SISTEMA DE CONTROL INTERNO El control interno consiste en todas las polticas, procedimientos, prcticas y controles que permiten reducir

riesgos. Tienen el objetivo de prevenir o detectar los riesgos no deseados, para lograr que los objetivos del negocio sean alcanzados. (Buscan mitigar riesgos potenciales, detectar errores, evitar fraudes, controlar la operatoria de la organizacin, etc.) El Control es el medio para alcanzar los objetivos de control. El control interno puede llevarse a cabo de forma manual o automtica. Responsables del Control Interno en una organizacin La junta directiva y la alta gerencia son responsables de establecer la cultura apropiada para facilitar un sistema efectivo de control interno y para supervisar continuamente la efectividad del sistema de control interno. Tipos de Controles Internos Controles Bsicos: buscan verificar la exactitud y confiabilidad de la informacin, operaciones, etc. Ejemplos: control de autorizacin, totalidad, exactitud, conciliacin de totales, controles de acceso y seguridad, en la implementacin de programas. Controles Disciplinarios: aseguran el cumplimiento de los controles bsicos. Ej: asignacin de tareas, supervisin y custodia. Clasificacin de los Controles Internos, segn su naturaleza Cuando se habla de problema, nos referimos a error, omisin o acto malicioso. Preventivos: son los mejores controles, ya que buscan prevenir o evitar problemas potenciales antes de que ocurran, haciendo ajustes al respecto. Permiten: Detectar problemas antes de que surjan. Monitorear tanto operaciones como el ingreso de los datos. Tratar de predecir los problemas potenciales antes de que estos ocurran y hacer ajustes. Impedir que ocurra un error, una omisin o un acto malicioso. Ejemplos: Definicin de polticas, estndares, etc. Trabajar con formularios pre-numerados para evitar duplicidad, eliminacin de los mismos, etc. Separacin de funciones Niveles de autorizacin o permisos de accesos fsica y lgicamente. Personal calificado Detectivos: detectan problemas que no fueron previstos de ante mano, o bien fueron previstos pero no evitados, y lo reportan. Ejemplos: Revisin de logs. Puntos de verificacin en los trabajos de produccin Verificacin doble de los clculos Capacitacin Controles por oposicin o cruzados entre reas. Ejecucin de algoritmos de dgitos verificadores Funciones de auditora interna. Correctivos: una vez que el problema ocurri, (no se lo previno ni detecto), estos controles buscan recuperar el estado anterior al problema, de las cosas que se vieron afectadas por l.

Buscan minimizar el impacto de una amenaza, remediar problemas descubiertos por los controles detectivos, identificar las causas del problema, etc. Ejemplos: Correccin automtica de errores Planeacin de contingencias que permita recuperarse de ellas. Backups de seguridad. Estadstica de origen de errores Objetivos del Control Interno Los objetivos de control interno son declaraciones de resultado deseado o del propsito a ser alcanzado implementado procedimientos de control a una actividad en particular. Suelen incluir: Operativos: se ocupan de las operaciones, funciones y actividades cotidianas y aseguran que la operacin este cumpliendo los objetivos del negocio. Son efectuados por Auditora Operativa. Ejemplo: auditora de sistemas. Contable: dirigidos a las operaciones de contabilidad. Son efectuados por Auditora Contable. Buscan salvaguardar los activos y la fiabilidad de los registros financieros. Administrativos: controles que sirven de base para la operatoria segura de la organizacin. Se ocupan de la eficiencia operativa en un rea funcional y el acatamiento de las polticas gerenciales incluyendo controles operativo. Ejemplo: autorizacin, actividades para corroborar la exactitud de la informacin, actividades relacionadas con el acceso y seguridad, etc. Los objetivos de control buscan: Salvaguardar los activos de TI Cumplimiento de las polticas corporativas y requisitos legales Autorizacin Entrada Exactitud e Integridad del procedimiento de transacciones Salida Con fiabilidad del proceso Respaldo Recuperacin Eficiencia y eficacia de operaciones Suelen aplicarse a toda las reas y pueden ser manuales o automatizados. Procedimientos de Control Se refieren a como debe funcionar el control interno en la organizacin. Se aplican a toda las reas de la organizacin Incluyen polticas y prcticas establecidas por la gerencia para lograr los objetivos. Incluyen: Controles internos contables Controles operativos Controles administrativos Polticas y procedimientos organizacionales de seguridad lgica que aseguren la debida autorizacin de transacciones y actividades. Polticas generales para el uso de documentos, (diseo y registro) Procedimientos y funciones para asegurar el acceso adecuado a activos fsicos y lgicos Polticas de seguridad fsica para todos los centros de datos Objetivos de Control de los SI Necesitan ser alcanzados en una forma especfica para los procesos relacionados con SI.

Incluyen: Preservar activos de accesos impropios y mantener la informacin siempre actualizada Cumplimiento de las polticas corporativas y requisitos legales. Garantizar la integridad de los entornos generales como la administracin de red y operaciones. Garantizar la integridad de los entornos sensitivos y crticos del sistema de aplicacin, a travs de: Autorizacin en el ingreso exactitud e integridad del procesamiento de las transacciones Con fiabilidad de las actividades generales de procesamiento de informacin Exactitud, integridad y seguridad de la info de salida Integridad de la BD Asegurar la eficiencia y eficacia de las operaciones (objetivos operativos) Cumplimiento con los requerimientos de los usuarios, con las polticas y procedimientos organizativos y con leyes y reglamentaciones, (objetivos de cumplimiento) Desarrollo de planes de contingencia del negocio y recuperacin de desastres Desarrollo de un plan de manejo y respuesta a incidentes Procedimientos de Control de los SI Cada procedimiento de control puede ser traducido a uno especfico de control de SI. Incluyen: Estrategia y direccin Organizacin y Administracin gerencial Acceso a datos y programas Metodologas de desarrollo de SI y control de cambios Operaciones de procesamientos de datos Programacin de SI y funciones de apoyo tcnico Procedimientos de garanta de calidad de procesamiento de datos Controles fsicos de acceso Planificacin de contingencia frente a desastres Redes y comunicaciones Objetivos de Control de la Auditora Se refieren a la meta especfica de Auditora. Se centran en analizar si existen controles internos para mitigar los riesgos de negocio. Incluyen: Asegurar el cumplimiento de los requisitos legales Asegurar la confidencialidad, integridad, confiabilidad y disponibilidad de recursos de informacin. La gerencia puede dar al auditor de SI un objetivo general a seguir cuando lleve a cabo la auditora.

ADMINISTRACION DE RIEGOS Es parte de la PA y ayuda a identificar los riesgos para que el auditor pueda determinar los controles que se necesiten para mitigar dichos riesgos. Los auditores deben poder identificar y diferenciar los tipos de riesgos, (del negocio y de tecnologa y los propios al proceso de auditora), y los controles usados para mitigarlos. La identificacin de los riesgos ayuda a enfocar y planificar la auditora. La administracin de riesgos es una actividad muy importante para toda las unidades de negocios de las compaas. Auditora debe garantizar a la gerencia y comit de auditora, la efectividad de la Administracin de riesgos de SI en la organizacin. Es responsabilidad de la gerencia de negocio establecer polticas y procedimiento para identificar, evaluar, etc. La identificacin de riesgos puede realizarse a nivel de entidad auditable como a nivel de actividad de auditora. Un riesgo de negocio son las amenazas que pueden tener un impacto sobre los activos, procesos u objetivos de una organizacin. Por lo tanto: Pueden afectar al logro de los objetivos del negocio Pueden daar o producir prdidas de los activos de la organizacin. Naturaleza de los riesgos Los riesgos pueden ser financieros, de regulacin o operacionales, y pueden tener origen en: la interaccin entre la organizacin y su ambiente o el Resultado de las estrategias, sistemas, tecnologa, procesos, procedimientos e informacin utilizada por el negocio. El auditor de sistemas suele enfocarse a los problemas de alto riesgo, asociados a la con fiabilidad, disponibilidad o integridad de la informacin critica y con los sistemas y procesos que la generan, almacenan y manipulan. Categorizacin de los Riesgos Estratgicos: es el riesgo que asume una compaa para cumplir con sus objetivos de negocio. Tecnolgicos: es el riesgo inherente de los sistemas aplicativos y la infraestructura en los cuales residen Contables: riego de que la informacin financiera se capture incorrectamente, se calcule mal, se omita o se informe de manera errnea, lo cual genera la prdida de la confianza de los inversores, acciones legales, etc. Crediticios: es el riesgo de que un tercero no pueda cumplir con sus obligaciones, tales como el riesgo pas / el riesgo sector. Legales: es una combinacin de varios riesgos: Contractuales Legislativos Litigios Propiedad Intelectual, etc. Operativos: es el riesgo de prdida econmica que surge de los fraudes, actividades no autorizadas, errores o ineficiencia. La mayora de las auditoras incluye las tareas orientadas a la auditora de riesgo operativo. De Incumplimiento: es el riesgo de ser sancionado o multado econmicamente debido al incumplimiento de reglas o disposiciones locales o internacionales que rigen la operacin de negocios. Riesgo Reputacional: Es el riesgo de que se forme una opinin pblica negativa sobre el servicio prestado. El riesgo reputacional puede derivar en acciones que fomenten la creacin de una mala imagen o un posicionamiento negativo en la mente de los clientes, de tal forma que se produzca una migracin de fondos hacia otras entidades debido a una prdida de

credibilidad. Riesgo de Liquidez y Manejo: surge principalmente de la posibilidad de una falta de correspondencia en las entradas y salidas de efectivo entre los activos y los pasivos. Riesgo Ambiental: es la posibilidad de que se produzca un dao o catstrofe en el medio ambiente debido a un fenmeno natural o a una accin humana.

