05 Contenido Auditoria Informatica V5
05 Contenido Auditoria Informatica V5
SEMANA 5
Proceso de auditoría
informática
Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni 1
ESTE
utilizarDOCUMENTO
los contenidos paraCONTIENE LAdeSEMANA
fines comerciales 5
ninguna clase.
2
ESTE DOCUMENTO CONTIENE LA SEMANA 5
ÍNDICE
3
ESTE DOCUMENTO CONTIENE LA SEMANA 5
PROCESO DE AUDITORÍA INFORMÁTICA
OBJETIVOS ESPECÍFICOS
Comprender el proceso de auditoría informática considerando sus características,
objetivos y procesos auditables.
INTRODUCCIÓN
Para realizar una auditoría se requieren varios pasos. Una planificación adecuada es el primero de
ellos si se quiere implementar una auditoría informática efectiva. Para usar adecuadamente los
recursos de auditoría informática, las organizaciones de auditoría deben evaluar todos los riesgos
de las áreas generales y sus servicios relacionados, y luego desarrollar un programa que
comprenda objetivos y procedimientos que satisfagan los objetivos de auditoría. El proceso
requiere que el auditor informático recolecte evidencia, evalúe las fortalezas y debilidades de los
controles basándose en la evidencia reunida a través de pruebas de auditoría, y prepare un
informe que presente a la gerencia en una forma objetiva dichos asuntos (debilidades de las áreas
de control con recomendaciones para su solución).
La gerencia de auditoría debe asegurarse de que haya disponibilidad de recursos adecuados y una
agenda para llevar a cabo las auditorías y, en el caso de una auditoría interna, realizar revisiones
de seguimiento respecto al avance de las acciones correctivas emprendidas por la gerencia. El
proceso incluye la definición del alcance, la formulación de los objetivos, la realización de los
procedimientos, la revisión y evaluación de la evidencia, la elaboración de conclusiones y
opiniones, y el reporte a la gerencia después de la discusión con los dueños clave del proceso.
4
ESTE DOCUMENTO CONTIENE LA SEMANA 5
1. PROCESO DE AUDITORÍA INFORMÁTICA
1.1. CARACTERÍSTICAS
De acuerdo a Benítez (2013), el proceso de auditoría informática se basa tanto en el análisis de
riesgos, que sirve de insumo para evaluar y validar la calidad de los controles implementados por
el auditado, como en el marco legal y normativo de la organización. Es importante señalar que
durante el proceso se valora tanto la perspectiva del auditor como la del auditado; aspecto que
debe ser considerado por los profesionales de auditoría de tecnologías de información (TI) como
un punto a favor de la mejora continua.
La auditoría de TI no debe llevarse a cabo únicamente por una necesidad de cumplimiento sino
que también como parte de un proceso de optimización y mejora continua. Las organizaciones no
deben ver sus problemas como tal, sino como oportunidades que se pueden a orientar hacia
actividades que contribuyan al direccionamiento estratégico de la institución.
Antes de dar inicio a los trabajos de auditoría es preciso entender y conocer la organización.
Puntos relevantes como el giro del negocio, misión, visión y su direccionamiento estratégico
deben ser conocidos por el auditor para priorizar el enfoque en concordancia con el negocio.
En lo que refiere al auditor de tecnologías, es importante que este conozca el nivel jerárquico que
ocupan los responsables de las políticas de tecnologías de información.
Un instrumento que facilita esto es el organigrama.
De acuerdo a Benítez (óp. cit.), los aspectos mínimos que se pueden incluir en este tópico son:
Reseña histórica.
Misión.
Visión.
Estrategias.
Organigrama.
5
ESTE DOCUMENTO CONTIENE LA SEMANA 5
1.2. OBJETIVOS
De acuerdo a Muñoz (2002), los objetivos principales de un proceso de auditoría de sistemas son:
Hacer una evaluación sobre el uso de los recursos financieros en las áreas del centro de
información, así como del aprovechamiento del sistema computacional, sus equipos
periféricos e instalaciones.
