Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de
Informacin
INSTITUTO TECNOLGICO LATINOAMERICANO
Auditora de Tecnologa de Informacin
Dr. Francisco Rafael Trejo Macotela
Reporte: Captulo 1 Proceso de Auditora de Sistema de
Informacin
Adrian Hernndez MedinaAlejandra Ramrez AntonioBeatriz Alicia
Rivera Mendoza
24-Julio-2015Contenido
1.Introduccin32.Objetivo33.Proceso de Auditora de Sistema de
Informacin33.1.Referencia Rpida33.2.Gestin de la Funcin de Auditora
de SI43.3.Estndares y Directrices de Aseguramiento y Auditora de TI
de ISACA53.4.Anlisis de Riesgos173.5.Controles
Internos183.6.Realizacin de Auditoras de SI193.7.Autoevaluacin del
Control393.8.Cambios Emergentes en el Proceso de Auditora de
SI414.Conclusiones435.Bibliografa436.Lista de acrnimos43
1. Introduccin
El presente trabajo tiene como finalidad presentar el proceso de
Auditora de Sistemas de Informacin de CISA (Auditor Certificado de
Sistemas de Informacin) la cual es una certificacin que forma parte
de las certificaciones que ofrece ISACA (Asociacin de Auditora y
Control en Sistemas de Informacin). Este reporte nicamente
contempla el primer captulo del manual de preparacin para la
certificacin CISA, en este captulo se abarcan los temas generales
que se tratan en todo el manual, con la finalidad de que el
aspirante a presentar el examen comprenda los conceptos abordados
en todo el manual
2. Objetivo
Mostrar un marco de referencia de la certificacin CISA.
3. Proceso de Auditora de Sistema de Informacin
3.1. Referencia RpidaEn este captulo se muestra el marco para
realizar un Auditora de SI, que incluye los requerimientos
obligatorios relacionados con la misin y actividad del auditor tal
como se muestra en la Figura 1
Figura 1 Referencia Rpida
Los temas clave que se desarrollan en este captulo son los
siguientes: Roles y responsabilidades del auditor incluyen los
resultados esperados Independencia del proceso de auditora y nivel
de autoridad Requerimiento de planificacin independientemente de
los objetivos Enfoque relacionado a controles para tener claro el
enfoque de la auditora Alcance, Trabajo de Campo y Ejecucin se
deben incluir en los riesgos de auditora Evidencia de Auditoria
para respaldar la credibilidad y los reportes de auditora
Responsabilidad de auditora y nivel de conocimientos al considerar
los requerimientos legales que afectan la auditoria Enfoque
orientado a Riesgos debe estar de acuerdo con los estndares y
marcos de SI Comprender la diferencia entre objetivos y
procedimientos de control
3.2. Gestin de la Funcin de Auditora de SIEn la Figura 2 se
describe la Gestin de la Funcin de auditora
Figura 2 Gestin de la Funcin de auditora
3.3. Estndares y Directrices de Aseguramiento y Auditora de TI
de ISACA3.3.1 Cdigo de tica Profesional de ISACA
ISACA establece este Cdigo de tica Profesional para guiar la
conducta profesional y personal de los miembros de la asociacin y/o
de los portadores de la certificacin.
Figura 3 Cdigo de tica Profesional de ISACA
3.3.2 MARCO GENERA DE ESTNDARES DE ASEGURAMIENTO Y AUDITORA DE
TI DE ISACAEl carcter especializado de la auditoria de SI, y de las
habilidades y conocimientos necesarios para llevar a cabo dichas
auditorias, requieren estndares aplicables globalmente que sean
pertinentes de forma especfica a la auditoria S.I. Una de las
funciones ms importantes de ISACA es proveer informacin (conjunto
comn de conocimientos) para respaldar los requerimientos de
conocimiento.
