GUIA 0 - ACTIVIDAD EXTRATUTORIAL - RESUMEN: LA FORMALIZACIÓN

DEL PROCESO DE GESTIÓN DE AUDITORIA DE TI

LEONOR ESTELA BURBANO BURBANO

PROFESROR:
MARIO FERNANDO MAYORGA GALARZA

UNIVERSIDAD ANTONIO NARIÑO

ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS – SEDE VIRTUAL
GERENCIA DEL PROYECTO DE AUDITORIA DE SISTEMAS
2019
 La Formalización Del Proceso De Gestión De Auditoría De TI

En el documento presentado en el año 2012, por sus autores: Tiago Rosario, Rubén
Pereira y Mira Miguel da Silva, del Instituto Técnico Superior de la Universidad
Técnica de Lisboa, se pone en conocimiento el análisis realizado sobre los marcos
normativos, estándares y metodologías existentes, que regulan el quehacer de la
auditoría de sistemas; en este se determinan la etapa y actividades de este proceso
en donde les son aplicables, con el objeto de obtener una aproximación a la
formalización del proceso auditor.
Como problemática, se plantea para la época de su publicación, la existencia de un
sinnúmero de regulaciones tanto externas, como necesidades de control interno, los
cuales requieren ser armonizados para definir unos parámetros adecuados a nivel
de complejidad y costo a la hora de llevar a cabo el proceso de auditoría de
sistemas.
El proceso debe analizarse en todos sus aspectos: Dominio, fases de la auditoría,
papeles de trabajo y principales actividades de la gestión de auditoría de TI.
En el análisis de la literatura relacionada con las regulaciones que aplican a la
auditoría de TI, se aclaran los conceptos de a) Cumplimiento: entendida como el
apego de las organizaciones a los reglamentos internos y externos de tipo legal y
contractual; b) Auditoría: como la actividad de verificación independiente y objetiva
de los procesos y de la gestión de riesgos que busca propiciar el mejoramiento de
la organización; c) Seguridad: examen objetivo de las pruebas sobre la eficiencia y
eficacia de las políticas de la organización; d) Evaluación de riesgos: se define como
la manera de estimar la probabilidad y consecuencias de los eventos negativos.
En el contexto de TI, el cumplimiento está directamente relacionado con garantizar
que las aplicaciones e infraestructura tecnológica, cumplen con todos los requisitos
de cumplimiento y control que rigen cada uno de los productos o servicios
prestados.
En este orden de ideas la auditoría de sistemas, como proceso sistemático,
independiente y documentado, realiza la verificación de cumplimiento con base en
criterios de auditoría definidos tanto en políticas, procedimientos y requisitos de la
organización, como en normas, estándares, metodologías y marcos de control. Así
mismo, se constituye en el punto de partida para emprender las acciones atinentes
a garantizar la seguridad de la información, base para la toma de decisiones de la
organización.
La propuesta presentada por los autores, analiza cada fase, sub-fase y actividades
específicas de la auditoría en el contexto de los marcos de referencia, determinando
cuáles deben ser tenidos en cuenta en el momento de verificar la existencia y
efectividad de los controles.
Un ejemplo de los resultados obtenidos, es la tabla No. 2 de la página 4, en donde
se observan, fases, sub fases y marcos/referencias, evidenciando que estos se
solapan entre sí, por lo cual el trabajo de verificación de los controles se torna
engorroso. En otra tabla del documento se presenta un nivel más detallado de
análisis de los marcos de referencia, en donde se consolida su aplicación en cada
actividad específica de la ejecución de la auditoría; sin embargo no se encuentran
agrupadas por las fases respectivas.

Los autores plantean una propuesta de formalización del proceso de administración

de auditorías de TI utilizando la notación BPMN migrada al lenguaje de
modelamiento YAWL net, que les permitió realizar análisis del proceso planteado.

Adicionalmente, al análisis de la literatura existente relacionada con los marcos de

referencia, el artículo presenta el resultado de entrevistas adelantadas a altos
ejecutivos que cuentan con experiencia en áreas de Sistemas de información,
gobierno de TI, Gestión de proyectos, gestión de TI, Riesgo y cumplimiento y
Normas y operaciones.
Como resultado de estas, obtuvieron las siguientes conclusiones respecto al
quehacer de las auditorías de sistemas:
1. Asegurar una buena selección de los procedimientos requeridos
 2. Requerir la ejecución de auditorías externas independientes con el fin de
evaluar el sistema de gestión de riesgos interno.
3. Presentación eficiente de informes: incluyendo de manera concreta los
resultados, problemas detectados y plan de acción.
4. Llevar a cabo la recopilación de toda la información necesaria que sirva de
evidencia.
5. Mantener independencia entre los procesos de auditoría interna y externa.

Finalmente el documento presenta una consolidación de los resultados obtenidos

en las entrevistas con el proceso propuesto, de acuerdo al análisis de los marcos
de referencia; en este se determina qué tareas del proceso planteado se deben
adelantar para cumplir con los requerimientos obtenidos en las entrevistas.

De esta manera concluyen que el proceso construido desde el fundamento teórico

es validado por la experticia de las personas entrevistadas, con lo cual se sustenta
que el proceso de gestión de auditoría de TI propuesto en el documento, es una
base importante en su formalización.

En la página 6 se encuentra la figura 3. IT Audit Management Process, de la cual

se extrae una sección como ejemplo de la propuesta presentada por los autores: