El proceso de

auditoria de
sistemas de
Información.
Capitulo 1 - CISA -
Introducción
El objetivo de esta área es garantizar que se
obtengan los conocimientos necesarios para
proporcionar servicios de auditoria en conformidad
con los estándares y mejores practicas de auditoria
para apoyar a la organización a validar que su IT y
sus sistemas de negocio estén protegidos y
controlados.
Esta área representa el 10 % del examen CISA
Tareas
T1.1 Desarrollar una estrategia de ASI basada en
los riesgos de la organización en cumplimiento
con estándares y directrices.

T1.2 Planear auditorias especificas para validar que

la TI y los sistemas de negocio estén protegidos y
controlados.

T1.3 Llevar a cabo auditorias en conformidad con

los estándares para lograr los objetivos planeados.
Tareas
T1.4 Comunicar los hallazgos emergentes, riesgos
potenciales y los resultados de la AI a los
accionistas clave.

T1.5 Asesorar sobre la implantación de la

administración de riesgos y las practicas de
control dentro de la organización al tiempo que se
mantiene la independencia.
Declaraciones de conocimiento (KS)
KS1.1 Estándares, directrices y procedimientos de ASI
y el código de ética de ISACA.

KS1.2 Practicas y técnicas de auditoria de SI.

KS1.3 Técnicas para recopilar información y preservar

la evidencia (investigación, entrevistas técnicas de
auditoria asistidas por computadora (CAATs), etc.).

KS1.4 Ciclo de vida de la evidencia.

KS1.5 Objetivos de control y de los controles

relacionados con SI (eje. COBIT).
KS
KS1.6 Evaluación de riesgos en un contexto ASI.

KS1.7 Técnicas de planeación y de administración

de la auditoria.

KS1.8 Técnicas de reporte y comunicación.

KS1.9 Autoevaluación del control (CSA).

KS1.10 Técnicas de auditoria continua.

Relación entre tarea y KS
Las declaraciones de tarea son lo que se espera
que el auditor sepa hacer, las KS delinean el
conocimiento necesario para realizar las tareas.

TAREA: En su cuaderno escriba el mapeo de las

declaraciones de tarea y de conocimiento (Pág.
18)
Administración de la función de ASI
Recordamos que los servicios de ASI pueden ser
provistos interna o externamente.
Internamente: puede ser un grupo independiente o
formar parte de la auditoria financiera.
Los estándares de ISACA requieren un estatuto de
auditoria para establecer claramente las
responsabilidades, objetivos, autoridad y obligación de
rendir cuentas aprobado por el nivel mas alto de
dirección.
Externamente: el alcance y objetivos deben ser
documentados en un contrato formal o declaración de
trabajo.
Administración de los recursos de ASI
Los estándares ISACA requieren competencia
profesional a través de una educación profesional
continua, considerando las habilidades cuando se asigne
personal para tareas especificas.
Se deberá diseñar un plan anual detallado de
capacitación basado en la dirección de la organización,
y revisarse semestralmente para asegurar que las
necesidades estén de acuerdo con la dirección que esta
tomado la organización.
La dirección debería también proveer los recursos
necesarios (software, escaners, etc.)
Planeación de la auditoria
Planeación Anual: esta constituida por la
planeación a corto y largo plazo.
Corto plazo: toma en cuenta los aspectos relevantes
que serán cubiertos durante el año.
Largo plazo: aspectos relacionados con riesgos
debido a cambios en la dirección estrategia de TI.

