1er Cobit Iso

1
XIV CONCURSO ANUAL DE INVESTIGACIN
ENFOQUE METODOLGICO DE AUDITORA A LAS TECNOLOGAS DE INFORMACIN Y COMUNICACIONES
SEUDNIMO 6free
CONTRALORA GENERAL DE LA REBLICA DE CHILE
SUMARIO Pgina RESUMEN EJECUTIVO CAPTULO I 1 1.1 1.2 1.3 DEFINICIN DEL PROBLEMA ANTECEDENTES DEL PROBLEMA ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR OBJETIVOS DE LA INVESTIGACIN 6 6 7 7 7 8 8 5
1.3.1 OBJETIVO GENERAL 1.3.2 OBJETIVO ESPECFICO 1.4 ALCANCE DE LA INVESTIGACIN
CAPTULO II 2 2.1 DISEO METODOLGICO DE LA INVESTIGACIN METODOLOGA DE LA INVESTIGACIN 9 9
RESULTADO DE LA INVESTIGACIN CAPTULO III 3 3.1 3.2 AUDITORA A LAS TECONOLOGAS DE LA INFORMACIN MARCO TERICO LOS SISTEMAS DE INFORMACIN 9 9 9 9 10 12 13 14 16 16 16 17 25 25
3.1.1 Clasificacin de las auditoras 3.2.1 Caractersticas de los sistemas de informacin 3.2.2 Estructura de los sistemas de informacin 3.2.3 Procesos de los sistemas de informacin 3.2.4 Clasificacin de los sistemas de informacin 3.3 COBIT 4.1 3.3.1 Definicin 3.3.2 Misin 3.3.3 Estructura 3.4 ISO/IEC 27002:2005 3.4.1 Definicin y objetivos
CAPTULO IV EL ENFOQUE METODOLGICO PROPUESTO 4.1 4.2 METODOLOGA FASE I. PLANIFICACIN DE LA AUDITORA 29 29 30 31 32 33 34 34 35 36 26 27 4.1.1 Sntesis de actividades y productos entregables por etapas 4.2.1 Programa de auditora preliminar 4.2.2 Programa de trabajo para el desarrollo de la auditora 4.2.3 Asignacin de recursos y estimacin del tiempo requerido para efectuar la auditora 4.2.4 Comprensin de los procesos de negocios y sistemas de informacin que los soportan 4.2.5 Levantamiento de la informacin bsica y detallada 4.2.6 Estructura y organizacin de los archivos de trabajo 4.2.7 Ficha tcnica de los sistemas de informacin 4.2.8 Definicin del alcance de la auditora 4.2.9 Programa de trabajo para el desarrollo de la auditora 4.2.10 Estimacin del tiempo requerido por etapa y auditor 4.3 FASE II. EJECUCIN DE LA AUDITORA 41 42 43 44 45 45 46 47 48 50 52 53 70 70 72 4
4.3.1 Evaluacin del sistema de control interno 4.3.2 Levantamiento de controles 4.3.3 Criterios para evaluar la proteccin que ofrecen los controles 4.3.4 Evaluar la satisfaccin de los objetivos de control 4.3.5 Observaciones de auditora 4.3.6 Definicin y diseo de las pruebas de auditora 4.3.7 Identificacin de Controles claves que sern verificados 4.3.8 Agrupamiento de controles por tcnica de comprobacin 4.3.9 Definicin y diseo de las pruebas de cumplimiento 4.3.10 Definicin y diseo de las pruebas sustantivas 4.3.11 Ejecucin de las pruebas de auditora 4.3.12 Tcnicas y herramientas de auditora 4.3.13 Anlisis del resultado de las pruebas de auditora 4.3.14 Anlisis del resultado de las pruebas de cumplimiento 4.3.15 Anlisis del resultado de las pruebas sustantivas
4.4
FASE III. COMUNICACIN DE LOS RESULTADOS 73 73 74 76 78 78 79 79
4.4.1 Elaboracin de los informes con los resultados de la auditora 4.4.2 Estructura y contenido de los informes 4.4.3 Aseguramiento de la calidad de los informes de auditora 4.4.4 Organizar y cerrar la carpeta con archivos de trabajo 4.4.5 Seguimiento a las observaciones de la auditora 4.4.6 Planificar el seguimiento a las observaciones de la auditora 4.4.7 Ejecutar el seguimiento a las observaciones de la auditora 4.4.8 Informe de seguimiento de la auditora CAPTULO V CONCLUSIONES BIBLIOGRAFA
80 81
RESUMEN EJECUTIVO El proyecto Enfoque metodolgico de auditora a las tecnologas de informacin y comunicacin sobre la base del estndar COBIT 4.1 y la norma ISO/IEC 27002:2005, tiene como objetivo entregar un marco referencial para desarrollar auditoras orientadas a los procesos del negocio, los sistemas de informacin y sus actividades de control. El Proyecto est estructurado en cinco captulos. El Captulo I, presenta los antecedentes generales, los antecedentes de la organizacin y el objetivo general y especficos del proyecto. En el Captulo II, se analizan los elementos de la auditora a las tecnologas de informacin a travs de sus aspectos generales y del anlisis de las tecnologas de informacin y comunicaciones. El Captulo III, se presenta el estndar COBIT y la norma ISO/IEC 27002 En el Captulo IV, se aborda el enfoque metodolgico explicando los objetivos metodolgicos, etapas, actividades y productos. Finalmente, en el Captulo V, se exponen las conclusiones del proyecto.
CAPTULO I
1.1
ANTECEDENTES DEL PROBLEMA
En el marco del plan de modernizacin de la Contralora General de la Repblica de Chile, dentro del mbito de la administracin y desarrollo de las labores propias de fiscalizacin, se encuentra el proyecto SICA (Sistema de Control de las Auditoras), el que busca establecer una metodologa estandarizada para abordar las distintas reas de fiscalizacin que realiza el organismo de control. Si bien es cierto, ya existe una cultura organizacional para realizar estas labores, no es menos importante tener presente que el avance de los servicios pblicos en la automatizacin de sus procesos ha requerido integrar una visin de sistemas a las mismas. Desde algn tiempo a la fecha, se han incorporado a las auditoras realizadas por la Contralora General, ingenieros especialistas en reas de las ciencias de la informacin y las comunicaciones pero esto ha llevado a una lenta adecuacin de los distintos criterios y lenguajes propios de los auditores financieros. A raz de esto, ha surgido la necesidad de apoyar este proceso de manera estructurada y para ello se dispuso crear una metodologa para realizar auditoras con el objetivo de maximizar el uso de los recursos con que cuenta la organizacin para cubrir sus distintas necesidades de fiscalizacin. Este proyecto persigue integrar a auditores e ingenieros que apoyan el desarrollo de las auditoras, basndose para ello en el marco conceptual que entrega el estndar internacional COBIT y la norma tcnica ISO/IEC 27002, de modo que se logre obtener una mayor sinergia en los equipos de trabajo y se cumplan en forma oportuna y al menor costo los objetivos planificados.
1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR La Contralora General de la Repblica de Chile tiene como objetivo principal velar por la correcta aplicacin de la legalidad en los actos pblicos por parte del poder ejecutivo y resguardar el uso eficiente del patrimonio pblico, por lo que debe cubrir un amplio espectro de actividades con la cual dar cumplimiento a su mandato constitucional. Para esto, la Contralora General se ha estructurado de manera que pueda abarcar las distintas reas de accin del Gobierno con la idea principal de conseguir cubrir el mximo rango posible, teniendo presente que los recursos humanos con que cuenta son escasos. El accionar de los distintos organismos que conforman la administracin del estado se desarrolla a travs de planes y programas, los que actualmente cuentan con componentes tecnolgicos que apoyan el logro de sus objetivos. La Contralora hace uso de su facultad de fiscalizacin a travs de equipos multidisciplinarios, los que necesitan contar con una metodologa estandarizada para abordar de manera integral los distintos tipos de proyectos y programas que ha decidido fiscalizar. Para ello, se ha desarrollado un enfoque que permita integrar la visin sistmica, de procesos y control al que hacer de los profesionales que trabajan en la funcin de fiscalizacin. 1.3 OBJETIVOS DE LA INVESTIGACIN 1.3.1 Objetivo general
El objetivo general es ayudar a mejorar la calidad de las auditoras a las tecnologas de la informacin y las comunicaciones realizadas por la Contralora General de la Repblica de Chile. 8
1.3.2 Objetivo especfico El objetivo especfico es apoyar la realizacin de las auditoras a las tecnologas de la informacin y las comunicaciones utilizando para ello el marco conceptual que entrega el estndar internacional COBIT y la norma ISO/IEC 27002. El logro de este objetivo especfico permitir entre otros: Desarrollar auditoras de manera estructurada y uniforme. Entregar normas y procedimientos actualizados para examinar los sistemas de informacin y la infraestructura tecnolgica que los soportan. Especificar los objetivos de control para realizar las pruebas de cumplimiento y sustantivas. Promover la evaluacin de los controles claves de los procesos y sistemas de informacin que soportan el negocio de la organizacin. Suministrar un marco de referencia para medir el desempeo de los auditores a cargo y en terreno. 1.4 ALCANCE DE LA INVESTIGACIN El alcance de la presente investigacin se fundamento en definir un enfoque metodolgico basado en el estndar internacional COBIT y la norma ISO/IEC 27002, para la realizacin de auditoras a las tecnologas de informacin y comunicaciones efectuadas por la Contralora General de la Repblica de Chile y ser un aporte al trabajo que realizan las Entidades Fiscalizadoras Superiores.
CAPTULO II 2. DISEO METODOLGICO DE LA INVESTIGACIN
2.1 METODOLOGA DE LA INVESTIGACIN La presente investigacin se bas en el anlisis del enfoque conceptual y objetivos de control contenidos en el estndar COBIT 4.1 y en los controles de la norma ISO/IEC 27002:2005. RESULTADO DE LA INVESTIGACIN CAPTULO III AUDITORA A LAS TECONOLOGAS DE INFORMACIN Y
COMUNICACIONES 3.1. MARCO TERICO
3.1.1 Clasificacin de las auditoras Existen varias formas de clasificar a la auditora, simplemente si se piensa en las reas de especializacin, stas daran una clasificacin extensa y vlida. Sin embrago, en esta ocasin se mencionarn dos tipos, las cuales pueden aportar elementos de inters en su posterior estudio. La auditora de gestin, est orientada a la evaluacin de aspectos relacionados con la eficiencia y productividad de las operaciones de una organizacin. Este tipo de auditora, al igual que la integral que se menciona a continuacin, puede ser desempeada tanto por auditores externos como internos. Constituye objeto de la auditora de gestin, el proceso administrativo, las actividades de apoyo y operativas; la eficiencia, efectividad y economa en el empleo de los recursos humanos, financieros, ambientales, tecnolgicos 10
y de tiempo; y el cumplimiento de las atribuciones institucionales. La auditora integral, se realiza con el fin de evaluar en su totalidad los objetivos que existen en una organizacin, es decir, los relacionados con informacin financiera, salvaguardar los activos, eficiencia y normativa, entre otros. Este tipo de auditoras tambin pueden ser realizadas tanto por auditores externos como internos. En ninguna de las clasificaciones anteriores se mencion de manera especfica a la auditora de las tecnologas de informacin y comunicaciones. Esto es as, porque esta disciplina no excluye a ninguna de las auditoras mencionadas, por el contrario, todas ellas deben integrar a la auditora en tecnologas de informacin para efectuar revisiones especficas derivadas del uso de la tecnologa de informacin en los servicios pblicos. 3.2 LOS SISTEMAS DE INFORMACIN Para adentrarse en el proceso de una auditora a las tecnologas de la informacin y comunicaciones, es requisito imprescindible comprender los conceptos de sistemas, informacin y tecnologas de las comunicaciones. Al lograr una visin y conocimientos del entorno informtico, el auditor juzgar, de manera suficiente, la naturaleza de la problemtica y riesgos a los cuales se ver enfrentado al planificar y realizar la auditora. 3.2.1 Caractersticas de los sistemas de informacin Si se tuviera que resumir con una sola frase, el principal objetivo de un sistema de informacin dentro de una organizacin, se podra afirmar que ste se encarga de entregar la informacin oportuna y precisa, con la presentacin y el formato adecuados a la persona que la necesita dentro de la organizacin, para tomar una decisin o realizar alguna operacin y justo en el momento en que esta persona necesita disponer de dicha informacin.
11
Actualmente, la informacin debe ser considerada como uno de los recursos ms valiosos de una organizacin y el sistema de informacin es el encargado de que sta sea gestionada siguiendo criterios de eficiencia y eficacia. La informacin ser til para la organizacin, en la medida que facilite la toma de decisiones, por lo que ha de cumplir una serie de requisitos, entre los cuales cabe destacar: Exactitud: La informacin ha de ser precisa y libre de errores. Completitud: La informacin debe contener todos aquellos hechos que pudieran ser importantes. Economicidad: El costo en que se debe incurrir para obtener la informacin debera ser menor que el beneficio proporcionado por sta a la organizacin. Confianza: Para dar crdito a la informacin obtenida, se ha de garantizar tanto la calidad de los datos utilizados, como la de las fuentes de informacin. Relevancia: La informacin ha de ser til para la toma de decisiones. En este sentido, conviene evitar todos aquellos hechos que sean superfluos o que no aporten ningn valor. Nivel de detalle: La informacin debe presentar el nivel de detalle indicado a la decisin a que se destina. Se debe proporcionar con la presentacin y el formato adecuados para que resulte sencilla y fcil de manejar. Verificabilidad: La informacin ha de poder ser contrastada y comprobada en todo momento. Por otra parte, no se debe olvidar que el exceso de informacin tambin puede ser causa de problemas, suponiendo un obstculo en vez de una ayuda para la toma de decisiones. Asimismo, cada funcin y nivel organizativo tiene diferentes necesidades de informacin, afectando a los formatos, origen, periodicidad, nivel de 12
agregacin y otras caractersticas. A medida que se asciende en el escalafn organizacional, se observa cmo la informacin requerida aumenta en nivel de agregacin (menor nivel de detalle), incorpora informacin del entorno y hace un mayor nfasis en el mediano y largo plazo, a diferencia de la informacin puramente operativa, que normalmente se refiere a los hechos ocurridos dentro de la propia organizacin y a un corto plazo. Es as como la informacin y el conocimiento que acumulan las organizaciones, deben ser considerados como un recurso ms, al mismo nivel que el capital, los bienes, las instalaciones o el personal. En consecuencia, es necesario protegerlo y controlarlo adecuadamente, para que pueda contribuir a la realizacin de los objetivos y metas fijados por la organizacin. 3.2.2 Estructura de los sistemas de informacin Los sistemas de informacin estn compuestos por diferentes elementos que interaccionan entre s, entre los cuales se pueden encontrar cinco componentes tecnologa. Las personas engloban a los propietarios del sistema (entendiendo como tales, a aquellas personas que patrocinan y promueven el desarrollo de los sistemas de informacin), a los usuarios (directivos, ejecutivos medios, jefes de equipo, personal administrativo), a los diseadores y a los desarrolladores. Los datos constituyen la materia prima empleada para crear informacin til. Dentro de las actividades, se incluyen los procesos que se llevan a cabo en la organizacin y las actividades de procesamiento de datos y generacin 13 fundamentales: personas, actividades, datos, redes y
de informacin que sirven de soporte a las primeras. En el componente redes, se analizan la descentralizacin de la
organizacin, la distribucin de los restantes componentes elementales en los lugares ms tiles (oficinas, dependencias, delegaciones, etc.), as como la comunicacin y coordinacin entre dichos lugares. Por ltimo, el componente tecnologa, hace referencia tanto al hardware como el software de un sistema de informacin. Se pone de manifiesto la existencia de una interrelacin entre los elementos propios de la organizacin y los sistemas de informacin. 3.2.3 Procesos de los sistemas de informacin Un sistema de informacin, se puede definir como un conjunto de elementos interrelacionados (entre los que se pueden considerar los distintos medios tcnicos, las personas y los procedimientos), cuyo cometido es capturar datos, almacenarlos y transformarlos de manera adecuada y distribuir la informacin obtenida mediante este proceso. Su propsito es apoyar y mejorar las operaciones cotidianas de la organizacin, as como satisfacer las necesidades de informacin, para la resolucin de problemas y la toma de decisiones, por parte de los directivos de la organizacin. Por lo tanto, se trata de un sistema que tiene entradas (datos) y salidas (informacin), procesos de transformacin de las entradas en salidas y mecanismos de retroalimentacin. La captura de datos puede ser manual o automatizada y, en general, es conveniente realizarla en el momento en que se produce el hecho al que est asociado. En la etapa de proceso, se transforman los datos de entrada del sistema en informacin til, mediante una serie de operaciones de clculo, agregacin, comparacin, filtrado, presentacin, etc. Estas operaciones, generalmente son realizadas con la ayuda de sistemas informticos. 14
La informacin til se plasma en una serie de documentos, informes y grficos, para ser distribuida a las personas adecuadas dentro de la organizacin. Esta informacin, as como los datos de partida, se almacenan generalmente, en un soporte informtico para poder ser reutilizados en cualquier momento. La retroalimentacin (feedback) de la informacin obtenida en todo este proceso, se puede utilizar para realizar ajustes y detectar posibles errores en la captura de los datos y/o en su transformacin. 3.2.4 Clasificacin de los sistemas de informacin Por lo general, las clasificaciones ms extendidas de los sistemas de informacin suelen agrupar stos en funcin de su propsito. De una forma muy global, puede considerarse que existen dos propsitos bsicos para los sistemas: Soporte a las actividades operativas: Que da lugar a sistemas de informacin para actividades ms estructuradas (aplicaciones contables, ventas, adquisiciones y, en general, lo que se denomina gestin empresarial o tambin sistemas que permiten el manejo de informacin menos estructurada: aplicaciones ofimticas, programas tcnicos para funciones de ingeniera, etc. Soporte a las decisiones y el control de gestin: Que puede proporcionarse desde las propias aplicaciones de gestin empresarial (mediante salidas de informacin existentes) o a travs de aplicaciones especficas. Los sistemas de soporte a las actividades operativas, surgen para automatizar actividades operacionales intensivas en el manejo de datos. Concretamente, se centran en reas como administracin (contabilidad y facturacin) y gestin de personal, extendindose a otras actividades como la venta, la compra o la produccin. Estos permiten recoger los
15
datos bsicos en las operaciones y se les denomina sistema de procesamiento transaccional. Actualmente, estos sistemas forman parte de lo que normalmente las organizaciones denominan como su Sistema de Gestin Empresarial o ERP (Enterprise Resources Planning). Los sistemas de informacin para la toma de decisiones, permiten sacar provecho a los datos recogidos por los sistemas transaccionales, siendo capaces de proporcionar informacin para la gestin. Estos sistemas, permiten generar informes para los directivos de la organizacin, con el propsito de mejorar el control de gestin de las distintas reas funcionales. De este modo, se consigue agilizar el proceso de toma de decisiones, al proporcionar la informacin necesaria de forma rpida, precisa y fiable. En los sistemas de informacin de control de gestin, los informes pueden ser generados de forma peridica, bajo demanda, en el momento en que se produzca una situacin excepcional (posibilitando este ltimo caso el control por excepcin) y en ellos se comparan, para cada rea funcional o centro de responsabilidad, los objetivos previstos con los resultados obtenidos, fruto de las distintas operaciones realizadas. La direccin de una organizacin, adems, requiere sistemas capaces de soportar decisiones de carcter menos estructurado, con frecuencia el directivo necesitar herramientas para diagnosticar un problema (anlisis) y para elegir la mejor alternativa (simulacin, planificacin, etc.). Este tipo de herramientas se les denomina sistemas de inteligencia de negocios. Los sistemas de soporte a la direccin son los que asisten a los directivos de las organizaciones en todos los aspectos de un proceso de toma de decisiones: generacin de alternativas, anlisis de ellas, simulacin de resultados que se obtendran con cada una de ellas, etc. Se puede afirmar que estos sistemas van un paso ms all que los sistemas de informacin 16
tradicionales. Por ltimo, los sistemas de informacin para ejecutivos, combinan buena parte de las caractersticas de los sistemas anteriores, para servir de ayuda a los directivos en el proceso de toma de decisin y seguimiento de acciones. 3.3 COBIT 4.1
3.3.1 Definicin COBIT es un acrnimo formado por las siglas derivadas de Control Objetives for Information and Related Technology (Objetivos de Control para la Informacin y Tecnologas Relacionadas). Este conjunto de objetivos representa el producto de un proyecto de investigacin desarrollado por la Information System Audit and Control Fundation (ISACF) que fue publicado inicialmente en el ao de 1996. Como su nombre lo indica, COBIT es un conjunto de objetivos de control aplicables a un ambiente de tecnologas de informacin que lograron definirse gracias a un trabajo de investigacin y bsqueda de consenso entre la normatividad de distintos cuerpos colegiados, estndares tcnicos, cdigos de conducta, prcticas y requerimientos de la industria y requerimientos emergentes para industrias especficas (desde la banca hasta la manufactura). Este extenso trabajo de investigacin realizado por equipos de expertos de Amrica, Europa y Oceana, dio como resultado un grupo estructurado de objetivos de control que al ser compatibles con las principales normas a nivel internacional, cuenta con una aceptacin implcita como un estndar global en trminos de control interno en tecnologas de informacin. 3.3.2 Misin La misin de COBIT es: investigar, desarrollar, publicar y promover un 17
conjunto internacional, autorizado y actual de objetivos de control en tecnologas de informacin generalmente aceptados por el uso cotidiano de gerentes de organizaciones y auditores. Entonces, el propsito de COBIT es proporcionar una gua estndar que tenga una aceptacin internacional sobre los objetivos de control que deben existir en un ambiente de tecnologa de informacin para asegurar que las organizaciones logren los objetivos de negocio que dependen de un adecuado empleo de dicha tecnologa. 3.3.3 Estructura COBIT logra un primer acercamiento entre los mundos de los negocios y del control de tecnologa de informacin, mundos que histricamente aparecan distantes uno del otro, aunque la necesidad de interaccin fuese evidente. La estructura de COBIT se fundamenta en la idea de que los recursos de TI deben ser utilizados en forma adecuada mediante la ejecucin de procesos de trabajo para satisfacer los requerimientos de (informacin del) negocio que existen en las organizaciones.
ESTRUCTURA DEL ESTANDAR COBIT
Recursos de TI
Procesos de trabajo
Requerimientos de negocio
Datos Sistemas de Informacin Tecnologa Instalaciones Recursos Humanos
Planeacin y Organizacin Adquisicin e Implementacin Prestacin de Servicios y Soporte Monitoreo
Efectividad Eficiencia Confidencialidad Integridad y Disponibilidad Confiabilidad de la Informacin Cumplimiento Leyes y Regulacin
18
a) Recursos de TI La clasificacin que propone COBIT sobre los recursos de tecnologa de informacin es la siguiente: Datos: Incluye a los objetos de informacin en su sentido ms amplio, considerando informacin interna y externa, estructurada y no estructurada, grfica, sonidos, etc. Sistemas de informacin: Este concepto se entiende como los sistemas de informacin (aplicaciones) que integran tanto procedimientos manuales como procedimientos programados (basados en tecnologa) Tecnologa: Incluye hardware, sistemas operativos, sistemas de administracin de base de datos, equipos de redes y telecomunicaciones, video conferencia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recursos Humanos: Este concepto incluye, habilidades, conciencia y productividad del personal para planear, adquirir, prestar servicios, proporcionar informacin. b) Procesos de Trabajo COBIT clasifica los procesos de trabajo en tres niveles jerrquicos, dominios, procesos y actividades o tareas. Los cuatro dominios definidos se estructuran de acuerdo con el esquema que se utiliza para representar el ciclo de vida de administracin de recursos: Planeacin y organizacin: Planning and organization (PO) Adquisicin e implementacin: Acquisition and implementation (AI) Entrega de servicios y soporte: Delivery and support (DS) soporte y monitorear los sistemas y servicios de
19
Monitoreo: Monitoring (M)
Estos dominios a su vez se subdividen en procesos: 1) Planeacin y Organizacin (PO) 2) PO1: Definir un plan estratgico de sistemas. PO2: Definir la arquitectura de informacin. PO3: Determinar la direccin tecnolgica. PO4: Definir la organizacin y sus relaciones. PO5: Administrar las inversiones en TI. PO6: Comunicar la direccin y objetivos de la gerencia. PO7: Administrar los recursos humanos. PO8: Asegurar el apego a disposiciones externas. PO9: Evaluar riesgos. PO10: Administrar proyectos. PO11: Administrar calidad. Adquisicin e Implementacin (AI)
AI1: Identificar soluciones de automatizacin. AI2: Adquirir y mantener software de aplicaciones. AI3: Adquirir y mantener la arquitectura tecnolgica. AI4: Desarrollar y mantener procedimientos. AI5: Instalar y acreditar sistemas de informacin. AI6: Administrar cambios. 3) Prestacin de Servicios y Soporte (DS) DS1: Definir niveles de servicio. DS2: Administrar servicios de terceros. DS3: Administrar desempeo y capacidad. DS4: Asegurar la continuidad de servicio. DS5: Garantizar la seguridad de sistemas. DS6: Identificar y asignar costos. DS7: Educar y capacitar usuarios. 20
DS8: Apoyar y orientar a clientes. DS9: Administrar la configuracin. DS10: Administrar problemas e incidentes. DS11: Administrar la informacin. DS12: Administrar las instalaciones. DS13: Administrar la operacin. 4) Monitoreo (M) M1: Monitorear el proceso. M2: Evaluar lo adecuado del control interno. M3: Obtener aseguramiento independiente. M4: Proporcionar auditora independiente. Posteriormente y como producto de un anlisis ms profundo, COBIT define las actividades o tareas en que se descompone cada uno de los 34 procesos e identifica los objetivos de control que deben existir en cada uno de ellos, tal como se muestra en el siguiente ejemplo: DS. DS2. 2.3. Prestacin de servicios y soporte Administrar servicios de terceros Contrato con terceros Gerencia (dominio) (proceso)
(actividad o tarea) debe definir procedimientos
Objetivo de control: La
especficos para asegurar que un contrato formal es definido y acordado para cada relacin de servicios con un proveedor. c) Requerimientos de negocio Por lo que respecta a requerimientos de negocio COBIT, se orienta en forma exclusiva a requisitos relacionados con la informacin. En un primer anlisis presenta la siguiente clasificacin: Requerimientos de calidad: o Calidad. 21
o Costo. o Prestacin de servicio. Requerimientos de confianza: o Efectividad y eficiencia de operaciones. o Confiabilidad de la informacin. o Cumplimiento de leyes y regulaciones. Requerimientos de seguridad de la informacin: o Confidencialidad. o Integridad. o Disponibilidad. De acuerdo con esta clasificacin preliminar y mediante un anlisis de los conceptos que integra y de las reas comunes de inters que se presentan entre los mismos, COBIT resume los requerimientos (de informacin) del negocio en las siguientes siete categoras: Efectividad: Se refiere a que la informacin debe ser relevante y pertinente para los procesos de negocio as como ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se refiere a proveer la informacin mediante el empleo ptimo (la forma ms productiva y econmica impuestas en forma externa) de los recursos. Confidencialidad: Se refiere a la proteccin de la informacin sensitiva contra la divulgacin no autorizada. Integridad: Se refiere a lo exacto y completo de la informacin as como a su validez de acuerdo a los valores y expectativas de la organizacin. Disponibilidad: Se refiere a la accesibilidad de la informacin cuando sea requerida por los procesos de negocio ahora y en el futuro. Tambin se relaciona con la salvaguarda de los recursos necesarios y las capacidades asociadas a los mismos. Cumplimiento: Se refiere al cumplimiento de leyes, regulaciones y compromisos contractuales a los cuales est comprometida la organizacin, por ejemplo; criterios de negocio. 22
Confiabilidad de la informacin: Se refiere a proveer la informacin apropiada para que la administracin opere la organizacin y cumpla con sus responsabilidades de informes financieros y de cumplimiento normativo.
Cada uno de los 34 procesos de TI definidos por COBIT est orientado a la satisfaccin de un requisito de negocio especfico, de acuerdo con la relacin que se muestra en la siguiente tabla: PROCESOS COBIT Y SUS REQUISITOS DE NEGOCIO PROCESOS COBIT DE TI
PO1. Definir un plan estratgico de
REQUISITOS DE NEGOCIO
Obtener un balance en ptimo de de
PLANEACION Y ORGANIZACION (PO)

