevar a cabo dichas auditorias, requieren
estndares aplicables globalmente que sean pertinentes de forma especfica
a la auditoria S.I. Una de las funciones ms importantes de ISACA es proveer
informacin (conjunto comn de conocimientos) para respaldar los
requerimientos de conocimiento.
Figura 4. Estndares de auditoria ISACA
3.3.3 Directrices de aseguramiento y auditoria de TI de ISACA

El objetivo de las directrices de aseguramiento y auditoria de TI de IASACA
es proporcionar
informacin adicional sobre como cumplir con los
estndares de aseguramiento y auditoria de TI de ISACA. El auditor de SI
debera:
Usar el juicio profesional para aplicarlo en auditorias especficas.

Poder justificar cualquier diferencia.
ndice de directrices de aseguramiento y auditoria de TI

G1 Uso del trabajo de otros Auditores,
con efecto a partir del 1 de marzo de
2008
G2 Requerimiento de Evidencia de
Auditoria, con efecto a partir del 1 de
mayo de 2008
G3 Uso de Tcnicas de Auditora

Asistidas por Computadora (CAATs), con
efecto a partir del 1 de marzo de 2008
G4 Contratacin de servicios externos

de actividades de SI para otras
organizaciones, con efecto a partir del 1
de mayo de 2008
G5 Estatuto de Auditora, con efecto a

partir del 1 de febrero de 2008
G6 Conceptos de materialidad para la

Auditora de Sistemas de Informacin,
con efecto a partir del 1 de mayo de
2008
7
G7 Debido Cuidado Profesional, con

G8 Documentacin de la Auditora, con

G9 Consideraciones de Auditora para

Irregularidades y Actos Ilegales,
vigentes a partir del 1 de septiembre
de 2008
G10 Muestreo de Auditora, con efecto a

partir del 1 de agosto de 2008
G11 Efecto de los Controles Generales

de SI, con efecto a partir del 1 de agosto
de 2008
G12 Relacin organizacional e

Independencia, con efecto a partir del 1
de agosto de 2008
G13 Uso de la Evaluacin de riesgos en

la Planificacin de la Auditora, con
efecto a partir del 1 de agosto de 2008
G14 Revisin de los sistemas de

aplicacin, vigente a partir del 1 de
diciembre de 2008
G15 Planificacin de la auditoria,

vigente a partir del 1 de mayo de 2010
G16 Efecto de Terceros en los controles

de TI de una Organizacin, con efecto a
partir del 1 de marzo de 2009
G17 Efecto del rol de No-Auditora sobre

la auditora de TI y la Garanta de la
Independencia del Profesional, vigente a
partir del 1 de mayo de 2010
G18 Gobierno de TI, vigente a partir del

1 de julio de 2002
G19 Irregularidades y Actos Ilegales,

Eliminada, 1 de septiembre de 2008
G20 Tcnicas de reporte, vigente a

partir del 16 de septiembre de 2006
G21 Revisin del Sistema de

planificacin de recursos de empresa
(ERP), vigente a partir del 16 de
septiembre de 2010
G22 Revisin del comercio electrnico

de empresa a cliente (B2C), vigente a
G23 Revisin del Ciclo de Vida de

Desarrollo de Sistemas (SDLC), con
efecto a partir del 1 de agosto de 2003
G24 Banca por Internet, con efecto a

G25 Revisin de Redes Privadas

Virtuales, con efecto a partir del 1 de
julio de 2004
G26 Revisin de Proyectos de

Reingeniera de Procesos de Negocio
(BPR), con efecto a partir del 1 de julio
de 2004
G27 Computacin Mvil, con efecto a

G28 Cmputo Forense, con efecto a

G29 Revisin Posterior a la

Implementacin, con efecto a partir del
1 de enero de 2005
G30 Competencia, con efecto a partir

del 1 de junio de 2005
G31 Privacidad, con efecto a partir del 1

de junio de 2005
G32 Revisin del Plan de Continuidad

del Negocio desde una Perspectiva de
TI, con efecto a partir del 1 de
septiembre de 2005
G33 Consideraciones Generales sobre el

Uso de Internet, con efecto a partir del 1
de marzo de 2006
G34 Responsabilidad, Autoridad y

Rendicin de cuentas, con efecto a
partir del 1 de marzo de 2006
G35 Actividades de seguimiento, con

G36 Controles Biomtricos, con efecto a

G37 Gestin de Configuracin, con

efecto a partir del 1 de noviembre de
2007
G38 Control de Acceso, con efecto a

G39 Organizaciones de TI, con efecto a

G40 Revisin de las Prcticas de Gestin

de Seguridad, vigente a partir del 1 de
diciembre de 2008
G41 Retorno sobre la inversin en

seguridad (ROSI) efectiva a partir del 1
de mayo de 2010
G42 Aseguramiento continuo, efectiva a

3.3.4 HERRAMIENTAS Y TCNICAS DE ASEGURAMIENTO DE AUDITORA DE

TI DE ISACA
Las herramientas y las tcnicas desarrolladas por a la Junta de Estndares de ISACA
proveen ejemplos de procesos que un auditor de SI posiblemente podra seguir en
un trabajo de auditoria. Para determinar si una herramienta y tcnica especfica es
apropiada, los auditores de SI deben aplicar su juicio profesional a la situacin
particular.
No es obligatorio que el auditor de SI siga estas herramientas y tcnicas, no
obstante, al seguir estos procedimientos el auditor tendr certeza de que est
siguiendo los estndares.
ndice de herramientas y tcnicas de aseguramiento y auditora de TI
10
Figura 5.
ndice de herramientas y tcnicas de aseguramiento y auditora de TI
11
3.3.5 RELACIONES ENTRE ESTNDARES, DIRECTRICES Y HERRAMIENTAS Y

TCNICAS
Los estndares definidos por ISACA deben ser cumplidos por el auditor de SI. Las
directrices proveen una gua sobre cmo puede el auditor implementar los
estndares en diversas asignaciones de auditoria. Las herramientas y tcnicas
proporcionan ejemplos de pasos que el auditor puede seguir en asignaciones de
auditoria especficas para implementar los estndares, no obstante, el auditor de SI
debe utilizar su juicio profesional al utilizar las directrices, las herramientas y las
tcnicas.
3.3.6 INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK (ITAF)
Figura 6. INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK
Seccin 2200Estndares Generales
12
Figura 7. Seccin 2200 Estndares Generales ISACA
Seccin 2400Estndares de Desempeo
13
Figura 8. Seccin 2400Estndares de Desempeo ISACA
Seccin 2600Estndares sobre Informes

Los estndares sobre la elaboracin de informes tratan los tipos de informe, los
medos de comunicacin y la informacin que se comunicaran.
Figura 9. Seccin 2600Estndares sobre Informes ISACA
Seccin 3000Directrices de Aseguramiento de TI
14
Figura 10. Seccin 3000Directrices de Aseguramiento de TI
Seccin 3200Temas relacionados con la empresa
Figura 11. Seccin 3200Temas relacionados con la empresa
15
Seccin 3400Procesos de gestin de TI
Figura 12. Seccin 3400Procesos de gestin de TI
Seccin 3600Procesos de aseguramiento y auditora de TI
16
Figura 13. Seccin 3600Procesos de aseguramiento y auditora de TI
Seccin 3800Gestin de aseguramiento y auditora de TI
17
Figura 14. Seccin 3800Gestin de aseguramiento y auditora de TI
3.4. Anlisis de Riesgos

El anlisis de riesgos es parte de la planificacin de auditora y ayuda a
identificar los riesgos y vulnerabilidades par que el auditor de SI pueda
determinar los controles necesarios para mitigar los riesgos.
En la Figura 3 se muestra el diagrama del proceso de evaluacin de Riesgos
18
Figura 15 Resumen de Proceso de Evaluacin de Riesgo
3.5. Controles Internos

Los controles internos normalmente estn constituidos por polticas,
procedimientos, prcticas y estructuras organizacionales implementadas
para reducir los riesgos de la organizacin.
Clase
Funcin
Ejemplos
Preventivos
Detecta los problemas antes de que aparezcan