El análisis de los aspectos relevantes debe hacerse por

lo menos una vez al año para tomar en cuenta los
nuevos aspectos de control, cambios de entorno, de
tecnología, procesos de negocio, etc., para su
posterior evaluación y aprobación por parte de la alta
dirección.
Planeación de la auditoria
Asignaciones de auditoria individual

Además de la planeación general, cada tarea

individual debe ser planeada adecuadamente.
El auditor de SI debe tener entendimiento general
del ambiente a revisar, esto incluye, las practicas
del negocio, las funciones, los tipos de SI y la
tecnología que se utiliza.
El auditor de SI deberá estar familiarizado con el
marco regulatorio en el que opera el negocio.
Planeación de la auditoria
Asignaciones de auditoria individual

Pasos para realizar la planeación:

1. Lograr un entendimiento de la misión, objetivos,
propósitos, y los procesos del negocio.
2. Identificar contenidos específicos tales como
políticas, estándares y estructura de la
organización.
3. Realizar un análisis de riesgos.
4. Llevar a cabo una revisión de los controles
internos relacionados con TI.
5. Establecer el alcance y los objetivos de la
auditoria.
Planeación de la auditoria
Asignaciones de auditoria individual

Pasos para realizar la planeación:

6. Desarrollar el enfoque o la estrategia de auditoria.
7. Asignar recursos humanos a la auditoria.
8. Dirigir la logística del trabajo de auditoria.

Los estándares ISACA requieren que el auditor

planee el trabajo para alcanzar los objetivos y
cumplir con los estándares profesionales,
tomando en consideración los puntos relevantes
del área auditada y su infraestructura tecnológica.
Planeación de la auditoria
Asignaciones de auditoria individual

Pasos que un auditor podría tomar para lograr un

entendimiento del negocio.
1. Recorrido de las instalaciones de la organización
2. Lectura de antecedentes (informes, análisis
financieros independientes, etc.)
3. Revisión de los planes estratégicos de TI a largo
plazo.
4. Entrevistas a los gerentes clave para entender
pormenores del negocio.
Planeación de la auditoria
Asignaciones de auditoria individual

5. Revisión de informes anteriores relacionados con

TI (provenientes de auditorias externas o
internas).
6. Identificar las regulaciones especificas aplicables
a TI.
7. Identificar las funciones de TI o las actividades
relacionadas que han sido contratadas
externamente.

Otro componente básico de la planeación es lograr

correspondencia entre los recursos disponibles y
las tareas definidas en el plan.
Efecto de las leyes y regulaciones sobre
la planificación de ASI
Toda organización debe cumplir con requerimientos
gubernamentales relacionados con las practicas y
controles de TI, asi como la forma en que los datos
se procesan, transmiten y almacenan.
Se debe prestar especial atención a las industrias
con marco regulatorio estricto (bolsa de valores,
bancos, etc.)
En vario países, los ISP están sujetos a leyes
especificas de confidencialidad y disponibilidad.
Efecto de las leyes y regulaciones sobre
la planificación de ASI
Los auditores deben revisar la política sobre
privacidad respecto al flujo de datos al cruzar
fronteras.
Un ejemplo de practicas sólidas de control es la
ley Sarbens-Oxley de los Estados Unidos, la cual
requiere evaluar los controles de TI de una
organización.
Tarea: investigue la ley Sarbens-Oxley y su
relación con IT
Estándares y directrices de ISACA para ASI
Código de ética profesional de ISACA
Tarea: escriba en su cuaderno el código de ética
profesional de los miembros de la asociación.

Nota: No se espera que se memoricen todas las

palabras contenidas en los estándares, los
candidatos serán examinados respecto a su
comprensión y aplicación en una situación dada.
Estándares y directrices de ISACA para ASI
Marco de estándares

El carácter especializado de ASI requieren

estándares aplicables globalmente, la divulgación
de estos es la piedra angular de la contribución
profesional de ISACA.
Los objetivos son informar:
A los auditores sobre el nivel mínimo requerido de
desempeño aceptable para cumplir con las
responsabilidades profesionales.
A la gerencia sobre las expectativas de la profesión
en relación con el trabajo de los auditores.
Estándares y directrices de ISACA para ASI
Marco de estándares

Niveles de los estándares:

Los estándares: definen los requerimientos
obligatorios para la ASI y para los informes.
Las directrices: brindan una guía para aplicar los
estándares, el auditor debe tenerlas en cuenta y usar
su juicio profesional al aplicarlas.
Los procedimientos: estos documentos brindan
información sobre la manera de cumplir los
estándares cuando se esta realizando un trabajo de
ASI.
Estándares y directrices de ISACA para ASI
Estándares de auditoria.
Tarea: en su cuaderno, hacer un resumen de los 13
estándares (S1-S13)
Directrices: su objetivo es proveer información adicional
sobre como cumplir los estándares, el auditor debería:
Considerarlos para determinar como implementar los
estándares.
Usar el juicio profesional para aplicarlos.
Poder justificar cualquier diferencia.

Tarea: en su cuaderno, hacer un resumen de las

directrices G5, G9, G17 y G35.
Estándares y directrices de ISACA para ASI
Procedimientos de ISACA para ASI

Los procedimientos desarrollados proveen ejemplos

de proceso que un auditor podría seguir en un
trabajo de auditoria, para determinar si alguno es
apropiado, el auditor debe usar su juicio
profesional.
Proveen información sobre como satisfacer los
estándares pero no establecen requerimientos.
No es obligatoria su utilización, sin embargo, al
seguirlos el auditor la certeza de estar siguiendo los
estándares.
Estándares y directrices de ISACA para ASI
Procedimientos de ISACA para ASI

Índice de procedimientos:
P1 Evaluación de riesgos
P2 Firmas digitales
P3 Detección de intrusos
P4 Virus y otros códigos maliciosos
P5 Autoevaluación de control de riesgos
P6 Firewalls
P7 Irregularidades y actos ilegales
P8 Evaluación de la seguridad
P9 Evaluación de los controles de la dirección sobre las
metodologías de encriptación
P10 Control de cambios de aplicación del negocio
Estándares y directrices de ISACA para ASI
Relación entre estándares, directrices y procedimientos

