Documente Academic
Documente Profesional
Documente Cultură
Trabajo de Investigacin:
Enfoque Metodolgico de la Auditora a las
Tecnologas de Informacin y
Comunicaciones.
laCarlos
r Yaez
Comit de de la Melena Sigfrid Enrique
Investigacion
Ibsen Muoz
es Tcnico
Cientificas
Seudnimo:
(CITEC)
6 Free
Octubre 2011
Miembros del
CITEC -
evaluadores
Corte de Cuentas de la
Repblica de El S alvador.
(Pr esidenci a)
Auditoria Superior de la
Federacin de Mxico
Contralora General de la
Repblica de Panam
Contralora General de la
Repblica de Colombia
Cmara de Cuentas de la
Repblica Dominicana
1
XIV CONCURSO ANUAL
DE INVESTIGACIN
ENFOQUE
METODOLGICO
DE AUDITORA A
LAS
TECNOLOGAS DE
INFORMACIN Y
COMUNICACIONES
S
E
U
D
N
I
M
O
6
f
r
e
e
CONTRALORA GENERAL
DE LA REBLICA DE CHILE
2
SUMARIO
Pgina
RESUMEN EJECUTIVO 5
CAPTULO I
1 DEFINICIN DEL PROBLEMA 6
1.1 ANTECEDENTES DEL PROBLEMA 6
1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR 7
1.3 OBJETIVOS DE LA INVESTIGACIN 7
1.3.1 OBJETIVO GENERAL 7
1.3.2 OBJETIVO ESPECFICO 8
1.4 ALCANCE DE LA INVESTIGACIN 8
CAPTULO II
2 DISEO METODOLGICO DE LA INVESTIGACIN 9
2.1 METODOLOGA DE LA INVESTIGACIN 9
RESULTADO DE LA INVESTIGACIN
CAPTULO III
3 AUDITORA A LAS TECONOLOGAS DE LA INFORMACIN 9
3.1 MARCO TERICO 9
3.1.1 Clasificacin de las auditoras 9
3.2 LOS SISTEMAS DE INFORMACIN 9
3.2.1 Caractersticas de los sistemas de informacin 10
3.2.2 Estructura de los sistemas de informacin 12
3.2.3 Procesos de los sistemas de informacin 13
3.2.4 Clasificacin de los sistemas de informacin 14
3.3 COBIT 4.1 16
3.3.1 Definicin 16
3.3.2 Misin 16
3.3.3 Estructura 17
3.4 ISO/IEC 27002:2005 25
3.4.1 Definicin y objetivos 25
3
CAPTULO IV
EL ENFOQUE METODOLGICO PROPUESTO
4.1 METODOLOGA 26
4.1.1 Sntesis de actividades y productos entregables por etapas 27
4.2 FASE I. PLANIFICACIN DE LA AUDITORA
4.2.1 Programa de auditora preliminar 29
4.2.2 Programa de trabajo para el desarrollo de la auditora 29
4.2.3 Asignacin de recursos y estimacin del tiempo requerido
para efectuar la auditora 30
4.2.4 Comprensin de los procesos de negocios y sistemas de
informacin que los soportan 31
4.2.5 Levantamiento de la informacin bsica y detallada 32
4.2.6 Estructura y organizacin de los archivos de trabajo 33
4.2.7 Ficha tcnica de los sistemas de informacin 34
4.2.8 Definicin del alcance de la auditora 34
4.2.9 Programa de trabajo para el desarrollo de la auditora 35
4.2.10 Estimacin del tiempo requerido por etapa y auditor 36
4
4.4 FASE III. COMUNICACIN DE LOS RESULTADOS
4.4.1 Elaboracin de los informes con los resultados de la auditora 73
4.4.2 Estructura y contenido de los informes 73
4.4.3 Aseguramiento de la calidad de los informes de auditora 74
4.4.4 Organizar y cerrar la carpeta con archivos de trabajo 76
4.4.5 Seguimiento a las observaciones de la auditora 78
4.4.6 Planificar el seguimiento a las observaciones de la auditora 78
4.4.7 Ejecutar el seguimiento a las observaciones de la auditora 79
4.4.8 Informe de seguimiento de la auditora 79
CAPTULO V
CONCLUSIONES 80
BIBLIOGRAFA 81
5
RESUMEN EJECUTIVO
6
CAPTULO I
7
1.2 ANTECEDENTES GENERALES DEL ORGANISMO CONTRALOR
8
1.3.2 Objetivo especfico
9
CAPTULO II
RESULTADO DE LA INVESTIGACIN
CAPTULO III
10
y de tiempo; y el cumplimiento de las atribuciones institucionales.
