XII Congreso Latinoamericano de

Auditoría Interna

Quito- Ecuador
Desarrollo de la Auditoría a través de las mejores
prácticas en Auditoría Informática

Fernando Izquierdo Duarte – CISA

Socio Fundador
Estéganos International Group
 Agenda

Introducción

¿Cómo estamos y cómo queremos estar?
– Que son las mejores prácticas
– Ventajas de acogerlas

Mejores prácticas en auditoría informática
– A nivel general
– Relacionadas con el individuo
– Relacionadas con la ejecución del trabajo

Conclusiones

Bibliografía
 Introducción

La TI se ha integrado tanto en las organizaciones
que incluso afecta la forma como se estructuran,
manejan y operan las organizaciones. La TI ha
penetrado el mundo de los negocios y por tal razón
el desarrollo de habilidades y competencias en TI
son un imperativo para el profesional de hoy.
– Si la auditoría está encargada de evaluar lo adecuado del
sistema de control interno en las organizaciones y éstas
soportan el desarrollo de sus operaciones con soluciones
tecnológicas, entonces....
– El auditor de hoy debe estar en capacidad de integrar
elementos tecnológicos en la realización de sus
actividades y debe tener la capacidad de evaluar los
procesos de negocio soportados en TI, con enfoque,
métodos y herramientas apropiadas.
 ¿Cómo estamos y cómo
queremos estar?

¿Cómo estamos haciendo las cosas en mi
organización?

¿En que nivel de “madurez” nos encontramos?

¿Qué debemos hacer para alcanzar un mayor nivel o
el nivel indicado por mis pares comerciales?

Tomado de: ISACA/ITGI. COBIT – Directrices Gerenciales, 3.Ed Pag-11

 La respuesta!

Las mejores prácticas pueden ayudarnos a

encontrar respuestas concretas a estos y
otros interrogantes !
¿Que son las Mejores prácticas?

Conjunto coherente de acciones que han brindado
un buen resultado o servicio en un determinado
contexto y sobre las cuales se espera que, en
contextos similares, brinden resultados similares.

Best Practices, en inglés, pueden depender de las
épocas, de las modas, del consultor o autor que las
pregona.

Tomado y adaptado de wikipedia.org

http://es.wikipedia.org/wiki/Mejores_practicas
Ventajas de acoger las mejores
prácticas

Sirven de marco de referencia:
– condensan conocimientos, experiencias y prácticas aplicadas
en muchas organizaciones y sobre las cuales existe consenso
de expertos acerca de su valor y utilidad.

Ayudan en el logro de Eficiencia Operacional:
– Las organizaciones, en pro de cumplimiento de los objetivos
institucionales, deben responder con altos niveles de calidad,
seguridad y confiabilidad en el desarrollo de sus operaciones
y en la información contenida en sus reportes de gestión.

Forma de demostrar compromiso de excelencia
– Las áreas de auditoría, tienen en ellas una forma de
demostrarle a la Gerencia su compromiso con el logro de la
excelencia organizacional.
– El profesional que las investiga, conoce de ellas, adopta y
aplica demuestra así su disposición a mejorar sus habilidades
y conocimiento técnico.
 Mejores prácticas en auditoría
informática

A nivel general

Relacionadas con el individuo

Relacionadas con la ejecución del trabajo

 A nivel general

Acogiendo estándares del ejercicio de la auditoría
– Informan a la Gerencia y partes interesadas sobre lo que se
espera de la profesión en el ejercicio de su trabajo
– Informan a los auditores sobre el nivel mínimo de rendimiento
aceptable requerido en su ejercicio profesional

Normas para el ejercicio profesional de la auditoría interna del IIA
– Institute of Internal Auditors

Estándares para Auditoría de Sistemas de Información de ISACA
– Information Systems Audit and Control Association
– Estándares, guías y procedimientos

Acogiendo Códigos de Ética Profesional

– Guías de conducta personal y profesional

Código de Ética Profesional de ISACA
 Relacionadas con el Individuo

Equipos interdisciplinarios
– Conformación de equipos de trabajo con individuos de
diferentes profesiones, pero que posean como factor común la
capacidad de evaluar los procesos de negocio soportados en
TI.