Monitorean tanto la operacin como las entradas
Intentan predecir los problemas potenciales antes de que
ocurran y realizan ajustes
Evitan que ocurra un error
Detectivos
Utilizan controles que detectan e informan la ocurrencia de

un error, omisin o acto fraudulento
Emplean solo personal capacitado

Segregan funciones
Controlan acceso a instalaciones fsicas
Utilizan documentos bien diseados
Establecen procedimientos adecuados para la
autorizacin de transacciones
Completan verificacin de edicin programadas
Utilizan software de control de acceso a los
archivos
Utilizan software de encriptacin
Totales de comprobacin
Puntos de verificacin
Controles de eco en telecomunicaciones
Mensajes de error en etiquetas de cintas
Verificacin duplicada de clculos
19
Correctivo
Minimizar el impacto de una amenaza

Remediar problemas descubiertos
Identificar la causa de un problema
Corregir errores que surgen de un problema
Modificar los sistemas de procesamiento para minimizar
futuras ocurrencias del problema
Reporte de rendimiento peridico

Informes de cuentas vencidas
Planificacin de Contingencia
Procedimientos de respaldo
Procedimientos de nueva ejecucin
Figura 16 Controles Internos
3.6. Realizacin de Auditoras de SI

Para realizar una auditoria, se requieren varios pasos. Una planeacin
adecuada es el primer paso necesario para realizar auditorias de SI
efectivas.
20
Fig. 17 Se muestran los aspectos a realizar por un auditor
El proceso de auditoria incluye:

Definicin del alcance de la auditoria
Formulacin de objetivos
Realizacin de procedimientos
Revisin y evaluacin de evidencia
Elaboracin de conclusiones
Realizacin de reporte presentado a la gerencia.
21
Fig. 18 Se muestran las tcnicas de gestin de proyectos para realizar una auditoria
3.6.1 Clasificacin de Auditorias

Fig. 19 Se muestra la clasificacin de auditoria
22
3.6.2 Programas de Auditoria

El programa de trabajo de auditoria es la estrategia de auditoria y el plan de
auditoria, este identifica el alcance, los objetivos y los procedimientos de
auditoria para lograr evidencia suficiente, competente y confiable para
obtener y sustentar las conclusiones y opiniones de auditoria.
23
Fig. 20 Se muestran los procedimientos generales de auditora
El auditor de SI debe entender los procedimientos para la prueba y

evaluacin de los controles de SI.
24
Fig. 21 Muestra los procedimientos de pruebas y evaluacin de los controles de SI
3.6.3 Metodologa de la Auditoria

Una
metodologa
de
auditoria
es
un
conjunto
de
procedimientos
documentados de auditoria diseados para alcanzar los objetivos de

auditoria planificados
25
Fig. 22 Muestra una tabla con las fases de la auditoria
3.6.4 Auditoria basada en el riesgo

Un enfoque de auditoria basado en el riesgo esta generalmente adaptado
para desarrollar y mejorar el proceso de auditoria continua. En un enfoque
de auditoria basado en riesgos, los auditores de SI no se basan solo en el
riesgo, si no que tambin se basan en los controles internos y operativos as
como en sus conocimientos de la empresa o del negocio.
Al entender la naturaleza del negocio, los auditores de SI pueden identificar
y clasificar los tipos de riesgo que determinaran mejor el modelo de riesgo o
el enfoque para llevar acabo la auditoria.
3.6.5 Riesgo y materialidad de la Auditoria
26
El riesgo de auditoria puede ser definido como el riesgo que la informacin

pueda contener errores importantes que pueden pasar sin ser detectados
durante el curso de la auditoria
Fig. 23 Clasificacin de riesgos
El riesgo de auditoria se usa tambin a veces para describir el nivel de riesgo

que un auditor de SI esta preparado para aceptar durante una asignacin de
auditoria. Las consideraciones de materialidad, combinadas con una
comprensin del riesgo de auditoria, son conceptos esenciales para
planificar las reas que sern auditadas as como las pruebas especificas que
se llevaran a cabo en una auditoria determinada.
27
3.6.6 Evaluacin y tratamiento de riesgos
Las evaluaciones de riesgos deben identificar, cuantificar y priorizar los

riesgos contra criterios para aceptacin del riesgo y objetivos relevantes
para la organizacin. Los resultados deben guiar y determinar la accin
apropiada de a gerencia y las prioridades para gestionar los riesgos de
seguridad de la informacin y para implementar controles seleccionados
para proteger contra estos riesgos.
El alcance de una evaluacin de riesgos puede ser o bien toda la
organizacin, parte de la organizacin, un sistema de informacin individual,
componentes especficos del sistema, o servicios en los que esto es
practicable, realista y til.
28
Fig. 24 Tratamiento de riesgos
Los controles se pueden seleccionar a partir de este estndar u otro conjunto