sistemas oportunidades tecnologa
informacin y requerimientos de negocio de TI, as como asegurar su logro futuro. PO2. informacin PO3. PO4. relaciones PO5. Administrar las inversiones en TI Determinar la direccin tecnolgica Definir la organizacin y sus Definir la arquitectura de Organizar adecuadamente los sistemas de informacin. Obtener beneficio de la tecnologa existente y de la tecnologa emergente. Proporcionar servicios de tecnologa de informacin. Asegurar la obtencin de fondos y controlar el empleo de los recursos financieros. PO6. gerencia PO7. PO8. Administrar los recursos humanos Asegurar el apego a disposiciones Comunicar la direccin de la Asegurar la concientizacin de los usuarios y su Maximizar Observar obligaciones contractuales. PO9. Evaluar riesgos Asegurar objetivos TI. PO10. Administrar proyectos Establecer prioridades y cumplir el de cumplimiento TI y la de los a respuesta las el entendimiento de las contribuciones cumplimiento regulatorias del de y
aspiraciones de la direccin. personal a los procesos de TI. externas legales,
amenazas a la prestacin de servicios de
23
compromisos en tiempo y en costo. PO11. Administrar calidad Satisfacer los requerimientos de los clientes de TI.
ADQUISICION E IMPLEMENTACION (AI)