Proceso de Anlisis de riesgo El proceso se caracteriza como un ciclo de vida interactivo que consta de los siguientes pasos: 1. Identificacin de los objetivos del negocio, los activos de informacin y los sistemas o recursos de informacin que generan, almacenan, usan o manipulan los activos crticos para lograr los objetivos, (BD, hardware, software, personas, redes, etc.). 2. Luego de que dichos activos, etc. ya estn identificados, entonces se comienza con un estudio de los riesgos para identificarlos, determinar su probabilidad de ocurrencia y el impacto que tienen sobre la organizacin. La identificacin de riesgos consiste en realizar una lista detallada de los riesgos individuales, bajo las categoras de riesgos descriptas. Se debe considerar el entendimiento que tiene el auditor del ambiente externo. La evaluacin de la probabilidad y el impacto son, a menudo, subjetivos. Un riesgo que tiene una probabilidad baja de ocurrir y que en ningn caso podra tener un impacto significativo en el negocio, por lo general, no representa una gran preocupacin. Sin embargo un riesgo que tiene una alta probabilidad de ocurrir y que pudiera tener un impacto significativo deber recibir una mayor atencin. 3. Luego comienza la fase de mitigacin de riesgos, en la cual se identifican los controles necesarios para mitigarlos, es decir que puedan evitar la probabilidad de ocurrencia del riesgo, disminuir su impacto o transferir el riesgo hacia otra organizacin. El estudio de las contra-medidas debera basarse en un anlisis costo beneficio, en el cual: El costo de implementar el control, en comparacin con el beneficio de reducir el riesgo a un mnimo. El nivel de riesgos que la gerencia esta preparada parar aceptar Los mtodos, (terminarlo, reducir al mnimo su ocurrencia, su impacto o transferencia), preferidos de reduccin del riesgo. Una vez identificados y valorados los riesgos, se debe identificar las actividades de control realizadas por la gerencia para mitigarlos. El auditor debe evaluar el diseo, la convivencia y la efectividad de dichas actividades de control. 4. Niveles de supervisin del desempeo de los riegos que se estn administrando, frente a un cambio ambiental que provocara una re-evaluacin del riesgo y cambios en sus controles. (Abarca anlisis, mitigacin y re-evaluacin del riesgo). Es una prctica recomendada, que este entendimiento sobre el negocio o la operacin se documente y actualice al final de cada auditora. De esta forma se garantiza que los auditores tengan un entendimiento integral de las actividades del negocio u operaciones. Indicadores de Riesgos claros Se refiere al desarrollo de indicadores de riesgo clave que hacen uso de los sistemas de informacin para identificar excepciones.

La informacin recopilada mediante el monitoreo de los indicadores de riesgo debe utilizarse para determinar tanto las prioridades como la planeacin de los auditores. Al momento de identificar los indicadores de riesgo correspondientes al negocio especifico se deben considerar los establecidos por la gerencia.

Son analizadores de la ocurrencia de riesgos claros. Deben estar aprobados por la gerencia; es importante que el auditor tenga una buena comunicacin con las personas del negocio que son relevantes para su trabajo, ya que puede acceder a conocer sus propios riesgos claros. Los gerentes buscan mitigar sus riesgos y puede que tengan sus propios indicadores de riesgos, y el auditor puede basarse en ellos para analizar las reas evaluar y para realizar su trabajo. AUDITORIA Proceso sistemtico por el cual una persona competente, independiente obtiene y evala objetivamente evidencias respecto a afirmaciones sobre una entidad econmica o un caso con el fin de formarse una opinin sobre ello e informar sobre el grado en que dicha afirmacin se ajusta a un conjunto determinado de estndares. Tipos de Auditora Interna: no tiene peso legal. El auditor cumple el rol de Asesor. Realizado por personal de la misma empresa, sus informes no tienen trascendencia pblica. La auditora interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos aportando un enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno. Objetivos de la Auditora Interna Evaluar e informar acerca de: La convivencia, la eficiencia y la efectividad del mbito de control interno y la susceptibilidad de ese mbito, con base en muestras a fraudes/fallas en los controles internos o incumplimientos a la autoridad. La fiabilidad e integridad de la informacin financiera y operativa La amplitud y la conveniencia de los procedimientos implementados a fin de asegurar el cumplimiento de las leyes y las disposiciones locales, nacionales e internacionales. El diseo, la implementacin y la efectividad de las actividades, los programas y los objetivos relacionados con la tica. La evaluacin y la proteccin de los activos. El cumplimiento de las polticas de los procedimientos locales. Normas internacionales para la prctica del auditor interno Cdigo de tica: aplicable a individuos o a empresas que proporcionen servicios de Auditora Interna. Incluye dos componentes esenciales: Principios apropiados para la profesin y la practica de la Auditora Interna. Reglas de conducta que se espera de los auditores internos. Los Principios y las Reglas de Conducta para la profesin son: 1. Integridad: actuar con tica, honestidad, buena conducta y cuidado personal, etc., segn las normas, procedimientos y controles apropiados para SI. 2. Confidencialidad: respecto a la informacin que es accedida.

3. Objetividad: segn las mejores practicas profesionales. 4. Competencia: aplicar el conocimiento, habilidades y experiencia en el desempeo de las actividades, solo si el auditor es idneo para esto. Requiere de Capacitacin continua. Profesionalismo: los auditores de SI deben contar con un alto nivel de profesionalismo en el cumplimiento de sus actividades y ser proactivos en la asistencia del personal en todos sus niveles, respecto a las mejoras que se pueden hacer a los controles existentes. En el nivel requerido de aptitudes y conocimientos de los auditores depende de la naturaleza y el tipo de actividad de auditora. Los auditores de SI profesionales deben contextualizar las normas y polticas, es decir que todas las reglas y buenas prcticas deben aplicarse de acuerdo a la realidad de la organizacin en la que se trabaje; Independencia: los auditores deben ser objetivos en el cumplimiento de sus obligaciones. Por lo tanto la Auditora Interna no puede tomar decisiones administrativas ni implementar procedimientos de control, aunque si le har recomendaciones a la gerencia al respecto. Es recomendable que el auditor que ha de llevar a cabo una auditora o un rea de negocio especifico no haya trabajado en el durante los ltimos 12 meses. Valores Crear un clima en el cual no se acepten la agresividad; la auditora es una actividad que trabaja con personas, por lo tanto es importante saber escuchar y entender la perspectiva de cada una de ellas, para lo cual se requiere un buen clima de trabajo. Escuchar y tratar de entender perspectivas alternativas. Ser conscientes de las prcticas de negocio y estar preparados para adoptar soluciones alternativas. Discutir sus propias opiniones abiertas, honesta y constructivamente.

Externa: tiene peso legal. Nace para que alguien certifique que la informacin de la empresa es confiable. Tiene validez pblica el informe que se entrega; realizada por personal que no tiene ninguna relacin laboral con la empresa. Examen estructurado de registros u otra bsqueda de evidencia, con el propsito de sustentar una evaluacin, recomendacin u opinin profesional con respecto a :la consistencia de los sistemas de informacin y control; la eficiencia y efectividad de los programas y operaciones; el fiel cumplimiento de los reglamentos y polticas prescriptos y/o la razonabilidad de los estados financieros e informes de rendimiento que pretenden revelar las condiciones actuales y los resultados de pasadas operaciones de un organismo o programa.

Clasificacin de las Auditoras Los procedimientos de auditora asociados a las auditoras internas o externas son: A. Financieras: buscan determinar la correccin de los estados o registros financieros de una organizacin, para corroborar la integridad y con fiabilidad de la informacin. Suelen implicar pruebas sustantivas detalladas. A. Operativas: estn diseadas para evaluar la estructura de controles internos en un proceso o rea determinada. Ejemplos: auditoras de SI de los controles de sistemas de aplicacin; auditoras de SI de los

controles de seguridad lgica. A. Integradas: combina pasos de financieras y operativas. Se realizan para evaluar los objetivos generales dentro de una organizacin, relacionados con la informacin financiera y el resguardo de activos, eficiencia y cumplimiento. Puede ser ejecutada por auditores externos o internos e incluir pruebas de cumplimiento de los controles internos y pruebas sustantivas. A. Administrativas: orientadas a analizar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organizacin. Pueden ser realizadas por auditores externos o internos. A. de SI: proceso de recolectar y evaluar evidencias para determinar si los SI y recursos relacionados, resguardan adecuadamente los activos, mantiene la integridad de los datos y del sistemas, proveen informacin fiable, logran efectivamente las metas de la organizacin, consumen recursos eficientemente y se cumplen correctamente los controles internos asociados.

rea de Auditora en una Organizacin Origen de la funcin de Auditora en las organizaciones Surge a partir de los riesgos inherentes a los sistemas de informacin que comienzan a utilizar las organizaciones, para lograr competitividad. Ubicacin del rea Auditora dentro de la Organizacin La mejor ubicacin para la actividad de auditora dentro de una organizacin es debajo de la Gerencia General o Directorio, (el que tenga el mayor poder de decisin), como rea asesora, y por encima del resto de las gerencias. Esto es principalmente, para que los controles que haga auditora no se vean dirigidos por los intereses de algn gerente en particular. Por esto es que los auditores tienen que ser independientes.

Fraudes y Fallas en los Controles Internos El rea de Auditora debe estar muy relacionada con las reas de Seguridad y Compliance, (rea que centraliza el conocimiento sobre las regulaciones vigentes, que son requeridas por entes reguladores externos, tanto nacionales como internacionales), ya que en ocasiones, se puede necesitar de estas reas para conocer regulaciones asociadas a las auditoras a realizar. Los responsables de las unidades de auditora deben mantener canales efectivos de comunicacin para asegurar que se les notifiquen los casos de fraude interno o externo, incluso los intentos de fraude. Los fraudes deben ser revisados a fines de verificar si el fraude podra o debera haberse detectado conforme al alcance de la auditora anterior e identificar las deficiencias de control que dieran lugar al fraude.