de controles, o es posible disear nuevos controles para cubrir las
necesidades especificas de la organizacin.
3.6.7 Tcnicas de valoracin de riesgos
Al determinar cuales reas funcionales deberan ser auditadas, el auditor de
SI podra enfrentarse con una gran variedad de sujetos de auditoria. Cada
uno de ellos puede representar diferentes tipos de riesgo de auditoria. El
auditor de SI debera evaluar estos candidatos con diferentes riesgos para
determinar cuales son las reas de alto riesgo que debera ser auditadas.
Uno de estos enfoques de evaluacin de riesgos es un sistema de
puntuacin que es til para priorizar auditorias con base en una evaluacin
de factores de riesgo.
Los mtodos de evaluacin de riesgos pueden cambiar y desarrollarse
atreves del tiempo para satisfacer las necesidades de la organizacin. El
auditor de SI debera considerar el nivel de complejidad y detalle apropiados
para la organizacin que se este auditando.
3.6.8 Objetivos de la auditoria

Los objetivos de la auditoria se refieren a las metas especificas que deben
cumplirse por parte de la auditoria.
Los objetivos de auditoria se centran a menudo en validar que existen
controles internos para minimizar los riesgos del negocio y que estos
funcionen como se espera.
29
Un elemento clave en la planificacin de una auditoria de sistemas de

informacin es traducir los objetivos de auditoria bsicos y de amplio alcance
en objetivos especficos de auditoria de sistemas de informacin. El auditor
de SI debe tener una comprensin de cmo se pueden traducir los objetivos
generales de auditoria en objetivos especficos de control de los sistemas de
informacin.
De manera alternativa, un auditor de SI puede ayudar en la evolucin de la
integridad de los datos de un informe financiero, la cual es conocida como
prueba
sustantiva,
travs
de
tcnicas
de
auditoria
asistida
por
computadora.
3.6.9 Pruebas de cumplimiento vs Pruebas sustantivas

Las pruebas de cumplimiento consisten en recolctar evidencia con el
propositp de probar el cumplimiento de una organizacin con procedimientos
de control. Eso difiere de la prueba sustantiva, en la que la evidencia se
recoge para evaluar la integridad de transacciones individuales, datos u otra
informacin
Una prueba de cumplimiento determina si los controles estn siendo
aplicados de manera que cumplen con las polticas y los procedimientos de
gestin.
Es importante que el auditor de SI entienda el objetivo especifico de una
prueba de cumplimiento y del control que se esta probando.
Los auditores de SI podrn usar pruebas sustantivas para comprobar si ay
errores monetarios que afecten directamente a los saldos de los estados
financieros u otros datos relevantes de la organizacin.
30
3.6.10 Evidencias
La evidencia es cualquier informacin usada por el auditor de SI para
determinar si la entidad o los datos que estn siendo auditados cumplen con
los criterios u objetivos establecidos y soporta las conclusiones de auditoria.
La evidencia de auditoria puede incluir observaciones del auditor de SI, notas
de las entrevistas, material extrado de la correspondencia y documentacin
interna o los contratos con socios externos o los resultados de los
procedimientos de prueba de auditoria.
Fig. 25 Determinantes para evaluar la confidencialidad de la evidencia de la auditoria
El auditor de SI rene una variedad de evidencias durante la auditoria. Es

importante que los auditores de SI tengan una comprensin de las reglas de
31
la evidencia, ya que es posible que encuentren una variedad de tipos de

evidencia
Fig.26 Tcnicas para la recopilacin de evidencia
32
Los auditores de SI deberan reconocer que con las tcnicas de desarrollo de

sistemas, como la ingeniera de software asistida por computadora o
creacin de prototipos no se requerir la documentacin de sistemas
tradicionales o estar en una forma autorizada en vez de estar en papel.
3.6.11 Muestreo
El muestreo es usado cuando las consideraciones de tiempo y de costo
impiden una verificacin total de todas las transacciones o eventos en una
poblacin definida previamente.
Fig. 27 Tipos de muestreo de auditoria
Al utilizar mtodos de muestreo estadstico o no estadstico, el auditor de SI