Desarrollo profesional avanzado
– Orientado a informar, capacitar, entrenar y formar
– Busca fortalecer las habilidades y destrezas, así como la
capacidad técnica y profesional.

Procesos de Certificación
– Evalúan en los candidatos el conocimiento y dominio sobre un
cuerpo común de conocimientos en área específicas
– Ayudar a los administradores a desarrollar la función de
Auditoría, Control y Seguridad, brindando criterios para el
desarrollo y selección de personal
 Relacionadas con el Individuo

Cómo lograrlo:
– Contratando, manteniendo y formando auditores
experimentados con habilidades en el manejo de herramientas
informáticas.
– Configurando repositorios de información con documentos de
referencia que apoyen su función; bases de conocimiento.
– Entrenamiento mediante pasantías o intercambios.
– Presupuestando y ofreciendo programas de capacitación,
formación y entrenamiento continuos para mejorar y desarrollar
las habilidades de los auditores
– Promoviendo y patrocinando procesos de certificaciones de
sus profesionales y auditores CISA: Certified Information
Systems Auditor, CISM: Certified Information Security
Management, CIA: Certified Internal Auditor, CCSA: Certified
Control Self Assessment y otras
 Relacionadas con la ejecución
de la función de Auditoría

Integrando TI a los procesos de auditoría

Acogiendo estándares internacionales

Evaluando los procesos de toma de decisiones en
TI, que afectan el apoyo tecnológico de los
procesos de negocio
 Relacionadas con la ejecución
de la función de Auditoría

Cómo lograrlo:
– Apoyando los procesos internos del área de auditoría con
soluciones tecnológicas, preferiblemente basadas en ambiente
WEB.

Proceso de planeación y administración de recursos

El seguimiento de actividades , generación de informes periódicos y de fin
de año.

Administración de archivo, custodia y recuperación de “papeles de
trabajo”.(medios técnicos de conservación)
– Haciendo uso de herramientas de Extracción de datos con
capacidades de análisis estadísticos

Paquetes como IDEA, ACL, Utilitarios como Discoverer u otras
herramientas
– Promoviendo el autocontrol entre las áreas auditadas mediante
soluciones tipo flujos de trabajo o herramientas en ambiente
WEB

Seguimiento a las observaciones y compromisos concertados en los
informes
Relacionadas con la ejecución
de la función de Auditoría
Acogiendo estándares internacionales de:
– Control Gerencial

Corparate Govenance (Gobierno Empresarial & Corporativo)
– OCDE, Organización para la Cooperación y el Desarrollo
Económico

Sarbanes-Oxley,

Basel II

HIPAA, Health Insurance Portability and Accountability

Administración de Riesgos (estándar AS/NZS 4360)

Gerencia de proyectos (PMI – PRINCE2)
– Control Interno

COSO / COSO ERM

COCO

Leyes y modelos de control interno propios de cada país
Relacionadas con la ejecución
de la función de Auditoría
Control en Tec. Informática y Seguridad Informática
– Evaluando los procesos de toma de decisiones en TI

IT-Governance:
– Responsabilidad de la alta gerencia, en cuando al direccionamiento,
estructura y procesos que aseguran que la TI de la empresa soporta
adecuadamente las estrategias y objetivos de negocio.
– Enfocado en el alineamiento estratégico, la entrega de valor
agregado, la administración de riesgos, la administración de los
recursos y la medición del desempeño.