 Planificacin de Auditora Debe realizarse a: Corto plazo: trabaja sobre problemas que deben ser cubiertos durante el ao. Largo plazo: sobre riesgos estratgicos que afecten la TI de la organizacin. El anlisis de los problemas debe hacerse una vez al ao, al menos, para detectar a tiempo los nuevos problemas de control y nuevas tecnologas. Puede contener: Auditoras Planeadas: Una auditora planeada permite consensuar el da a realizarse, asegurando de esta manera que los recursos necesarios o relevantes para auditar estn disponibles, etc. Auditoras Sorpresivas: La auditora sorpresiva tiene como ventaja que va a encontrarse con la realidad del rea a auditar. Plan general anual de Auditora El plan debe consistir en una lista de todas las auditoras planificadas, (pertenecientes a todas las asignaciones de auditora), y comentarios sobre los cambios estratgicos, las nuevas operaciones o los riesgos que recibirn una particular atencin por parte de los auditores. El plan anual de auditora debe presentarse al comit de auditora junto con las auditoras demoradas del ao anterior y su justificacin. Comit de Auditora Organismo de control que se puede encontrar principalmente en organizaciones de cierta magnitud, y que esta destinado a supervisar el control interno de la organizacin y el accionar de las auditoras tanto internas como externas. Los miembros del Comit de Auditora son designados por el Directorio. Contiene un miembro del directorio. Es ajeno o independiente al rea de auditora, esto significa que el director miembro del comit de auditora no deber desempear funciones ejecutivas en la sociedad. El gerente del rea de auditora debe presentar una planificacin anual con todas las auditoras que piensa realizar en el ao, (este plan abarca todas las reas IT, OPERATIVO, etc.). Auditora empieza a cumplir con el plan; despus le indica al comit cada una de las auditoras que se realizaron, en cuales se dieron errores, etc. El comit suele preguntar en que momento se solucionaran los mas riesgosos, y luego supervisa el seguimiento. Poblacin de Auditora Constituida por todo el grupo de los puntos que es necesario examinar, es decir con todos los posibles objetos a Auditar dentro de una organizacin. Es dinmica porque los dichos objetos cambian con el tiempo, por ejemplo reas que se fusionan, sistemas que se modernizan, etc. Luego de identificar estos objetos, se puede determinar cuestiones sobre cada uno de ellos, como el momento en que se puede hacer la revisin, la cantidad de veces en que se va a auditar, etc. Caractersticas: Es crucial para garantizar que todas las operaciones estn sujetas al nivel apropiado de cobertura de auditora. La divisin de la poblacin de la auditora debe ser un proceso dinmico ya que se modificar por modificaciones/eliminaciones y reestructuracin organizacional. Las actualizaciones de la poblacin de auditora son responsabilidad del director de auditora. La poblacin de auditora puede identificarse mediante una revisin de organigramas, listas de filiales/sucursales/oficinas/informacin detallada de productos, planes tecnolgicos

anuales y lista de proyectos. La poblacin de auditora se puede dividir por: ubicacin fsica, producto o grupo de productos, departamento, proceso, proyecto o grupo de clientes.

AUDITORIA DE SISTEMAS DE INFORMACION ISACA, (Asociacin de Auditora y Control de SI) Organizacin global que establece las pautas para profesionales de gobernacin, control, seguridad y auditora de informacin. Ha escrito un cdigo de tica y normas generales para la ASI, que deben conocer y aplicar los profesionales auditores de ASI certificados: Cdigo de tica: gua la conducta profesional y personal de los miembros de la asociacin y/o a los tenedores de su certificacin. Estos debern: Soportar la implementacin y fomentar el cumplimiento de normas, procedimientos y los controles apropiados para los SI. Ejecutar sus deberes con objetividad, debida inteligencia y atencin profesional, en conformidad con las normas y mejores prcticas profesionales. Servir en el inters de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estndares de conducta y de carcter. Mantener la privacidad y la confidencialidad de la informacin obtenida en el curso de sus funciones a menos que la autoridad legal requiera su relevacin. Informar a las personas apropiadas sobre los resultados del trabajo realizado. Normas Generales Titulo de auditora Independencia y relacin organizativa tica Idoneidad Educacin Planificacin Ejecucin del trabajo de auditora (supervisin y evidencia ) Informes

Auditora de Sistemas de Informacin, (ASI) La auditora de sistemas de informacin abarca la revisin y evaluacin de los aspectos automticos de procesamiento de informacin, los no automticos o manuales relacionados con ella y las interfaces correspondientes. Es el proceso de recolectar y evaluar evidencias para determinar si los SI y recursos relacionados, resguardan adecuadamente los activos, mantiene la integridad de los datos y del sistemas, proveen informacin fiable, logran efectivamente las metas de la organizacin, consumen recursos eficientemente y se cumplen correctamente los controles internos asociados. La Auditora de Sistemas es la principal encargada de brindar una evaluacin independiente acerca de la conveniencia efectividad y eficiencia de los controles internos en un entorno de sistemas que incluye equipos de cmputo, SW y aplicaciones que se utilizan en el procesamiento de las actividades de una entidad, (evaluacin completa del rea de TI, como unidad de Servicio de la empresa para las dems reas). Uno de sus propsitos bsicos es identificar los objetivos de control y los controles relacionados que se ocupan del objetivo. La ASI suele ser parte de Auditora interna. Debe estar establecida por un estatuto, en el cual se definan las responsabilidades y los objetivos de la gerencia, y la delegacin de la autoridad para la ASI, (autoridad, alcance y responsabilidad). El estatuto debe ser aprobado por la alta gerencia y por el comit de auditora, (CA).

Administracin de Recursos de ASI El recurso mas importante en la auditora es el auditor. Un auditor es una persona que tiene la capacidad de identificar los riesgos potenciales, y definir los controles adecuados para mitigarlos. El Auditor de SI suele actuar como asesor frente a cambios, para asegurar la ejecucin de los controles necesarios; son un recurso limitado; deben constantemente capacitarse en nuevas tecnologas de auditora y en general. Un auditor debe entender las tcnicas de administracin de proyectos de auditora. Es importante el diseo de un plan de capacitacin de personal basado en la direccin de la organizaron, la tecnologa y los riesgos principales a resolver. AUDITORA BASADA EN RIESGOS Para asegurar que la auditora informtica aada valor a la organizacin, los planes de auditora deben estar originados en los riesgos y en las metas de la organizacin a fin de establecer las prioridades de cada actividad de la auditora interna. El Enfoque de Auditora basada en riesgos, es un mtodo de auditora que consiste en identificar todas las partes, (procesos, sistemas, reas, plataformas, etc.), de la organizacin relevante para la auditora, y definir los riesgos asociados a cada una de ellas. Luego darle prioridades a dichos riesgos para hacer hincapi en los de mayor y mediana prioridad. Ejemplo: comparacin entre el enfoque de una auditora sobre un HomeBanking y Sistema de Facturacin. En el primero la plataforma tiene una prioridad mayor que en el sistema de facturacin. Ayuda al Auditor de SI a tomar la decisin sobre si hacer pruebas de cumplimiento o sustantivas sobre un punto en particular. Los auditores basan sus opiniones en el riesgo, en los controles internos y operativos y en su conocimiento sobre la empresa o negocio. Entendiendo la naturaleza del negocio, el auditor de SI puede identificar y clasificar los tipos de riesgos que determinan mejor la metodologa para ejecutar la auditora. De este enfoque, surge el Riesgo de Auditora, es decir el riesgo de que la informacin pueda contener errores materiales que puedan pasar sin ser detectados durante el curso de la auditora. Evaluacin del Riesgo de la Auditora El riesgo de auditora se puede caracterizar como: Riesgo Inherente: son riesgos propios del negocio, por la actividad principal que realiza. Riesgos de que ocurra un control sin considerar la efectividad del control interno. Riesgo propio sin considerar medidas de control interno. Ejemplo: la bolsa es un negocio que tiene como riesgo inherente la propia actividad relativa a las inversiones. Riesgo de Control: son riesgos materiales que surgen porque el sistema de control interno no los puede prevenir o detectar. Riesgo que el sistema de control interno no puede detectar o evitar un error material en la forma oportuna. Pongo polticas, procedimientos para salvaguardar activos todo lo que yo puse no del resultado esperado. Riesgo de Deteccin: riesgos que surgen porque el auditor utiliza un procedimiento inadecuado de prueba, a partir del cual formula una opinin errnea, que puede asegurar que no existe un riesgo material cuando en realidad si existe. Riesgo General o Residual: la gerencia establece controles para mitigar los riesgos inherentes a un nivel que cumpla con el apetito del riesgo de la compaa, conocido como riesgo general o residual. Siempre existir un nivel de riesgo residual de que se produzca una prdida financiera o de reputacin significativa para la organizacin aun considerando las actividades de control existentes para mitigar dichos riesgos. Riesgo total de auditora

que es la combinacin de las categoras individuales de los riesgos de auditora determinados para cada objetivo de control. La Materialidad del riesgo hace referencia a un error que debera ser considerado significativo para cualquier parte a la que le concierne el punto en cuestin. El anlisis de lo que es material implica el juicio profesional y el hecho de considerar el impacto del riesgo sobre la organizacin como un todo, es decir el impacto potencial total para la organizacin. Tcnicas de Evaluacin de Riesgos Frente a diferentes sujetos de auditora, el auditor de SI debe evaluar los riesgos de cada uno para determinar los de alto y mediano riesgo para enfocar en ellos. Hay muchas metodologas de evaluacin de riesgos, desde clasificaciones sencillas de clculos altos, medianos y bajos, basados en el juicio del auditor, hasta clculos complejos y cientficos para clasificar los riesgos. Entre los Enfoques de evaluacin usuales encontramos sistemas de puntuacin y los dependientes del juicio del auditor, en base a conocimiento del negocio, la planificacin estratgica, etc. La estimacin de riesgos es buena para determinar las reas a ser auditadas porque: Permite que la gerencia asigne de manera efectiva los recursos limitados de auditora. Asegura que la informacin relevante haya sido obtenida de todos los niveles de la gerencia. Establece una base para administrar el dpto. de auditora de manera eficaz Explica la manera en que el sujeto de auditora se relaciona con la organizacin como un todo. Mtodo de la Auditora basada en riesgos 1. Reunir informacin del negocio, auditoras anteriores, leyes, etc. y planificar 2. Lograr entender el control interno, el ambiente, los procedimientos, deteccin de riesgos, etc. 3. Efectuar pruebas de cumplimiento 4. Efectuar pruebas sustantivas 5. Concluir la auditora, dando recomendaciones y creando el informe PROCEDIMIENTOS GENERALES DE AUDITORIA Son los pasos bsicos en la realizacin de una auditora, y suelen incluir: 1. Obtener y registrar un entendimiento del rea objeto de la auditora. 2. Evaluacin de los riesgos y planificacin general de la auditora y cronograma. 3. Planificacin detallada de la auditora (objetivo, alcance, cronograma, etc.) 4. Revisin preliminar del rea sujeto de la auditora. 5. Obtencin y registro de un entendimiento del rea sujeto de la auditora. 6. Evaluacin / revisin del rea, lograr entender el control interno. 7. Pruebas de cumplimiento. 8. Pruebas sustantivas. 9. Informe. 10. Seguimiento PROCESO DE AUDITORIA DE SI Requiere que el auditor de SI rena evidencias, evale los puntos fuertes y dbiles de los controles basndose en las evidencias reunidas y prepare un informe de auditora en el que presente a la gerencia dichos tpicos en una forma objetiva. La gerencia de auditora deber asegurar que haya disponibles los recursos adecuados para la auditora y una agenda para llevarla a cabo, y para dar seguimientos a las revisiones sobre la

situacin de las acciones correctivas emprendidas por la gerencia. Metodologa de Auditora Conjunto de procedimientos documentados de auditora diseados para alcanzar los objetivos de auditora que se planificaron. La estrategia de auditora es la metodologa de la auditora. Debe ser establecida y aprobada por la gerencia de auditora para lograr consistencia en el enfoque de auditora. Debe ser formalizada y comunicada a todo el personal de auditora. Etapas de la Metodologa de Auditora planteada en el libro 1. Identificar el rea que ser auditada 2. Identificar el objetivo de la auditora 3. Identificar el alcance de la auditora, es decir identificar sistemas especficos, procesos, funciones, etc. a revisar. (Esto es importante para el despus de la auditora, como comprobante de lo que se revis y lo que qued afuera) 4. Realizar la planificacin preliminar de la auditora, 5. Ejecutar los Procedimientos de auditora y de recoleccin de datos: deben identificar y seleccionar el mtodo de auditora para verificar y probar los controles, identificar una lista de personas a entrevistar, identificar y obtener polticas, estndares, etc. de las reas a ser revisadas, desarrollar instrumentos para comprobar y verificar el control. 6. Ejecutar los Procedimientos para evaluar la prueba o revisar los resultados y Procedimientos para comunicarse con la gerencia, los cuales dependen de la organizacin. 7. Elaboracin del informe de auditora Como resultado se obtiene un programa de auditora que se convierte en gua para documentar los pasos que se realizaron y el grado y tipos de asuntos relacionados con evidencias revisados. Etapas de la Metodologa de Auditora planteada por la Ctedra Consiste en la ejecucin de 3 pasos consecutivos:

1. PLANIFICACIN DE LA AUDITORA (PA)

Es el Primer paso necesario para realizar auditoras eficaces de SI. Debe identificar las habilidades y recursos tcnicos necesarios, las fuentes de informacin para probarlas o revisarlas, las instalaciones que sern auditadas. La planificacin no es una fase delimitada que termina una vez que comienza el trabajo de campo, sino es un proceso dinmico que reacciona a medida que se recibe y analiza ms informacin. Ej. agregar sistemas o procesos a la auditora, que no se pensaba auditar. Es fundamental para la planificacin, el hecho de traducir los objetivos bsicos de auditora en objetivos especficos de auditora de SI. El audito de SI debe entender la manera de traducir los objetivos bsicos de Auditora en objetivos especficos de Auditora de SI. Objetivos de la planeacin de la auditora Consolidar el entendimiento del auditor sobre la operacin y su entorno actual, incluyendo cualquier otro aspecto que pueda tener implicaciones en la auditora. Identificar los riesgos clave y las actividades de control que sea necesario probar durante el trabajo de campo. Definir los objetivos de la auditora y el alcance. Aspectos a tener en cuenta para el cumplimiento de los objetivos Algunos aspectos que impactan en la auditora y que son necesarios que el Auditor

de SI tenga en cuenta en el momento de la PA son: Comprensin del negocio Tener una comprensin integral y actualizada del negocio u operacin es fundamental para lograr una cobertura de auditora efectiva. Debe lograrse un entendimiento de: Los objetivos y estrategias del negocio. Los productos del negocio. Los mercados en los que se venden / distribuyen los productos. La estructura administrativa / organizacional. La dinmica del procesamiento del negocio / operacin. Anlisis de riesgo Revisin del control interno Establecer objetivo y alcance de la auditora Desarrollar un enfoque de auditora Considerar recursos y requerimientos propios del proyecto de auditora, como personal, TI, etc. El Efecto de las regulaciones externas sobre la PA: hay regulaciones externas, ya sea leyes del estado donde opera la compaa o normas de entes reguladores relacionados con las practicas y los controles de los SI, que una organizacin debe cumplir. Para saber si efectivamente lo hace, el auditor debe: Identificar y documentar leyes de estado y entes reguladores, relevantes para la actividad de la organizacin respecto a las prcticas y controles sobre SI; almacenamiento de hw, sw y data; actividades de los servicios de informacin. Verificar el cumplimiento de las mismas por parte la gerencia general y de SI, en la confeccin de planes, polticas, procedimiento, etc.

Acciones para lograr un buena comprensin del negocio Los auditores que realicen la PA deben tener una compresin general del ambiente a auditar, entendiendo sobre aspectos importantes, como practicas diversas de negocio, funciones relativas al alcance de la auditora, tipos de SI que respaldan a actividad, etc. Revisar los antecedentes de la auditora anterior Obtener del rea informacin actualizada sobre: La estructura del negocio Los sistemas/equipos El ambiente externo Los productos/volmenes/complejidad Los activos/inversiones (Informacin que obtengo de papeles o de relevamiento que haga). Las adquisiciones/ las ventas El personal/procesos/ubicacin Identificar las reas crticas

Componentes de la Planificacin Identificar el sujeto de la auditora, es decir las rea que se auditaran. Objetivo de la auditora: identificar el propsito de la auditora. Alcance de la auditora: identificar sistemas especficos, procesos, funciones, etc. a revisar. (Esto es importante para el despus de la auditora, como comprobante de lo

que se revis y lo que qued afuera) Perodo de tiempo Recursos a utilizar: personas del equipo de trabajo, herramientas de tecnologas de auditora utilizadas, (CAAT's, como ACL), mtodos de relevamiento como (Checklist o cuestionarios de auditora). Procedimientos de auditora y de recoleccin de datos: deben identificar y seleccionar el mtodo de auditora para verificar y probar los controles, identificar una lista de personas a entrevistar, identificar y obtener polticas, estndares, etc. de las reas a ser revisadas, desarrollar instrumentos para comprobar y verificar el control.

Resultado de la fase de Planeacin De esta etapa debe lograrse un entendimiento preciso sobre la organizacin a Auditar, a nivel detallado, teniendo en cuenta los siguientes items: Objetivo y Estrategia de la empresa. Entorno del negocio Productos o servicios del negocio Mercado Estructura Administrativa Dinmica del procesamiento del negocio Como Resultado de la Planificacin, se debe generar un Informe o Memorandum con los datos descriptos anteriormente que debe contener los objetivos, alcances de la auditora, informacin sobre el negocio/rea o proceso a auditar, temas significativos que se debern revisar, los auditoras que se debern realizar, los auditores que realizarn el trabajo, las tareas y fechas. Puede incluirse los costos de viticos, si corresponde. 2. Trabajo de Campo Durante el trabajo de campo se deber informar por escrito a la gerencia responsable, los temas ms importantes que surjan tan pronto como sea posible. La gerencia debe tener oportunidad de responder formalmente a dichos comentarios. Pasos a seguir en una Trabajo de Campo 1. Carta de presentacin En ella, el auditor de SI explicita quienes van a realizar la auditora, (datos personales), tiempo que va a durar, (periodo de tiempo), para asegurarnos que los recursos van a estar disponibles, etc. Estos es importante porque beneficia a que las personas conozcan a quienes le permitirn acceder a la informacin que necesiten. 2. Entrevista Preliminar. En esta se hace entrega la carta de presentacin. Durante la entrevista, es importante preguntar si hay algn punto importante para revisar segn el. Deben hacerse preguntas generales, pero que demuestren que tenemos conocimiento estructural, de los procesos, etc. 3. Documentacin o papeles de trabajo a generar durante el trabajo de campo Checklist o cuestionarios de auditora Notas de relevamiento Pruebas realizadas, indicando: qu probe, cmo lo prob y que resultado obtuve. Evidencias Observaciones Informe final