debera
disear
seleccionar
una
muestra
de
auditoria,
ejecutar
33
procedimientos de auditoria y evaluar los resultados de la muestra para

obtener evidencia de auditoria suficiente , confiable, relevante y til.
Dentro de estos dos enfoques generales para muestreo de auditoria, existen
dos mtodos principales de muestreo usados por los auditores de SI:
muestreo de atributos y muestreo de variables.
Fig. 28 Mtodos de muestreo
Es importante saber que existen herramientas para analizar la totalidad de

los datos, no solo aquellas disponibles a travs de tcnicas de auditorias
asistidas por computadora.
3.6.12 Tcnicas de auditoria asistidas por computadora

Durante la ejecucin de la auditoria, el auditor de SI debe obtener evidencia
suficiente, relevante y til para lograr de manera efectiva los objetivos de la
auditoria. En la actualidad, los ambientes de proceamiento de informacin
34
plantean un duro desafio al auditor de SI para la recopilacin de evidencia

sufciente relevante y til ya que la evidencia existe en medios magnticos.
Las CAATs son herramientas impprtantes para el auditor de SI para recolectar
informacin de estos ambientes. Estas mismas incluyen numerosos tipos de
herramientas y tcnicas, tales como software de uso generalizo en auditoria
(GAS), entre otros.
El GAS se refiere al software estndar que tiene la capacidad de leer y
acceder a los datos directamente de diversas plataformas de BD, sistemas
de archivos planos y formatos ASCII.
Fig. 29 Funciones soportadas por GAS
Un auditor de SI debera ponderar el costo y los beneficios de las CAATs

antes de invertir esfuerzo, tiempo y gastos para comprarlos o desarrollarlos.
35
Fig. 30 Beneficios de las CAATs
La mayora de los CAATs proveen la descarga de los datos de produccin de

los sistemas de produccin a una plataforma independiente y luego proveen
la realizacin del anlisis a partir de la plataforma independiente, y
finalmente aislar los sistemas de produccin de cualquier impacto adverso.
3.6.13 Evaluacin de las fortalezas y debilidades
36
El auditor de SI revisara la evidencia recopilada durante la auditoria para

determinar si las operaciones revisadas estn bien controladas y son
efectivas. Normalmente un objetivo de control no se alcanza considerando
que un control es adecuado.
Por
el
contrario
el
auditor
de
SI
llevara
acabo
una
variedad
de
procedimientos de prueba y evaluara como estos se relacionan entre si. El

auditor de SI puede encontrar que no todos los procedimientos de control
estn establecidos pero debera de evaluar la totalidad de los controles
considerando las fortalezas y debilidades de los procedimientos de control.
3.6.14 Comunicacin de los resultados de la auditoria

La entrevista final llevada acabo al final de la auditoria, provee al auditor de
SI la oportunidad de discutir los hallazgos y las recomendaciones con la
gerencia.
37

Fig. 31 Puntos a considerar por el auditor para la entrevista final
Antes de comunicar los resultados de una auditoria a la alta direccin, el

auditor de SI debera discutir los hallazgos con el personal directivo de la
entidad auditada. El auditor de SI deber comunicar la diferencia entre el rol
de un auditor y un consultor, y prestar suma consideracin a como bridar
apoyo al auditado pudiera afectar adversamente la independencia del
auditor de SI.
3.6.15 Estructura y contenido del informe de auditoria

Los informes de auditoria son el producto final del trabajo de auditoria de SI
Fig. 32 Contenido del reporte de auditoria
38
El auditor de SI sin embargo, debera tomar la decisin final acerca de que

incluir o excluir del informe de auditoria. La gerencia del auditado evala los
hallazgos, estableciendo las acciones correctivas a tomar y plazos para su
implementacin. El auditor de SI debera discutir las recomendaciones y las
fechas planificadas de implementacin mientras esta en el proceso de emitir
el informe de auditoria.
Cuando sea apropiado el auditor de SI debera de comunicar prontamente los

hallazgos significativos a las personas adecuadas antes de la emisin del
informe. La comunicacin previa de hallazgos significativos no debera
alterar la intencin o el contenido de informe.
3.6.16 Implementacin de las recomendaciones por parte de la gerencia