AI1. Identificar soluciones de Asegurar el mejor enfoque para automatizacin AI2. Adquirir y mantener software de aplicacin AI3. Adquirir y mantener la arquitectura tecnolgica AI4. Desarrollar y mantener procedimientos AI5. Instalar y acreditar sistemas de informacin AI6. Administrar cambios satisfacer los requerimientos del usuario. Proveer funciones automatizadas que efectivamente soporten los procesos de negocio. Proveer la plataforma adecuada para proporcionar soporte a las aplicaciones de negocio. Asegurar el y uso de apropiado las de las de aplicaciones soluciones
tecnologa existentes. Verificar y confirmar que la solucin corresponda al propsito pretendido. Minimizar la probabilidad alteraciones de no interrupciones,
autorizadas y errores.
PRESTACION DE SERVICIO Y SOPORTE (DS)

DS1. Definir niveles de servicio DS2. Administrar servicio de terceros Establecer un entendimiento comn del nivel de servicio requerido. Asegurar que los de roles y estn los responsabilidades continan requerimientos. DS3. Administrar desempeo y capacidad Asegurar que la capacidad adecuada se encuentra disponible y se hace el mejor y ptimo uso los de la misma para de de y satisfacer desempeo. DS4. Asegurar continuidad de servicio Contar acuerdo con con servicios los disponibles requerimientos requerimientos terceros
definidas claramente, son respetados y satisfaciendo
mantener la prestacin de los mismos en caso de una interrupcin. DS5. Garantizar la seguridad de sistemas Salvaguardar informacin contra uso no autorizado, divulgacin o modificacin, dao o prdida.
24
DS6. Identificar y asignar costos DS7. Educar y capacitar usuarios
Asegurar una concientizacin correcta de los costos atribuibles a servicios de TI. Asegurar estn que los de usuarios los estn y haciendo uso efectivo de la tecnologa y conscientes que riesgos responsabilidades involucradas.
DS8. Apoyar y orientar a clientes
Asegurar
cualquier por los
problema es
experimentado DS9. Administrar la configuracin
usuarios
manejado apropiadamente. Dar razn de todos los componentes. Prevenir alteraciones no autorizadas, confirmar existencia fsica y proveer las bases para una slida administracin de cambios. DS10. Administrar problemas e incidentes Asegurar que problemas e incidentes son resueltos y que para las causas son investigadas DS11. Administrar la informacin prevenir cualquier
ocurrencia futura. Asegurar que la informacin se mantiene completa, exacta y vlida durante su entrada, almacenamiento. DS12. Administrar las instalaciones Proporcionar personas DS13. Administrar la operacin una ubicacin fsica y conveniente que proteja al equipo y a las contra riesgos naturales riesgos producidos por el hombre. Asegurar que las funciones importantes de TI son desarrolladas regularmente y en una forma ordenada. actualizacin y
MONITOREO (M)
M1. Monitorear el proceso Asegurar objetivos M2. interno M3. Obtener aseguramiento Evaluar lo adecuado del control el de cumplimiento desempeo de los establecidos
para los procesos de TI. Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. Incrementar los niveles de confianza y beneficiarse con recomendaciones sobre mejores prcticas. M4. Obtener auditora independiente Incrementar la confianza y confiabilidad independiente
25
entre
la
organizacin,
clientes
proveedores.
3.4
ISO/IEC 27002:2005
3.4.1 Definicin y objetivos El objetivo del estndar ISO/IEC 27002:2005 es brindar informacin a los responsables de la implementacin de seguridad de la informacin de una organizacin. Puede ser visto como una buena prctica para desarrollar y mantener normas de seguridad y prcticas de gestin en una organizacin para mejorar la fiabilidad en la seguridad de la informacin. En l se definen las estrategias de 133 controles de seguridad organizados bajo 11 dominios. La poltica de seguridad Organizacin para la seguridad de la informacin Gestin de activos de informacin Seguridad del personal Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de sistemas Gestin de incidentes de la seguridad de la informacin Gestin de la continuidad del negocio Cumplimiento
Los principios rectores en la norma ISO/IEC 27002 son los puntos de partida para la implementacin de seguridad de la informacin. Se basan en los requisitos legales o en las mejores prcticas generalmente aceptadas. Las mediciones La proteccin Proteccin de Proteccin de basadas en los requisitos legales son: y la no divulgacin de datos personales la informacin interna los derechos de propiedad intelectual
Las mejores prcticas mencionadas en la norma incluyen: La poltica de seguridad de la informacin Asignacin de la responsabilidad de seguridad de la informacin Escalamiento de problemas Gestin de la continuidad del negocio
26
CAPTULO IV ENFOQUE METODOLGICO El enfoque metodolgico propuesto integra el conocimiento aportado por las organizaciones que lideran el desarrollo de los estndares y mejores prcticas en el mbito de las tecnologas de la informacin reconocidas a nivel internacional, entregando un marco referencial para realizar auditoras a las tecnologas de informacin centradas en los procesos del negocio, los sistemas de informacin que los soportan y sus actividades de control. 4.1 METODOLOGA
Esta constituye una herramienta de apoyo que permite incorporar el uso del estndar COBIT y la norma tcnica ISO/IEC 27002 a los programas de auditoras a las tecnologas de informacin y comunicaciones. A continuacin, se presentan las etapas que componen la metodologa: a) FASE I. Planificacin de la auditora 1. Plan de auditora preliminar 2. Comprensin de la organizacin, procesos de negocio y sistemas 3. Definicin del programa y alcance de la auditora b) FASE II. Ejecucin de la auditora 4. Evaluacin del control interno 5. Diseo de las pruebas de auditora 6. Ejecucin de las pruebas de auditora 7. Evaluacin del resultado de las pruebas de auditora
27
c) FASE III. Comunicacin de los resultados 8. Elaboracin del informe con los resultados de la auditora 9. Seguimiento a las observaciones de la auditora 4.1.1 Sntesis de actividades y productos entregables por etapas A continuacin, se presenta un resumen de las actividades y productos que componen las etapas a cumplir para realizar una auditora a las tecnologas de informacin y comunicaciones.
RESUMEN DE ACTIVIDADES Y PRODUCTOS DE LA METODOLOGA

ETAPAS DE LA METODOLOGA N
1
ACTIVIDADES QUE SE EJECUTAN
PRODUCTOS DE LA ETAPA
DESCRIPCION
Plan de auditora preliminar
Elaborar un plan de auditora con objetivos generales. Conformar el grupo de trabajo que realizar la auditora. Estimar tiempo necesario para realizar la auditora. Plan de auditora preliminar. Definicin del perfil del personal requerido y asignacin de auditores. Lista con horas estimadas por etapa para realizar la auditora.
Comprensin de la organizacin, procesos de negocio y sistemas
Levantamiento de informacin sobre el estado actual y caractersticas de la organizacin, y sistemas infraestructura, de informacin recursos que los
Archivos de trabajo de la auditora. Documento procesos Ficha de descriptivos. tcnica de los sistemas de informacin que soportan los procesos de negocio. con definicin y de los negocio diagramas
humanos y tcnicos, procesos de negocios soportan. Confeccionar flujograma de los procesos de negocio. Realizar ficha tcnica de los sistemas de informacin que soportan los procesos de negocio.
Definicin del programa y alcance de la auditora
Seleccionar
los
objetivos
de
control
Lista de objetivos de control que deben ser satisfechos por los procesos de negocio y sistemas de informacin. Programa de auditora detallado. Carta Gantt del programa de auditora.
aplicables a los procesos de negocio y sistemas de informacin. Elaborar detallado. Confeccionar Carta Gantt del programa de auditora. el programa de auditora
28
Evaluacin del sistema de control interno
Identificar
documentar
los
controles
Lista de controles existentes para los procesos de negocio y sistemas de informacin. Lista con el grado de proteccin de controles existentes para los procesos de negocio y los sistemas. Lista de deficiencias y debilidades de control interno.
existentes en los procesos de negocio y sistemas de informacin. Evaluar el diseo y grado de proteccin que ofrecen los controles existentes. Identificar deficientes. y documentar los controles
Definicin y diseo de las pruebas de auditora
Definir y disear pruebas de cumplimiento para los controles claves de los procesos de negocio y sistemas agrupados por tcnicas de verificacin. Definir el diseo y alcance de las pruebas sustantivas para datos clave de los procesos y sistemas.
Definicin del alcance de las pruebas de cumplimiento. Diseo detallado de las pruebas de cumplimiento verificacin. Definicin del alcance de las pruebas sustantivas. Diseo detallado de las pruebas sustantivas. segn tcnicas de
Ejecucin de las pruebas de auditora
Ejecutar
pruebas
de
cumplimiento tcnicas o asistidas
y de por
Lista de controles verificados por el auditor. Soportes de las pruebas de auditora realizadas.
sustantivas verificacin computador. Evaluar los
utilizando manuales
Evaluacin de los resultados obtenidos en las pruebas de auditora
resultados
de
las
pruebas
Listado con anlisis de observaciones de auditora para de los pruebas de cumplimiento y sustantivas. Conclusiones obtenidos. resultados
efectuadas. Desarrollar el anlisis de las observaciones de auditora y puntos mejorables para los controles y datos deficientes. Identificar las causas, el impacto y las implicaciones de las observaciones para la organizacin y verificar los estndares y mejores prcticas que no se cumplen. Disear las conclusiones de auditora para los resultados no satisfactorios.
Elaboracin del informe con los resultados de la auditora
Elaborar resumen de observaciones. Desarrollar y aprobar informe preliminar. Emitir informe preliminar. Analizar respuesta del servicio al informe preliminar. Disear Elaborar auditora. Emitir informe final de auditora. Organizar y cerrar expediente y archivo con hojas de trabajo. conclusiones y aprobar generales informe final y de especficas de la auditora.
Resumen de observaciones obtenidas. Informe preliminar de auditora. Documento con el anlisis de las respuestas emitidas por el servicio auditado al informe preliminar. Informe final de auditora. Expediente observaciones de auditora organizadas con y
referenciadas adecuadamente.
Seguimiento a las observaciones de auditora
Planificar seguimiento al cumplimiento de las observaciones de auditora. Efectuar Analizar y seguimiento evaluar en resultados fechas del programadas. seguimiento. Elaborar y aprobar informe de seguimiento. Emitir informe de seguimiento.
Programa de seguimiento. Listado con el resultado del cumplimiento de las observaciones. Informe de seguimiento.
29
4.2
FASE I. PLANIFICACIN DE LA AUDITORA
La primera fase de la auditora comprende la realizacin de un plan de auditora preliminar con el propsito de definir los objetivos de la auditora, asignar los recursos y estimar el tiempo necesario para efectuar la revisin. 4.2.1 Plan de auditora preliminar Esta primera etapa considera la planificacin que realiz el organismo fiscalizador el ao anterior, donde se definieron los servicios con prioridad de auditora para cada sector pblico. Como resultado de esta actividad se realiza el programa de trabajo para la auditora, el que debe incluir: Objetivos de la auditora Definicin del equipo de auditores requerido: perfil y habilidades. Tiempo estimado para efectuar la auditora.
4.2.2 Programa de trabajo para el desarrollo de la auditora Este documento consta de tres secciones: Objetivos de la auditora: En esta seccin se incluyen los objetivos de control generales que se buscan con la realizacin de la auditora en tecnologas de la informacin. Alcance de la auditora: En esta seccin se definen los procesos de negocio y sistemas de informacin que sern revisados. Programacin de actividades: Incluye la secuencia de pasos que debern ejecutarse para desarrollar las etapas de la auditora.
30
4.2.3 Asignacin de recursos y estimacin del tiempo requerido para efectuar la auditora Con base en la complejidad tcnica de los procesos de negocio y sistema de informacin sujetos a auditora y en el volumen de trabajo estimado para satisfacer los objetivos propuestos, es necesario definir las competencias necesarias del equipo de auditora y estimar las necesidades de tiempo que se requerirn. Suponga que se presupuestan 480 horas para todo el trabajo, las que podran ser asignadas as: 15% para labores de supervisin, 20% para el auditor a cargo y el restante 65% para los auditores en terreno. ASIGNACIN DE HORAS DE AUDITORA N 1 2 3 NIVEL DE RESPONSABILIDAD Supervisor Auditor a cargo Auditores en terreno HORAS ASIGNADAS 72 96 312
Por cada una de las etapas de la metodologa, un modelo de distribucin de tiempo podra ser el siguiente: ESTIMACION DE HORAS POR ETAPAS N 1 2 3 4 5 ETAPAS DE LA METODOLOGIA Plan de auditora preliminar Comprensin del proceso de negocio Definicin del programa y su alcance Evaluacin del control interno Definicin y diseo de las 40 80 40 120 80 31 HORAS ESTIMADAS
pruebas 6 7 8 Ejecucin de las pruebas Anlisis de resultados de las pruebas Elaboracin informe con los resultados 40 40 40
4.2.4 Comprensin de los procesos de negocio y sistemas de informacin que los soportan Esta etapa tiene como objetivos conocer y comprender el ambiente de organizacin, tecnolgico y operativo de los procesos de negocio y los sistemas de informacin que los soportan. Implica para el auditor, realizar un levantamiento de la informacin detallada a travs de entrevistas con las personas apropiadas, de observacin de la forma como se ejecutan las operaciones y de la comprensin de la lgica del negocio, los flujos de informacin, el rol de las personas y dependencias que intervienen en el manejo de las operaciones y otros aspectos que el auditor considere importantes. Cuando se realiza por primera vez la auditora en un servicio, la informacin relevante obtenida en esta etapa se organiza en un documento conocido como archivo permanente o expediente continuo de auditora. Si el archivo ya existe, es necesario su revisin y actualizacin con los cambios efectuados desde la ltima auditora. Este documento contiene informacin sobre los objetivos y procesos que soportan los sistemas de informacin y sobre los recursos de tecnologa utilizados (instalaciones de procesamiento, infraestructura, personal, contratos, etc.) y la importancia relativa de las cifras que se procesan y otros datos de inters.
32
4.2.5 Levantamiento de la informacin bsica y detallada El levantamiento de informacin que se realiza en esta etapa, tiene como finalidad asegurar que el auditor comprenda la filosofa y las caractersticas de funcionamiento de los procesos de negocio y sistemas de informacin en estudio. Esto es imperativo dentro del proceso de la auditora, puesto que toda la pericia y el conocimiento tcnico del auditor seran inaplicables si antes no obtiene la comprensin de aspectos claves del universo que ser auditado. Como resultado de esta actividad, el auditor obtiene la siguiente informacin: a) De los procesos de negocio Estructura organizacional Estructura de las reas propietarias de la informacin de los procesos de negocio Clientes interno y externos Dependencias de la organizacin Tareas o actividades que realiza cada dependencia Terceros que intervienen en el manejo de la informacin Cuantificacin de las cifras de operaciones que manejan los procesos de negocio (promedio durante un ao) Polticas y procedimientos establecidos en la organizacin relacionados con los procesos de negocio Normas legales e institucionales que rigen el funcionamiento del servicio Informacin sobre fraudes y otros antecedentes en las operaciones del servicio b) De las tecnologas de informacin que soportan los procesos de negocio Funciones y operaciones del negocio que ejecutan los sistemas 33
Modelo entidad/relacin de las bases de datos de los sistemas Diccionario de datos de los modelos entidad/relacin Inventario de documentos fuentes y otros medios de entrada de datos Personas claves que dan soporte tcnico a la operacin y mantencin de los sistemas para cada dependencia. Terceros que prestan servicios de tecnologas de informacin para los procesos de negocio. Inventario de informes que producen los sistemas y destinatarios de los mismos Interfaces entre sistemas (informacin que reciben o proporcionan a otros sistemas) Manuales existentes con la documentacin tcnica y del usuario Plataforma en la que funcionan los sistemas de informacin (sistema operativo, software de desarrollo y motor de base de datos utilizados) Si el sistema de informacin fue adquirido; datos del proveedor, ao de adquisicin, versin en produccin, cantidad de usuarios con licencia, poseen programas fuentes y contrato de mantencin)
Si el sistema de informacin fue desarrollado internamente (tipo de lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a produccin, versin actual en produccin).
4.2.6 Estructura y organizacin de los archivos de trabajo Con la informacin obtenida en esta etapa se organiza el primero de dos archivos de trabajo de la auditora, el archivo permanente o expediente continuo de auditora, que contiene la informacin que representa el estado actual del rea objeto de auditora. El otro archivo se denomina archivo de hojas de trabajo y se construye con los resultados de cada una de las etapas de la metodologa. a) Archivo permanente Es el archivo con los antecedentes que reflejan el estado de organizacin y funcionamiento de los procesos y sistemas auditados en una entidad. 34
Este archivo contiene informacin de la organizacin que es poco cambiante y, por consiguiente, tiene validez continua a travs del tiempo. Generalmente, se elabora completamente en la primera auditora y en las dems se reemplazan unos documentos por otros actualizados. b) Archivo de hojas de trabajo Es el archivo con las hojas de trabajo que contienen las evidencias del desarrollo de cada una de las etapas de la auditora. Los documentos de este archivo tienen validez por una sola vez, es decir, para cada auditora realizada a las aplicaciones que estn en proceso de evaluacin. Por consiguiente, cada vez que se efecte una auditora se debe elaborar un nuevo archivo con la informacin recopilada. 4.2.7 Ficha tcnica de los sistemas de informacin La ficha tcnica es un documento con el resumen gerencial de las principales caractersticas del proceso de negocio y de las tecnologas de informacin que soportan sus operaciones. El objetivo principal de este documento es ubicar a los destinatarios de los informes de auditora, proporcionndoles informacin que sirva de referencia para evaluar la importancia de las observaciones y conclusiones que se presentan en el informe de auditora. El contenido de la ficha tcnica es un resumen del archivo permanente de los procesos de negocio y los sistemas de informacin que los soportan. 4.2.8 Definicin del alcance de la auditora El objetivo de esta etapa es identificar, analizar y seleccionar los objetivos de control aplicables a los procesos de negocio y sistemas de informacin sujetos a auditora. Estos objetivos de control sern incorporados al programa de auditora detallado. 35
De esta etapa se obtiene lo siguiente: Programa de auditora con objetivos detallados Carta Gantt de la auditora Lista con la definicin y anlisis de los objetivos de control aplicables a los procesos del negocio y sistemas de informacin auditados. 4.2.9 Seleccin de los objetivos de control aplicables En este paso de la metodologa se deben seleccionar los objetivos de control que sean aplicables a la auditora de los procesos de negocio y sistemas de informacin en revisin. Para agrupar de forma ms comprensiva los controles que proporcionan COBIT e ISO/IEC 27002, podemos recurrir a los objetivos de control bsicos que define la Asociacin de Auditores de Sistemas de Informacin y Control (ISACA) para realizar una revisin y evaluacin de los sistemas de informacin. 1. 2. 3. 4. 5. 6. 7. 8. 9. Estrategia y direccin Organizacin general Acceso a los recursos de informacin Metodologa de desarrollo de sistemas y control de cambios Procedimientos de operaciones Programacin de sistemas y funciones de soporte tcnico Procedimientos de aseguramiento de calidad Controles de acceso fsico Planificacin de la continuidad del negocio y recuperacin de desastres
10. Redes y comunicaciones 11. Administracin de la base de datos 12. Proteccin y mecanismos de deteccin contra ataques internos y externos
36
En la etapa evaluacin del sistema de control, se debe analizar si los controles establecidos por la administracin se encuentran alineados con los objetivos de control seleccionados de los estndares. Posteriormente, en la etapa Ejecucin de pruebas de auditora, se debe verificar si la proteccin de los controles es suficiente para asegurar razonablemente el cumplimiento de los objetivos del negocio. 4.2.10 Objetivos de control COBIT e ISO/IEC 27002 A continuacin, se presenta la lista con la descripcin de los objetivos de control COBIT e ISO/IEC 27002 que son aplicables a cada objetivo de control bsico.
1.- ESTRATEGIA Y DIRECCIN