Figura 4. Estndares de auditoria ISACA
3.3.3 Directrices de aseguramiento y auditoria de TI de
ISACA
El objetivo de las directrices de aseguramiento y auditoria de
TI de IASACA es proporcionar informacin adicional sobre como
cumplir con los estndares de aseguramiento y auditoria de TI de
ISACA. El auditor de SI debera:
Usar el juicio profesional para aplicarlo en auditorias
especficas. Poder justificar cualquier diferencia.
ndice de directrices de aseguramiento y auditoria de TIG1 Uso
del trabajo de otros Auditores, con efecto a partir del 1 de marzo
de 2008G2 Requerimiento de Evidencia de Auditoria, con efecto a
partir del 1 de mayo de 2008
G3 Uso de Tcnicas de Auditora Asistidas por Computadora (CAATs),
con efecto a partir del 1 de marzo de 2008 G4 Contratacin de
servicios externos de actividades de SI para otras organizaciones,
con efecto a partir del 1 de mayo de 2008
G5 Estatuto de Auditora, con efecto a partir del 1 de febrero de
2008 G6 Conceptos de materialidad para la Auditora de Sistemas de
Informacin, con efecto a partir del 1 de mayo de 2008
G7 Debido Cuidado Profesional, con efecto a partir del 1 de
marzo de 2008 G8 Documentacin de la Auditora, con efecto a partir
del 1 de marzo de 2008
G9 Consideraciones de Auditora para Irregularidades y Actos
Ilegales, vigentes a partir del 1 de septiembre de 2008 G10
Muestreo de Auditora, con efecto a partir del 1 de agosto de
2008
G11 Efecto de los Controles Generales de SI, con efecto a partir
del 1 de agosto de 2008 G12 Relacin organizacional e Independencia,
con efecto a partir del 1 de agosto de 2008
G13 Uso de la Evaluacin de riesgos en la Planificacin de la
Auditora, con efecto a partir del 1 de agosto de 2008 G14 Revisin
de los sistemas de aplicacin, vigente a partir del 1 de diciembre
de 2008
G15 Planificacin de la auditoria, vigente a partir del 1 de mayo
de 2010G16 Efecto de Terceros en los controles de TI de una
Organizacin, con efecto a partir del 1 de marzo de 2009
G17 Efecto del rol de No-Auditora sobre la auditora de TI y la
Garanta de la Independencia del Profesional, vigente a partir del 1
de mayo de 2010 G18 Gobierno de TI, vigente a partir del 1 de julio
de 2002
G19 Irregularidades y Actos Ilegales, Eliminada, 1 de septiembre
de 2008 G20 Tcnicas de reporte, vigente a partir del 16 de
septiembre de 2006
G21 Revisin del Sistema de planificacin de recursos de empresa
(ERP), vigente a partir del 16 de septiembre de 2010G22 Revisin del
comercio electrnico de empresa a cliente (B2C), vigente a partir
del 1 de agosto de 2003
G23 Revisin del Ciclo de Vida de Desarrollo de Sistemas (SDLC),
con efecto a partir del 1 de agosto de 2003 G24 Banca por Internet,
con efecto a partir del 1 de agosto de 2003
G25 Revisin de Redes Privadas Virtuales, con efecto a partir del
1 de julio de 2004 G26 Revisin de Proyectos de Reingeniera de
Procesos de Negocio (BPR), con efecto a partir del 1 de julio de
2004
G27 Computacin Mvil, con efecto a partir del 1 de septiembre de
2004G28 Cmputo Forense, con efecto a partir del 1 de septiembre de
2004
G29 Revisin Posterior a la Implementacin, con efecto a partir
del 1 de enero de 2005G30 Competencia, con efecto a partir del 1 de
junio de 2005
G31 Privacidad, con efecto a partir del 1 de junio de 2005G32
Revisin del Plan de Continuidad del Negocio desde una Perspectiva
de TI, con efecto a partir del 1 de septiembre de 2005
G33 Consideraciones Generales sobre el Uso de Internet, con
efecto a partir del 1 de marzo de 2006G34 Responsabilidad,
Autoridad y Rendicin de cuentas, con efecto a partir del 1 de marzo
de 2006
G35 Actividades de seguimiento, con efecto a partir del 1 de
marzo de 2006G36 Controles Biomtricos, con efecto a partir del 1 de
febrero de 2007
G37 Gestin de Configuracin, con efecto a partir del 1 de
noviembre de 2007G38 Control de Acceso, con efecto a partir del 1
de febrero de 2008
G39 Organizaciones de TI, con efecto a partir del 1 de mayo de
2008G40 Revisin de las Prcticas de Gestin de Seguridad, vigente a
partir del 1 de diciembre de 2008
G41 Retorno sobre la inversin en seguridad (ROSI) efectiva a
partir del 1 de mayo de 2010G42 Aseguramiento continuo, efectiva a
partir del 1 de mayo de 2010
3.3.4 HERRAMIENTAS Y TCNICAS DE ASEGURAMIENTO DE AUDITORA DE TI
DE ISACALas herramientas y las tcnicas desarrolladas por a la Junta
de Estndares de ISACA proveen ejemplos de procesos que un auditor
de SI posiblemente podra seguir en un trabajo de auditoria. Para
determinar si una herramienta y tcnica especfica es apropiada, los
auditores de SI deben aplicar su juicio profesional a la situacin
particular.No es obligatorio que el auditor de SI siga estas
herramientas y tcnicas, no obstante, al seguir estos procedimientos
el auditor tendr certeza de que est siguiendo los estndares.