Toda esta informacin debe guardarse para que sirva como base para las futuras auditoras. 4. Observaciones Es bueno constatarlas con la persona que hemos estado auditando, que no necesariamente tiene que ser el gerente. 5. Junta de Cierre En la junta de cierra se le presenta al encargado del sistema, proceso, rea que se esta auditando, (esto debera estar identificado en la planificacin), una primera versin del informe final; Ya hay una especie de calificacin en este momento. Procedimientos para la verificacin y evaluacin de los controles de SI El auditor de SI debe conocerlos y entenderlos, para aplicarlos correctamente en esta etapa de la auditora. Son: Uso de software general de auditora para examinar el contenido de datos, logs, etc. Uso de software especfico para evaluar el contenido de archivos del sistema operativo Tcnica de elaboracin de diagramas de flujo para documentar los procesos de negocio, etc. Uso de informes de auditoras anteriores. Revisin de documentacin Observacin Recoleccin de evidencias Evidencia es cualquier informacin usada por el auditor de SI para determinar si la entidad o datos que se estn auditando cumplen con los criterios u objetivos de auditora establecidos. Las conclusiones del auditor deben estar basadas en evidencia suficiente, relevante y competente. Las evidencias incluyen: Observaciones de auditor de SI Notas tomadas en entrevistas Material extrado de correspondencia, documentacin interna, etc. Resultados de los procedimientos de prueba de auditora. Una evidencia se considera confiable si cumple con: Independencia de quien brinda la evidencia Que la persona que suministre la evidencia, (externa o interna a la organizacin), sea confiable, es decir tenga una calificacin que abale su palabra.. Objetividad de la evidencia, es decir que no se preste para diferentes interpretaciones Que el auditor pueda estipular el tiempo de disponibilidad o vigencia de la evidencia El auditor de SI deber estimar tanto la calidad, (evidencias competentes), como la cantidad, (evidencias suficientes), de evidencias. Una evidencia es competente cuando es vlida y relevante. Tcnicas de recoleccin de evidencias, (tener en cuenta los Procedimientos para la verificacin y evaluacin de los controles de SI): Revisar las estructuras de la organizacin de los SI: un control general clave en una ambiente de SI es el hecho de que la estructura organizativa provea una separacin o segregacin adecuada de funciones.

Revisar polticas y procedimiento de SI. Revisar documentacin de los SI, como estudios de factibilidad, requerimientos funcionales y especificaciones de diseo, planes e informes de prueba, log's e historial de cambios, manuales de usuarios, de operaciones, especificaciones de BD, etc. Entrevistar al personal apropiado; las entrevistas deben documentarse con notas. Pueden realizarse siguiendo un Cheklist, programa de auditora o lista de verificacin preparada de antemano. Checklist o Programas de Auditoria Es el programa integral de trabajo que debe ser completado por el auditor Sigue un patrn lgico y estructurado Generalmente se presenta en forma de cuestionario Los riesgos claves de cada negocio identificados en la etapa de planeamiento, incluyendo los procedimientos y controles mitigantes, deben estar vinculados con los programas de auditora

Observar los procesos y el desempeo de los empleados, lo cual debe documentarse detalladamente. Observacin

Pruebas de Auditora Los pasos claves en la construccin y seleccin de una muestra para una una prueba de auditora son: 1. Determinar los objetivos de la prueba. 2. Definir la poblacin de la que se tomar una muestra. 3. Determinar el mtodo de muestreo. 4. Calcular el tamao de la muestra. 5. Seleccionar la muestra 6. Evaluar la muestra desde una perspectiva de auditora. Tipos de Prueba de Auditora Pruebas de Cumplimiento: son pruebas que tienen el objetivo de verificar el funcionamiento de los controles bsicos del control interno. Procedimientos que consisten en recolectar evidencias con el fin de comprobar el cumplimiento de los controles internos. Permiten determinar si los controles estn siendo aplicados en una forma que cumple con las polticas y los procedimientos de la gerencia. Ejemplo: observacin, inspeccin y re-ejecucin de procedimientos Pruebas Sustantivas: son pruebas que tienen una permiten chequear la exactitud de los controles a nivel exhaustivo. Los recalculos estn asociados a ellas. Como resultado de controles puedo tener que tomar decisiones materializadas, por ejemplo, puede que la comparacin entre dos resultados que tienen que ser exactos, difiera en un porcentaje aceptable, (1% o 2% como mucho). Procedimientos que consisten en recolectar evidencias para evaluar la integridad de las transacciones individuales, los datos y la informacin.

Si los resultados de las pruebas de cumplimiento revelaran la presencia de controles internos adecuados, entonces el auditor de SI puede minimizar las pruebas sustantivas. En cambio, si los resultados de las pruebas de cumplimiento revelaran puntos dbiles en los controles internos sobre integridad o exactitud, se puede requerir una prueba sustantiva. Tcnicas de Auditora Asistidas por Computadora (CAATs) Son herramientas para el auditor de SI que le permiten recolectar informacin de los entornos de procesamiento de la misma. Facilita la recoleccin de evidencias en sistemas diferentes, cada uno con su entorno de hw y sw, estructura de datos, formatos de trabajo, funciones de procesamiento, etc. Proveen un medio independiente para ganar acceso y analizar los datos para un objetivo de auditora determinado previamente y para reportar los hallazgos con nfasis en la fiabilidad de los registros producidos y mantenidos en el sistema. Tipos de CAATs Software generalizado de auditora (GAS): software estndar que tiene la capacidad de leer y tener acceso a datos directamente desde diversas plataformas de BD, sistemas de archivos planos ASCCI. Realizan clculos matemticos, anlisis estadstico, reclculos, etc. Software utilitario: proveen evidencias a los auditores sobre la efectividad del control del sistema. Datos de prueba: a partir de un conjunto de datos de muestra, se determina si existen errores lgicos en un programa y si el programa satisface sus objetivos. Software de aplicacin Rastreo Mapeo Sistemas Expertos: dar indicadores e informacin valiosa para los auditores al tiempo que lleva a cabo la auditora porque esta creado sobre BD de conocimientos de los auditores o gerentes principales. Anlisis antes de adquirir o desarrollar un CAAT El auditor de SI debe ponderar el costo-beneficio de los CAAT antes de usar tiempo, esfuerzo y costo de comprarlas o desarrollarlas. Deben tener en cuenta: Facilidad de uso Requerimientos de entrenamiento, de instalacin. Complejidad del desarrollo y mantenimiento Flexibilidad de esos Eficiencia de procesamiento Esfuerzo de para llevar los datos de las fuentes a las CAAT Documentaciones requeridas al desarrollar un CAAT Definiciones de campos Instrucciones de operacin Diagramas de flujo Informes de muestras Distribucin de los archivos y registros, etc. Tener en cuenta que el auditor debe pedir acceso solo lectura hacia los datos de produccin para realizar un CAAT; cualquier manipulacin de datos realizada debe ser sobre copias en un ambiente que garantice la no exposicin de los archivos de produccin a una actualizacin no autorizada.

Muestreo Los auditores al evaluar un proceso, control o transaccin, por lo general analizaran una muestra del total. Utilizado cuando las consideraciones de tiempo y costo impiden la verificacin total de todas las transacciones o hechos en una poblacin definida previamente. Se utiliza para inferir caractersticas relativas a una poblacin, basadas en los resultados del examen de las caractersticas de una muestra o subconjunto de miembros, de la poblacin. Trminos estadsticos de muestreo: Coeficiente de confianza: porcentaje; probabilidad de que las caractersticas de la muestra sean una representacin veraz de la poblacin. Nivel de Riesgo: cifra igual a uno menos el coeficiente de confianza. Precisin: establecida por el auditor de SI; representa la diferencia aceptable de rango entre la muestra y la poblacin real. A mayor precisin, mas pequea es la muestra y mayor el riesgo de que errores pasen desapercibidos. Tasa de Errores Esperados: porcentaje; valor estimado de los errores que pueden existir. A Mayor tasa de errores esperados, mayor tamao de la muestra. Media de muestra: suma de todos los valores de muestra, dividida entre el tamao de la muestra. Varianza de la muestra: calcula la varianza de la muestra a partir de la media de la muestra; mide la amplitud o dispersin de los valores de la muestra. Tasa Tolerable de Error: porcentaje; se usa para describir la asercin equivocada mxima o el nmero de errores que pueden existir sin que una cuenta est dividida de manera material. Varianza de Poblacin: concepto matemtico que mide la relacin con la distribucin normal. A Mayor varianza, mayor tamao de la muestra. Mtodos generales para obtener muestreos de auditora, sobre los cuales realizar las pruebas: M. Estadstico: es un porcentaje cuantificable matemticamente; mtodo objetivo para determinar el tamao de una muestra y para escoger los criterios. El auditor de SI decide cuantitativamente el grado de aproximacin con que la muestra debe representar la poblacin, (determinando la precisin de la muestra), y el nmero de veces en 100 que la muestra debe representar a la poblacin, (confiabilidad o nivel de confianza). Cada elemento de la poblacin debe tener la misma probabilidad de ocurrencia. M. No estadstico o de Criterio: usa el juicio o criterio subjetivo del auditor para determinar el mtodo de muestreo, el nmero de cosas que sern examinadas de una poblacin, (tamao de la muestra), y cuales cosas seleccionar, (seleccin de la muestra). En ambos mtodos el auditor utiliza su criterio personal para definir ciertas cosas, por lo tanto los resultados estn sujetos a posibles riesgos de que el auditor obtenga una conclusin equivocada, (riesgo de muestro). Mtodos primarios para obtener muestreos de auditora: M. de Atributos: aplicado generalmente en pruebas de cumplimiento; evala la presencia o ausencia de atributos y provee conclusiones que se expresan en tasas de incidencias. Tipos relacionados con muestreo proporcional: M. de Atributos, de tamao fijo o estimacin de frecuencia: se usa para estimar el porcentaje de ocurrencia de una calidad, (atributo) especfico de

una poblacin. M. Para y Seguir: ayuda a prevenir el muestreo excesivo de un atributo permitiendo que una prueba de auditora sea detenida lo antes posible. Se usa cuando el auditor de SI cree que se encontraran pocos errores en una poblacin. M. de Descubrimiento: se puede utilizar cuando la tasa de ocurrencia se estima extremadamente baja. Se utiliza cuando el objetivo de la auditora es detectar un fraude o irregularidad similar.

