MATERIAAUDITORA INFORMTICAUNIVERSIDAD DEL VALLE DE MXICOEL PROCESO DE AUDITORA

PREFACIOLa Auditora de Sistemas de Informacin (SI) es una parte del proceso general de auditora, que es uno de los facilitadores de buen gobierno corporativo. Si bien no existe una definicin nica y universal de auditora de SI, Ron Weber ha definido (EDP revisin - como se llamaba antes) como "el proceso de recopilacin y evaluacin de las pruebas para determinar si un sistema informtico (sistema de informacin) Activos salvaguardias, mantiene integridad de los datos, logra las metas organizacionales y consumo efectivos de los recursos de manera eficiente. "1.

Los sistemas de informacin son el alma de cualquier negocio que dependa de la tecnologa. Como en aos anteriores, los sistemas informticos no se limitaban a registrar las operaciones de negocios, ya que en realidad conducen los procesos clave del negocio de la empresa. En tal escenario, los directivos de gestin y de negocios de alto nivel tienen preocupaciones acerca de los sistemas de informacin. El propsito de la Auditora de SI es revisar y dar retroalimentacin, garantas y sugerencias. Estas preocupaciones pueden agruparse bajo tres amplios conceptos principales:

1. Disponibilidad: Los sistemas de informacin en los que el negocio depende en gran medida estn a disposicin de la empresa en todo momento cuando es necesario? Los sistemas estn bien protegidos contra todo tipo de daos y desastres?

2. Confidencialidad: La informacin de los sistemas slo se comunicar a las personas que tienen la necesidad de verla y usarla y no a otra persona?

3. Integridad: La informacin proporcionada por los sistemas siempre es precisa, confiable y oportuna? Qu nos asegura de que ninguna modificacin no autorizada puede hacer que los datos o el software en los sistemas?

1 Nota del autor: Por supuesto que hay otras preocupaciones que en auditora se debera examinar, como la eficacia, la eficiencia, rentabilidad, rendimiento de la inversin, la cultura y los temas relacionados. Estos problemas sern abordados en auditora de Fundamentos de TI en las columnas en los prximos nmeros de la revista en 2002.]

Elementos de la Auditora de SI

Un sistema de informacin no slo es un computador. Los sistemas de informacin de hoy en da son complejos y tienen muchos componentes que integrar para hacer una solucin de negocios. Las garantas sobre un sistema de informacin se pueden obtener slo si son evaluados y asegurados todos los componentes. El eslabn ms dbil es la fuerza total de la cadena, reza el proverbio. Los principales elementos de la auditora de SI se puede clasificar en trminos generales:

1. Revisin Fsica y ambiental - Esto incluye la seguridad fsica, alimentacin, aire acondicionado, control de humedad y otros factores ambientales.

2. Revisin de la administracin del sistema- Esto incluye la revisin de seguridad de los sistemas operativos, sistemas de gestin de bases de datos , todos los procedimientos de administracin del sistema y el cumplimiento.

3. Revisin del Software El software de aplicacin de negocios podra ser la nmina, facturacin, un sistema de procesamiento de pedidos de clientes basado en la web o un sistema de planificacin de recursos empresariales que actualmente dirige el negocio. La revisin de este tipo de software de aplicacin incluye control de acceso y las autorizaciones, las validaciones, el error y el manejo de excepciones, flujos de procesos de negocio en el software de aplicacin y los controles y procedimientos manuales complementarios. Adems, una revisin del ciclo de vida de desarrollo del sistema debe ser completado. .

4. Seguridad de las redes - Revisin de las conexiones internas y externas al sistema, seguridad perimetral, opinin del firewall, las listas de control de acceso del router, escaneo de puertos y deteccin de intrusiones son algunas de las zonas tpicas de la cobertura.

5. Continuidad del negocio - Esto incluye la existencia y mantenimiento de hardware tolerante a fallos y redundantes, los procedimientos de copia de seguridad y almacenamiento, un plan de continuidad del negocio y un plan de recuperacin en caso de desastre documentado y probado.

6. Integridad de los datos opinin - El propsito de esto es el escrutinio de los datos en vivo para comprobar la adecuacin de los controles y el impacto de las debilidades, segn testimonio de cualquiera de las revisiones anteriores. Estas pruebas sustantivas se puede hacer usando software generalizado de auditora (por ejemplo, tcnicas de auditora asistida por computador).