OBJETIVOS DE CONTROL APLICABLES COBIT
PO1.2 Alineacin de TI con el negocio PO1.4 Plan estratgico de TI PO2.1 Modelo de arquitectura de informacin empresarial PO3.1 Planeamiento de la orientacin tecnolgica PO3.2 Plan de infraestructura tecnolgica PO3.4 Estndares tecnolgicos PO4.2 Comit estratgico de TI PO4.3 Comit directivo de TI PO6.5 Comunicacin de los objetivos y de la direccin de TI
ISO/IEC 27002
2.- ORGANIZACIN GENERAL

PO4.4 Ubicacin organizacional de la funcin de TI PO4.5 Estructura organizacional de TI PO4.6 Establecer roles y responsabilidades PO4.7 Responsabilidades para el aseguramiento de la calidad de TI (QA) PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento PO4.10 Supervisin PO4.11 Segregacin de funciones PO4.12 Personal de TI PO4.13 Personal clave de TI PO6.4 Implantacin de polticas, estndares y procedimientos
ISO/IEC 27002
37
3.- ACCESO A LOS RECURSOS DE INFORMACIN

PO2.3 Esquema de clasificacin de datos PO6.2 Riesgo corporativo y marco de referencia del control interno de TI DS5.2 Plan de seguridad de TI DS5.4 Gestin de cuentas de usuario DS5.3 Gestin de identidad
ISO/IEC 27002
11.1.1 Polticas de control de acceso
DS5.9 Prevencin, deteccin y correccin de software malicioso DS5.11 Intercambio de datos sensitivos DS9.2 Identificacin y mantenimiento de elementos de la configuracin
11.2.1 Registro de usuarios 11.2.2 Gestin de privilegios 11.2.4 Revisin de derechos de acceso de usuarios 11.2.3 Gestin de contraseas de usuarios 11.3.1 Uso de contraseas 11.5.1 Procedimientos seguros de inicio de sesin 11.6.1 Restriccin de acceso a la informacin 11.4.2 Autenticacin de usuario para conexiones externas 11.4.3 identificacin de equipos en redes
4.- METODOLOGA DE DESARROLLO DE SISTEMAS Y CONTROL DE CAMBIOS

AI2.1 Diseo a alto nivel AI2.2 Diseo detallado AI2.7 Desarrollo de software aplicativo AI2.9 Gestin de los requisitos de las aplicaciones AI2.10 Mantenimiento del software aplicativo AI2.8 Aseguramiento de la calidad del software AI7.2 Plan de pruebas AI7.3 Plan de implementacin AI7.4 Ambiente de prueba AI7.5 Conversin de datos y sistemas AI7.6 Pruebas de cambios AI7.7 Pruebas de aceptacin final AI7.8 Promocin a produccin AI7.9 Revisin posterior a la implementacin AI6.1 Estndares y procedimientos para cambios AI6.2 Evaluacin de impacto, priorizacin y autorizacin AI6.4 Seguimiento y reporte de estado de los cambios AI6.5 Cierre y documentacin del cambio AI6.3 Cambios de emergencia
ISO/IEC 27002
10.1.4 Separacin de los entornos de desarrollo, pruebas y produccin
10.3.2 Aceptacin del sistema
10.1.2 Gestin de cambios 12.5.1 Procedimientos de control de cambios 12.5.3 Restricciones en los cambios a los paquetes de software
38
5.- PROCEDIMIENTOS DE OPERACIONES

AI4 Facilitar la operacin y el uso DS13 Gestionar las operaciones AI7 Instalar y acreditar soluciones y cambios DS1 Definir y gestionar los niveles de servicio DS2 Gestionar los servicios de terceros DS2 Gestionar los servicios de terceros
ISO/IEC 27002
10.1.1 Procedimientos operativos documentados 10.1.4 Separacin de los entornos de desarrollo, pruebas y produccin 10.2.1 Entrega de servicios 10.2.2 Monitoreo y revisin de los servicios de terceros 10.2.3 Gestin de cambios a los servicios de terceros 10.3.1 Gestin de la Capacidad 10.5.1 Respaldo de la informacin 10.7.2 Eliminacin de medios de almacenamiento 10.10.2 Monitoreo del uso de los sistemas 10.10.4 Logs de administrador y de operador 10.10.5 Logs de errores
DS11 Gestionar datos ME1 Monitorear y evaluar el desempeo de TI DS5 Garantizar la seguridad de los sistemas
6.- PROGRAMACIN DE SISTEMAS Y SOPORTE TCNICO

DS1.3 Acuerdos de niveles de servicio DS8.1 Mesa de servicios DS8.2 Registro de consultas de clientes DS10.3 Cierre de problemas 10.2.1 Entrega de servicios
ISO/IEC 27002
7.- PROCEDIMIENTOS DE ASEGURAMIENTO DE CALIDAD

PO4.7 Responsabilidades para el aseguramiento de la calidad de TI (QA) PO8.1 Sistema de administracin de calidad PO8.2 Estndares y prcticas de calidad PO8.5 Mejora continua PO8.6 Medicin, monitoreo y revisin de la calidad
ISO/IEC 27002
39
8.- CONTROLES DE ACCESO FSICO

DS12.1 DS12.2 DS12.3 DS12.4 Seleccin y diseo del centro de datos Medidas de seguridad fsica Acceso fsico Proteccin contra factores ambientales
ISO/IEC 27002
9.1.1 Permetro de seguridad fsica 9.1.2 Controles fsicos de ingreso 9.1.4 Proteccin contra amenazas externas y ambientales 9.1.6 reas de acceso pblico, despacho y recepcin
PO4.14 Polticas y procedimientos para personal contratado PO6.2 Riesgo corporativo y marco de referencia para el control interno de TI AI3.3 Mantenimiento de la infraestructura DS5.7 Proteccin de la tecnologa de seguridad AI3.3 Mantenimiento de la infraestructura DS12.5 Gestin de instalaciones fsicas DS13.5 Mantenimiento preventivo del hardware DS11.4 Desechar
9.2.1 Ubicacin y proteccin de los equipos

9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de equipos 9.2.6 Eliminacin o reutilizacin segura de equipos
9.-
PLANIFICACIN
DE
LA
CONTINUIDAD
DEL
NEGOCIO
RECUPERACIN DE DESASTRES
DS4.1 Marco de trabajo de continuidad de TI
ISO/IEC 27002
6.1.6 Relacin con las autoridades 6.1.7 Relacin con grupos de inters especial 14.1.1 Incluir la seguridad de informacin en el proceso de gestin de continuidad del negocio 14.1.4 Marco de planificacin de continuidad del negocio 14.1.3 Desarrollar e implementar planes de continuidad que incluyan la seguridad de la informacin 14.1.2 Continuidad del negocio y evaluacin de riesgos 14.1.5 Pruebas, mantenimiento y revaluacin de los planes de continuidad del negocio 14.1.3 Mantener o restaurar operaciones para asegurar la disponibilidad de la informacin 10.5.1 Respaldo de la informacin 14.1.5 Pruebas, mantenimiento y revaluacin de los planes de continuidad del negocio
DS4.2 Planes de continuidad de TI DS4.4 Mantenimiento del plan de continuidad de TI DS4.5 DS4.6 DS4.7 DS4.8 Pruebas del plan de continuidad de TI Entrenamiento en el plan de continuidad de TI Distribucin del plan de continuidad de TI Recuperacin y reanudacin de servicios TI
DS4.9 Almacenamiento externo de respaldos DS4.10 Revisin post-reanudacin
40
10.- REDES Y COMUNICACIONES

DS9.2 Identificacin y mantenimiento de elementos de la configuracin 11.4.4 Proteccin de puertos de configuracin y diagnstico remoto 11.4.5 Segregacin en redes 11.4.6 Control de conexiones en la red 11.4.7 Control de enrutamiento en la red 10.6.1 Controles de red 10.6.2 Seguridad de los servicios de red
ISO/IEC 27002
11.4.1 Polticas de uso de los servicios de red 11.4.3 identificacin de equipos en redes
DS5 Garantizar la seguridad de los sistemas
11.- ADMINISTRACIN DE LA BASE DE DATOS

PO2.1 Modelo de arquitectura de informacin empresarial PO2.2 Diccionario de datos empresarial y reglas de sintaxis de datos PO4.9 Propiedad de los datos y sistemas
ISO/IEC 27002
7.1.2 Propiedad de los activos de informacin
12.- PROTECCIN Y MECANISMO DE DETECCIN CONTRA ATAQUES INTERNOS Y EXTERNOS