11
Actualmente, la informacin debe ser considerada como uno de los
recursos ms valiosos de una organizacin y el sistema de informacin es
el encargado de que sta sea gestionada siguiendo criterios de eficiencia y
eficacia.
12
agregacin y otras caractersticas. A medida que se asciende en el
escalafn organizacional, se observa cmo la informacin requerida
aumenta en nivel de agregacin (menor nivel de detalle), incorpora
informacin del entorno y hace un mayor nfasis en el mediano y largo
plazo, a diferencia de la informacin puramente operativa, que
normalmente se refiere a los hechos ocurridos dentro de la propia
organizacin y a un corto plazo.
13
de informacin que sirven de soporte a las primeras.
14
La informacin til se plasma en una serie de documentos, informes y
grficos, para ser distribuida a las personas adecuadas dentro de la
organizacin. Esta informacin, as como los datos de partida, se
almacenan generalmente, en un soporte informtico para poder ser
reutilizados en cualquier momento.
15
datos bsicos en las operaciones y se les denomina sistema de
procesamiento transaccional.
Los sistemas de soporte a la direccin son los que asisten a los directivos
de las organizaciones en todos los aspectos de un proceso de toma de
decisiones: generacin de alternativas, anlisis de ellas, simulacin de
resultados que se obtendran con cada una de ellas, etc. Se puede afirmar
que estos sistemas van un paso ms all que los sistemas de informacin
16
tradicionales.
3.3.2 Misin
17
conjunto internacional, autorizado y actual de objetivos de control en
tecnologas de informacin generalmente aceptados por el uso cotidiano de
gerentes de organizaciones y auditores.
3.3.3 Estructura
Recursos Requerimientos
de TI Procesos de de negocio
trabajo
b) Procesos de Trabajo
19
Monitoreo: Monitoring (M)
20
DS8: Apoyar y orientar a clientes.
DS9: Administrar la configuracin.
DS10: Administrar problemas e incidentes.
DS11: Administrar la informacin.
DS12: Administrar las instalaciones.
DS13: Administrar la operacin.
4) Monitoreo (M)
M1: Monitorear el proceso.
M2: Evaluar lo adecuado del control interno.
M3: Obtener aseguramiento independiente.
M4: Proporcionar auditora independiente.
c) Requerimientos de negocio
Requerimientos de calidad:
o Calidad.
21
o Costo.
o Prestacin de servicio.
Requerimientos de confianza:
o Efectividad y eficiencia de operaciones.
o Confiabilidad de la informacin.
o Cumplimiento de leyes y regulaciones.
Requerimientos de seguridad de la informacin:
o Confidencialidad.
o Integridad.
o Disponibilidad.
22
Confiabilidad de la informacin: Se refiere a proveer la informacin
apropiada para que la administracin opere la organizacin y cumpla
con sus responsabilidades de informes financieros y de cumplimiento
normativo.
23
compromisos en tiempo y en costo.
PO11. Administrar calidad Satisfacer los requerimientos de los
clientes de TI.
ADQUISICION E IMPLEMENTACION (AI)
AI1 Identificar soluciones de Asegurar el mejor enfoque para
automatizacin satisfacer los requerimientos del usuario.
AI2Adquirir y mantener software de Proveer funciones automatizadas que
aplicacin efectivamente soporten los procesos de
negocio.
AI3Adquirir y mantener la arquitectura Proveer la plataforma adecuada para
tecnolgica proporcionar soporte a las aplicaciones
de negocio.
AI4Desarrollar y mantener Asegurar el uso apropiado de las
procedimientos aplicaciones y de las soluciones de
tecnologa existentes.
AI5Instalar y acreditar sistemas de Verificar y confirmar que la solucin
informacin corresponda al propsito pretendido.
AI6Administrar cambios Minimizar la probabilidad de
interrupciones, alteraciones no
autorizadas y errores.