Realizar la evaluación de las áreas, actividades y funciones de una compañía, contando con
el apoyo de los sistemas computacionales, de los programas especiales para auditoría y de
las herramientas de software que sirven de soporte para el desarrollo de auditorías por
medio de la computadora.
De acuerdo a Davis y Schiller (2011), en primer lugar, se debe determinar qué funciones de TI
están centralizadas. Por ejemplo, si existe un área que administra el entorno de servidores Unix y
Linux, una posible auditoría podría ser la revisión de la gestión de esta área. Esto podría incluir
procesos administrativos tales como gestión de cuentas, gestión de cambios, gestión de
problemas, administración de parches, control de seguridad, entre otros. Otro ejemplo podría
incluir una revisión de seguridad de la línea base utilizada por esta área para la implementación de
nuevos servidores. Esta auditoría podría cubrir todos los procesos que se aplican a todo el entorno
6
ESTE DOCUMENTO CONTIENE LA SEMANA 5
de servidores Unix y Linux. Se debe comprender el entorno lo suficientemente bien como para
determinar qué funciones son centralizadas, y añadir esas funciones al universo de procesos
auditables.
De acuerdo a Davis y Schiller (óp. cit.), algunos ejemplos de procesos TI centralizados son:
Operaciones de mainframe.
Después de crear una lista de procesos de TI centralizados, se deben determinar los procesos
descentralizados de TI. Estas auditorías podrían consistir en la revisión de controles TI como la
seguridad física de los centros de datos, incluyendo los controles ambientales.
También es posible realizar una auditoría para cada aplicación empresarial. En estos casos, se
deben determinar los aspectos relevantes del sistema, tales como una revisión del servidor en el
que la aplicación reside, los controles de cambio de software del sistema, el sistema de plan de
recuperación ante desastres, entre otros.
7
ESTE DOCUMENTO CONTIENE LA SEMANA 5
(cumplimiento, confiabilidad), el servicio y la capacidad. El programa de trabajo de auditoría es la
estrategia de auditoría y el plan de auditoría, en el que se identifica el alcance, los objetivos y los
procedimientos de auditoría para lograr evidencia suficiente, competente y confiable para obtener
y sustentar las conclusiones y opiniones de auditoría.
De acuerdo a Isaca (2014), los procedimientos generales de auditoría son los pasos básicos en la
ejecución y habitualmente incluyen lo siguiente:
EVALUACIÓN DE RIESGOS
Esta actividad se enmarca en la identificación y evaluación preliminar de los riesgos
inherentes, es decir, sin considerar controles. De los objetivos de cada proceso, subproceso o
hito a revisar (sujeto/entidad auditable), se derivarán los riesgos relevantes que el auditor
debe determinar, esto es, identificar los hechos o acontecimientos no deseados que
provoquen incumplimiento de los objetivos y metas específicas del proceso, subproceso o hito
que está en revisión. Una consideración importante es que dado que se trata de una
evaluación preliminar de riesgo, es probable que en esta etapa no se cuente con información
suficiente del sujeto/entidad auditable que permita aplicar criterios cuantitativos.
8
ESTE DOCUMENTO CONTIENE LA SEMANA 5
Evaluación y documentación de resultados.
Reunión de cierre.
Determinar qué controles deberán ser probados (para evaluar la eficacia operativa de
los controles).
9
ESTE DOCUMENTO CONTIENE LA SEMANA 5
Identificar oportunidades de mejoras relacionadas con el modelo de controles (por
ejemplo: controles inefectivos, redundantes, vacíos de control, inadecuada
segregación de funciones, etc.).