Todos estos elementos deben ser abordados para presentar a la Gerencia una evaluacin clara del sistema. Por ejemplo, el software de aplicacin puede estar bien diseado e implementado con todas las caractersticas de seguridad , pero la contrasea de superusuario que por defecto trae el sistema operativo utilizado en el servidor puede no haber sido cambiada nunca, lo que permite a alguien acceder directamente a los archivos de datos. Esta situacin anula cualquier garanta de integridad en la aplicacin. Del mismo modo, es posible que los firewalls y la seguridad del sistema tcnico se hayan implementado muy bien, pero las definiciones de funciones y controles de acceso en el software de la aplicacin pueden haber sido tan mal diseados e implementados que al utilizar sus ID de usuario, los empleados pueden llegar a ver la informacin crtica y sensible ahora ms all de sus roles.

Es importante entender que cada auditora puede constar de estos elementos en diferentes medidas, algunos auditoras podrn examinar slo uno de estos elementos o eliminar algunos de estos elementos de la auditora. Aunque lo cierto es que hay que hacer una revisin de todo ello, no es obligatorio hacerla para todos ellos en una asignacin. El conjunto de habilidades necesarias para cada uno de ellos son diferentes. Los resultados de cada auditora necesitan ser visto en relacin con el otro. Esto permitir que el auditor y la administracin puedan conseguir la visin total de los temas y problemas. Este panorama es crtico.

Enfoque basado en riesgosCada organizacin utiliza una serie de sistemas de informacin. Puede haber diferentes aplicaciones para diferentes funciones y actividades y puede haber un nmero de instalaciones de computadores en diferentes ubicaciones geogrficas.

El auditor se enfrenta a las preguntas de qu auditar, cundo y con qu frecuencia. La respuesta a esto es la adopcin de un enfoque basado en el riesgo.

Si bien hay riesgos inherentes a los sistemas de informacin, estos riesgos afectan diferentes sistemas de diferentes maneras. El riesgo de no disponibilidad incluso durante una hora puede ser grave para un sistema de facturacin en una tienda ocupada. El riesgo de una modificacin no autorizada puede ser una fuente de fraudes y potenciales prdidas para un sistema de banca en lnea. Un sistema de procesamiento por lotes o un sistema de consolidacin de datos pueden ser relativamente menos vulnerables a algunos de estos riesgos. Los entornos tcnicos en los que los sistemas se ejecutan tambin pueden influir en el riesgo asociado con los sistemas.

Los pasos que se pueden seguir por un enfoque basado en el riesgo para hacer un plan de auditora son:

1. Un inventario de los sistemas de informacin en uso en la organizacin y clasificarlos.2. Determinar cules sistemas impactan a las funciones crticas o a los activos, como el dinero, los materiales, los clientes, toma de decisiones, y que tan cerca al tiempo real que operan.3. Evaluar qu riesgos afectan a estos sistemas y la severidad del impacto en el negocio.4. Clasifique a los sistemas basados en la evaluacin anterior para decidir la prioridad de auditora, los recursos, el calendario y la frecuencia.

El auditor puede entonces elaborar un plan de auditora anual que enumera las auditoras que se llevar a cabo durante el ao, de acuerdo con un horario, as como los recursos necesarios.

El proceso de auditora

La preparacin antes de comenzar una auditora incluye la recoleccin de informacin de antecedentes y la evaluacin de los recursos y habilidades necesarios para realizar la auditora. Esto permite la asignacin correcta del personal con el tipo de habilidades que se adjudicar al compromiso.

Siempre es una buena prctica tener una reunin formal de inicio de la auditora con la alta direccin responsable del rea que se audita para establecer el alcance, entender las preocupaciones especiales, en su caso, programar las fechas y explicar la metodologa para la auditora. Estas reuniones permiten que los auditados, puedan aclarar cuestiones y preocupaciones de negocio subyacentes. Despus de la reunin, registrar en un documento o minuta que enliste los acuerdos establecidos ayudar a la auditora a realizarse sin problemas.

Del mismo modo, una vez finalizado el ejercicio o escrutinio de auditora, es una mejor prctica comunicar los resultados de la auditora y sugerencias para la accin correctiva a la alta direccin en una reunin formal mediante una presentacin del informe. Esto asegurar una mejor comprensin y aumentar el entendimiento de las recomendaciones de auditora. Tambin da a los auditados la oportunidad de expresar sus puntos de vista sobre las cuestiones planteadas. La redaccin de un informe despus de dicha reunin donde se llegaron a acuerdos sobre todos los asuntos de auditora puede mejorar en gran medida la eficacia de la auditora.