DS5 Garantizar la seguridad de los sistemas DS9.2 Identificacin y mantenimiento de elementos de la configuracin DS5.6 Definicin de incidente de seguridad PO9.3 Identificacin de eventos
ISO/IEC 27002
12.6.1 Control de vulnerabilidades tcnicas 13.1.1 Reporte eventos de seguridad de informacin 13.1.2 Reporte de debilidades de seguridad de informacin 13.2.1 Responsabilidades y procedimientos
AI2.3 Control y auditabilidad de las aplicaciones DS8.3 Escalamiento de incidentes DS8.4 Cierre de incidentes
13.2.2 Aprendiendo de los incidentes de seguridad de informacin 13.2.3 Recoleccin de evidencia
41
4.3
FASE II. EJECUCIN DE LA AUDITORA
La segunda fase de la auditora comprende un anlisis del sistema de control interno de la organizacin con el objetivo de planificar y realizar las pruebas de cumplimiento y sustantivas que evaluarn si los controles operan de forma adecuada y cumplen con resguardan el cumplimiento de los objetivos y requisitos del negocio. 4.3.1 Evaluacin del sistema de control interno En esta etapa los auditores deben evaluar el sistema de control interno existente en los procesos de negocio y sistemas de informacin objeto de la auditora, como base para determinar la naturaleza y extensin de las pruebas de auditora que se requieran. Evaluar el sistema de control interno significa: determinar si los controles establecidos en los procesos de negocio y los sistemas de informacin, ofrecen la proteccin apropiada para reducir los riesgos a niveles aceptables para la organizacin. El propsito de la evaluacin de control interno, es determinar si es suficiente y efectiva para proteger a la organizacin, contra los riesgos que podran afectarla en los procesos de negocio y sistemas de informacin que se estn auditando. Esto es, evaluar la confiabilidad de los controles utilizados para prevenir o detectar y corregir las causas de los riesgos y minimizar el impacto que estos tendran en caso de llegar a materializarse. La evaluacin del sistema de control interno produce resultados
intermedios, de valor importante para las etapas restantes del proceso de auditora, estos son: 1) El auditor fundamenta su opinin sobre la confiabilidad que ofrecen los controles utilizados, para reducir la probabilidad de ocurrencia o el impacto de los riesgos. Los resultados de esta evaluacin sirven al
42
auditor como base para determinar la naturaleza y extensin de las pruebas de auditora que se consideren necesarias y apropiadas a las circunstancias. 2) El auditor identifica y soporta debilidades y oportunidades de
mejoramiento (observaciones de auditora) en la estructura de los controles. Estas observaciones son insumos para el informe de auditora. 3) El auditor identifica los controles que debern verificarse en la etapa de ejecucin de pruebas de auditora, para determinar que realmente existen, estn operando y son entendidos por las personas encargadas de ejecutarlos (pruebas de cumplimiento). 4) El auditor identifica los datos crticos y actividades sobre las cuales es necesario aplicar pruebas para verificar la exactitud y confiabilidad de los clculos y de la informacin que producen los sistemas de informacin para apoyar el desarrollo de las operaciones del negocio (pruebas sustantivas). 5) El auditor documenta las observaciones de auditora para los procesos de negocio y los sistemas de informacin que los soportan. Esta presenta las debilidades y deficiencias de control interno y seguridad identificadas en la evaluacin de controles.
4.3.2 Levantamiento de controles por procesos de negocio y sistemas de informacin El propsito de esta actividad es identificar y documentar los controles existentes por cada proceso de negocio y sistemas de informacin. Los soportes de este levantamiento de controles, generalmente son flujogramas o la descripcin narrativa de las actividades que se desarrollan en cada proceso.
43
4.3.3 Criterios para evaluar la proteccin que ofrecen los controles Para que los controles existentes ofrezcan el nivel de proteccin apropiado, deben satisfacer al menos dos de los tres criterios que se mencionan a continuacin: Que exista la mezcla de los tres tipos de controles. Es decir, que la causa de riesgo tenga al menos un control de cada tipo (preventivo, detectivo y correctivo). El incumplimiento de este criterio significa que los controles existentes para la causa de riesgo o amenaza contra la seguridad, no cumplen el principio de las tres barreras o anillos de seguridad recomendado por los expertos. Que la calificacin promedio de los controles, segn su clase, sea mayor o igual que 3.5. Las calificaciones para cada clase de control son: 5.0: Para controles automticos no discrecionales 4.0: Para controles automticos y discrecionales 3.0: Para controles manuales El incumplimiento de este criterio significa que la mayora de los controles existentes no estn automatizados y por consiguiente, la confiabilidad de los controles depende significativamente de las personas que los ejecutan y supervisan. Que la relacin costo/beneficio sea razonable. Es decir, que el costo de los controles sea menor que el valor de las prdidas que originara la ocurrencia de la causa del riesgo. Los controles, para que sean apropiados, siempre deben ser menos costosos que el riesgo para el cual se establecen. Para estimar la razonabilidad de los costos de los controles, el auditor debe tener en cuenta lo siguiente: 44
Costo de adquisicin del control Costo de instalacin del control Costo de operacin del control Costo de mantenimiento del control El incumplimiento de este criterio significa que la inversin en controles y seguridad est por encima del valor de las prdidas que se pretende reducir con los controles. En este caso los costos de los controles exceden los beneficios que podran obtenerse. En forma cualitativa, se evala la efectividad de los controles existentes utilizando dos rangos de valoracin: satisfactoria o insatisfactoria. 4.3.4 Evaluar la satisfaccin de los objetivos de control Al terminar el levantamiento de los controles de los procesos de negocios y sistemas de informacin que los soportan, se procede a evaluar la satisfaccin de los objetivos de control identificados en la etapa anterior. Para este fin es necesario ejecutar las siguientes actividades: 1) Consultar la lista de los controles levantados indicando sus atributos (tipo y clase) 2) Distribuir los controles existentes entre los objetivos de control COBIT e ISO 27002. Para este fin el auditor aplica su experiencia y criterio profesional para determinar la aplicabilidad de los controles a cada objetivo de control. Esto requiere del anlisis cuidadoso del auditor 3) Evaluar el grado de satisfaccin que ofrecen los controles asignados a cada objetivo de control 4) Resumir la evaluacin de satisfaccin de los objetivos de control
45
4.3.5 Observaciones de control interno Las observaciones de auditora en la evaluacin de control interno, se refieren a desviaciones que se presentan respecto a los estndares de seguridad y control o a las normas internas de la organizacin. En la prctica, se refieren a debilidades o deficiencias que se detectan cuando los controles no satisfacen los criterios de evaluacin antes mencionados. Para los controles evaluados con efectividad inapropiada se generan una o ms observaciones de auditora. Las observaciones de auditora se registran y posteriormente se analizan y se desarrollan como se especifica a continuacin. Primero se describe la observacin o desviacin identificada respecto a los objetivos y estndares que identific el auditor. Luego, se presenta el estndar de comparacin que no se cumple y que debera aplicarse para evitar o resolver el problema. Posteriormente, se describe el impacto o perjuicios a que se expone la organizacin como consecuencia de la deficiencia o debilidad de control identificada. 4.3.6 Definicin y diseo de las pruebas de auditora El objetivo de esta etapa es definir y disear los procedimientos de auditora para obtener evidencia vlida y suficiente de la operacin de los controles existentes (pruebas de cumplimiento) y de la integridad de la informacin (pruebas sustantivas). Las pruebas pueden ser realizadas con procedimientos manuales o asistidas por computadora. Estas pruebas se aplican slo a los controles que en la evaluacin de control interno presentaron un nivel de proteccin apropiado.
46
El auditor debe verificar que: Los controles identificados y evaluados en la etapa anterior estn operando como se previ. Estas se denominan pruebas de cumplimiento. La informacin manejada, procesada o producida por el proceso de negocio o sistema de informacin, es exacta y confiable, es decir, refleja la realidad. Estas son las pruebas sustantivas. De la ejecucin de esta etapa se obtienen los siguientes productos: Para pruebas de cumplimiento: Por cada tcnica de comprobacin a emplear, un documento con las especificaciones de diseo de cada prueba, indicando los controles a probar, el procedimiento y los recursos requeridos para ejecutar la prueba. Para pruebas sustantivas: Por cada tcnica de comprobacin a utilizar, un documento con las especificaciones de diseo de cada prueba, indicando los datos a verificar, el procedimiento y los recursos requeridos para ejecutar la prueba. 4.3.7 Identificacin de controles claves que sern verificados Las pruebas de cumplimiento y sustantivas no se aplican para todos los controles existentes, identificados y evaluados satisfactoriamente en la etapa anterior. Por razones de efectividad y eficiencia, es suficiente con probar asegurar solamente calidad, una seguridad, muestra de controles con seleccionados legales y cuidadosamente, aplicando criterios que consulten su importancia para cumplimiento aspectos confiabilidad de los procesos de negocio y sistemas de informacin sujetos a auditora.
47
Tales controles se denominarn claves. Un control clave se define como el control que es vital o de la mayor importancia para asegurar el correcto funcionamiento de los procesos, sistemas y las actividades del negocio sujetas a auditora. Los controles claves son aquellos que, a juicio del auditor, son
indispensables para evitar o detectar y corregir el efecto o la probabilidad de ocurrencia de las causas de riesgo que generan riesgo alto. Tambin, pueden considerarse claves aquellos controles que con mayor frecuencia actan sobre varias causas de riesgo, es decir, tienen efecto mltiple. Se asume que entre mayor frecuencia tenga un control, mayor ser su importancia y por consiguiente podr ser considerado clave. Otro criterio que podra emplear el auditor para seleccionar los controles clave es la clase de control. Por ejemplo, podra decidir seleccionar una muestra de controles automatizados y otra muestra de controles manuales. 4.3.8 Agrupamiento de controles por tcnica de comprobacin Este mtodo consiste en asignar individualmente las tcnicas de
comprobacin a cada uno de los controles y posteriormente agruparlos bajo el nombre de sta. Los pasos a seguir para definir las pruebas de cumplimiento utilizando el mtodo de agrupamiento de controles por tcnica de comprobacin son: Asignar la tcnica de comprobacin para cada control Agrupar los controles a verificar por tcnica de comprobacin Definir el alcance de las pruebas de cumplimiento Disear las pruebas de cumplimiento (diseo detallado) a ejecutar Planificar la ejecucin de las pruebas de cumplimiento Ejecutar el plan de pruebas de cumplimiento 48
La aplicabilidad de cada tcnica de comprobacin depende de la naturaleza del control, por lo que el auditor debe analizar sus caractersticas y optar por la tcnica que a su criterio permita la correcta ejecucin y comprobacin de las pruebas a realizar. En la siguiente etapa de la auditora se detallan las tcnicas y procedimientos de mayor aceptacin para realizar las pruebas de cumplimiento y sustantivas en ambientes informticos. 4.3.9 Definicin y diseo de pruebas de cumplimiento Las pruebas de cumplimiento tienen como objetivo comprobar (obtener evidencia) que los controles establecidos estn implantados y que las personas encargadas de las operaciones los entienden, ejecutan y supervisan (monitorean) continuamente. Estas pruebas tambin son necesarias para evaluar si los procedimientos empleados satisfacen las polticas y procedimientos de la organizacin. Para efectuar las pruebas de cumplimiento se utiliza una lista de comprobacin de controles claves ordenados por tcnica de comprobacin para los procesos de negocio y sistemas de informacin auditados. Este mtodo de disear pruebas de cumplimiento consiste en asignar individualmente las tcnicas de comprobacin a cada uno de los controles claves y, posteriormente, agrupar bajo el nombre de cada tcnica a todos los controles que sern verificados con ella. Entonces, se est en capacidad de planear detalladamente el uso de cada tcnica de prueba considerando todos los controles que sern verificados con ella. Los pasos a seguir para definir las pruebas utilizando este mtodo se explican a continuacin: a) Asignar tcnicas de verificacin para cada control clave En este primer paso se agrupan los controles claves que sern verificados 49
y se escogen las tcnicas de prueba a emplear. Una misma tcnica puede ser asignada a diferentes controles. b) Agrupar los controles clave a verificar por tcnica de
comprobacin asignada Realizar el agrupamiento de controles que utilicen la misma tcnica de comprobacin. Al agrupar globalmente los controles por tcnica de comprobacin se debe tener presente que una misma tcnica puede ser utilizada para verificar controles de distintos procesos de negocio o sistemas de informacin. c) Definir el alcance de las pruebas por tcnica de comprobacin El alcance de cada tcnica de comprobacin se puede definir globalmente para todo el proceso de negocio y sistema de informacin que lo soporta, el que incluye los siguientes aspectos a considerar: Los controles a probar con la tcnica de comprobacin Los criterios de la informacin de negocio impactados por los controles a probar Los recursos de tecnologa que son impactados por los controles a probar d) Diseo detallado de las pruebas de auditora a ejecutar El diseo detallado implica determinar los recursos necesarios
(infraestructura, datos y personal), el procedimiento a emplear y los responsables de ejecutarlos. e) Planificar la ejecucin de las pruebas El objetivo de este paso es planificar y coordinar con el personal de 50
sistemas y de las reas de negocio la ejecucin de las pruebas de auditora (manual y asistida por computador) en el lugar de trabajo. Como factor crtico de xito de las pruebas de auditora, es necesario programar su ejecucin considerando la disponibilidad de los recursos necesarios para aplicarlas, el sitio de ejecucin, los auditores asignados para ejecutarlas y la periodicidad de ejecucin. Para este fin se elabora un cronograma de pruebas, considerando las fechas que sean ms oportunas, especialmente cuando para su ejecucin se requieran equipos de procesamiento que no son administrados por la auditora y la colaboracin del personal de sistemas. 4.3.10 Definicin y diseo de las pruebas sustantivas
Las pruebas sustantivas tienen como objetivo verificar (obtener evidencia) la integridad de la informacin y se aplican sobre datos crticos que representan saldos de activos o de pasivos o, gastos importantes en las operaciones del negocio objeto de la auditora. Esta informacin comnmente reside en bases de datos y, son producto de clculos efectuados por el sistema de informacin que soporta la operacin del negocio. El objetivo de esta actividad es asignar individualmente las tcnicas de prueba a cada uno de los datos claves que sern verificados, slo entonces se est en capacidad de planear detalladamente el uso de cada tcnica de prueba. Los pasos a seguir por el auditor son: a) Agrupar los datos clave a verificar por tcnica de comprobacin asignada Se confecciona una lista con los datos clave para cada una de las tcnicas 51
a utilizar. En este caso, debe considerarse que una misma tcnica puede ser utilizada para verificar varios datos claves. b) Definir el alcance de las pruebas por cada tcnica de
comprobacin El alcance de cada tcnica de comprobacin se define de la siguiente forma: Datos claves a probar con la tcnica de comprobacin Los criterios de la informacin de negocios afectados por los datos a probar Los recursos de tecnologa que son impactados por los controles a probar c) Disear las pruebas de auditora a ejecutar con cada tcnica de comprobacin El diseo detallado implica determinar los recursos necesarios
(infraestructura, datos y personal), los objetivos y el procedimiento de anlisis a emplear. d) Planificar la ejecucin de las pruebas sustantivas El objetivo de este paso es planear y coordinar la ejecucin de las pruebas de auditora con el personal de sistemas y del rea de negocio en el lugar de trabajo (manuales y asistidas por computador). Como factor crtico de xito de las pruebas de auditora, es necesario programar su ejecucin considerando la disponibilidad de los recursos necesarios para aplicarlas, el sitio de ejecucin y su periodicidad. Para este fin, se elabora un plan de pruebas, considerando las fechas que sean ms oportunas, especialmente cuando para su ejecucin se requiera 52
de los equipos de procesamiento, que no son administrados por la auditora y la colaboracin del personal de sistemas. Cuando se requiere desarrollar aplicaciones computacionales para realizar las pruebas sustantivas, las actividades correspondientes y el tiempo deben incluirse en este plan. 4.3.11 Ejecucin de las pruebas de auditora
La siguiente etapa del proceso de auditora consiste en ejecutar el plan de pruebas de auditora especificado en la etapa anterior. Estas pruebas pueden ser asistidas por computador o completamente manuales. Por cada prueba que se ejecute deben adjuntarse los soportes correspondientes. Estos consisten en documentos, archivos, programas de computador y cualquier otra evidencia que compruebe la ejecucin de la prueba y muestre los resultados obtenidos. Como resultado de las pruebas de auditora ejecutadas, se obtienen entre otros los siguientes soportes: Lista de comprobacin de controles revisados por el auditor Documentacin sobre los procedimientos y controles establecidos en los procesos de negocio o sistemas de informacin sujetos a auditora Muestras de documentos, listados y cualquier otro material de evidencia relacionado con deficiencias, debilidades o irregularidades identificadas por la auditora Archivos de datos utilizados por el auditor en las pruebas de auditora asistidas por computador Documentos con la preparacin de las entrevistas y con las notas tomadas por el auditor durante su realizacin Documentacin de los programas o scripts desarrollados por el auditor para realizar las pruebas asistidas por computador
53
4.3.12
Tcnicas y herramientas de auditora
Los auditores pueden utilizar diferentes mtodos para revisar los controles de las aplicaciones en funcionamiento y las operaciones en el centro de servicios informticos. A continuacin se describe en qu consiste cada tcnica o herramienta. a) Tcnicas para probar los controles en los sistemas Mtodo de los datos de prueba Evaluacin del sistema de caso base Operacin paralela Simulacin paralela
b) Tcnicas para analizar sistemas Snapshot Mapping y tracing manuales Mapping y tracing asistidos por el computador Flujogramas de control (control flowcharting)
c) Tcnicas para verificar datos Software multipropsito para auditora Software de auditora para terminales Programas de auditora de propsito especial
d) Tcnicas para seleccionar y monitorear transacciones Seleccin de transacciones de entrada Mdulos de auditora integrados en los sistemas de informacin Registros extendidos
54
4.3.12.1 Tcnicas para probar los controles en los sistemas Se utilizan para probar clculos, programas o aplicaciones completas con el propsito de evaluar los controles, verificar la exactitud del procesamiento y el cumplimiento con los procedimientos de procesamiento establecidos. Tales tcnicas son usadas para dos propsitos: evaluar los sistemas de aplicacin y probar el cumplimiento. a) Mtodo de datos de prueba Este procedimiento ejecuta programas de aplicacin de computador utilizando archivos de datos de prueba y verifica la exactitud del procesamiento comparando los resultados del procesamiento de los datos de prueba con los resultados predeterminados para la prueba. Los auditores usan esta tcnica para probar la lgica del procesamiento seleccionado, las rutinas de clculos y las caractersticas de control dentro de los sistemas de informacin. Los datos de prueba son transacciones simuladas que incluyen idealmente todo tipo de condiciones posibles, incluyendo aquellas que el sistema es incapaz de manejar, debido a la carencia de controles apropiados. Quiere decir esto, que la lista de transacciones simuladas debera probar condiciones tanto vlidas como invlidas. Los datos de prueba deben ser procesados con los programas regulares del sistema. 1) Propsito de los datos de prueba El auditor no puede ver fsicamente las operaciones y los controles dentro de la caja negra (sistema de informacin) pero puede ver un listado de los resultados de la prueba donde por ejemplo, algunas transacciones que deberan ser rechazadas no lo fueron o donde condiciones de 55