ndice de herramientas y tcnicas de aseguramiento y auditora de
TI
Figura 5. ndice de herramientas y tcnicas de aseguramiento y
auditora de TI
3.3.5 RELACIONES ENTRE ESTNDARES, DIRECTRICES Y HERRAMIENTAS Y
TCNICASLos estndares definidos por ISACA deben ser cumplidos por el
auditor de SI. Las directrices proveen una gua sobre cmo puede el
auditor implementar los estndares en diversas asignaciones de
auditoria. Las herramientas y tcnicas proporcionan ejemplos de
pasos que el auditor puede seguir en asignaciones de auditoria
especficas para implementar los estndares, no obstante, el auditor
de SI debe utilizar su juicio profesional al utilizar las
directrices, las herramientas y las tcnicas.
3.3.6 INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK (ITAF)
Figura 6. INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK
Seccin 2200Estndares Generales
Figura 7. Seccin 2200 Estndares Generales ISACA
Seccin 2400Estndares de Desempeo
Figura 8. Seccin 2400Estndares de Desempeo ISACA
Seccin 2600Estndares sobre InformesLos estndares sobre la
elaboracin de informes tratan los tipos de informe, los medos de
comunicacin y la informacin que se comunicaran.
Figura 9. Seccin 2600Estndares sobre Informes ISACA
Seccin 3000Directrices de Aseguramiento de TI
Figura 10. Seccin 3000Directrices de Aseguramiento de TI
Seccin 3200Temas relacionados con la empresa
Figura 11. Seccin 3200Temas relacionados con la empresa
Seccin 3400Procesos de gestin de TI
Figura 12. Seccin 3400Procesos de gestin de TI
Seccin 3600Procesos de aseguramiento y auditora de TI
Figura 13. Seccin 3600Procesos de aseguramiento y auditora de
TI
Seccin 3800Gestin de aseguramiento y auditora de TI
Figura 14. Seccin 3800Gestin de aseguramiento y auditora de
TI
3.4. Anlisis de RiesgosEl anlisis de riesgos es parte de la
planificacin de auditora y ayuda a identificar los riesgos y
vulnerabilidades par que el auditor de SI pueda determinar los
controles necesarios para mitigar los riesgos.
En la Figura 3 se muestra el diagrama del proceso de evaluacin
de Riesgos
Figura 15 Resumen de Proceso de Evaluacin de Riesgo
3.5. Controles InternosLos controles internos normalmente estn
constituidos por polticas, procedimientos, prcticas y estructuras
organizacionales implementadas para reducir los riesgos de la
organizacin.
ClaseFuncinEjemplos
PreventivosDetecta los problemas antes de que
aparezcanMonitorean tanto la operacin como las entradasIntentan
predecir los problemas potenciales antes de que ocurran y realizan
ajustesEvitan que ocurra un error
Emplean solo personal capacitadoSegregan funcionesControlan
acceso a instalaciones fsicasUtilizan documentos bien
diseadosEstablecen procedimientos adecuados para la autorizacin de
transaccionesCompletan verificacin de edicin programadasUtilizan
software de control de acceso a los archivosUtilizan software de
encriptacin
DetectivosUtilizan controles que detectan e informan la
ocurrencia de un error, omisin o acto fraudulentoTotales de
comprobacinPuntos de verificacinControles de eco en
telecomunicacionesMensajes de error en etiquetas de
cintasVerificacin duplicada de clculosReporte de rendimiento
peridicoInformes de cuentas vencidas
CorrectivoMinimizar el impacto de una amenazaRemediar problemas
descubiertosIdentificar la causa de un problemaCorregir errores que
surgen de un problemaModificar los sistemas de procesamiento para
minimizar futuras ocurrencias del problemaPlanificacin de
ContingenciaProcedimientos de respaldoProcedimientos de nueva
ejecucin
Figura 16 Controles Internos
3.6. Realizacin de Auditoras de SIPara realizar una auditoria,
se requieren varios pasos. Una planeacin adecuada es el primer paso
necesario para realizar auditorias de SI efectivas.