PRESTACION DE SERVICIO Y SOPORTE (DS)
DS1 Definir niveles de servicio Establecer un entendimiento comn
del nivel de servicio requerido.
DS2 Administrar servicio de terceros Asegurar que los roles y
responsabilidades de terceros estn
definidas claramente, son respetados y
continan satisfaciendo los
requerimientos.
DS3 Administrar desempeo y capacidad Asegurar que la capacidad adecuada se
encuentra disponible y se hace el mejor
y ptimo uso de la misma para
satisfacer los requerimientos de
desempeo.
DS4 Asegurar continuidad de servicio Contar con servicios disponibles de
acuerdo con los requerimientos y
mantener la prestacin de los mismos en
caso de una interrupcin.
DS5 Garantizar la seguridad de sistemas Salvaguardar informacin contra uso no
autorizado, divulgacin o modificacin,
dao o prdida.
24
DS6 Identificar y asignar costos Asegurar una concientizacin correcta de
los costos atribuibles a servicios de TI.
DS7 Educar y capacitar usuarios Asegurar que los usuarios estn
haciendo uso efectivo de la tecnologa y
estn conscientes de los riesgos y
responsabilidades involucradas.
DS8 Apoyar y orientar a clientes Asegurar que cualquier problema
experimentado por los usuarios es
manejado apropiadamente.
DS9 Administrar la configuracin Dar razn de todos los componentes.
Prevenir alteraciones no autorizadas,
confirmar existencia fsica y proveer las
bases para una slida administracin de
cambios.
DS10 Administrar problemas e Asegurar que problemas e incidentes son
incidentes resueltos y que las causas son
investigadas para prevenir cualquier
ocurrencia futura.
DS11 Administrar la informacin Asegurar que la informacin se mantiene
completa, exacta y vlida durante su
entrada, actualizacin y
almacenamiento.
DS12 Administrar las instalaciones Proporcionar una ubicacin fsica
conveniente que proteja al equipo y a las
personas contra riesgos naturales y
riesgos producidos por el hombre.
DS13 Administrar la operacin Asegurar que las funciones importantes
de TI son desarrolladas regularmente y
en una forma ordenada.
MONITOREO (M)
M1 Monitorear el proceso Asegurar el cumplimiento de los
objetivos de desempeo establecidos
para los procesos de TI.
M2 Evaluar lo adecuado del control Asegurar el logro de los objetivos de
interno control interno establecidos para los
procesos de TI.
M3 Obtener aseguramiento Incrementar los niveles de confianza y
independiente beneficiarse con recomendaciones sobre
mejores prcticas.
M4 Obtener auditora independiente Incrementar la confianza y confiabilidad
25
entre la organizacin, clientes y
proveedores.
La poltica de seguridad
Organizacin para la seguridad de la informacin
Gestin de activos de informacin
Seguridad del personal
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de sistemas
Gestin de incidentes de la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
26
CAPTULO IV
ENFOQUE METODOLGICO
4.1 METODOLOGA
27
c) FASE III. Comunicacin de los resultados
1 Plan de auditora
preliminar
Definicin del
2
programa y
alcance de la
auditora
ACTIVIDADES QUE SE
EJECUTAN
3
Elaborar un plan de auditora con objetivos generales.
Conformar el grupo de trabajo que realizar la auditora.
Estimar tiempo necesario para realizar la auditora.
Levantamiento de informacin sobre el estado actual y caractersticas de la organizacin, infraestructura, recursos
humanos y tcnicos, procesos de negocios y sistemas de informacin que los soportan.
Confeccionar flujograma de los procesos de negocio.
Realizar ficha tcnica de los sistemas de informacin que soportan los procesos de negocio.
Seleccionar los objetivos de control aplicables a los procesos de negocio y sistemas de informacin.
Elaborar el programa de auditora detallado.
28
Confeccionar Carta Gantt del programa de auditora.
PRODUCTOS DE LA ETAPA
5 Definicin y Definir y disear pruebas de cumplimiento Definicin del alcance de las pruebas de
para los controles claves de los procesos cumplimiento.
diseo de las
de negocio y sistemas agrupadospor Diseo detallado de las pruebas de
pruebas de
tcnicas de verificacin. cumplimiento segn tcnicas de
auditora verificacin.