desbordamiento causaron errores o transacciones fuera de lmite fueron procesadas como si fueran correctas (ejemplo transacciones de clientes que exceden el lmite de crdito). El auditor tambin puede determinar si la caja negra est procesando apropiadamente las transacciones vlidas. El uso de los datos de prueba abre ventanas en la caja negra, porque las transacciones simuladas se procesan en el sistema de computador y generan resultados que son comparados por el auditor con resultados esperados, preparados manualmente con anterioridad. Es decir, antes de ejecutar los datos de prueba, el auditor calcula los resultados que debera obtener y luego los compara con los obtenidos en la prueba. 2) Cmo preparar los datos de prueba? Generalmente, los datos de prueba se aplican de la siguiente manera: Se debe revisar todo el sistema de controles. Sobre la base de esta revisin se disean las transacciones para probar aspectos seleccionados del sistema o el sistema completo. Los datos de prueba se transcriben a los formatos de entrada al sistema. Los datos se convierten (graban) a medios utilizables por el computador. El auditor debe verificar la conversin mediante rutinas de balanceo o en los listados de validacin que se produzcan. Adems, debe guardar el medio magntico que contiene la informacin hasta cuando realice la prueba. Los datos deben procesarse con los programas de la aplicacin que estn vigentes. El auditor debera estar presente durante el proceso de los datos para asegurar que: o No se introduzca informacin adicional. o Se utilizan los procedimientos de operacin de mquina estndar. o No ocurra alguna irregularidad cuando se efecta la prueba. o Todos los documentos impresos que se produzca sean retenidas por 56
el auditor. Los resultados obtenidos en el punto cinco se deben comparar con los resultados predeterminados. 3) Controles de auditora sobre los sistemas en produccin El principal objetivo del uso de datos de prueba es verificar la operacin de los sistemas de informacin de los clientes para ver si operan como se piensa (desea). El auditor debe asegurarse que el programa que se est probando es el mismo que est actualmente en produccin. No existe una forma segura de garantizar esta situacin pero hay muchas cosas que puede hacer el auditor para sentirse ms seguro de estar probando el sistema real. 4) Aplicaciones de los datos de prueba El auditor debe tener el diseo de los registros de transacciones para preparar sus transacciones de prueba. Este diseo debe contener el nombre de cada campo, el tamao y el tipo (numrico o alfanumrico). El auditor incluye sus propios datos en los campos apropiados para producir resultados predeterminados. Si los resultados de las pruebas no estn de acuerdo a los resultados esperados se debe hacer una investigacin ms profunda para determinar la razn para las variaciones. Los siguientes son algunos elementos que normalmente deberan ser incluidos en la aplicacin de datos de prueba: Verificar si se producen totales de control y se devuelven a la mesa de control Tratar de procesar una transaccin sensitiva sin la debida autorizacin y observar si el sistema la rechaza (por ejemplo, cambiar el lmite de crdito) Hacer chequeos numricos, alfabticos y de caracteres especiales 57
Entrar a un campo con signo negativo y observar si se procesa realmente con este signo En algunos sistemas sin controles apropiados, el signo negativo se convierte a positivo Hacer comprobaciones de validez. Por ejemplo, entrar un cdigo invlido o un departamento con nmero equivocado Hacer pruebas de razonabilidad y de lmite Cuando las transacciones deben estar ordenadas por nmero de secuencia, entrar transacciones en desorden Incluir un nmero de cuenta dgito de chequeo predeterminado y ver si se procesa normalmente Incluir diversos campos de datos incompletos o inexistentes Insertar caracteres en campos que causen condiciones de desbordamiento Tratar de leer o escribir un archivo equivocado
Los archivos que se van a probar, deben ser copiados como archivos especiales de trabajo con el fin de permitir todo tipo de pruebas. 5) Ventajas y desventajas de los datos de prueba Ventajas: o Su uso puede limitarse a funciones especficas del programa, minimizando el alcance de la prueba y su complejidad o Es una buena herramienta de aprendizaje para los auditores porque su uso requiere mnimos conocimientos de informtica o No se requiere que el auditor tenga grandes conocimientos tcnicos o Tiene buena aplicacin donde son pocas las variaciones y combinaciones de transacciones o Da una evaluacin y verificacin objetiva de los controles de programa y de otras operaciones que seran impracticables por otros medios o Los datos de prueba se podran correr sorpresivamente para descubrir la posible modificacin de programas sin autorizacin e 58
incrementar la efectividad de otras pruebas realizadas Desventajas: o Se requiere bastante cantidad de tiempo y esfuerzo para preparar y mantener un lote de datos de prueba representativo. Cualquier cambio en programas, diseo de registros y sistema implican cambiar los datos de prueba o En algunos casos el auditor puede no probar el sistema que realmente est en produccin o En un sistema complejo con gran variedad de transacciones es difcil anticipar todas las condiciones significativas y las variables que deberan probarse o El auditor debe estar bastante relacionado con la lgica de programacin que est probando o La prueba en si misma no detecta todos los errores. Cuando los programas son muy complejos, pueden existir infinidad de rutas y es muy difcil seguirlas todas o Hay una probabilidad muy alta que los datos de prueba no detecten manipulaciones inadecuadas de una cuenta o cantidad especfica 6) Sugerencias para desarrollar datos de prueba Para archivos maestros: o Duplicar registros. o Proceso de registros fuera de secuencia. o Montar e intentar procesar archivos equivocados. Para registros nuevos: o Crear un registro nuevo antes del primer registro existente en el maestro o Crear un registro nuevo despus del ltimo registro existente en el maestro o Crear tres o cuatro registros nuevos con llaves consecutivas dentro de registros que no existen 59
o Crear un registro para una divisin inexistente, un departamento, una planta, un elemento de inventario, empleado, cliente y as sucesivamente o Crear dos o ms registros de cabecera, uno inmediatamente despus del otro o Crear un registro nuevo con llave cero o Crear un registro nuevo con llaves nuevas o Crear un registro nuevo pero incompleto. (por ejemplo slo uno o dos campos de diez posibles) Para transacciones: o Crear transacciones para el primer registro del archivo o Crear transacciones para el ltimo registro del archivo o Crear transacciones para otros registros diferentes al primero y ltimo del archivo o Crear transacciones para un registro nuevo creado en la misma corrida o Crear transacciones para varios registros consecutivos o Crear varios tipos de transacciones para un mismo registro o Intentar crear transacciones para registros inexistentes que fueran menores en secuencia que el menor registro existente, mayores en secuencia que el ltimo registro existente y entre registros existentes, as como para varios registros consecutivos no existentes o Crear transacciones de tal manera que los totales se hagan negativos y verificar el efecto en otros campos del registro o Crear cantidades demasiado grandes para crear desbordamiento. Examinar los resultados o Si se utiliza un registro de encabezado seguido por registros de detalle, crea registros detallados para el primer registro del archivo, el ltimo registro, dos registros consecutivos, un registro no existente y varios registros inexistentes Para registros borrados e inactivos: o Eliminar el primer registro de cada archivo 60
o Eliminar el ltimo registro de cada archivo o Eliminar tres o cuatro registros consecutivos de cada archivo o Intentar accesar un registro inexistente o Codificar un registro como inactivo e intentar grabar datos al mismo registro en la misma corrida o Volver activo un registro inactivo y crearle transacciones en la misma corrida Para fechas: o Asegurarse que todos los campos de datos de fechas se han actualizado correctamente. o Crear fechas con meses 00 y 13, das 0 y 32 y un ao invlido o Crear fechas que estn fuera de los intervalos de actualizacin. Ejemplo en un perodo mensual, hacer intervalo de ms de 30 das o Hacer dos corridas de actualizacin con la misma fecha Para pruebas de lgica y proceso: o Verificar todos los clculos que proceden promedios o porcentajes con pequeos medianos y grandes valores o Crear una condicin para todas las rutinas de divisin con cero como denominador o Crear datos de prueba para valores menores que el mnimo y mayores que el mximo permitidos o Crear datos para todas las excepciones y errores o Crear datos que incluyan excepciones mltiples y errores en la misma transaccin o Crear datos para los valores mnimos y mximos de cada campo Para programas de edicin, los datos de prueba para campos alfabticos incluirn: o Campo completamente lleno o Campo completamente en blanco o nicamente la primera posicin o Primera posicin en blanco 61
o Mezcla de caracteres numricos y alfabticos Datos de prueba para los campos de cantidad o valor que incluirn: o Campo lleno de nueves o Campo lleno de ceros o Campo lleno de blancos o Exacto el lmite inferior, si lo hay o Exacto el lmite superior, si lo hay o Una cantidad o valor tpico entre los lmites o Valor superior al lmite, si lo hay (diferente de nueves) o Valor inferior al lmite, si lo hay (diferente de ceros) o Valor con un signo errado (+ o -) o Datos alfabticos en cada campo Para programas de actualizacin: o Disear datos para crear varios registros maestros completos o Crear datos para cambiar un registro maestro inexistente o Disear datos para crear un registro con la misma llave de otro existente o Crear datos con un registro cuya llave sea cero o Crear datos con un registro cuya llave sea nueve o Crear uno o dos elementos para establecer un registro del archivo maestro nuevo pero incompleto o Disear datos para crear un nuevo registro en el archivo maestro y hacerle cambios posteriores en la misma corrida Para programas de proceso: o Entrar datos que produzcan resultados de clculos con valores pequeos, medianos y muy grandes o Entrar datos que creen condiciones de divisin o multiplicacin por cero o Entrar datos que originen desbalanceo del registro de control de lote. Examinar los resultados 62
o Disear varias entradas contables ilgicas (ejemplo: crdito a gastos de depreciacin y debido a cuentas por cobrar) Entrar datos que causen desbordamiento. Para programas de informes: o Incluir datos de prueba con valores negativos para asegurar que se impriman los signos para cada campo, en cada lnea de detalle y en las lneas de total o Crear datos con nueves en todo el campo para asegurar que se impriman y que no se ponen en otros o Entrar datos de prueba con slo ceros para probar la supresin de ceros no significativos en la impresin o Verificar todas las sumas y resultados de los clculos b) Evaluacin del sistema de caso base Este procedimiento ejecuta programas de sistemas de informacin, usando archivos de datos de prueba desarrollados como una parte de la prueba general del programa que verifica la exactitud del procesamiento, comparando los resultados del procesamiento con los resultados predeterminados para los datos de prueba. Esta tcnica usa datos de prueba desarrollados por auditores y usuarios de aplicaciones de computador, en cooperacin con el personal del centro de datos, para proporcionar una prueba completa al sistema. El archivo de datos del caso base est destinado a verificar la correcta operacin del sistema antes de su aceptacin en produccin, as como para verificar peridicamente la integridad del procesamiento despus de su aceptacin en produccin. Los archivos de prueba del sistema de caso base, por definicin, son creados para proveer una prueba selectiva de todas las caractersticas y funciones dentro de un sistema de informacin. 63
Aunque esta tcnica proporciona la ventaja de efectuar pruebas de cumplimiento y verificar el sistema completo, el esfuerzo requerido para mantener los archivos de datos despus de su instalacin inicial requiere de estrecha cooperacin entre usuarios, auditores y el personal del centro de datos para la preparacin de los datos de prueba y la validacin de los resultados. c) Operacin paralela Este es un procedimiento para verificar la exactitud de sistemas de aplicacin nuevos o revisados, mediante el procedimiento de datos y archivos en produccin, usando tanto los procedimientos existentes como los nuevamente desarrollados, para luego comparar los resultados de ambos procesamientos e identificar diferencias no esperadas. Este procedimiento es ampliamente utilizado por el personal del centro de datos para verificar sistemas nuevos o revisados, antes de remplazar los procedimientos existentes. Tiene la ventaja de verificar los nuevos programas del sistema de informacin antes de discontinuar los existentes. Perodos extensos de operacin paralela implican, como desventaja, los costos resultantes del procesamiento adicional. d) Simulacin paralela En este procedimiento, las transacciones y los archivos de produccin son procesados usando programas de computador que simulan la lgica de los programas de aplicacin. Las funciones de procesamiento seleccionadas pueden, entonces, ser verificadas mediante la comparacin de los resultados simulados con los resultados del procesamiento de produccin. Esta tcnica de prueba tiene la ventaja de verificar los procedimientos de procesamiento seleccionados, usando datos de produccin, obviando as el 64
tiempo consumido en la preparacin de los datos de prueba. Los auditores que usen esta tcnica, sin embargo, deben preparar programas de computador que simulen las funciones de produccin a ser verificadas. Programas de auditora especialmente preparados o software generalizado de auditora pueden ser usados para este propsito. El software generalizado de auditora ha simplificado la preparacin de programas de simulacin paralela. 4.3.12.2 Tcnicas para analizar los sistemas En esta seccin, se incluyen las tcnicas y herramientas de auditora usadas para evaluar la lgica de procesamiento y, los procedimientos internos en programas de aplicacin y en programas del sistema. Estas tcnicas se usan durante el desarrollo de los sistemas de aplicacin as como durante las pruebas de cumplimiento peridicos en la etapa post instalacin. Estas tcnicas son snapshot, tracing, mapping y flowcharting (flujogramas de control). a) Snapshot Son instrucciones de programa o subrutinas que reconocen y registran el flujo de transacciones sealadas, durante todo el camino lgico seguido por tales transacciones dentro de los sistemas de informacin. Esta tcnica es usada por los auditores para rastrear programas (localizar de el paradero) para transacciones especficas mediante computador
conseguir evidencia, documentar el recorrido lgico, las condiciones de control y de las secuencias de procesamiento. La tcnica tiene la ventaja de verificar el flujo lgico del programa y, consecuentemente, ayuda al auditor a entender los pasos de procesamiento dentro de programas de aplicacin. Tiene la desventaja de requerir bastante conocimiento de sistemas y de programacin por lo que con frecuencia consume bastante tiempo para el uso de los auditores. 65
b) Tracing y mapping manual Estos procedimientos identifican el flujo de transacciones y sus controles de aplicacin asociados, incluyendo la elaboracin, aprobacin y procesamiento de documentos fuente, as como el procesamiento de transacciones de entrada, procesamiento en el computador, la distribucin y uso de los informes. El tracing y mapping manual pueden incluir el anlisis de listados de programas de aplicacin, para identificar y evaluar la lgica y las funciones de control de los programas de aplicacin. Sin embargo, el nfasis es sobre la identificacin y evaluacin de los procedimientos manuales y de controles externos a los programas de aplicacin. Las tcnicas de tracing y mapping ayudadas por computador se usan para analizar programas de aplicacin, complementando los mtodos manuales. c) Tracing y mapping asistido por computador Estas son subrutinas de programas de computador que identifican los segmentos y/o subrutinas de programa usadas en el procesamiento de transacciones de prueba. El tracing asistido con el computador proporciona evidencia documentaria de las instrucciones del programa utilizadas para procesar transacciones especficas. Mapping es una tcnica que proporciona evidencia de las secuencias de procesamiento usadas en la subrutina, ms que a nivel de instruccin en el programa de computador. Estas tcnicas y herramientas de auditora son usadas para verificar la lgica de procesamiento de las transacciones e identificar las porciones de programa no utilizadas. Dos desventajas estn asociadas con el uso de stas por parte del auditor: se requiere extenso conocimiento de programacin de aplicaciones y, segunda, consume bastante tiempo e 66
implican anlisis detallado. c) Control flowcharting (Flujograma de control) Este procedimiento usa tcnicas de diagramacin de programas de computador para identificar y presentar el recorrido lgico y los puntos de control dentro de los sistemas informtico. Smbolos y tcnicas estndar de auditora analtica, son usados para desarrollar diagramas de los sistemas de informacin. Esos esquemas proporcionan informacin con el objeto de analizar con los usuarios y el personal de informtica los controles internos de los sistemas de informacin. Adems, los flujogramas de control sirven como un excelente mecanismo para entrenar a nuevos auditores. 4.3.12.3 Tcnicas para verificar los datos Estas tcnicas son usadas posteriormente al procesamiento de la
produccin, para seleccionar datos de archivos basados en requerimientos lgicos o de muestreo estadstico; para totalizar y balancear archivos o secciones lgicas de archivos, tales como divisiones organizacionales o clases de cuentas; para dividir archivos por valores de excepcin; para ignorar datos o entradas duplicadas o para formatear informes para uso de auditora. a) Software general de auditora (SGA) El SGA accesa, extrae, manipula y presenta datos y resultados de pruebas en un formato apropiado para los objetivos de la auditora. Tal archivo generalizado generador de software, generalmente es controlado por parmetros o instrucciones simplificadas que requieren un mnimo de conocimientos de informtica. Tiene la ventaja de permitir al auditor manipular el procesamiento de datos de archivos maestros sin preparar programas especiales. Una desventaja asociada con esta tcnica es que su 67
evidencia se limita a los archivos de datos y en consecuencia no es utilizable (funcional) para pruebas de cumplimiento en los programas, para condiciones que no se reflejan en los archivos. b) Software de auditora para terminales Este software de propsito general accesa, extrae, manipula y despliega datos de bases de datos en lnea, usando comandos de terminales remotas. Esta tcnica tiene la ventaja de permitir la investigacin interactiva y rpida y de proporcionar acceso completo a los archivos de datos, permitiendo peridicamente examinar archivos sin excesiva preparacin o procesamiento separado. Este es, sin embargo, utilizado nicamente en situaciones donde se utilizan bases de datos en lnea. c) Programas de auditora de propsito especial Son especialmente desarrolladas para extraer y presentar datos de los archivos de un sistema de aplicacin especfico, generalmente en formato invariable. Las desventajas asociadas con estos programas son su limitada aplicabilidad, inflexibilidad, costos de preparacin y el alto nivel de expertos en programacin de computador que es requerido. Debido a la naturaleza especfica de cada programa de auditora de propsito especial no se profundiza ms sobre esta herramienta. 4.3.12.4 Tcnicas para seleccionar y monitorear transacciones Las tcnicas y herramientas usadas para seleccionar y capturar datos de produccin para su posterior verificacin y auditora manual son indicadas bajo esta clasificacin. Se utilizan generalmente para supervisar actividades de produccin y seleccionar muestras como parte de una continua actividad de auditora dentro del proceso de produccin normal. 68
