Este documento describe el proceso general de auditoría de sistemas de información. Explica que la auditoría es una actividad independiente de evaluación y mejora de la administración de riesgos, control y gobierno de una empresa. También describe los objetivos generales de la auditoría, la organización de la función de auditoría, la importancia de la independencia, y el uso de planes de auditoría y análisis de riesgos para evaluar los procesos y recomendar mejoras.
2. GENERALIDADES
• La auditoría es una actividad independiente de evaluación y
mejora de la efectividad de la administración de riesgos,
control y gobierno de una empresa.
• Consiste en la emisión de una opinión profesional objetiva
sobre si el sujeto sometido a análisis (procesos, sistema o
producto) presenta:
• La realidad que se pretende reflejar
• Cumple las condiciones que fueron prescritas
3. GENERALIDADES
• Se debe destacar que la auditoría.
• Es una actividad independiente; dentro de la empresa o para el
sujeto que va a sufrir la auditoría.
• Consta una opinión profesional:
• No es una función operativa o administrativa
• Sólo hace una evaluación con base a ciertos parámetros
• No ejecuta las correcciones
• Procura la introducción de mejoras dentro de la organización.
4. GENERALIDADES
Objetivos generales que tienen todos los tipos de
auditoría:
• Examinar y evaluar la calidad del desempeño dentro de la organización, en un
determinado aspecto, proceso, producto o función.
• Apoyar a la organización a validar que ese aspecto está protegido, controlado y alineado
hacia el logro de los objetivos estratégicos.
• Evaluar riesgos y controles que se aplican sobre este aspecto (idoneidad, costo,
capacidad de respuesta).
• Evaluar procesos y recomendar mejoras
• Informar a la Alta Gerencia, junta directiva, junta de accionistas o consejo de
administración sobre una situación particular encontrada
5. ORGANIZACIÓN
• La función de auditoría no depende ni forma parte de ninguna gerencia o
área particular.
• Se encuentra bajo la Junta Directiva, Junta de Accionistas o Consejo de
Administración.
• Informará a este nivel de sus actividades y hallazgos
7. INDEPENDENCIA DE LA FUNCIÓN DE AUDITORÍA
• Su ubicación por encima del resto de las unidades
de una organización es con el propósito de
preservar su independencia.
La independencia consiste en poder acceder a todas las áreas de la
empresa (incluyendo la información que administran) y poder revisar
y evaluar los procesos que llevan a cabo sin que se vea perjudicada
la opinión emitida por ser subordinado de alguna de ellas.
8. ESTATUTO DE AUDITORÍA
• Este libre acceso y nivel de autoridad debe
ser otorgada explícitamente a través de los
reglamentos, manuales de puestos y
específicamente en el Estatuto de Auditoría
(Charter de Auditoría)
9. ESTATUTO DE AUDITORÍA
• El rol de la función interna debe establecerse en un estatuto de auditoría.
• Es un documento de carácter regulatorio e informativo interno de las
organizaciones, que recoge el alcance, la organización, funciones,
responsabilidades y mecanismo de comunicación de la función de
auditoría.
• Debe ser aprobado por el nivel más alto de dirección y el comité de
auditoría
10. CONTRATO AUDITORÍA EXTERNA
• Los servicios de auditoría pueden ser
provistos interna o externamente.
• Si los servicios de Auditoría de SI son
provistos por una firma externa, se debe
firmar un contrato donde se definan el
alcance y objetivos de estos servicios.
• Ambas deben ser independientes y
reportar a un Comité de Auditoría o el
nivel más alto de la alta gerencia.
11. UNIVERSO DE AUDITORÍA
• Todos los procesos relevantes de la organización se deben incluir en el universo de
auditoría.
• El universo de auditoría idealmente enumera todos los procesos que se pueden
tener en cuenta para las auditorías.
• Cada uno de los procesos puede estar sujeto a una evaluación de riesgos.
12. PLANEACIÓN
• El plan de auditoría puede construirse para incluir todos los procesos clasificados como
de riesgo alto.
• En la práctica, al acordar los recursos que se requieren para ejecutar el plan “ideal”, los
recursos disponibles no son suficientes para ejecutarlo en su totalidad.
• Este análisis permite evidenciar y demostrar a la Alta Gerencia la deficiencia en cuanto
a recursos.
• Demuestra la cantidad de riesgo que la Alta Administración está aceptando si no
agrega o aumenta los recursos de auditoría existentes.
13. PLANEACIÓN
• Consiste en las labores de planificación de las auditorías de corto y largo plazo.
Las auditorías de corto plazo
corresponden a aquellas
programadas para ser
realizadas en un período de
tiempo igual a un año y
comprenderán las evaluación
de controles de los procesos
críticos de negocio incluyendo
aspectos de controles de SI.
Las auditorías de largo plazo
implicarán las auditorías
suscitadas por los cambios
estratégicos en el negocio o en
el área de tecnologías de
información.
14. PLANEACIÓN
• Cada asignación individual debe planificarse adecuadamente.