Definir el diseo y alcance de las pruebas
sustantivas para datos clave de los Definicin del alcance de las pruebas
procesos y sistemas. sustantivas.
Diseo detallado de las pruebas
sustantivas.
7 Evaluacin de los Evaluar los resultados de laspruebas Listado con anlisis de observaciones
efectuadas. de auditora para pruebas de
resultados
Desarrollar el anlisis de las observaciones de cumplimiento y sustantivas.
obtenidos en las
auditora y puntos mejorables para los Conclusiones de los resultados
pruebas de controles y datos deficientes. obtenidos.
auditora Identificar las causas, el impacto
y las
implicaciones de las observaciones para la organizacin y
verificar los estndares y mejores prcticas que no se
cumplen.
Disear las conclusiones de auditora para
los resultados no satisfactorios.
8 Elaboracin del Elaborar resumen de observaciones. Resumen de observaciones obtenidas.
informe con los Desarrollar y aprobar informe preliminar. Informe preliminar de auditora.
Emitir informe preliminar. Documento con el anlisis de las
resultados de la
Analizar respuesta del servicio al informe respuestas emitidaspor el servicio
auditora preliminar. auditado al informe preliminar.
Disear conclusiones generales y Informe final de auditora.
especficas de la auditora. Expediente de auditora con
Elaborar y aprobar informe final de observaciones organizadas y
auditora. referenciadas adecuadamente.
Emitir informe final de auditora.
Organizar y cerrar expediente y archivo
con hojas de trabajo.
29
4.2 FASE I. PLANIFICACIN DE LA AUDITORA
Objetivos de la auditora
Definicin del equipo de auditores requerido: perfil y habilidades.
Tiempo estimado para efectuar la auditora.
30
4.2.3 Asignacin de recursos y estimacin del tiempo requerido
para efectuar la auditora
Suponga que se presupuestan 480 horas para todo el trabajo, las que
podran ser asignadas as: 15% para labores de supervisin, 20% para el
auditor a cargo y el restante 65% para los auditores en terreno.
31
pruebas
6 Ejecucin de las pruebas 40
Anlisis de resultados de las
7 40
pruebas
Elaboracin informe con los
8 40
resultados
32
4.2.5 Levantamiento de la informacin bsica y detallada
Estructura organizacional
Estructura de las reas propietarias de la informacin de los procesos de
negocio
Clientes interno y externos
Dependencias de la organizacin
Tareas o actividades que realiza cada dependencia
Terceros que intervienen en el manejo de la informacin
Cuantificacin de las cifras de operaciones que manejan los procesos de
negocio (promedio durante un ao)
Polticas y procedimientos establecidos en la organizacin relacionados
con los procesos de negocio
Normas legales e institucionales que rigen el funcionamiento del servicio
Informacin sobre fraudes y otros antecedentes en las operaciones del
servicio
33
Modelo entidad/relacin de las bases de datos de los sistemas
Diccionario de datos de los modelos entidad/relacin
Inventario de documentos fuentes y otros medios de entrada de datos
Personas claves que dan soporte tcnico a la operacin y mantencin de
los sistemas para cada dependencia.
Terceros que prestan servicios de tecnologas de informacin para los
procesos de negocio.
Inventario de informes que producen los sistemas y destinatarios de los
mismos
Interfaces entre sistemas (informacin que reciben o proporcionan a
otros sistemas)
Manuales existentes con la documentacin tcnica y del usuario
Plataforma en la que funcionan los sistemas de informacin (sistema
operativo, software de desarrollo y motor de base de datos utilizados)
Si el sistema de informacin fue adquirido; datos del proveedor, ao de
adquisicin, versin en produccin, cantidad de usuarios con licencia,
poseen programas fuentes y contrato de mantencin)
Si el sistema de informacin fue desarrollado internamente (tipo de
lenguaje utilizado, archivos fuentes y ejecutables, fecha de ingreso a
produccin, versin actual en produccin).
a) Archivo permanente
34
Este archivo contiene informacin de la organizacin que es poco
cambiante y, por consiguiente, tiene validez continua a travs del tiempo.
Generalmente, se elabora completamente en la primera auditora y en las
dems se reemplazan unos documentos por otros actualizados.
Es el archivo con las hojas de trabajo que contienen las evidencias del
desarrollo de cada una de las etapas de la auditora.