Los criterios de seleccin son generalmente parmetros controlados por el auditor y usan pruebas de rango, tcnicas de muestreo o condiciones de error para implicar la seleccin de registros para su posterior evaluacin por parte del auditor. Tales tcnicas se usan en pruebas de cumplimiento para monitorear el procesamiento de transacciones y seleccionar datos para su verificacin. Esta categora incluye: programas de seleccin de transacciones de entrada, los cuales son independientes de los programas del sistema de informacin, mdulos de auditora integrados en los sistemas de informacin y la tcnica de registros extendidos. a) Seleccin de transacciones de entrada Utiliza software de auditora para separar y seleccionar transacciones, que son entrada para sistemas de informacin, como parte del ciclo de procesamiento de produccin regular. Las capacidades de este software incluyen: monitoreo de niveles de actividad y razones de error por transaccin, seleccionando sistemticamente muestras de transacciones para subsiguiente verificacin manual y, la identificacin y seleccin de condiciones de excepcin especificadas por el auditor. El software es controlado por parmetros y totalmente independiente de su correspondiente software de aplicacin en produccin. Como resultado, ste es independientemente controlado por el auditor y puede ser instalado sin requerir modificaciones del software del sistema de aplicacin. El costo de desarrollo y mantenimiento es la desventaja primaria asociada con esta tcnica.
69
b) Coleccin de datos de auditora integrados en los sistemas de informacin Este procedimiento usa software de auditora para marcar y seleccionar transacciones de entrada y transacciones generadas dentro del sistema de aplicacin durante el procesamiento de produccin. Tales subrutinas de auditora son integradas como huspedes dentro de los sistemas de informacin. Actividad de supervisin (monitoreo), muestreo y reportes de excepcin son todos controlados por parmetros. El diseo y la implementacin de tales mdulos son altamente dependientes de la aplicacin y generalmente son ejecutados como parte integral del proceso de desarrollo de aplicaciones. Con frecuencia este mtodo es referido como SCARF (System Control Auditing Review File). Tiene la ventaja de proporcionar muestreo y produccin estadstica incluyendo transacciones, tanto de entrada como generadas internamente. La desventaja primaria es el alto costo de desarrollo y mantenimiento y la dificultad asociada con la independencia del auditor. c) Registros extendidos Esta tcnica selecciona, por medio de uno o ms programas creados especialmente, todos los datos significativos que han afectado el procesamiento de una transaccin individual. Esto incluye la acumulacin, dentro de un nico registro, de los resultados del procesamiento sobre el mismo perodo de tiempo requerido para el procesamiento completo de la transaccin. El registro extendido incluye datos de todos los sistemas de aplicacin de computador que contribuyeron al procesamiento de una transaccin. Tales registros extendidos, son compilados dentro de archivos que proporcionan una fuente convenientemente accesible para los datos de las transacciones. Este tiene la desventaja del incremento de los requerimientos y costos de almacenamiento de datos y los costos adicionales de desarrollo del sistema. 70
4.3.13 Anlisis del resultado de las pruebas de auditora El objetivo de esta etapa es analizar y evaluar los resultados de las pruebas de cumplimiento y sustantivas, efectuadas en la etapa anterior, con el propsito de obtener conclusiones de la auditora sobre el funcionamiento de los procesos de negocio y sistemas de informacin objeto de la auditora. En esta etapa, se analizan los resultados de las pruebas de auditora que fueron ejecutadas por medios manuales o asistidas por computador y se generan indicadores de la proteccin existente para cada control clave asociado con los procesos de negocio y sistemas sujetos a auditora. Los resultados pueden ser satisfactorios o insatisfactorios y de ellos se generan observaciones que son analizadas para determinar su impacto en el negocio. Las observaciones se refieren a desviaciones que se detectan en las pruebas de auditora, respecto a los estndares, de la tecnologa de informacin, a la normativa legal y las polticas y procedimientos establecidos en la organizacin. Como resultado del anlisis y evaluacin de los resultados de las pruebas de auditora ejecutadas, se obtienen los siguientes productos: Lista de controles clave comprobados por el auditor en terreno. Documentacin de las observaciones de auditora obtenidas como resultado de las pruebas de cumplimiento y sustantivas, el anlisis de las deficiencias identificadas y/o oportunidades de mejoramiento. 4.3.14 Anlisis del resultado de las pruebas de cumplimiento El anlisis de los resultados de las pruebas de cumplimiento se realiza utilizando la agrupacin de controles por tcnica de comprobacin.
71
Por cada tcnica de comprobacin utilizada, para todo el proceso de negocio o el sistema de informacin, el auditor procede a analizar los resultados obtenidos como se indica a continuacin: Por el grupo de controles verificados con una misma tcnica de comprobacin, establecer globalmente si los resultados de la prueba son satisfactorios o no satisfactorios y generar una conclusin de la auditora. Desarrollar las observaciones de auditora. Por cada tcnica de comprobacin utilizada se pueden generar una o ms observaciones. Consolidar los resultados de las pruebas de auditora.
El anlisis del grado de satisfaccin de los objetivos de control para las pruebas de cumplimiento se realiza utilizando la agrupacin de controles por objetivo de control. Las respuestas obtenidas para cada uno de los objetivos de control sustanciados por el auditor, se procesan siguiendo los pasos que se indican a continuacin: 1. Por cada objetivo de control seleccionado, calificar el grado de satisfaccin segn los resultados de las pruebas efectuadas Para evaluar el grado de proteccin de los controles agrupados por objetivo de control, es necesario registrar al menos una observacin por cada control verificado con resultado insatisfactorio. Un control verificado con resultado insatisfactorio puede estar asociado a varios objetivos de control. Por consiguiente, una observacin puede impactar a varios objetivos de control. Un objetivo de control es satisfecho por los controles verificados cuando la proteccin existente es superior al 70%, es decir, cuando el significado cualitativo de la proteccin existente es Media Alta o Alta. 72
2. Para
cada
control
verificado
con
resultado
insatisfactorio,
desarrollar una observacin de auditora A cada objetivo de control pueden corresponder varias observaciones, al menos uno por cada control que presenta resultado insatisfactorio. Si un control que presenta resultado insatisfactorio est asociado con varios objetivos de control, es suficiente con desarrollar una sola vez la observacin, analizando su impacto en todos los objetivos relacionados con el control. Esta ltima etapa permite consolidar las calificaciones del grado de satisfaccin de los objetivos de control para cada proceso de negocio y sistema de informacin. 4.3.15 Anlisis de los resultados de las pruebas sustantivas Para analizar los resultados de las pruebas sustantivas, el auditor procede como se indica a continuacin: 1. Establecer si los resultados de la prueba sustantivas son satisfactorios o no Para los datos claves verificados por cada proceso de negocio o sistema de informacin, se debe concluir si los resultados de las pruebas son satisfactorios o no y generar una observacin de auditora por cada prueba con resultado negativo. 2. Desarrollar las observaciones de auditora Por cada dato verificado se pueden generar una o varias observaciones.
73
4.4 FASE III. COMUNICACIN DE LOS RESULTADOS Esta es la ltima fase de la auditora, en ella se resumen los resultados ms significativos obtenidos en las etapas anteriores. Estos son los insumos para elaborar el informe de auditora con el cual se comunicar a la alta direccin y a los dems interesados, las observaciones y conclusiones sobre las caractersticas de seguridad, calidad y confiabilidad de la informacin y de los recursos tecnolgicos y humanos que intervienen en las actividades de control de los procesos de negocio y sistemas de informacin. 4.4.1 Elaboracin auditora Los informes tienen como objetivo comunicar al servicio sobre el resultado de la auditora, que ste conteste cada una de las observaciones con los antecedentes pertinentes y posteriormente se elabore y enve el informe final con las conclusiones de la auditora. 4.4.2 Estructura y contenido de los informes El objetivo del informe preliminar es comunicar al servicio las de los informes con los resultados de la
observaciones encontradas, suscitar la respuesta con las acciones de mejoramiento para solucionar los problemas detectados. El propsito del informe final es atender las respuestas del servicio a las observaciones y desarrollar las conclusiones de auditora. El informe preliminar consta de las siguientes tres secciones: a) Objetivos y alcance de la auditora Breve descripcin de los objetivos que se propuso la auditora, de los 74
aspectos de seguridad examinados, los objetivos de controles y las dependencias en las que se efectu la revisin. Tambin, se mencionan el perodo de tiempo que cubri la revisin y el rango de las fechas durante las cuales se efectu la auditora. Se describen los objetivos especficos fijados en el programa de auditora. Para definir el alcance, se detallan los aspectos de control generales revisados (objetivos de control bsicos) por la auditora. Este prrafo es importante como punto de referencia para que el destinatario evale la importancia de las observaciones detectadas por la auditora. b) Antecedentes generales Este captulo contiene una breve descripcin de las caractersticas y atributos del rea auditada. El objetivo es ubicar al destinatario del informe dentro de un marco de referencia que le ayude a comprender el informe y la importancia de las observaciones de la auditora. c) Observaciones de la auditora Esta parte del informe presenta, para cada proceso y sistema evaluado, las observaciones y debilidades de control identificados por la auditora que debe contestar la administracin. Para elaborar el informe final de auditora, se realiza lo siguiente: Luego de recibir la respuesta al informe preliminar, el auditor analiza los descargos y antecedentes enviados por el servicio y desarrolla las conclusiones para cada observacin y la conclusin general de la auditora. 4.4.3 Aseguramiento de la calidad de los informes de auditora Verificar que la forma y el contenido del informe con los resultados de la auditora cumplan con el mnimo exigidos por los estndares y las mejores 75
prcticas recomendados por los expertos. Si alguna de las respuestas a las preguntas que se incluyen a continuacin es negativa, significa que el informe necesita ms trabajo de revisin. Lista de comprobacin de calidad de los informes de auditora. 1. Todos los puntos del informe ataen al destinatario del mismo? 2. Todas las observaciones incluidas en el informe fueron respondidas por el auditado para determinar su exactitud? 3. Todas las observaciones y conclusiones incluidas en el informe son suficientemente explcitas, para que las reas entiendan su significado e importancia y se motiven a tomar acciones correctivas? 4. Todas las observaciones incluidas en el informe son lo suficientemente importantes como para justificar el tiempo que el auditado dedique a su lectura? 5. En los papeles de trabajo existe suficiente evidencia para soportar las observaciones y conclusiones de la auditora? 6. Todas las conclusiones incluidas en el informe fueron evaluadas con suficiente detalle para determinar su costo/beneficio? 7. Si las conclusiones incluidas no son viables por costo/beneficio, otras circunstancias justifican su inclusin en el informe? 8. 9. En el informe se incluyen nicamente puntos que tienen alto potencial de prdidas y bajo costo correctivo? Tienen sentido los ttulos utilizados para encabezar las observaciones? 10. El informe cumple con las expectativas de la jefatura? 11. Existe claridad en los beneficios para los auditados que justifican la incorporacin de las observaciones de control interno especificadas en el informe final? 12. El informe se emite oportunamente de modo que el mximo beneficio pueda obtenerse de l? Las observaciones y puntos mejorables debern incluir exclusivamente aspectos que sean importantes, de beneficio para el servicio y factibles de 76
implantar sin causar costos significativos. Cada punto tendr asignado un nmero de secuencia y un ttulo que exprese de manera resumida lo que se detect, utilizando un lenguaje positivo y constructivo. A continuacin, se deben presentar los beneficios que obtendr el servicio auditado al solucionar la deficiencia o problema observado. Es aqu donde el auditor debe mostrar que su trabajo contribuye al mejoramiento de los procesos y sistemas de la organizacin. Para cada observacin de la auditora siempre se debern expresar los beneficios para la organizacin. Como por ejemplo, para incrementar la eficiencia, prestar un mejor servicio a los usuarios, ahorrar costos, evitar que los errores pasen inadvertidos, mejorar la informacin que recibe la alta direccin, etc. El beneficio debe enfocarse para el usuario, no para el auditor No decir que el beneficio es mejorar el control interno. Tampoco que es para mejorar los procedimientos Evitar decir: Es necesario que se establezcan controles de acceso, es decir es necesario establecer controles de acceso Deber expresarse con palabras que describan la realidad de la manera ms exacta posible y con un lenguaje simple Se escribe en infinitivo Evitar el uso de superlativos
La conclusin de la auditora debe expresar su concepto sobre la proteccin que ofrecen los controles y procedimientos utilizados por la organizacin para asegurar la confiabilidad de los procesos y sistemas auditados. 4.4.4 Organizar y cerrar la carpeta con archivos de trabajo La expresin archivos de trabajo se refiere al conjunto organizado de papeles y archivos computacionales, que contiene: 77
La documentacin del trabajo realizado por los auditores asignados al desarrollo de un trabajo particular de auditora Las evidencias vlidas y suficientes de los trabajos de auditora Las evidencias de las actividades y procedimientos de planeacin, ejecucin y control de cada una de las etapas de la auditora
La documentacin de auditora es el registro del trabajo y la evidencia que soporta las observaciones y conclusiones del auditor. La documentacin demuestra la extensin con la que el auditor cumpli con los estndares generales para realizar la auditora. La documentacin debera incluir, como mnimo, un registro de: La planificacin y preparacin del alcance y objetivos de la auditora El programa de auditora Los pasos de auditora ejecutados y reunidos Las observaciones y conclusiones de la auditora Cualquier reporte producido como resultado del trabajo de auditora Las respuestas del auditado a las observaciones del informe preliminar del auditor, depender de las
La extensin de la documentacin
necesidades para una auditora particular y deber incluir: El entendimiento del auditor sobre el rea que fue auditada El entendimiento del auditor sobre los sistemas de informacin y su infraestructura La fuente de la documentacin de auditora y la fecha de su elaboracin La evidencia de revisin y supervisin del trabajo de auditora
La documentacin debera incluir informacin de auditora que es exigida por las regulaciones o cualquier estndar aplicable.
78
Las polticas y procedimientos que en efecto pueden estar para asegurar la custodia apropiada y retencin de la documentacin que soporta observaciones y conclusiones de auditora, por un tiempo prudente para satisfacer los requerimientos legales, profesionales y organizacionales. La documentacin debera ser organizada, almacenada y asegurada de una manera apropiada para el medio en el cual se retiene. 4.4.5 Seguimiento a las observaciones de la auditora El objetivo de esta etapa es establecer las fechas de compromiso para verificar que los responsables de las observaciones detectadas, inicien e implementen las acciones correctivas. En esta etapa se acuerda con los auditados, las fechas de compromiso para atender las observaciones de la auditora. Tambin, se definen los responsables de atender estos compromisos y se registran los datos de planeacin del seguimiento, adems de las fechas especficas para verificar dicho seguimiento, junto con los cargos de los responsables de verificar el seguimiento y los resultados del mismo. Con las actividades de esta etapa se termina el trabajo de auditora. Los productos de esta etapa son los siguientes: Programa de seguimiento del informe final Listado con verificacin de cada observacin pendiente Emisin del informe con los resultados del seguimiento
4.4.6 Planificar el seguimiento a las observaciones de la auditora Elaborar tabla con los siguientes encabezados: Observacin Cargo responsable de tomar la accin Fecha de compromiso para implantar la accin de mejoramiento 79
Fecha de seguimiento prevista
Establecer fechas de compromiso de comn acuerdo con el encargado de cada observacin: Fijar una fecha de compromiso Fijar una fecha de seguimiento Fijar una alerta de compromiso y seguimiento
4.4.7 Ejecutar el seguimiento a las observaciones de la auditora El objetivo es verificar que se hayan implantado las acciones correctivas requeridas para atender las observaciones informadas por la auditora. Con el fin de establecer polticas, normas y procedimientos acordes a mejorar las deficiencias encontradas en los procesos de negocio y sistemas de informacin. Establecer una descripcin detallada de la accin implantada y la opinin del auditor al respecto, as como los comentarios del auditado y sus respectivas conclusiones con respecto a la accin implantada. 4.4.8 Informe de seguimiento de la auditora
Al finalizar el seguimiento se elabora el informe con la informacin definida en la planificacin del seguimiento. Observaciones implementadas. Porcentajes total de observaciones implementadas. Conclusin del proceso de seguimiento. corregidas, pendientes de implementar y no
80
CAPTULO V CONCLUSIONES Las auditoras a las tecnologas la de informacin expuesta en y comunicaciones trabajo de
realizadas
utilizando
metodologa
este
investigacin permiten al auditor y su equipo utilizar un criterio uniforme para seleccionar los objetivos de control y herramientas de auditora que los conducir a la obtencin de un informe fundamentado en estndares conocidos a nivel internacional. Por otro lado, la incorporacin del estndar COBIT y la norma tcnica ISO/IEC 27002 es una fortaleza que ayuda a los auditores a orientarse de mejor forma respecto a los requisitos del negocio que tienen relacin con el uso de la tecnologa. Cada da surgen nuevas tendencias y productos que aparentemente ayudan a cumplir de forma ms eficiente y eficaz los objetivos planteados por la organizacin pero que, por otro lado, aumentan la complejidad con la cual deben lidiar los directores y ejecutivos a cargo de la administracin. El nivel de complejidad con el cual deben convivir las organizaciones ha aumentado en los ltimos aos a raz de la explosiva masificacin del uso de sistemas de informacin que soportan la mayora los procesos del negocio. La adopcin de nuevas tecnologas al interior de una organizacin impacta directamente en la manera de hacer las cosas, siendo comn encontrar una gran cantidad de proyectos que fracasan debido a la resistencia al cambio que manifiestan los empleados y usuarios en la organizacin. Ahora bien, si esta problemtica fuese abordada por auditores que conocen y entienden los problemas y desafos que conlleva el uso de tecnologas de informacin, la realidad actual que viven los servicios pblicos podra mejorar de manera positiva.
81
BIBLIOGRAFA
Gmez Viertes, lvaro. Sistemas de Informacin, Herramientas Prcticas para la Gestin Empresarial. Editora RAMA. Madrid. Espaa. 196 pp. Information System Auditor and Control Association, COBIT Marco Referencial, COBIT Objetivos de Control y COBIT Guas de Auditora. Atlanta, USA. 512 pp. IT Governance Institute. Control Practice. Atlanta. USA. 698 pp. Warren Gorham & Lamont. Practical IT Auditing. RIA. New York. USA. 870 pp. Weber, Ron. Information System Control and Audit. Pearson Education Inc. New York. USA. 543 pp.
82