Fig. 17 Se muestran los aspectos a realizar por un auditor
El proceso de auditoria incluye: Definicin del alcance de la
auditoria Formulacin de objetivos Realizacin de procedimientos
Revisin y evaluacin de evidencia Elaboracin de conclusiones
Realizacin de reporte presentado a la gerencia.
Fig. 18 Se muestran las tcnicas de gestin de proyectos para
realizar una auditoria
3.6.1 Clasificacin de AuditoriasFig. 19 Se muestra la
clasificacin de auditoria
3.6.2 Programas de AuditoriaEl programa de trabajo de auditoria
es la estrategia de auditoria y el plan de auditoria, este
identifica el alcance, los objetivos y los procedimientos de
auditoria para lograr evidencia suficiente, competente y confiable
para obtener y sustentar las conclusiones y opiniones de
auditoria.
Fig. 20 Se muestran los procedimientos generales de auditoraEl
auditor de SI debe entender los procedimientos para la prueba y
evaluacin de los controles de SI.
Fig. 21 Muestra los procedimientos de pruebas y evaluacin de los
controles de SI
3.6.3 Metodologa de la AuditoriaUna metodologa de auditoria es
un conjunto de procedimientos documentados de auditoria diseados
para alcanzar los objetivos de auditoria planificados
Fig. 22 Muestra una tabla con las fases de la auditoria
3.6.4 Auditoria basada en el riesgoUn enfoque de auditoria
basado en el riesgo esta generalmente adaptado para desarrollar y
mejorar el proceso de auditoria continua. En un enfoque de
auditoria basado en riesgos, los auditores de SI no se basan solo
en el riesgo, si no que tambin se basan en los controles internos y
operativos as como en sus conocimientos de la empresa o del
negocio.Al entender la naturaleza del negocio, los auditores de SI
pueden identificar y clasificar los tipos de riesgo que
determinaran mejor el modelo de riesgo o el enfoque para llevar
acabo la auditoria.
3.6.5 Riesgo y materialidad de la AuditoriaEl riesgo de
auditoria puede ser definido como el riesgo que la informacin pueda
contener errores importantes que pueden pasar sin ser detectados
durante el curso de la auditoria
Fig. 23 Clasificacin de riesgos
El riesgo de auditoria se usa tambin a veces para describir el
nivel de riesgo que un auditor de SI esta preparado para aceptar
durante una asignacin de auditoria. Las consideraciones de
materialidad, combinadas con una comprensin del riesgo de
auditoria, son conceptos esenciales para planificar las reas que
sern auditadas as como las pruebas especificas que se llevaran a
cabo en una auditoria determinada.
3.6.6 Evaluacin y tratamiento de riesgos
Las evaluaciones de riesgos deben identificar, cuantificar y
priorizar los riesgos contra criterios para aceptacin del riesgo y
objetivos relevantes para la organizacin. Los resultados deben
guiar y determinar la accin apropiada de a gerencia y las
prioridades para gestionar los riesgos de seguridad de la
informacin y para implementar controles seleccionados para proteger
contra estos riesgos. El alcance de una evaluacin de riesgos puede
ser o bien toda la organizacin, parte de la organizacin, un sistema
de informacin individual, componentes especficos del sistema, o
servicios en los que esto es practicable, realista y til.
Fig. 24 Tratamiento de riesgos
Los controles se pueden seleccionar a partir de este estndar u
otro conjunto de controles, o es posible disear nuevos controles
para cubrir las necesidades especificas de la organizacin.3.6.7
Tcnicas de valoracin de riesgosAl determinar cuales reas
funcionales deberan ser auditadas, el auditor de SI podra
enfrentarse con una gran variedad de sujetos de auditoria. Cada uno
de ellos puede representar diferentes tipos de riesgo de auditoria.
El auditor de SI debera evaluar estos candidatos con diferentes
riesgos para determinar cuales son las reas de alto riesgo que
debera ser auditadas.Uno de estos enfoques de evaluacin de riesgos
es un sistema de puntuacin que es til para priorizar auditorias con
base en una evaluacin de factores de riesgo.Los mtodos de evaluacin
de riesgos pueden cambiar y desarrollarse atreves del tiempo para
satisfacer las necesidades de la organizacin. El auditor de SI
debera considerar el nivel de complejidad y detalle apropiados para
la organizacin que se este auditando.