Los documentos de este archivo tienen validez por una sola vez, es decir,
para cada auditora realizada a las aplicaciones que estn en proceso de
evaluacin. Por consiguiente, cada vez que se efecte una auditora se
debe elaborar un nuevo archivo con la informacin recopilada.
35
De esta etapa se obtiene lo siguiente:
1. Estrategia y direccin
2. Organizacin general
3. Acceso a los recursos de informacin
4. Metodologa de desarrollo de sistemas y control de cambios
5. Procedimientos de operaciones
6. Programacin de sistemas y funciones de soporte tcnico
7. Procedimientos de aseguramiento de calidad
8. Controles de acceso fsico
9. Planificacin de la continuidad del negocio y recuperacin de desastres
10. Redes y comunicaciones
11. Administracin de la base de datos
12. Proteccin y mecanismos de deteccin contra ataques internos y
externos
36
En la etapa evaluacin del sistema de control, se debe analizar si los
controles establecidos por la administracin se encuentran alineados con
los objetivos de control seleccionados de los estndares. Posteriormente,
en la etapa Ejecucin de pruebas de auditora, se debe verificar si la
proteccin de los controles es suficiente para asegurar razonablemente el
cumplimiento de los objetivos del negocio.
1. ESTRATEGIA Y DIRECCIN
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
PO1.2 Alineacin de TI con el negocio
PO1.4 Plan estratgico de TI
PO2.1 Modelo de arquitectura de informacin
empresarial
PO3.1 Planeamiento de la orientacin tecnolgica
PO3.2 Plan de infraestructura tecnolgica
PO3.4 Estndares tecnolgicos
PO4.2 Comit estratgico de TI
PO4.3 Comit directivo de TI
PO6.5 Comunicacin de los objetivos y de la
direccin de TI
2. ORGANIZACIN GENERAL
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
PO4.4 Ubicacin organizacional de la funcin de TI
PO4.5 Estructura organizacional de TI
PO4.6 Establecer roles y responsabilidades
PO4.7 Responsabilidades para el aseguramiento de
la calidad de TI (QA)
PO4.8 Responsabilidad sobre el riesgo, la seguridad
y el cumplimiento
PO4.10 Supervisin
PO4.11 Segregacin de funciones
PO4.12 Personal de TI
PO4.13 Personal clave de TI
PO6.4 Implantacin de polticas, estndares
y procedimientos
37
3. ACCESO A LOS RECURSOS DE INFORMACIN
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
PO2.3 Esquema de clasificacin de datos 11.1.1 Polticas de control de acceso
PO6.2 Riesgo corporativo y marco de referencia
del control interno de TI
DS5.2 Plan de seguridad de TI
DS5.4 Gestin de cuentas de usuario 11.2.1 Registro de usuarios
DS5.3 Gestin de identidad 11.2.2 Gestin de privilegios
11.2.4 Revisin de derechos de acceso de usuarios
11.2.3 Gestin de contraseas de usuarios
11.3.1 Uso de contraseas
11.5.1 Procedimientos seguros de inicio de sesin
11.6.1 Restriccin de acceso a la informacin
DS5.9 Prevencin, deteccin y correccin de 11.4.2 Autenticacin de usuario para conexiones
software malicioso externas
DS5.11 Intercambio de datos sensitivos
DS9.2 Identificacin y mantenimiento de elementos 11.4.3 identificacin de equipos en redes
de la configuracin
38
5.- PROCEDIMIENTOS DE OPERACIONES
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
AI4 Facilitar la operacin y el uso 10.1.1 Procedimientos operativos documentados
DS13 Gestionar las operaciones
AI7 Instalar y acreditar soluciones y cambios 10.1.4 Separacin de los entornos de desarrollo,
pruebas y produccin
DS1 Definir y gestionar los niveles de servicio 10.2.1 Entrega de servicios
DS2 Gestionar los servicios de terceros
DS2 Gestionar los servicios de terceros 10.2.2 Monitoreo y revisin de los servicios de terceros
10.2.3 Gestin de cambios a los servicios de terceros
10.3.1 Gestin de la Capacidad
DS11 Gestionar datos 10.5.1 Respaldo de la informacin
10.7.2 Eliminacin de medios de almacenamiento
ME1 Monitorear y evaluar el desempeo de TI 10.10.2 Monitoreo del uso de los sistemas