Los estándares deben ser cumplidos, las

directrices proveen una guía sobre como
implementar los estándares y los procedimientos
proveen ejemplos de pasos que puede realizar un
auditor para implementar los estándares.
Análisis de riesgos
El análisis de riesgos es parte de la planeación de auditoría y
ayuda a identificar los riesgos y las vulnerabilidades para que
el auditor pueda determinar los controles necesarios para
mitigarlos.
Existen muchas definiciones de riesgo, lo que quiere decir que
riesgo significa cosas distintas para diferentes personas. Tal
vez una de las definiciones de riesgo más sucintas usadas en el
negocio de seguridad de la información es la provista por las
Directrices para la Administración de Seguridad de TI
publicadas por la Organización Internacional de
Estandarización (ISO):
"El potencial de que una amenaza determinada explote las
vulnerabilidades de un activo (G3) o grupo de activos
ocasionando pérdida o daño a la organización.”
Análisis de riesgos
El proceso de evaluación del riesgo se caracteriza como un
ciclo de vida iterativo que comienza identificando los
objetivos del negocio, los activos de información y los
sistemas o recursos de información subyacentes que
generan /almacenan, usan o manipulan los activos clave
(hardware, software, bases de datos, redes, instalaciones,
personas, etc.) para lograr estos objetivos.
Una vez que los activos de información sensitiva y/o crítica
están identificados, se realiza una evaluación de riesgos para
identificar las amenazas, determinar la probabilidad de
ocurrencia y el impacto resultante y las medidas adicionales
que mitigarían este impacto a un nivel aceptable para la
gerencia.
Análisis de riesgos
Luego, durante la fase de mitigación de riesgos,
se identifican los controles para mitigar los
riesgos identificados. Estos controles son
contramedidas para la mitigación de riesgos que
buscan prevenir o reducir la probabilidad de
ocurrencia de un evento de riesgo, detectar la
ocurrencia del mismo, minimizar el impacto o
transferir el riesgo a otra organización.
Análisis de riesgos
La evaluación de contramedidas debería realizarse
mediante un análisis costo - beneficio, en el que los
controles para mitigar riesgos se seleccionan de manera que
se logre reducir los riesgos hasta un nivel aceptable para la
dirección. Este proceso de análisis puede basarse en
cualquiera de las siguientes opciones:
El costo del control comparado con el beneficio de
minimización del riesgo
La tolerancia a riesgos de la gerencia (p. ej.. el nivel de riesgo
residual que la gerencia está preparada para aceptar)
Los métodos preferidos de reducción de riesgos (p. ej..,
eliminar el riesgo, minimizar la probabilidad de ocurrencia,
minimizar el impacto, transferir /asegurar)
Análisis de riesgos
Desde la perspectiva del auditor, el análisis de riesgos
tiene más de un propósito:
Apoya al auditor en la identificación de riesgos y
amenazas para un ambiente de TI y los sistemas de SI que
necesitan ser tratados por la dirección así como los
controles internos específicos del sistema.
Dependiendo del nivel de riesgo, este análisis apoya al
auditor en la selección de ciertas áreas para examinar.
Ayuda al auditor en su evaluación de los controles durante
la planeación de la auditoría.
Apoya al auditor a determinar los objetivos de la auditoría.
Soporta decisiones de la auditoría basada en riesgos.
Controles Internos
Las políticas, procedimientos, prácticas y estructuras
organizacionales implementadas para reducir riesgos
también son conocidos como controles internos.
Los controles internos son desarrollados para proveer una
certeza razonable de que se alcanzarán los objetivos de
negocio de una organización y que los eventos de riesgo
no deseados serán evitados o detectados y corregidos.
Las actividades de control interno y los procesos que las
soporten pueden ser manuales o manejados por recursos de
información automatizados.
Estos operan en todos los niveles dentro de una
organización para mitigar su exposición a riesgos que
potencialmente podrían impedirle alcanzar sus objetivos de
negocio.
Controles Internos
Existen dos aspectos clave que el control debe
atender: qué debería lograrse y qué debería
evitarse. Los controles internos no sólo tratan los
objetivos de negocio /operativos, sino que
también deberían estar preparados a través de la
prevención, detección y corrección.
Control Interno
Objetivos
Estos tipos de controles incluyen los controles relacionados
con el ambiente de tecnología. Los tipos de controles
incluyen:
Controles de contabilidad interna - Primariamente dirigidos a las
operaciones contables, como por ejemplo la salvaguarda de los
activos y la confiabilidad de los registros financieros.
Controles operacionales - Dirigidos a las operaciones, funciones
y actividades cotidianas para asegurar que la operación está
cumpliendo los objetivos del negocio
Controles administrativos - se ocupa de la eficiencia operacional
en un área funcional y el acatamiento de las políticas de
administración que incluye los controles operacionales. Estos
pueden describirse como que soportan los controles operacionales
específicamente concernidos con la eficiencia operacional y el
acatamiento de la política organizacional.
Control Interno
Objetivos