3.6.8 Objetivos de la auditoriaLos objetivos de la auditoria se
refieren a las metas especificas que deben cumplirse por parte de
la auditoria.Los objetivos de auditoria se centran a menudo en
validar que existen controles internos para minimizar los riesgos
del negocio y que estos funcionen como se espera. Un elemento clave
en la planificacin de una auditoria de sistemas de informacin es
traducir los objetivos de auditoria bsicos y de amplio alcance en
objetivos especficos de auditoria de sistemas de informacin. El
auditor de SI debe tener una comprensin de cmo se pueden traducir
los objetivos generales de auditoria en objetivos especficos de
control de los sistemas de informacin.De manera alternativa, un
auditor de SI puede ayudar en la evolucin de la integridad de los
datos de un informe financiero, la cual es conocida como prueba
sustantiva, a travs de tcnicas de auditoria asistida por
computadora.
3.6.9 Pruebas de cumplimiento vs Pruebas sustantivasLas pruebas
de cumplimiento consisten en recolctar evidencia con el propositp
de probar el cumplimiento de una organizacin con procedimientos de
control. Eso difiere de la prueba sustantiva, en la que la
evidencia se recoge para evaluar la integridad de transacciones
individuales, datos u otra informacinUna prueba de cumplimiento
determina si los controles estn siendo aplicados de manera que
cumplen con las polticas y los procedimientos de gestin.Es
importante que el auditor de SI entienda el objetivo especifico de
una prueba de cumplimiento y del control que se esta probando.Los
auditores de SI podrn usar pruebas sustantivas para comprobar si ay
errores monetarios que afecten directamente a los saldos de los
estados financieros u otros datos relevantes de la organizacin.
3.6.10 EvidenciasLa evidencia es cualquier informacin usada por
el auditor de SI para determinar si la entidad o los datos que estn
siendo auditados cumplen con los criterios u objetivos establecidos
y soporta las conclusiones de auditoria.La evidencia de auditoria
puede incluir observaciones del auditor de SI, notas de las
entrevistas, material extrado de la correspondencia y documentacin
interna o los contratos con socios externos o los resultados de los
procedimientos de prueba de auditoria.
Fig. 25 Determinantes para evaluar la confidencialidad de la
evidencia de la auditoria
El auditor de SI rene una variedad de evidencias durante la
auditoria. Es importante que los auditores de SI tengan una
comprensin de las reglas de la evidencia, ya que es posible que
encuentren una variedad de tipos de evidencia
Fig.26 Tcnicas para la recopilacin de evidencia
Los auditores de SI deberan reconocer que con las tcnicas de
desarrollo de sistemas, como la ingeniera de software asistida por
computadora o creacin de prototipos no se requerir la documentacin
de sistemas tradicionales o estar en una forma autorizada en vez de
estar en papel.
3.6.11 MuestreoEl muestreo es usado cuando las consideraciones
de tiempo y de costo impiden una verificacin total de todas las
transacciones o eventos en una poblacin definida previamente.
Fig. 27 Tipos de muestreo de auditoria
Al utilizar mtodos de muestreo estadstico o no estadstico, el
auditor de SI debera disear y seleccionar una muestra de auditoria,
ejecutar procedimientos de auditoria y evaluar los resultados de la
muestra para obtener evidencia de auditoria suficiente , confiable,
relevante y til.Dentro de estos dos enfoques generales para
muestreo de auditoria, existen dos mtodos principales de muestreo
usados por los auditores de SI: muestreo de atributos y muestreo de
variables.
Fig. 28 Mtodos de muestreo
Es importante saber que existen herramientas para analizar la
totalidad de los datos, no solo aquellas disponibles a travs de
tcnicas de auditorias asistidas por computadora.