DS5 Garantizar la seguridad de los sistemas 10.10.4 Logs de administrador y de operador
10.10.5 Logs de errores
39
8. CONTROLES DE ACCESO FSICO
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
DS12.1 Seleccin y diseo del centro de 9.1.1 Permetro de seguridad fsica
datos DS12.2 Medidas de seguridad fsica
DS12.3 Acceso fsico 9.1.2 Controles fsicos de ingreso
DS12.4 Proteccin contra factores ambientales 9.1.4 Proteccin contra amenazas externas
y ambientales
PO4.14 Polticas y procedimientos para 9.1.6 reas de acceso pblico, despacho y recepcin
personal contratado
PO6.2 Riesgo corporativo y marco de referencia
para el control interno de TI
AI3.3 Mantenimiento de la infraestructura
9.2.1 Ubicacin y proteccin de los equipos
DS5.7 Proteccin de la tecnologa de seguridad
9.2.3 Seguridad del cableado
AI3.3 Mantenimiento de la infraestructura 9.2.4 Mantenimiento de equipos
DS12.5 Gestin de instalaciones fsicas
DS13.5 Mantenimiento preventivo del hardware
DS11.4 Desechar 9.2.6 Eliminacin o reutilizacin segura de equipos
40
10. REDES Y COMUNICACIONES
OBJETIVOS DE CONTROL APLICABLES
COBIT ISO/IEC 27002
11.4.1 Polticas de uso de los servicios de red
DS9.2 Identificacin y mantenimiento de elementos 11.4.3 identificacin de equipos en redes
de la configuracin
11.4.4 Proteccin de puertos de configuracin
y diagnstico remoto
11.4.5 Segregacin en redes
11.4.6 Control de conexiones en la red
11.4.7 Control de enrutamiento en la red
DS5 Garantizar la seguridad de los sistemas 10.6.1 Controles de red
10.6.2 Seguridad de los servicios de red
41
4.3 FASE II. EJECUCIN DE LA AUDITORA
42
auditor como base para determinar la naturaleza y extensin de las
pruebas de auditora que se consideren necesarias y apropiadas a las
circunstancias.
43
4.3.3 Criterios para evaluar la proteccin que ofrecen los controles
44
Costo de adquisicin del control
Costo de instalacin del control
Costo de operacin del control
Costo de mantenimiento del control
45
4.3.5 Observaciones de control interno
46
El auditor debe verificar que:
47
Tales controles se denominarn claves.
Los controles claves son aquellos que, a juicio del auditor, son
indispensables para evitar o detectar y corregir el efecto o la probabilidad
de ocurrencia de las causas de riesgo que generan riesgo alto. Tambin,
pueden considerarse claves aquellos controles que con mayor frecuencia
actan sobre varias causas de riesgo, es decir, tienen efecto mltiple. Se
asume que entre mayor frecuencia tenga un control, mayor ser su
importancia y por consiguiente podr ser considerado clave.
Otro criterio que podra emplear el auditor para seleccionar los controles
clave es la clase de control. Por ejemplo, podra decidir seleccionar una
muestra de controles automatizados y otra muestra de controles
manuales.
48
La aplicabilidad de cada tcnica de comprobacin depende de la naturaleza
del control, por lo que el auditor debe analizar sus caractersticas y optar
por la tcnica que a su criterio permita la correcta ejecucin y
comprobacin de las pruebas a realizar. En la siguiente etapa de la
auditora se detallan las tcnicas y procedimientos de mayor aceptacin
para realizar las pruebas de cumplimiento y sustantivas en ambientes
informticos.
Los pasos a seguir para definir las pruebas utilizando este mtodo se
explican a continuacin:
En este primer paso se agrupan los controles claves que sern verificados
49
y se escogen las tcnicas de prueba a emplear. Una misma tcnica puede
ser asignada a diferentes controles.
50
sistemas y de las reas de negocio la ejecucin de las pruebas de
auditora (manual y asistida por computador) en el lugar de trabajo.
Se confecciona una lista con los datos clave para cada una de las tcnicas
51
a utilizar. En este caso, debe considerarse que una misma tcnica puede
ser utilizada para verificar varios datos claves.