1er Cobit Iso

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

1er Cobit Iso

Încărcat de

Drepturi de autor:

Formate disponibile

1

XIV CONCURSO ANUAL DE INVESTIGACIN

ENFOQUE METODOLGICO DE AUDITORA A LAS TECNOLOGAS DE INFORMACIN Y COMUNICACIONES

CONTRALORA GENERAL DE LA REBLICA DE CHILE

1.3.1 OBJETIVO GENERAL 1.3.2 OBJETIVO ESPECFICO 1.4 ALCANCE DE LA INVESTIGACIN

CAPTULO II 2 2.1 DISEO METODOLGICO DE LA INVESTIGACIN METODOLOGA DE LA INVESTIGACIN 9 9

FASE III. COMUNICACIN DE LOS RESULTADOS 73 73 74 76 78 78 79 79

ANTECEDENTES DEL PROBLEMA

CAPTULO II 2. DISEO METODOLGICO DE LA INVESTIGACIN

COMUNICACIONES 3.1. MARCO TERICO

ESTRUCTURA DEL ESTANDAR COBIT

Datos Sistemas de Informacin Tecnologa Instalaciones Recursos Humanos

Planeacin y Organizacin Adquisicin e Implementacin Prestacin de Servicios y Soporte Monitoreo

Monitoreo: Monitoring (M)

(actividad o tarea) debe definir procedimientos

PLANEACION Y ORGANIZACION (PO)

aspiraciones de la direccin. personal a los procesos de TI. externas legales,

amenazas a la prestacin de servicios de

ADQUISICION E IMPLEMENTACION (AI)

PRESTACION DE SERVICIO Y SOPORTE (DS)

definidas claramente, son respetados y satisfaciendo

DS6. Identificar y asignar costos DS7. Educar y capacitar usuarios

DS8. Apoyar y orientar a clientes

cualquier por los

experimentado DS9. Administrar la configuracin

RESUMEN DE ACTIVIDADES Y PRODUCTOS DE LA METODOLOGA

ACTIVIDADES QUE SE EJECUTAN

Comprensin de la organizacin, procesos de negocio y sistemas

Definicin del programa y alcance de la auditora

Evaluacin del sistema de control interno

Definicin y diseo de las pruebas de auditora

Ejecucin de las pruebas de auditora

cumplimiento tcnicas o asistidas

sustantivas verificacin computador. Evaluar los

Evaluacin de los resultados obtenidos en las pruebas de auditora

Elaboracin del informe con los resultados de la auditora

Seguimiento a las observaciones de auditora

FASE I. PLANIFICACIN DE LA AUDITORA

1.- ESTRATEGIA Y DIRECCIN

2.- ORGANIZACIN GENERAL

3.- ACCESO A LOS RECURSOS DE INFORMACIN

4.- METODOLOGA DE DESARROLLO DE SISTEMAS Y CONTROL DE CAMBIOS

10.3.2 Aceptacin del sistema

5.- PROCEDIMIENTOS DE OPERACIONES

6.- PROGRAMACIN DE SISTEMAS Y SOPORTE TCNICO

7.- PROCEDIMIENTOS DE ASEGURAMIENTO DE CALIDAD

8.- CONTROLES DE ACCESO FSICO

9.2.1 Ubicacin y proteccin de los equipos

9.2.4 Mantenimiento de equipos 9.2.6 Eliminacin o reutilizacin segura de equipos

DS4.9 Almacenamiento externo de respaldos DS4.10 Revisin post-reanudacin

10.- REDES Y COMUNICACIONES

DS5 Garantizar la seguridad de los sistemas

11.- ADMINISTRACIN DE LA BASE DE DATOS

7.1.2 Propiedad de los activos de informacin

12.- PROTECCIN Y MECANISMO DE DETECCIN CONTRA ATAQUES INTERNOS Y EXTERNOS

13.2.2 Aprendiendo de los incidentes de seguridad de informacin 13.2.3 Recoleccin de evidencia

FASE II. EJECUCIN DE LA AUDITORA

Tcnicas y herramientas de auditora

Fecha de seguimiento prevista

S-ar putea să vă placă și