M. de Variables: aplicado generalmente en pruebas sustantivas, para encontrar el valor de una unidad de medida, como el dlar, de una poblacin, a partir de una porcin de muestra de la misma. Tipos relacionados con muestreo cuantitativo: Media Estratificada por Unidad: la poblacin esta dividida en grupos y se extraen las muestras a partir de los diferentes grupos. Media no Estratificada por Unidad: se calcula una media modelo y se la proyecta como un total estimado. Estimacin por Diferencia: permite estimar la diferencia total entre los valores auditados y los valores segn libros, basados en las diferencias obtenidas a partir de observaciones de las muestras.

Lineamientos para la seleccin de una muestra El punto mas vulnerable del proceso debe someterse a una prueba mas minuciosa Deben cuantificarse las transacciones, cuentas, operaciones, etc. mas recientes. Auditoria proporciona un panorama de los controles actuales, no del entorno histrico del control. Las muestras deben concentrarse en situaciones de alto riesgo. Esto debera dar un panorama mas claro de la eficiencia del proceso de administracin de riesgo que una mera muestra al azar. El nfasis, debe ponerse en lo menos habitual o unitario. Por ejemplo, grandes saldos, sumas redondeadas, saldos vencidos, etc. Deben utilizarse las Tcnicas de Auditoria Asistidas por Computadoras (CAATs) cuando sea posible, tanto para controlar la integridad de los datos, como para seleccionar muestras por criterios. Deben controlarse las excepciones al cumplimiento de cualquier proceso. El trabajo de campo abarca los siguientes pasos del enfoque de Auditora basada en riesgos: Evaluacin/Revisin del rea para corroborar los controles. Pruebas de Cumplimiento Pruebas sustantivas Evaluacin de las fortalezas y debilidades de la Auditora El auditor debe calcular los resultados de las evidencias recogidas para cumplir con los requerimientos de control o con los objetivos establecidos durante la etapa de planificacin de la auditora. Esto requiere un juicio considerable porque los controles son a menudo poco claros. Generalmente se utiliza una matriz de control para determinar el nivel apropiados de los controles. La matriz contiene los tipos conocidos de errores que pueden ocurrir en el rea bajo revisin en el eje superior, y los controles conocidos para detectar o para corregir lo errores en el eje lateral. En cada celda se coloca una medida de categorizacin. Los controles que puede encontrar un auditor de SI pueden ser fuertes o dbiles, ambos deben considerarse cuando se evale la estructura genera de control. El auditor

realizara una serie de pruebas y evaluar como los controles se relacionan entre s. Antes de reportar una debilidad de un control, el auditor debe buscar controles de compensacin. El auditor de SI debe determinar las fortalezas y debilidades de los controles evaluados para determinar si son eficientes para alcanzar los objetivos establecidos como parte del proceso de planificacin de la auditora. La materialidad de los hallazgos encontrados es lo que determina si stos se incluyen o no en el informe de auditora. Para decidirla es importante determinar el qu sera importante para los diferentes niveles de la gerencia. El auditor de SI debe juzgar cules hallazgos son materiales para los diferentes niveles de la gerencia y debe reportarlos en consecuencia. Generalmente, el auditor de SI trata de balancear el informe con aspectos negativos a mejorar y con comentarios positivos constructivos relacionados con el mejoramiento de los procesos y controles o con los controles efectivos ya instalados. Comunicacin de los resultados de la auditora en la Junta de cierre. Los auditores de SI son los responsables frente a la gerencia y al comit de auditora y deben sentirse libres de comunicar los problemas o las preocupaciones de dicha gerencia. Antes de comunicar los resultados de una auditora a la gerencia principal, se debe considerar discutir los hallazgos con el personal de la gerencia de la entidad auditada. El objetivo sera llegar a un acuerdo sobre los hallazgos y desarrollar un curso de accin a seguir para solucionarlos.

3. INFORME FINAL
Debe identificar los procedimientos de revisin del seguimiento, para evaluar y comprobar la efectividad operacional, para comprobar los controles, revisar y evaluar la correccin de los documentos, polticas y procedimientos. Contenido del informe final El informe es el producto final del trabajo de auditora. Su estructura y contenido general contiene: Introduccin al informe, incluyendo: Declaracin de los Objetivos de la Auditora Declaracin del Alcance de la Auditora: si bien todo el informe es relevante para el futuro, el alcance es principal, ya que en el se determinan las actividades de auditora a realizar; si en el futuro surge algn problema que no se descubri en el proceso de auditora, se puede analizar mediante el alcance, si dicho problema esta relacionado con alguno de los puntos a auditar o no. El perodo que abarca la Auditora Resumen: declaracin general sobre el carcter y la extensin de los procedimientos de auditora examinados durante la auditora. Conclusin y opiniones generales del auditor de SI respecto a si los controles y procedimientos examinados durante la auditora son adecuados. El auditor debe informar cualquier consideracin o calificacin con relacin a la auditora. Hallazgos detallados y las recomendaciones de la Auditora, y la decisin de incluir o no los hallazgos en el informe. Evidencias varias, materiales y no tanto. De las pruebas realizadas, debe registrarse qu prob, cmo lo hice y que resultado obtuve. Mnimamente, el auditor debe generar y guardar informacin sobre los errores encontrados, ya que dicha informacin es muy importante para el

seguimiento del proceso. Limitaciones para la Auditora Declaracin de las directivas de auditora de SI aplicadas.

La gerencia evala la respuesta a las evidencias, dictando acciones correctivas a ser emprendidas y estableciendo fechas de implementacin de las mismas. Puede que algunas de las acciones correctivas no puedan ser aplicadas inmediatamente, por limitaciones de personal, presupuestos, otros proyectos vigentes, etc. En estos casos es importante desarrollar un plan de implementacin a futuro y obtener un compromiso del auditado y la gerencia para que dicho plan sea implementado. Adems, deben tenerse en cuenta las acciones correctivas a tomar ya que stas podran generar nuevos riesgos que pueden ser prevenidos. Entrevista de Presentacin del Informe El informe se presenta en una entrevista final, en la cual el auditor puede discutir las evidencias y las recomendaciones con la gerencia. Los objetivos y alcance de la auditora pueden discutirme, mientras que el proceso puede explicarse. Es un medio que le permite al auditor asegurarse de que los hechos presentados estn correctos, de que las recomendaciones son realistas y eficientes en cuanto a costos, planteo de alternativas, establecimiento de fechas de implementacin para las correcciones. Tcnicas de presentacin El auditor de SI puede tener que presentar los resultados del trabajo a los distintos niveles de la gerencia; para hacerlo cuenta con: Resumen Ejecutivo: fcil de leer, correcto gramaticalmente, conciso; presenta los hallazgos a la gerencia en una manera comprensible, (libre de terminologa). Los documentos adjuntos detallados pueden ser mas tcnicos ya que la gerencia de operaciones requerir el detalle. Presentacin Visual: transparencias, diapositivas o grficos de computadora. La auditora es un proceso continuo; un auditor de SI no es eficaz si las auditoras se realizan, se emiten los informes pero no hay un seguimiento de los mismos para determinar si la gerencia ha emprendido las acciones correctivas apropiadas. Los auditores de SI deben tener un programa de seguimiento para determinar si se han implementado las acciones correctivas acordadas. Los resultados del seguimiento deben comunicarse a los niveles apropiados de la gerencia. Junta Posterior a la Auditora Se recomienda hacer una junta posterior a la auditoria cuando esta finaliza, permitiendo que todos los auditores participen en una discusin franca y abierta acerca del progreso de la auditoria o identificando que puede apreciarse/aprenderse de esa experiencia para auditorias posteriores. Los Temas a tratar en la junta son: Eficacia en los logros de los objetivos de la auditoria Organizacin de la auditoria Tiempo Planeacin Conveniencia de los riesgos del negocio identificados Temas principales identificados Relacin con el auditado Junta de cierre Temas a considerar en auditorias futuras

Seguimiento Son actividades que se realizan para verificar que las correcciones planteadas para los errores encontrados durante la auditora, se vallan aplicando en tiempo y forma. En esta etapa es muy importante contar con la documentacin generada durante el trabajo de campo y el informe final. Documentacin de la Auditora Deben mantenerse de manera segura, y estar disponibles por un perodo que cumpla los requisitos legales, profesionales y organizacionales. Debe soportar el hallazgo y las opiniones y/o conclusiones emitidas. Incluye: Planificacin de auditora, con el alcance y objetivos de la misma Descripcin o diagrama de los SI, (entorno de los mismos) Programas de auditora Actas de reuniones Evidencia de auditora Hallazgos Conclusiones y recomendaciones Informe emitido Comentarios de la revisin supervisora Limitaciones en la realizacin de la Auditora Pueden llevar a la no disponibilidad de empleados, vencimiento de las fechas topes o crticas de procesamiento, falta de conocimiento y falta de documentacin. Algunas son: vacaciones, licencias, conflictos con otros proyectos de auditora, etc. Estas restricciones pueden evitarse o minimizarse con una buena planificacin. Es importante tambin, que el auditor tenga conocimiento en tcnicas de administracin de proyectos, las cuales permiten manejar y administrar proyectos de auditora de forma automtica o manual, incluyendo: Desarrollo de un Plan detallado, con los pasos necesarios a travs de una secuencia de tiempo. Informe actividad de proyectos contra el plan, mediante el cual puedan reportar el avance real del proyecto contra lo planificado Ajustar el plan y tomar la accin correctiva necesaria Es importante tener un dialogo abierto con la gerencia durante toda la auditoria, manteniendola informada del progreso logrado.