CobIT – Control Objectives for Information and related
technologies
– Marco de referencia completo y comprensible orientado a al gobierno
de TI que busca apoyar el optimizar las inversiones en TI y a
asegurar la adecuada prestación del servicio y soporte de TI.
– Enfocado en objetivos de negocio, orientados a procesos, provee
además un conjunto de métricas y un modelo de madurez contra el
cual se puede comparar que tan bien se están haciendo las cosas.
– CobiT 4.1 Mayo de 2007
Relacionadas con la ejecución
de la función de Auditoría
– Evaluando los procesos de toma de decisiones en TI (cont)

CobiT Quickstart
– Versión de CobiT orientada a la pequeña y mediana empresa en donde
las TI no son absolutamente necesarias ni críticas.

CobiT Security Baseline Structure
– Ofrece guías sobre como implementar la Seguridad Informática
– Ayuda a las directivas de TI a entender la importancia de la Seguridad
Informática dentro del IT Governance.
– Facilita el entendimiento y manejo de los riesgos de TI y del nivel de
seguridad para cubrirlos.

IT Control Objectives for Sarbanes-Oxley
– Integridad, exactitud y transparencia de la información financiera para
empresas que cotizan en Bolsa
– Guía para los CEO y CFO quienes Al firmar los reportes financieros,
están asegurando que los sistemas financieros de la organización
tienen controles y seguridades apropiados para asegurarla confiabilidad
de los mismos

ITIL – IT Infrastructure Library
– Enfocado en la implementación de servicios y su administración
– Desarrollado por la oficina de gobierno británico
– Procesos operativos, acuerdos de servicio,
– Arquitectura y control de activos de TI
Relacionadas con la ejecución
de la función de Auditoría
– Evaluando los procesos de toma de decisiones en TI (cont)

BS-7799-2
– Metodología formal para construir y evaluar un ISMS (Information
Security Management System)

ISO 27001
– Brinda información y guías sobre los componentes de un Marco
de referencia de seguridad Informática
– Enfocado en aspectos de seguridad informática y contingencia

CONCT
– Objetivos de Control para tecnologías orientadas a redes

NIST
– The National Institute of Standards and Technology (Agencia
federal de tecnología que desarrolla y promueve métricas y
estándares y tecnología.

DRI – Disaster Recovery Institute

– Propone una metodología para la construcción de planes de continuidad de
negocio y recuperación ante desastres.
– Propone un proceso de certificación para profesionales en esta materia
 Auditoría de Sistemas

Proceso de recolectar y evaluar evidencia para evaluar si los

sistemas de información y los recursos relacionados,
salvaguardan adecuadamente los activos, el mantenimiento
de los datos y la integridad del sistema; si proveen
información relevante y confiable, si logran efectivamente los
objetivos organizacionales, consumen los recursos
eficientemente, y tienen en efecto controles internos que
provean razonable seguridad que los objetivos de control y
operacionales se lograrán.

ISACA – Information Systems Audit and Control Association

 Conclusiones

Las mejores prácticas en materia de auditoría y control

interno, han dejado de ser una opción para el auditor
moderno, para convertirse en el punto de referencia a
seguir para alcanzar los niveles de excelencia
propuestos.

Recordar que: el hecho de ser generalmente
aceptadas no significa que el conocimiento y práctica
deban ser aplicadas rígidamente en todos los casos.

No reemplazan al sentido común y a la reflexión y que,
mientras se usen de manera racional y coherente,
pueden acelerar la puesta en servicio de mejoras en
los procesos organizacionales.
 Bibliografía

Cano M. Jeimy J. (2005). Certificaciones en Seguridad

Informática, conceptos y reflexiones. Trabajo presentado en
la Asociación Colombiana de Ingenieros de Sistemas, Bogotá.
Ferrer O. Fernando.(2005). Estado del Arte en Modelos de
Control. Trabajo presentado en la décima conferencia
LATINCACS. Octubre, Panamá.
IT Governance Institute www.ITGI.org
ISACA, Information Systems auditor association www.isaca.org
IIA, Internal Auditor Institute www.theiia.org
 ¡Gracias!
Fernando izquierdo Duarte, CISA
Fizquierdo@esteganos.com