3.6.12 Tcnicas de auditoria asistidas por computadoraDurante la
ejecucin de la auditoria, el auditor de SI debe obtener evidencia
suficiente, relevante y til para lograr de manera efectiva los
objetivos de la auditoria. En la actualidad, los ambientes de
proceamiento de informacin plantean un duro desafio al auditor de
SI para la recopilacin de evidencia sufciente relevante y til ya
que la evidencia existe en medios magnticos.Las CAATs son
herramientas impprtantes para el auditor de SI para recolectar
informacin de estos ambientes. Estas mismas incluyen numerosos
tipos de herramientas y tcnicas, tales como software de uso
generalizo en auditoria (GAS), entre otros.El GAS se refiere al
software estndar que tiene la capacidad de leer y acceder a los
datos directamente de diversas plataformas de BD, sistemas de
archivos planos y formatos ASCII.
Fig. 29 Funciones soportadas por GAS
Un auditor de SI debera ponderar el costo y los beneficios de
las CAATs antes de invertir esfuerzo, tiempo y gastos para
comprarlos o desarrollarlos.
Fig. 30 Beneficios de las CAATs
La mayora de los CAATs proveen la descarga de los datos de
produccin de los sistemas de produccin a una plataforma
independiente y luego proveen la realizacin del anlisis a partir de
la plataforma independiente, y finalmente aislar los sistemas de
produccin de cualquier impacto adverso.
3.6.13 Evaluacin de las fortalezas y debilidadesEl auditor de SI
revisara la evidencia recopilada durante la auditoria para
determinar si las operaciones revisadas estn bien controladas y son
efectivas. Normalmente un objetivo de control no se alcanza
considerando que un control es adecuado.Por el contrario el auditor
de SI llevara acabo una variedad de procedimientos de prueba y
evaluara como estos se relacionan entre si. El auditor de SI puede
encontrar que no todos los procedimientos de control estn
establecidos pero debera de evaluar la totalidad de los controles
considerando las fortalezas y debilidades de los procedimientos de
control.
3.6.14 Comunicacin de los resultados de la auditoriaLa
entrevista final llevada acabo al final de la auditoria, provee al
auditor de SI la oportunidad de discutir los hallazgos y las
recomendaciones con la gerencia.
Fig. 31 Puntos a considerar por el auditor para la entrevista
final
Antes de comunicar los resultados de una auditoria a la alta
direccin, el auditor de SI debera discutir los hallazgos con el
personal directivo de la entidad auditada. El auditor de SI deber
comunicar la diferencia entre el rol de un auditor y un consultor,
y prestar suma consideracin a como bridar apoyo al auditado pudiera
afectar adversamente la independencia del auditor de SI.
3.6.15 Estructura y contenido del informe de auditoriaLos
informes de auditoria son el producto final del trabajo de
auditoria de SI
Fig. 32 Contenido del reporte de auditoria
El auditor de SI sin embargo, debera tomar la decisin final
acerca de que incluir o excluir del informe de auditoria. La
gerencia del auditado evala los hallazgos, estableciendo las
acciones correctivas a tomar y plazos para su implementacin. El
auditor de SI debera discutir las recomendaciones y las fechas
planificadas de implementacin mientras esta en el proceso de emitir
el informe de auditoria.
Cuando sea apropiado el auditor de SI debera de comunicar
prontamente los hallazgos significativos a las personas adecuadas
antes de la emisin del informe. La comunicacin previa de hallazgos
significativos no debera alterar la intencin o el contenido de
informe.
3.6.16 Implementacin de las recomendaciones por parte de la
gerenciaLos auditores de SI deberan de estar consientes de que la
auditoria es un proceso continuo. El auditor de SI no es eficaz si
se realizan las auditorias y s emiten los informes. El plazo del
seguimiento depender de la gravedad de los hallazgos y estara
sujeto al criterio del auditor de SI. Los resultados del
seguimiento se deberan comunicar a los niveles apropiados de la
gerencia.
3.6.17 Documentacin de la auditoria
Fig. 33 Pasos de la documentacin de la auditoria
3.7. Autoevaluacin del ControlLa autoevaluacin del control (CSA)
puede definirse como una tcnica de la direccin que asegura a las
partes interesadas, los clientes y otros que el sistema de control
interno de la organizacin es segura.
La Figura 6 muestra Mtodo de implementacin del programa CSA
Figura 34 Mtodo de implementacin del programa CSAEn la siguiente
tabla se muestra algunos aspectos relevantes de CSA
CaractersticaDescripcin
Objetivo de CSAApalancar la funcin de auditora interna cambiando
algunas de las responsabilidades de monitoreo.Educan a la gerencia
sobre el diseo y monitoreo de los controles, en particular
concentracin en las reas de riesgo.