AUDITORA DE LA ADMINISTRACIN, PLANIFICACIN Y ORGANIZACIN DE LOS SI

El objetivo de esta rea de contenido es asegurar que el Auditor de SI entienda y pueda evaluar las estrategias, las polticas, las normas, los procedimientos y las prcticas relacionadas para la administracin, planeacin y organizacin de SI. Aspectos dentro de esta rea de contenido: Evaluar la estrategia de SI y el proceso para su desarrollo, implementacin y mantenimiento para asegurar que apoye los objetivos de negocios de la organizacin Evaluar las polticas, normas y procedimientos de SI y los procesos para su desarrollo, empleo y mantenimiento para asegurar que los mismos apoyan la estrategia de SI. Evaluar las prcticas de administracin de SI para asegurar cumplimiento con las polticas, normas y procedimientos de SI. Evaluar la organizacin y estructura de SI para asegurar el debido y adecuado apoyo a los requerimientos de negocio de la organizacin en forma controlada. Evaluar la seleccin y la administracin de servicios de terceros para asegurar que los stos apyenla estrategia de SI. Los riegos y controles asociados al rea son: Riesgos Riesgos Estratgicos

Controles

Incapacidad de satisfacer los requerimientos y objetivos de negocio / falta de planificacin estratgica o fallas en los planes desarrollados y su monitoreo Ineficiencia operativa / falta de efectividad de la organizacin / Entorno operativo impredecible / Soporte o servicios de IT de baja calidad Actos fraudulentos y/o maliciosos Personal ineficiente / incapacidad de retener el personal experimentado Servicios de IT de baja calidad debido a servicios controlados de baja calidad, altos costos, poco confiables y sin garanta de continuidad Informacin y recursos de procesamiento desprotegidos

Planes estratgicos y de crecimiento adecuados. Actualizacin tecnolgica Comit de seguimiento. Mediciones de desempeo de IT para mejorar la productividad Presupuestos y practicas financieras adecuadas Gerenciamiento de la calidad Polticas, normas y procedimientos

Segregacin de funciones Roles y responsabilidades formalizadas Controles y practicas adecuadas de outsourcing

Riesgos Tecnolgicos

Adecuado gerenciamiento de la seguridad informtica Software actualizado (ultimas versiones y parches) Polticas adecuadas de contratacin y

Riesgos Legales 6

Causas legales con el personal

Ineficiencia operativa / falta de efectividad de la organizacin / Entorno operativo impredecible / Soporte o servicios de IT de baja calidad Actos fraudulentos y/o maliciosos (riesgo de que te hagan juicio)

Presupuestos y practicas financieras adecuadas Gerenciamiento de la calidad Polticas, normas y procedimientos

terminacin de los contratos con el personal

Auditora de Infraestructura y Operaciones de IT El objetivo de sta rea de contenido es asegurar que el Auditor de SI pueda evaluar la efectividad y la eficiencia de la implementacin y la administracin continua de la infraestructura tcnica y operativa de una organizacin para asegurar que l o ella pueda respaldar de manera adecuada los objetivos de negocios de la organizacin. Tareas dentro de sta rea: 1. Evaluar la adquisicin, instalacin y mantenimiento del HW para asegurar que ste soporte efectivamente y eficientemente el procesamiento de SI y los requerimientos de negocios de SI y sea compatible con las estrategias de la organizacin. 2. Evaluar el desarrollo/adquisicin, implementacin y mantenimiento del SW o de las utileras de los sistemas para asegurar el respaldo continuado de los requerimientos de procesamiento de SI y del negocio y la compatibilidad con las estrategias de la organizacin. 3. Evaluar la adquisicin, instalacin y mantenimiento de la infraestructura de red para asegurar el respaldo eficiente y efectivo del procesamiento de SI y los requerimientos de la organizacin. 4. Evaluar las prcticas operativas de SI para asegurar la utilizacin efectiva y eficiente de los recursos tcnicos que se usen para respaldar el procesamiento de SI y los requerimientos del negocio de la organizacin. 5. Evaluar el uso de los procesos de ejecucin de sistemas y los procesos de monitoreo, herramientas y tcnicas para asegurar que los sistemas de cmputo continen cumpliendo los objetivos del negocio de la organizacin. Los riegos y controles asociados al rea son: Riesgos Riesgos Tecnolgicos 1 HW y/o SW inadecuado u obsoleto lo cual genera altos costos y/o procesamiento inefectivo Uso ineficiente o inefectivo del HW Practicas adecuadas para la adquisicin de equipos y SW SW actualizado (ultimas versiones y parches) Monitoreo del HW: informe de errores, informes de disponibilidad, informes del nivel de utilizacin de los recursos Planificacin de la capacidad Topologa de red adecuada HW y SW actualizados Procedimientos de implementacin de Controles

3 Interrupcin de las operaciones

SW adecuados Procedimientos de control de cambios adecuados (autorizados, documentados, anlisis de impacto) Hardware y software actualizados Planes a corto y largo plazo para la actualizacin tecnolgica Controles de autenticacin y registro adecuados Administradores de red capacitados Capacidades de balanceo de carga con tolerancia a fallas Acceso a funciones de cambios de la red restringidos al administrador Monitoreo de la red: reportes de tiempos de respuesta, reportes de tiempo improductivo (downtown), reportes de desempeo. HW y SW actualizados Mantenimiento adecuado del HW Costos de mantenimiento dentro de los valores presupuestados Niveles de servicio definidos para el desempeo del HW y SW (tiempo de respuesta y disponibilidad) Operadores de IT capacitados Monitoreo del desempeo de los operadores Procedimientos adecuados para la administracin de problemas Hardware y software actualizado (ultimas versiones y parches) Procedimientos adecuados para la administracin de problemas Procedimientos de mesa de ayuda adecuados: documentacin, clasificacin, seguimiento y cierre de los problemas

Incapacidad de introducir nuevas aplicaciones que satisfagan las necesidades del negocio Problemas y exposiciones de acceso por redes inalmbricas Desempeo inadecuado de la red / problemas de seguridad

Operaciones de IT ineficientes (interrupciones, soporte inadecuado)

7 Riesgos Operativos 8

Falta de soporte de los proveedores Problemas recurrentes en las operaciones de IT / Usuarios insatisfechos con el servicio

Riesgos Legales 10 Acciones legales por usos de SW no autorizado Contratos de licencias vigentes y adecuados para la cantidad de usuarios Procedimientos adecuados contra el uso no autorizado de Software Controles centralizados y distribucin

Riesgos Operativos automatizada para al instalacin de Software Herramientas de control de la existencia de software no autorizado Acceso al Software a travs de la red

Auditora de la Seguridad de la Informacin Objetivo Esta rea de contenido trata sobre el conocimiento que debe tener un Auditor para evaluar la seguridad lgica, ambiental y de infraestructura de IT para asegurar que satisface los requerimientos del negocio de la organizacin para salvaguardar los activos de informacin de su uso no autorizado, revelacin, modificacin, ya sea el dao o prdida accidental o intencional. Tareas dentro de esta rea: 1. Evaluar el diseo, la implementacin y el monitoreo de los controles de acceso lgico para asegurar la integridad, confidencialidad y disponibilidad de los activos de informacin. 2. Evaluar la seguridad de la infraestructura de red para asegurar la integridad, confidencialidad, disponibilidad y el uso autorizado de la red y de la informacin transmitida. 3. Evaluar el desempeo, la implementacin y el monitoreo de los controles ambientales para prevenir y/o minimizar las prdidas potenciales. 4. Evaluar el diseo, la implementacin y el monitoreo de los controles de acceso fsico para asegurar que el nivel de proteccin de los activos y de las facilidades sea suficiente para cumplir con los objetivos del negocio de la organizacin. Los riegos y controles asociados al rea son: Riesgos Riesgos Tecnolgicos 1 Intrusiones / Ataque de DoS 3 Robo de Informacin / Prdida de confidencialidad / Ataque de virus SW antivirus activo en memoria, instalado en PC's, servidores y redes (proteccin, SMTP, HTTP, FTP) Instalacin de SW a partir de copias originales IDS Firewalls Accesos remotos controlados Procedimientos de administracin y respuesta a incidentes Polticas de seguridad y procedimientos Entrenamiento a los usuarios en seguridad y reporte de incidentes HW, SW y comunicaciones actualizadas (versiones, parches) Polticas y procedimientos de seguridad (se incluye a los PDAs) Controles

Prdida de la privacidad de informacin de identificacin personal

Corrupcin de la informacin / Prdida de integridad / Modificacin no autorizada de la informacin

Entrenamiento a los usuarios en seguridad, reporte de incidentes y tratamiento de las violaciones de seguridad. Clasificacin de la informacin y sus riesgos/controles de acceso adecuados. Encripcin de las transmisiones e informacin critica. Establecimiento de los propietarios de los datos/ autorizaciones formales de acceso a los datos y programas/ controles de acceso en todos los puntos de entrada a la informacin. Control peridico de la vigencia de los accesos Accesos remotos controlados centralizadamente Cumplimiento de las leyes de privacidad locales e internacionales en caso de flujo de datos transfrontera. Control sobre el uso de tecnologa mvil (USB). Polticas y procedimientos de seguridad (se incluye a los PDAs) Entrenamiento a los usuarios en seguridad, reporte de incidentes y tratamiento de las violaciones a la seguridad Clasificacin de la informacin y sus riesgos / Controles de acceso adecuados Encripcin de las transmisiones e informacin crtica Establecimiento de los propietarios de los datos / autorizaciones formales de acceso a los datos y programas / controles de acceso en todos los puntos de entrada a la informacin Control peridico de la vigencia de los accesos Accesos remotos controlados centralizadamente Polticas y procedimientos de seguridad (se incluye a los PDAs) Entrenamiento a los usuarios en seguridad y reporte de incidentes Separacin de ambientes de desarrollopruebas-produccin Imposibilidad de los programadores de acceder a datos y programas de produccin Imposibilidad del personal de operaciones, soporte tcnico, etc. de modificar los

5 Caballos de Troya/ gusanos/ bombas lgicas

programas de produccin 6 Indisponibilidad de los sistemas o red 7 8 9 Acceso no autorizado a los sistemas Ingeniera Social Accesos no autorizados mediante llamada telefonica Accesos no autorizados a los datos en un ambiente clienteservidor Polticas y procedimientos de seguridad (se incluye a los PDAs) Entrenamiento a los usuarios en seguridad, reportes de incidentes HW, SW y comunicaciones actualizados Identificacin y autenticacin de usuarios Claves con caractersticas fuertes / Single sign on Entrenamiento en conciencia de seguridad Contraseas encriptadas en las computadoras porttiles. Contrasea en el BIOS de las computadoras porttiles. Call Back o modem de rellamada Inhabilitacin de la unidad de disco flexible impidiendo evadir el Software de control de acceso Gestin de cambios adecuada Uso no autorizado/ indiscriminado de modems Contraseas encriptadas en las computadoras porttiles. Contrasea en el BIOS de las computadoras porttiles.