Los controles evaluados a nivel de diseño como óptimos o buenos son aquellos que deben
ser posteriormente testeados y aquellos evaluados como regulares o deficientes en su
diseño deberán documentarse para ser incluidos directamente en el reporte de auditoría,
junto con el acuerdo y plan de acción correspondiente, esto dado que no se justifica
realizar pruebas sobre un control que no está diseñado de manera adecuada para mitigar
el riesgo relacionado.
10
ESTE DOCUMENTO CONTIENE LA SEMANA 5
Algunos ejemplos de pruebas de cumplimiento de controles en las cuales se pueden
considerar las muestras incluyen derechos de acceso de usuarios, procedimiento de control de
cambio de programas, procedimientos de documentación, documentación de programas,
excepciones de seguimiento, revisión de registros (logs), auditoría de licencia de software, etc.
Este tipo de pruebas permite verificar el grado de confiabilidad de los sistemas de información
que apoyan al sujeto o proceso auditado. Se suelen realizar mediante observación, cálculos,
muestreo, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la
exactitud, integridad y validez de la información.
Existe una correlación directa entre el nivel de los controles internos y la cantidad de pruebas
sustantivas requeridas. Si los resultados de las pruebas a los controles (pruebas de
cumplimiento) revelaran la presencia de controles internos adecuados, entonces el auditor
informático tiene una justificación para minimizar los procedimientos sustantivos. Por el
contrario, si la prueba a los controles revelara debilidades en los controles que podrían
generar dudas sobre la completitud, exactitud o validez de las cuentas, las pruebas sustantivas
pueden responder esas dudas. El auditor puede también decidir, durante la evaluación
preliminar de los controles, incluir algunas pruebas sustantivas si los resultados de esta
evaluación preliminar indican que los controles implementados no son confiables o no existen.
Algunos ejemplos de pruebas sustantivas en las cuales se pueden considerar las muestras
incluyen el desempeño de un cálculo complejo (por ejemplo, interés) en una muestra de
cuentas o una muestra de transacciones para garantizar una documentación de respaldo, etc.
11
ESTE DOCUMENTO CONTIENE LA SEMANA 5
REPORTE (COMUNICACIÓN DE RESULTADOS)
Esta etapa permite concluir el efecto de las inexistencias o vacíos de control en el sujeto o
proceso bajo revisión, debilidades a nivel de diseño y de operación de los controles evaluados
durante la ejecución de la auditoría. Los resultados deben ser discutidos con el dueño o
principal responsable del sujeto o proceso auditado, con el propósito de asegurar un
entendimiento común y que permitan efectuar las mejoras y entregar acuerdos consistentes
con los objetivos del trabajo. El auditor a cargo debe estar lo suficientemente preparado al
momento de presentar los hallazgos y contar con la evidencia suficiente, con el propósito de
evitar discrepancias o cualquier interacción que evite llegar con fluidez a los acuerdos. Como
resultado de la reunión, el auditor a cargo puede recabar antecedentes que impliquen la
aplicación de procedimientos adicionales para profundizar la revisión de una materia
determinada y de esta manera, ratificar o descartar un hallazgo.
El auditor informático debe entender los procedimientos para la prueba y evaluación de los
controles de los sistemas de información. Estos procedimientos pueden incluir lo siguiente:
12
ESTE DOCUMENTO CONTIENE LA SEMANA 5
Observación y consultas.
Inspección y verificación.
3. METODOLOGÍA DE AUDITORÍA
De acuerdo a Isaca (2014), una metodología de auditoría es un conjunto de procedimientos
documentados de auditoría diseñados para alcanzar los objetivos de auditoría planificados. Sus
componentes son una declaración de alcance, una declaración de los objetivos de la auditoría y
una declaración de los programas de auditoría.
La metodología de auditoría debe ser establecida y aprobada por la gerencia de auditoría para
lograr consistencia en el enfoque. Esta metodología debe ser formalizada y comunicada a todo el
personal de auditoría.