• Al planificar una auditoría el auditor debe tener una comprensión general del ambiente
bajo revisión.
• El auditor debe entender todas las consideraciones que pueden afectar el enfoque de
auditoría como:
• Resultados de evaluaciones periódicas de riesgos
• Cambios en la aplicación de la tecnología
• Evolución de los aspectos de privacidad
• Requerimientos regulatorios
15. PASOS PARA REALIZAR UNA PLANIFICACIÓN DE AUDITORÍA
• Lograr un entendimiento de la misión, los objetivos, el propósito y los procesos de
negocio, incluyendo los requerimientos de información y procesamiento tales como
disponibilidad, integridad, seguridad y tecnología de negocio y la confidencialidad de la
información.
• Identificar contenidos específicos tales como políticas, estándares y directrices
requeridos, procedimientos y estructura de la organización.
• Realizar un análisis de riesgos para ayudar a diseñar el plan de auditoría
16. PASOS PARA REALIZAR UNA PLANIFICACIÓN DE AUDITORÍA
• Llevar a cabo una revisión de los controles internos relacionados con TI.
• Establecer el alcance y los objetivos de la auditoría
• Desarrollar el enfoque o la estrategia de auditoría
• Asignar recursos humanos a la auditoría
• Dirigir la logística del trabajo de auditoría.
17. PASOS PARA LOGRAR LA COMPRENSIÓN DEL NEGOCIO
• Lectura de antecedentes incluyendo publicaciones de la industria, reportes
anuales y reportes de análisis financieros independientes
• Revisión de reportes anteriores o informes relacionados con tecnología
(provenientes de auditorías externas o internas o revisiones específicas
tales como revisiones regulatorias).
• Revisión del negocio y de los planes estratégicos de T.I. a largo plazo.
18. PASOS PARA LOGRAR LA COMPRENSIÓN DEL NEGOCIO
• Entrevistas a los gerentes clave para entender pormenores del negocio.
• Identificar las regulaciones específicas aplicables a TI
• Identificar las funciones de TI o las actividades relacionadas que han sido
contratadas externamente
• Recorrido de las instalaciones clave de la organización
19. ANÁLISIS DE RIESGO
• Es la base de la planificación de los procesos de auditoría, para
determinar las vulnerabilidades y recomendar los controles
necesarios para su mitigación y más adelante verificar la
consistencia de dichos controles.
• Definición:
Potencial de que una amenaza (externa o interna) explote una
vulnerabilidad de uno o varios activos ocasionando daño a la
organización. Su naturaleza puede depender de aspectos
operativos, financieros, regulatorios (legales) y administrativos
20. EVALUACIÓN DE RIESGO
• Es el proceso identificación y
evaluación de riegos, permite
determinar qué tan expuestos se
encuentran los activos de información
a aquellos ataques o vulnerabilidades
propias o inherentes de la actividad de
la organización.
• El proceso sigue un ciclo de vida.
21. EVALUACIÓN DE RIESGO
1. Identificación de los objetivos de negocio. Incluye la revisión de los
objetivos y metas propias del área auditada.
2. Identificar los activos de información involucrados en los procesos /
actividades que serán auditados.
3. Infraestructura involucrada en estos procesos para la consecución de
los objetivos determinados.
22. EVALUACIÓN DE RIESGO
4. Evaluación de riegos, incluye.
a. La identificación de las amenazas
b. La determinación de la probabilidad de ocurrencia
c. El impacto económico para el negocio
d. Medidas de control para evitar dicho impacto.
5. Establecimiento de los controles: Implica el análisis de costo beneficio de mitigar el riesgo
por medio de un control definido o convivir con el riesgo (niveles de tolerancia).
6. Monitoreo de los controles definidos
23. TIPOS DE RIESGOS
4. Existen muchas clasificaciones y dependen del tipo de auditoría:
a. Riesgo inherente: Existencia de un error material o significativo sin un control
compensatorio.
b. Riesgo de control: existencia de un error que no pueda ser detectado por el
sistema de control establecido.
c. Riesgo de detección: riesgo de que se cometa un error por parte del auditor que
lleven a indicar que no existen errores donde sí los haya.
d. Riesgos de Negocio
e. Otros riesgos generales propios de la naturaleza de la auditoría
24. Programas de Auditoría
• Los programas de auditoría se basan en el alcance y objetivo de la
asignación en particular.
• El programa de auditoría es la estrategia de auditoría, considerando que los
auditores de SI evalúan las funciones y sistemas desde perspectivas
diferentes:
• Seguridad: Confidencialidad, integridad y disponibilidad
• Calidad: efectividad y eficiencia
• Fiduciaria: Cumplimiento, confiabilidad
• Servicio
• Capacidad
EJECUCIÓN DE AUDITORÍA
25. EJECUCIÓN DE AUDITORÍA
• Revisión Preliminar del área/objeto de la
auditoría
• Evaluación del área
• Verificación y evaluación de la
pertinencia de los controles
• Pruebas de Cumplimiento
• Pruebas Sustantivas
• Informe
• Seguimiento
Procedimientos de auditoría: son los pasos básicos en la
ejecución, incluyen:
27. FASES DE LA AUDITORÍA
• Identificar el área que será auditada
Sujeto de la
auditoría
• Identificar el propósito de la auditoría
Objetivo de la
auditoría
• Identificar los sistemas, funciones o
unidades específicos de la organización
que serán incluidos en la revisión
Alcance de la
auditoría
28. FASES DE LA AUDITORÍA
• Identificar las habilidades y recursos técnicos necesarios.