10

AUDITORA DE RECUPERACIN DE DESASTRES OBJETIVO

Esta rea de contenido incluye los conocimientos que un Auditor de SI necesitar para evaluar la capacidad de la organizacin para restaurar los servicios a un nivel de calidad acordado, y el proceso para desarrollar, comunicar y mantener planes documentados y probados para la continuidad de las operaciones del negocio y del procesamiento de SI. Tareas dentro del rea de contenido: Evaluar si las previsiones de respaldo y de recuperacin son las adecuadas para asegurar que se reasuma el procesamiento normal de la informacin en caso de una interrupcin de corto plazo y/o si hay necesidad de procesar o reiniciar un proceso. Evaluar la capacidad de la organizacin para continuar suministrando el procesamiento de los sistemas de informacin en caso de que las instalaciones primarias de procesamiento de informacin no estn disponibles por un perodo significativo de tiempo. Evaluar la capacidad de la organizacin para asegurar la continuidad del negocio en caso de una interrupcin. Los riegos y controles asociados al rea son: Riesgos Controles

Riesgos Tecnolgicos

Interrupcin del negocio por un desastre de sistemas.

Plan de contingencias y de recuperacin del negocio actualizados Centro de cmputos alternativo Redundancia de las telecomunicaciones / direccionamiento alternativo / diversidad de la red de largo alcance Prueba de plan de contingencias y de recuperacin del negocio Copias de resguardo adecuados para la recuperacin Espejado de la informacin (mirroring) Clustering (balanceo de carga y tolerancia a fallas. Todos los servidores participan en el procesamiento).

Interrupcin del negocio por un desastre en sus sistemas

AUDITORA DEL DESARROLLO, ADQUISICIN, IMPLEMENTACIN Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIN DEL NEGOCIO
El objetivo de esta rea es asegurar que el Auditor de SI pueda evaluar la metodologa y los procesos por medio de los cuales se abordan el desarrollo, la adquisicin, la implementacin y el mantenimiento de los sistemas de aplicaciones de negocio para asegurar que los mismos satisfagan los objetivos de negocio de la organizacin. Cometidos dentro de esta rea: 1. Evaluar los procesos por medio de los cuales desarrollan e implementan los sistemas de informacin para asegurar que los mismos contribuyen al logro de los objetivos de negocio de la organizacin. 2. Evaluar los procesos por medio de los cuales se adquieren e implementan los sistemas de informacin para asegurar que los mismos contribuyen al logro de los objetivos de negocio de la organizacin. 3. Evaluar los procesos por medio de los cuales se realiza mantenimiento a los sistemas de informacin para asegurar el soporte continuo de los objetivos de negocio de la organizacin. Los riegos y controles asociados al rea son: Riesgos Riesgos Estratgicos No satisfaccin de las necesidades requerimientos y expectativas del negocio Beneficios esperados no alcanzados Controles de calidad del proyecto Participacin del usuario en el diseo Existencia y cumplimiento de una metodologa de desarrollo Control sobre el alcance y adecuada gestin de cambios Definicin formal de requerimientos tcnicos y funcionales Controles

Riesgos Tecnolgicos Baja Calidad del sistema 1 Procedimientos de pruebas de Sistema y usuarios adecuados Planificacin de las pruebas Reporte de los resultados Procedimiento de correccin de errores adecuado Pruebas individuales, integrales, de seguridad, de stress o volumen, de recuperacin y rendimiento Diseo de casos de prueba y resultados esperados UAT integral incluyendo informacin de la conversin Programas de conversin probados y aprobados Limpieza de datos finalizada y aprobada Procedimientos formales para el control de la conversin Planificacion de la secuencia de tareas por la conversin Mapeo de las transformaciones de los datos y pistas de auditora. Reportes de excepcin de los elementos no convertidos Establecimiento de responsables para el control de la conversin Entrenamiento a los responsables de control de la conversin Planificacin de la implementacin UAT aprobado (prueba que realizan los usuarios) Conversin de datos aprobada Procedimiento adecuado de gestion de cambios: solicitud formal, autorizacion, registro de mantenimiento de todos los cambios a programas, pruebas de usuario y aprobacion, controles de calidad. Segregacin de funciones entre el programador y la implementacin en produccin Documentacin del sistema actualizada con los cambios librera de programas, protegidos Procedimientos adecuados para cambios de emergencia

Fallas en la conversin (Migracin) 2 3 Fallas en la implementacin del sistema Modificaciones de programas no autorizadas

Entornos separados de desarrollopruebas-produccin y utilizacin de SW de control de las bibliotecas para administrar el pasaje de programas entre ambientes, garantizar la integridad del cdigo fuente y bla bla bla (me falto) Planificacin del proyecto Seguimiento de las actividades de diseo y desarrollo Revisin peridica de los riesgos del proyecto Control peridico del presupuesto y sus variaciones Procedimiento de autorizacin de los aumentos del presupuesto Soporte de la alta gerencia a los esfuerzos de diseo y desarrollo Revisin peridica de los riesgos del proyecto en cada fase

Riesgos Operativos 1 2 Falta de compromiso/ asignacin del equipo de proyecto Cambios en el entorno que afecte el desarrollo del proyecto (regulaciones economa, competencia, etc.) Falta de confianza en el proveedor del SW/ bajo nivel de servicio Costos del proyecto excedido 4 5 Incumplimiento de las fecha de implementacin

Procedimientos adecuados para la definicin de alternativas de solucin (solicitudes de propuesta - RFP) y de seleccin del vendedor Contratos formales aprobados por legales

AUDITORA DE APLICACIONES
Objetivo Esta rea de contenido trata sobre los conocimientos que debe tener un Auditor de SI para evaluar los sistemas y los procesos del negocio, con el fin de asegurar que los riesgos se manejen en conformidad con los objetivos del negocio de la organizacin. Tareas dentro de esta rea: 1. Evaluar la eficiencia y la efectividad de los sistemas de informacin para respaldar los procesos del negocio, por medio de tcnicas como por ejemplo el Benchmarking, anlisis de las mejores prcticas, o reingeniera del proceso del negocio (BPR), para asegurar la optimizacin de los mejores resultados del negocio. (Tambin evalo la performance, disponibilidad y capacidades de recuperar el sistema ante fallas). 2. Evaluar el diseo y la implementacin de los controles programados y manuales para asegurar que los riesgos identificados para los procesos del negocio sean mitigados hasta alcanzar un nivel aceptable. 3. Evaluar los proyectos de cambio del proceso del negocio (por ejemplo, cultura del proyecto,

organizacin, gerencia, financiamiento) para asegurar que tengan el personal necesario y que sean adecuadamente organizados, administrados y controlados. 4. Evaluar la implementacin de la administracin del riesgo y del gobierno en la organizacin.

Riesgos Riesgos Estratgicos 1 Transacciones registradas en forma incorrecta o incompletas 2 Transacciones no actualizadas

Controles Controles de ingreso: edicin, validacin, acceso, etc. Controles en interfaces: totales de control, controles de acceso, etc. Reporte de errores Reconciliacin de datos Autorizacin de ingreso Control de interfaces Reporte de transacciones que requieran autorizacin Verificaciones de exactitud e integridad incorporadas al diseo de la aplicacin. Controles programados por ejemplo para verificar el procesamiento de archivos correctos. Reconciliacin de totales y balanceo. Reporte de excepcin o errores. Segregacin de funciones. Controles de acceso en la plataforma. Log de transacciones. Verificaciones de razonabilidad de los clculos. Reconciliacin de tablas y balanceo Reportes de excepcin o errores Metodologa de desarrollo Participacin al usuario en el diseo Existencia y cumplimiento de una metodologa de desarrollo Procedimiento de cambios adecuado Acuerdo de niveles de servicio (disponibilidad y tiempos de respuesta) formales y cumplidos Parametrizacin adecuada de sistema Usuarios capacitados SW de base y HW actualizados Backups y procedimientos de recuperacin en caso de emergencia Personal IT capacitado y documentacin del sistema

Modificaciones no autorizadas de los datos almacenados.

Generacin de informacin incorrecta No satisfaccin de las necesidades del negocio

6 7 Soporte de IT inadecuado Interrupcin del sistema

Monitoreo del tiempo de respuesta del sistema y disponibilidad Capacidad adecuada de la plataforma En caso de outsourcing, contratos adecuados y acuerdos de niveles de servicio formales Encripcin de las transmisiones e informacin crtica Establecimiento de los propietarios de los datos / autorizaciones formales de acceso a los datos y programas / controles de acceso en todos los puntos de entrada de informacin Control peridico de la vigencia de los accesos Accesos remotos controlados centralizadamente Cumplimiento de las leyes de privacidad locales e internacionales en caso de flujo de datos transfrontera Control sobre el uso de tecnologa mvil (USB) Generacin automtica de formularios Almacenamiento de los formularios en un lugar seguro Reportes generados conforme a lo programado, entregado al personal autorizado y registro de la entrega realizada.

Prdida de confidencialidad

Riesgos Operativos La informacin generada es entregada en forma incorrecta o insegura