Un producto inicial y crítico del proceso de auditoría debe ser un programa de auditoría que sea
una guía para la ejecución y documentación de todos los pasos siguientes y la extensión y tipo de
evidencia revisada.
Cada departamento de auditoría debe diseñar y aprobar una metodología, así como también los
pasos mínimos a ser observados en cualquier asignación.
Según Isaca (óp. cit.), las fases típicas de una auditoría son las siguientes:
13
ESTE DOCUMENTO CONTIENE LA SEMANA 5
cambios de programa anterior, el enunciado
del alcance podría limitar la revisión a solo un
sistema de aplicación o a un periodo limitado.
Planificación de preauditoría Identificar habilidades y recursos técnicos
necesarios.
Identificar las fuentes de información para las
pruebas o exámenes, como diagramas de
flujo funcionales, políticas, normas,
procedimientos y papeles de trabajo
anteriores a la auditoría.
Identificar las localidades o instalaciones que
serán auditadas.
Procedimientos de auditoría y pasos para Identificar y seleccionar el enfoque de
recolección de datos auditoría para verificar y comprobar los
controles.
Identificar una lista de individuos que serán
entrevistados.
Identificar y obtener las políticas, estándares
y directrices departamentales para realizar la
revisión.
Desarrollar herramientas y metodología de
auditoría para probar y verificar el control.
Procedimientos para evaluar los Específico de la organización.
resultados de la prueba o revisión
Procedimientos para las comunicaciones Específico de la organización.
con la gerencia
Preparación del reporte de auditoría. Identificar los procedimientos de seguimiento
de la revisión.
Identificar los procedimientos para
evaluar/probar la eficiencia y efectividad
operacional.
Identificar los procedimientos para probar los
controles.
Revisar y evaluar la calidad de los
documentos, políticas y procedimientos.
Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de auditoría deben estar
debidamente documentados en papeles de trabajo.
Los papeles de trabajo se pueden considerar como los puentes o interfaces entre los objetivos y el
informe final de auditoría. Estos deben proporcionar una transición impecable, con trazabilidad y
14
ESTE DOCUMENTO CONTIENE LA SEMANA 5
respaldo del trabajo realizado, desde los objetivos hasta el informe y desde el informe hacia los
objetivos. El reporte de auditoría, en este contexto, puede ser visualizado como un papel de
trabajo particular.
COMENTARIO FINAL
En esta semana se revisó el concepto de proceso de auditoría de sistemas, identificando cuáles
son sus características y los distintos objetivos que pueden ser planteados, lo cual dependerá del
alcance que se le quiera dar. También se identifican los distintos procesos que pueden ser sujetos
de una auditoría, entre ellos: procesos descentralizados TI, procesos centralizados TI, aplicaciones
empresariales, o el cumplimiento de ciertas normas o regulaciones específicas.
También se revisaron los principales pasos que se deben cubrir en un programa de auditoría
informática, incluyendo la planificación de pruebas de cumplimiento y pruebas sustantivas.
Finalmente, se revisaron los principales componentes de una metodología de auditoría, lo cual
incluye la declaración de objetivo, alcance y programa específico de auditoría.
El programa de auditoría constituye una guía permanente para los auditores en el desarrollo y
supervisión del trabajo, y además provee información relacionada al contenido, la planificación y
los recursos que serán necesarios para el desarrollo del mismo.
15
ESTE DOCUMENTO CONTIENE LA SEMANA 5
REFERENCIAS
Benítez, G. (2013). Proceso de auditoría – Auditoría de sistemas. Recuperado de
http://www.ingenieriasystems.com/2013/01/auditoria-de-sistemas-proceso-de.html
Davis, C. & Schiller, M. (2011). IT Auditing, Using Controls to Protect Information Assets. Segunda
Educación.
16
ESTE DOCUMENTO CONTIENE LA SEMANA 5
17
ESTE DOCUMENTO CONTIENE LA SEMANA 5