Beneficios de CSADeteccin temprana de riesgosControles internos
mas efectivos y mejoradosMayor conciencia de los empleados sobre
los objetivos de la organizacinEmpleados sumamente motivadosMayor
seguridad de las partes interesadas y clientesReduccin del costo de
controlMayor comunicacin entre los mandos operativos y la alta
direccin
Desventajas de CSAPodra confundirse con un remplazo de la funcin
de auditoraSe le considera una carga de trabajo adicionalNo
implementar las mejoras sugeridas podra daar la moral de los
empleados
Rol del auditorSe considera que el rol del en CSAs ha mejorado
cuando el departamento de auditora establece un programa de CSA
Impulsores tecnolgicos para el programa CSACombinacin de
hardware y software para soportar la seleccin de CSA y un uso de un
sistema electrnico de reunin y apoyo para la toma de decisiones
Figura 35 Caractersticas del programa CSA
El enfoque CSA, enfatiza la gestin y rendicin de cuentas sobre
el desarrollo y el monitoreo de los controles internos de los
procesos de negocio sensibles y crticos de una organizacin.Un
resumen de atributos o enfoques que distingue a cada uno de ellos
se describe en la Figura
Histrica TradicionalCSA
Asigna funciones/supervisa personalEmpleados con
autoridad/responsables
Controlado por polticas y reglasMejora continua/curva de
aprendizaje
Participacin limitada de empleadosParticipacin y capacitacin
extensivas a empleados
Inters reducido de las partes interesadasInters extenso de las
partes interesadas
Auditores y otros especialistasLos miembros del personal a todo
nivel, en todas las funciones, son los principales analistas de
control
Encargados de elaborar informesEncargados de elaborar
informes
Figura. 36 Atributos tradicionales y de CSA
3.8. Cambios Emergentes en el Proceso de Auditora de SIEl
proceso de auditora de SI debe cambiar constantemente para mantener
el paso de las innovaciones en la tecnologa. Los temas para encarar
estos cambios emergentes incluyen reas tales como auditora
integrada y auditora continua.La auditora Integrada exige un
enfoque sobre el riesgo del negocio y una motivacin por lograr
soluciones creativas de control. Usar este enfoque permite una sola
auditora en una entidad con un informe completo. Ver figura
Figura 37 Auditora Integrada
La auditora continua tiene como caractersticas un corto lapso de
tiempo entre los hechos a ser auditados y el informe de
auditora
La figura 10 muestra las caractersticas de la auditora Integrada
y la auditora Continua
Figura 38 Auditora Integrada y Auditora Continua
4. Conclusiones
El xito de una empresa depende de la eficiencia de sus sistemas
de informacin, la auditoria de sistemas debe hacerse por gente
altamente capacitada, una auditora mal hecha puede acarrear
consecuencias drsticas para la empresa auditada,principalmente
econmicas, de igual manera deber comprender no slo la evaluacin de
los equipos de cmputo, de un sistema o procedimiento especfico,
sino que adems habr de evaluar los sistemas de informacin en
general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtencin de informacin.La auditoria es de vital
importancia para el buen desempeo de los sistemas de informacin, ya
que proporciona los controles necesarios para que los sistemas sean
confiables y con un buen nivel de seguridad. Adems debe evaluar
todo (informtica, organizacin de centros de informacin, hardware y
software).Al final de la auditora, los auditores de SI preparan y
entregan un informe resumido para la empresa. El resumen del
informe detalla todos los hallazgos de la auditora. Esto incluye
las discrepancias encontradas en la presentacin de informes y el
incumplimiento de las normas y reglamentos. Los hallazgos del
auditor ofrecen a la compaa una forma de corregir las discrepancias
y llegar a cumplir antes de que un cuerpo regulatorio lo
informe.
5. Bibliografa
ISACA. (2012). Manual de Preparacin al Examen CISA. ISACA
6. Lista de acrnimos
ISACA.- Information Systems Audit and Control Association
(Asociacin de Auditora y Control en Sistemas de Informacin).CISA.-
Certified Information Systems Auditor (Auditor Certificado de
Sistemas de Informacin).GAS.- Software de uso Generalizado en
AuditoriaCAATs.- Computer Aided Audit ToolsITAF.- Information
Technology Assurance FrameworkSI.-Sistemas de InformacinTI.
Tecnologas de la InformacinITGC. Auditoria de Controles Generales
de TI
44