Los auditores de SI deberan de estar consientes de que la auditoria es un
proceso continuo. El auditor de SI no es eficaz si se realizan las auditorias y s
emiten los informes. El plazo del seguimiento depender de la gravedad de
los hallazgos y estara sujeto al criterio del auditor de SI. Los resultados del
seguimiento se deberan comunicar a los niveles apropiados de la gerencia.
3.6.17 Documentacin de la auditoria
39
Fig. 33 Pasos de la documentacin de la auditoria
3.7. Autoevaluacin del Control

La autoevaluacin del control (CSA) puede definirse como una tcnica de la
direccin que asegura a las partes interesadas, los clientes y otros que el
sistema de control interno de la organizacin es segura.
La Figura 6 muestra Mtodo de implementacin del programa CSA
40
Figura 34 Mtodo de implementacin del programa CSA
En la siguiente tabla se muestra algunos aspectos relevantes de CSA

Caracterstica
Objetivo de CSA
Descripcin
Apalancar la funcin de auditora interna
cambiando algunas de las responsabilidades de
monitoreo.
Educan a la gerencia sobre el diseo y monitoreo
de los controles, en particular concentracin en
las reas de riesgo.
Beneficios de CSA
Deteccin temprana de riesgos

Controles internos mas efectivos y mejorados
Mayor conciencia de los empleados sobre los
objetivos de la organizacin
Empleados sumamente motivados
Mayor seguridad de las partes interesadas y
clientes
Reduccin del costo de control
Mayor comunicacin entre los mandos operativos
y la alta direccin
41
Desventajas de CSA
Podra confundirse con un remplazo de la funcin

de auditora
Se le considera una carga de trabajo adicional
No implementar las mejoras sugeridas podra
daar la moral de los empleados
Rol del auditor
Se considera que el rol del en CSAs ha mejorado
cuando el departamento de auditora establece
un programa de CSA
Impulsores
Combinacin de hardware y software para
tecnolgicos para el soportar la seleccin de CSA y un uso de un
programa CSA
sistema electrnico de reunin y apoyo para la
toma de decisiones
Figura 35 Caractersticas del programa CSA
El enfoque CSA, enfatiza la gestin y rendicin de cuentas sobre el desarrollo

y el monitoreo de los controles internos de los procesos de negocio sensibles
y crticos de una organizacin.
Un resumen de atributos o enfoques que distingue a cada uno de ellos se
describe en la Figura
Histrica Tradicional
CSA
Asigna
funciones/supervisa Empleados
personal
autoridad/responsables
con
Controlado por polticas y

reglas
Participacin
limitada
de
empleados
Inters reducido de las partes
interesadas
Auditores y otros especialistas
Encargados
informes
de
Mejora
continua/curva
de
aprendizaje
Participacin
y
capacitacin
extensivas a empleados
Inters extenso de las partes
interesadas
Los miembros del personal a todo
nivel, en todas las funciones, son los
principales analistas de control
elaborar Encargados de elaborar informes
Figura. 36 Atributos tradicionales y de CSA
3.8. Cambios Emergentes en el Proceso de Auditora de SI
42
El proceso de auditora de SI debe cambiar constantemente para mantener

el paso de las innovaciones en la tecnologa. Los temas para encarar estos
cambios emergentes incluyen reas tales como auditora integrada y
auditora continua.
La auditora Integrada exige un enfoque sobre el riesgo del negocio y una
motivacin por lograr soluciones creativas de control. Usar este enfoque
permite una sola auditora en una entidad con un informe completo. Ver
figura
Figura 37 Auditora Integrada
La auditora continua tiene como caractersticas un corto lapso de tiempo

entre los hechos a ser auditados y el informe de auditora
La figura 10 muestra las caractersticas de la auditora Integrada y la

auditora Continua
43
Figura 38 Auditora Integrada y Auditora Continua
44
4. Conclusiones
El xito de una empresa depende de la eficiencia de sus sistemas de
informacin, la auditoria de sistemas debe hacerse por gente altamente
capacitada, una auditora mal hecha puede acarrear consecuencias drsticas
para la empresa auditada, principalmente econmicas, de igual manera
deber comprender no slo la evaluacin de los equipos de cmputo, de un
sistema o procedimiento especfico, sino que adems habr de evaluar los
sistemas de informacin en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtencin de informacin.
La auditoria es de vital importancia para el buen desempeo de los sistemas
de informacin, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe
evaluar todo (informtica, organizacin de centros de informacin, hardware
y software).
Al final de la auditora, los auditores de SI preparan y entregan un informe
resumido para la empresa. El resumen del informe detalla todos los
hallazgos de la auditora. Esto incluye las discrepancias encontradas en la
presentacin de informes y el incumplimiento de las normas y reglamentos.
Los hallazgos del auditor ofrecen a la compaa una forma de corregir las
discrepancias y llegar a cumplir antes de que un cuerpo regulatorio lo
informe.
45
5. Bibliografa
ISACA. (2012). Manual de Preparacin al Examen CISA. ISACA
6. Lista de acrnimos
ISACA.- Information Systems Audit and Control Association (Asociacin de
Auditora y Control en Sistemas de Informacin).
CISA.- Certified Information Systems Auditor (Auditor Certificado de
Sistemas de Informacin).
GAS.- Software de uso Generalizado en Auditoria
CAATs.- Computer Aided Audit Tools
ITAF.- Information Technology Assurance Framework
SI.-Sistemas de Informacin
TI. Tecnologas de la Informacin
ITGC. Auditoria de Controles Generales de TI
46

Chapter 1 (Information System Audit Process)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chapter 1 (Information System Audit Process)

Uploaded by

Copyright:

Available Formats

INSTITUTO TECNOLGICO LATINOAMERICANO

Auditora de Tecnologa de Informacin

Dr. Francisco Rafael Trejo Macotela

Reporte: Captulo 1 Proceso de Auditora de Sistema de Informacin

Adrian Hernndez Medina

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Proceso de Auditora de Sistema de Informacin.................................................3

Gestin de la Funcin de Auditora de SI........................................................4

Estndares y Directrices de Aseguramiento y Auditora de TI de ISACA........5

Realizacin de Auditoras de SI....................................................................19

Autoevaluacin del Control..........................................................................39

Cambios Emergentes en el Proceso de Auditora de SI................................41

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

3. Proceso de Auditora de Sistema de Informacin

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 1 Referencia Rpida

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

En la Figura 2 se describe la Gestin de la Funcin de auditora

Figura 2 Gestin de la Funcin de auditora

3.3. Estndares y Directrices de Aseguramiento y Auditora de TI de ISACA

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 3 Cdigo de tica Profesional de ISACA

3.3.2 MARCO GENERA DE ESTNDARES DE ASEGURAMIENTO Y AUDITORA

El carcter especializado de la auditoria de SI, y de las habilidades y

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

Figura 4. Estndares de auditoria ISACA

3.3.3 Directrices de aseguramiento y auditoria de TI de ISACA

Usar el juicio profesional para aplicarlo en auditorias especficas.

ndice de directrices de aseguramiento y auditoria de TI

G3 Uso de Tcnicas de Auditora

G4 Contratacin de servicios externos

G5 Estatuto de Auditora, con efecto a

G6 Conceptos de materialidad para la

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

G7 Debido Cuidado Profesional, con

G8 Documentacin de la Auditora, con

G9 Consideraciones de Auditora para

G10 Muestreo de Auditora, con efecto a

G11 Efecto de los Controles Generales

G12 Relacin organizacional e

G13 Uso de la Evaluacin de riesgos en

G14 Revisin de los sistemas de

G15 Planificacin de la auditoria,

G16 Efecto de Terceros en los controles

G17 Efecto del rol de No-Auditora sobre

G18 Gobierno de TI, vigente a partir del

G19 Irregularidades y Actos Ilegales,

G20 Tcnicas de reporte, vigente a

G21 Revisin del Sistema de

G22 Revisin del comercio electrnico

G23 Revisin del Ciclo de Vida de

G24 Banca por Internet, con efecto a

G25 Revisin de Redes Privadas

G26 Revisin de Proyectos de

G27 Computacin Mvil, con efecto a

G28 Cmputo Forense, con efecto a

Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

G29 Revisin Posterior a la

G30 Competencia, con efecto a partir

G31 Privacidad, con efecto a partir del 1

G32 Revisin del Plan de Continuidad

G33 Consideraciones Generales sobre el

G34 Responsabilidad, Autoridad y

G35 Actividades de seguimiento, con