El principal reto

La auditora de SI a menudo implica encontrar y registrar observaciones que pueden ser muy tcnicas. Se requiere de tal profundidad tcnica para llevar a cabo las auditoras con eficacia. Al mismo tiempo, es necesario traducir los hallazgos de auditora en las vulnerabilidades y los impactos de las empresas a las que los gerentes operativos y altos directivos pueden relacionarse. Ah est el principal reto de la auditora de SI.

Notas Finales

1 Weber, Ron, EDP Fundamentos de Auditora - conceptuales y prcticas

S. Anantha Sayana, CISA, CIA es gerente general adjunto de los servicios de auditora corporativa con Larsen & Toubro Limited, India. Tiene ms de 12 aos de experiencia en la auditora de SI y la auditora interna en la banca, la industria manufacturera y los servicios que abarcan una gran variedad de aplicaciones y plataformas tcnicas. Tambin es un ex presidente del Captulo Mumbai ISACA.

Para ponerse en contacto con S. Anantha Sayana, el autor de la columna de este tema, con las observaciones o preguntas, sas-pia@powai.ltindia.com

Un poco de historia repitindose La Etapas de la Teora Nolan y el Auditor de SI actual.

Uno de los aspectos clave de la auditora de sistemas de informacin (SI) es determinar la madurez de las tecnologas en uso dentro de una organizacin o departamento. En realidad, en algunas reas del negocio, el uso de TI es ms maduro que otras, y esto es particularmente cierto para las empresas que se han sometido a las fusiones o adquisiciones recientes.

Las Etapas del Modelo de Crecimiento para los Sistemas de TI fueron desarrolladas por Richard L. Nolan en la dcada de 1970. Aunque se ha modificado con el tiempo y han sido sujetos a la crtica en algunos lugares, todava se utiliza para analizar el crecimiento de las TI dentro de una organizacin y es utilizado por muchas empresas y consultores para categorizar la evolucin de lo que se conoca originalmente como departamentos de procesamiento de datos.

En este artculo se analizan las seis etapas (originalmente cuatro), as como su relacin directa con el auditor. La teora de Nolan puede proporcionar un marco til para un trabajo de auditora, especialmente para el auditor con menos experiencia que no ha tenido una amplia exposicin a una amplia gama de sistemas de TI de organizacin.La Creacin y Evolucin de la Teora de NolanCuando Richard L. Nolan public primero su teora en 1973,1 no exista tal cosa como el microordenador. La configuracin ms pequea disponible era un miniordenador, tales como el DEC PDP - 7. Los computadores centrales fueron la norma, dominando grandes centros de datos con aire acondicionado. Eran caros para comprar y caros de mantener, sobre todo estos equipos funcionan en modo batch o por lotes, con trabajos enviados para ser ejecutados durante la noche.

Mientras que algunos sistemas en tiempo real estaban disponibles, los enlaces de comunicacin requeridos eran costosos haciendo stos sistemas viables nicamente para determinados nichos de mercado, como las aerolneas y la banca.

Dentro de este contexto, sin embargo, Nolan ofrece una visin de lo que podra suceder dentro de una organizacin si se redujeran los costos de procesamiento de datos. Proftica en su enfoque, muchas de sus predicciones se hicieron realidad, primero para las grandes corporaciones y luego para las empresas ms pequeas.

Las etapas del modelo de crecimiento no han permanecido estticas. En 1979 Nolan aadi otras dos etapas tal y como el modelo trat de mantenerse al da con los acontecimientos dramticos en la tecnologa en el tiempo.2

Con el tiempo ha habido crticas a la teora, incluyendo el supuesto de que una organizacin salta de un estado a otro y la percepcin de que una organizacin siempre debe esforzarse por ser evaluada contra las etapas superiores (es decir, la administracin de datos y la madurez).3 Por otra parte, otros han desarrollado modelos que se basan en el trabajo de Nolan, pero intentan paliar lo que se considera por algunos como deficiencias. Por ejemplo, y tal vez en un guio a la auto-evaluacin del riesgo controlado, El Modelo de Madurez en la Prctica de la Gestin de Datos 4 es un enfoque que se ajusta a las ideas originales de Nolan, pero la teora se discute en el contexto de 2012 en lugar de los aos de 1970.