Para este fin, se elabora un plan de pruebas, considerando las fechas que
sean ms oportunas, especialmente cuando para su ejecucin se requiera
52
de los equipos de procesamiento, que no son administrados por la
auditora y la colaboracin del personal de sistemas.
53
4.3.12 Tcnicas y herramientas de auditora
Los auditores pueden utilizar diferentes mtodos para revisar los controles
de las aplicaciones en funcionamiento y las operaciones en el centro de
servicios informticos. A continuacin se describe en qu consiste cada
tcnica o herramienta.
Snapshot
Mapping y tracing manuales
Mapping y tracing asistidos por el computador
Flujogramas de control (control flowcharting)
54
4.3.12.1 Tcnicas para probar los controles en los sistemas
Tales tcnicas son usadas para dos propsitos: evaluar los sistemas de
aplicacin y probar el cumplimiento.
Los auditores usan esta tcnica para probar la lgica del procesamiento
seleccionado, las rutinas de clculos y las caractersticas de control dentro
de los sistemas de informacin.
55
desbordamiento causaron errores o transacciones fuera de lmite fueron
procesadas como si fueran correctas (ejemplo transacciones de clientes
que exceden el lmite de crdito).
el auditor. 57
56
Los resultados obtenidos en el punto cinco se deben comparar con los
resultados predeterminados.
Los archivos que se van a probar, deben ser copiados como archivos
especiales de trabajo con el fin de permitir todo tipo de pruebas.
Ventajas:
o Su uso puede limitarse a funciones especficas del programa,
minimizando el alcance de la prueba y su complejidad
o Es una buena herramienta de aprendizaje para los auditores porque
su uso requiere mnimos conocimientos de informtica
o No se requiere que el auditor tenga grandes conocimientos tcnicos
o Tiene buena aplicacin donde son pocas las variaciones y
combinaciones de transacciones
o Da una evaluacin y verificacin objetiva de los controles de
programa y de otras operaciones que seran impracticables por otros
medios
o Los datos de prueba se podran correr sorpresivamente para
descubrir la posible modificacin de programas sin autorizacin e
Para transacciones:
o Crear transacciones para el primer registro del archivo
o Crear transacciones para el ltimo registro del archivo
o Crear transacciones para otros registros diferentes al primero y
ltimo del archivo
o Crear transacciones para un registro nuevo creado en la misma
corrida
o Crear transacciones para varios registros consecutivos
o Crear varios tipos de transacciones para un mismo registro
o Intentar crear transacciones para registros inexistentes que fueran
menores en secuencia que el menor registro existente, mayores en
secuencia que el ltimo registro existente y entre registros
existentes, as como para varios registros consecutivos no existentes
o Crear transacciones de tal manera que los totales se hagan
negativos y verificar el efecto en otros campos del registro
o Crear cantidades demasiado grandes para crear desbordamiento.
Examinar los resultados
o Si se utiliza un registro de encabezado seguido por registros de
detalle, crea registros detallados para el primer registro del archivo,
el ltimo registro, dos registros consecutivos, un registro no
existente y varios registros inexistentes
60
o Eliminar el ltimo registro de cada archivo
o Eliminar tres o cuatro registros consecutivos de cada archivo
o Intentar accesar un registro inexistente
o Codificar un registro como inactivo e intentar grabar datos al
mismo registro en la misma corrida
o Volver activo un registro inactivo y crearle transacciones en la
misma corrida
Para fechas:
o Asegurarse que todos los campos de datos de fechas se han
actualizado correctamente.
o Crear fechas con meses 00 y 13, das 0 y 32 y un ao invlido
o Crear fechas que estn fuera de los intervalos de actualizacin.
Ejemplo en un perodo mensual, hacer intervalo de ms de 30 das
o Hacer dos corridas de actualizacin con la misma fecha
61
o Mezcla de caracteres numricos y alfabticos
62
o Disear varias entradas contables ilgicas (ejemplo: crdito a gastos
de depreciacin y debido a cuentas por cobrar)
Los archivos de prueba del sistema de caso base, por definicin, son
creados para proveer una prueba selectiva de todas las caractersticas y
funciones dentro de un sistema de informacin.