Salvaguarda de los activos de TI

Cumplimiento con las políticas corporativas y
requerimientos legales
Autorización y autenticación
Confidencialidad
Exactitud e integridad los datos
Confíabilidad de los procesos
Disponibilidad de los servicios de TI
Eficiencia y economía de las operaciones.
Proceso de administración de cambios para TI y los
sistemas relacionados
Objetivos de control de SI
Salvaguarda de activos. La información en los sistemas
automatizados está protegida contra accesos inadecuados y se la
mantiene actualizada.
Asegurar la integridad de los ambientes de sistemas operativos
en general, incluyendo la administración y operaciones de la
red.
Asegurar la integridad de los ambientes de sistemas de
aplicación sensitivos y críticos, incluyendo información
contable /financiera y gerencial (objetivos de información) a
través de:
Autorización para el ingreso de datos - Cada transacción es
autorizada e introducida una sola vez
- Validación del input. Cada input es validado y no causará
impacto negativo al procesamiento de las transacciones
Objetivos de control de SI
Exactitud e integridad del procesamiento de transacciones -
Todas las transacciones son registradas e ingresadas en la
computadora en el período correcto.
Confiabilidad de las actividades de procesamiento de
información en general
Exactitud, integridad y seguridad de la información de salida
Integridad de la base de datos
Asegurar la identificación y autenticación apropiada de los
usuarios de los recursos de SI (usuarios finales así como
también soporte de infraestructura)
Aseguramiento de eficiencia y efectividad en las operaciones
(objetivos operativos)
Objetivos de control de SI
Cumplimiento con los requerimientos de los usuarios,
con las políticas y procedimientos organizacionales y
con las leyes y reglamentaciones aplicables (objetivos
de cumplimiento)
Aseguramiento de la disponibilidad de los servicios de
TI desarrollando planes de continuidad del negocio y
de recuperación de desastres
Aumento de la protección de datos y sistemas
desarrollando un plan de respuesta a incidentes
Aseguramiento de la integridad y confiabilidad de los
sistemas implementando procedimientos efectivos de
administración de cambios
Controles generales
Los controles incluyen políticas, procedimientos y
prácticas (tareas y actividades) que son establecidos
por la gerencia para proveer garantía razonable de que
se alcanzarán objetivos específicos.
Son aplicables a todas las áreas de la organización,
incluyendo infraestructura y servicios de soporte de TI.
Éstos incluyen políticas, procedimientos y prácticas
establecidas por la dirección para tener una garantía
razonable de que se alcanzarán los objetivos
específicos.
Controles internos de contabilidad que están principalmente
dirigidos a las operaciones de contabilidad. Ellos se refieren a la
salvaguarda de activos y a la confiabilidad de los registros
financieros
Controles operativos que se ocupan de las operaciones, funciones
y actividades cotidianas y aseguran que la operación esté
cumpliendo los objetivos del negocio
Controles administrativos que se ocupan de la eficiencia
operativa en un área funcional y la adherencia a las políticas de
la dirección. Los controles administrativos dan soporte a los
controles operativos que se ocupan específicamente de la
eficiencia operativa y de la adherencia a las políticas
organizacionales.
Políticas y procedimientos organizacionales de seguridad lógica
para asegurar la debida autorización de transacciones y
actividades
Políticas generales para el diseño y uso de
documentos y registros adecuados para ayudar a
asegurar el registro apropiado de las
transacciones - pista de auditoría de transacciones
Procedimientos y funciones para asegurar la
protección adecuada en el acceso y el uso de
activos e instalaciones
Políticas de seguridad física y lógica para todos
los centros de datos (p. ej., servidores e
infraestructura de telecomunicaciones)
Control de SI
Cada procedimiento de control general puede ser
traducido en un procedimiento de control específico
de SI. Un sistema de información bien diseñado
debería contar con controles construidos en el mismo
para todas sus funciones sensitivas o críticas. Por
ejemplo, el procedimiento general para asegurar la
adecuada custodia del acceso a los activos e
instalaciones puede traducirse en un conjunto de
procedimientos de control relacionado con sistemas
de información, que abarque controles de acceso a
los programas de computación, datos y equipos de
cómputo
Control de SI
Los procedimientos de control de SI incluyen:
Estrategia y dirección
Organización general y administrativa
Acceso a los recursos de TI, incluyendo datos y programas
Metodologías de desarrollo de sistemas y control de cambios
Procedimientos de operación
Programación de sistemas y funciones de soporte técnico
Procedimientos de aseguramiento de calidad
Controles de acceso físico
Planeación de continuidad del negocio/recuperación de
desastres
Redes y comunicaciones
Administración de la base de datos
Tarea: Investigue los 36 estándares COBIT
(resumen en su cuaderno)