• Identificar las fuentes de información para la evaluación o revisión,
como diagramas de flujo, políticas, normas, papeles de trabajo de
auditorías anteriores
• Identificar las instalaciones que serán auditadas
Planificación de
pre auditoría
• Identificar y seleccionar el enfoque de auditoría para verificar y
comprobar los controles
• Identificar una lista de individuos que serán entrevistados
• Identificar y obtener políticas, estándares y directrices departamentales
para realizar la revisión
• Desarrollar herramientas y metodologías de auditoría par aprobar y
verificar el control
Procedimientos de
auditoría y pasos
para la recolección
de datos
29. FASES DE LA AUDITORÍA
• Específico de la organización
Procedimientos
para evaluar
resultados de la
prueba o la
revisión
• Específico de la organización
Procedimientos
para las
comunicaciones
con al gerencia
30. FASES DE LA AUDITORÍA
• Identificar los procedimientos de
seguimiento de la revisión.
• Identificar los procedimientos para
evaluar/aprobar la eficiencia y
efectividad operacional.
• Identificar los procedimientos par
aprobar los controles.
• Revisar y evaluar la calidad de los
documentos, políticas y
procedimientos.
Preparación del
informe de
auditoría
31. USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS
El departamento de auditoría o los auditores responsables de
proveer aseguramiento pueden requerir de otros auditores o
especialistas debido a:
• Poca disponibilidad de auditores de SI
• Necesidad de especialistas en seguridad de TI y otros expertos
• Para llevar a cabo auditorías altamente especializadas.
32. COMUNICACIÓN DE LOS RESULTADOS DE AUDITORÍA
• Entrevista Final: Provee al auditor la oportunidad de
discutir los hallazgos y las recomendaciones con la
gerencia. Durante la entrevista el auditor debe:
• Asegurarse de que los hechos presentados
en el informe estén correctos
• Asegurarse de que las recomendaciones
sean realistas y eficientes, y si no lo fuera,
buscar alternativas negociando con la
gerencia del auditado.
• Sugerir fechas de implementación para las
recomendaciones acordadas.
33. ESTRUCTURA Y CONTENIDO DEL INFORME DE AUDITORÍA:
1. Introducción breve, incluyendo una declaración de:
• Objetivos de la auditoría
• Limitaciones para la auditoría
• Período cubierto por la auditoría
• Declaración general sobre el carácter y la extensión de los
procedimientos de auditoría realizados
• Declaración sobre la metodología y las políticas de auditoría.
2. La conclusión y opinión generales del auditor respecto a si los controles
y procedimientos examinados son adecuados
34. ESTRUCTURA Y CONTENIDO DEL INFORME DE AUDITORÍA:
3. Los hallazgos detallados y las
recomendaciones de la auditoría.
• Una buena práctica es incluir los
hallazgos de la auditoría en secciones
diferentes, agrupados por importancia
y/o receptor provisto
35. IMPLEMENTACIÓN DE LAS RECOMENDACIONES POR PARTE DE LA
GERENCIA
• La auditoría es un proceso continuo
• No es eficaz si se realizan las auditorías, se emiten informes pero no se
realiza el seguimiento para determinar si la gerencia ha ejecutado las
acciones correctivas apropiadas.
• La auditoría debe tener un programa de seguimiento de las recomendaciones.
• El plazo de seguimiento depende de la gravedad de los hallazgos y está
sujeto a criterio del auditor.
36. DOCUMENTACIÓN DE LA AUDITORÍA
• La planificación y preparación del alcance y
los objetivos de auditoría.
• La descripción y/o recorridos en el área de
auditoría evaluada.
• El programa de auditoría
• Los pasos de auditoría realizados y la
evidencia recopilada
• El uso de servicio de otros auditores y
expertos.
• Los hallazgos, conclusiones y
recomendaciones de auditoría.
• La relación de la documentación de
auditoría con la identificación y fechas de
los documentos
• Una copia del informe emitido.
• Evidencia dela revisión supervisora de
auditoría
37. BIBLIOGRAFÍA
• Bibliografía
• Anticona, M.T. (2009). Principios de Auditoría y Control de Sistemas de
Información (Primera Edición ed.). (T. C. S.A.C, Ed.) Lima, Callao, Perú:
Imprenta Graficar.
• Guido, S. E. (2009). Auditoría de la aplicaciones informáticas. San José:
Editorial Universidad de Costa Rica.
• ISACA. (2012). Manual de Preparación al Examen CISA 2013. Rolling
Meadows, Illinois, Estados Unidos: ISACA.
•