63
Aunque esta tcnica proporciona la ventaja de efectuar pruebas de
cumplimiento y verificar el sistema completo, el esfuerzo requerido para
mantener los archivos de datos despus de su instalacin inicial requiere
de estrecha cooperacin entre usuarios, auditores y el personal del centro
de datos para la preparacin de los datos de prueba y la validacin de los
resultados.
c) Operacin paralela
d) Simulacin paralela
64
tiempo consumido en la preparacin de los datos de prueba.
Los auditores que usen esta tcnica, sin embargo, deben preparar
programas de computador que simulen las funciones de produccin a ser
verificadas. Programas de auditora especialmente preparados o software
generalizado de auditora pueden ser usados para este propsito. El
software generalizado de auditora ha simplificado la preparacin de
programas de simulacin paralela.
a) Snapshot
65
b) Tracing y mapping manual
66
implican anlisis detallado.
67
evidencia se limita a los archivos de datos y en consecuencia no es
utilizable (funcional) para pruebas de cumplimiento en los programas, para
condiciones que no se reflejan en los archivos.
68
Los criterios de seleccin son generalmente parmetros controlados por el
auditor y usan pruebas de rango, tcnicas de muestreo o condiciones de
error para implicar la seleccin de registros para su posterior evaluacin
por parte del auditor. Tales tcnicas se usan en pruebas de cumplimiento
para monitorear el procesamiento de transacciones y seleccionar datos
para su verificacin.
69
b) Coleccin de datos de auditora integrados en los sistemas de
informacin
c)Registros extendidos
70
4.3.13 Anlisis del resultado de las pruebas de auditora
71
Por cada tcnica de comprobacin utilizada, para todo el proceso de
negocio o el sistema de informacin, el auditor procede a analizar los
resultados obtenidos como se indica a continuacin:
72
2. Para cada control verificado con resultado insatisfactorio,
desarrollar una observacin de auditora
Para los datos claves verificados por cada proceso de negocio o sistema de
informacin, se debe concluir si los resultados de las pruebas son
satisfactorios o no y generar una observacin de auditora por cada prueba
con resultado negativo.
73
4.4 FASE III. COMUNICACIN DE LOS RESULTADOS
Estos son los insumos para elaborar el informe de auditora con el cual se
comunicar a la alta direccin y a los dems interesados, las observaciones
y conclusiones sobre las caractersticas de seguridad, calidad y
confiabilidad de la informacin y de los recursos tecnolgicos y humanos
que intervienen en las actividades de control de los procesos de negocio y
sistemas de informacin.
El propsito del informe final es atender las respuestas del servicio a las
observaciones y desarrollar las conclusiones de auditora.
74
aspectos de seguridad examinados, los objetivos de controles y las
dependencias en las que se efectu la revisin. Tambin, se mencionan el
perodo de tiempo que cubri la revisin y el rango de las fechas durante
las cuales se efectu la auditora.
b) Antecedentes generales
c) Observaciones de la auditora
Esta parte del informe presenta, para cada proceso y sistema evaluado,
las observaciones y debilidades de control identificados por la auditora
que debe contestar la administracin.
75
prcticas recomendados por los expertos. Si alguna de las respuestas a las
preguntas que se incluyen a continuacin es negativa, significa que el
informe necesita ms trabajo de revisin.
76
implantar sin causar costos significativos. Cada punto tendr asignado un
nmero de secuencia y un ttulo que exprese de manera resumida lo que
se detect, utilizando un lenguaje positivo y constructivo.
77
La documentacin del trabajo realizado por los auditores asignados al
desarrollo de un trabajo particular de auditora
Las evidencias vlidas y suficientes de los trabajos de auditora
Las evidencias de las actividades y procedimientos de planeacin,
ejecucin y control de cada una de las etapas de la auditora
78
Las polticas y procedimientos que en efecto pueden estar para asegurar la
custodia apropiada y retencin de la documentacin que soporta
observaciones y conclusiones de auditora, por un tiempo prudente para
satisfacer los requerimientos legales, profesionales y organizacionales.
79
Fecha de seguimiento prevista
Establecer fechas de compromiso de comn acuerdo con el encargado de
cada observacin:
80
CAPTULO V
CONCLUSIONES
81
BIBLIOGRAFA
Warren Gorham & Lamont. Practical IT Auditing. RIA. New York. USA.
870 pp.
82