Fase I IniciacinEsta etapa se refiere a la primera introduccin que hace la tecnologa en una organizacin. Si bien puede ser difcil de concebir para aquellos que trabajan en las empresas de TI, muchas empresas pequeas han de prosperar sin una gran infraestructura de TI consideran que el nmero de pequeas empresas que slo necesitan un telfono mvil y un diario para completar su trabajo.

La etapa de iniciacin en una organizacin se identific por Nolan como el punto en el que una organizacin compra su primera tecnologa. En la dcada de los 1970, fue inevitablemente una minicomputadora, ahora, con la baja en los costos las porttiles y el uso de los telfonos inteligentes se utilizan para muchas funciones empresariales del da a da, este punto de partida es mucho ms difcil de determinar. Los dispositivos personales estn siendo reutilizados con frecuencia para las necesidades de la empresa. De este modo, el punto de partida muy fcilmente puede hacerse borroso, y la creciente dependencia de TI pasa desapercibida. Para muchas empresas pequeas, los aspectos de la seguridad de la informacin pueden no ser una preocupacin importante, pero todos somos conscientes cuando se ha perdido a un telfono, por lo que una copia de seguridad efectiva (incluso de contactos del telfono / entradas de la agenda) se hace crtica.

Dentro de las organizaciones ms grandes, un nivel bsico de infraestructura de TI es seguro de encontrar. Sin embargo, la etapa I tambin se puede aplicar a cualquier tecnologa emergente. Es muy raro que una tecnologa innovadora se introduzca por poltica. En cambio, la introduccin es iniciada generalmente por xitos pequeos en grupos de empleados de la organizacin y se acta individualmente. Por ejemplo, considere el despliegue inicial de los telfonos inteligentes en las organizaciones. Originalmente, estos fueron adquiridos por las personas que vieron el potencial de estos dispositivos para su productividad personal, pero esperan que sea capaz conectar estos a la red corporativa, muy a menudo con poca preocupacin por los problemas de seguridad en torno a los dispositivos mviles.

Es el auditor interno quien tiene un papel en la identificacin de estos primeros accesos. Pueden identificar las mejores prcticas y proponer la adopcin de otras reas. Si bien esto puede ser una buena manera de difundir la informacin, puede tambin inadvertidamente conducir a muchos de los problemas tratados en la etapa II.

Por el contrario, la auditora interna podra identificar nuevas tecnologas y trabajar con la organizacin para promover el desarrollo de la regulacin y control. Si esto sucede en paralelo con la adopcin de la tecnologa en lugar de que sea despus de la implementacin, las dificultades de la fase II podran reducirse en gran medida.

Fase II ContagioEsta es una etapa crtica del crecimiento de TI y se identifica por la proliferacin de los sistemas de la organizacin. Las diferentes tecnologas pueden competir para ser dominantes en la organizacin, por ejemplo, la controversia de dcadas de antigedad Mac vs PC. Hoy, deriva en debates, por ejemplo, acerca de si la informacin en s debe llevarse a cabo dentro de la organizacin o si la computacin y almacenamiento en la nube son las adecuadas.

En los primeros das de la informtica, los proveedores estaban dispuestos a asegurar que sus clientes estaban " asegurados" en sus tecnologas, sistemas y formatos de archivos de datos. Incluso los acuerdos sobre la secuencia para la clasificacin alfanumrica y el almacenamiento de los datos eran propietarios, con ASCII (DEC) y EBCDIC formatos utilizados por ICL e IBM. Muchos de nosotros hemos experimentado la frustracin de los diferentes formatos de datos, pero hoy en da los datos a menudo se pueden convertir entre los sistemas. Los lenguajes con esquemas de marcado extensible (XML) y la mejora de los estndares de calidad de datos han contribuido de manera significativa dentro de esta rea.

El peligro de esta etapa se debe a la falta de control , los costos en espiral , y los errores que surgen a travs de la necesidad de la entrada manual de datos para transferir informacin entre sistemas o controles incorrectos cuando la es la transferencia de datos entre sistemas. Este crecimiento se produce con frecuencia al mismo tiempo que la empresa se expande. Puede ser un facilitador del crecimiento y, al mismo tiempo, puede convertirse en una vctima de su propio xito.

Una vez ms, utilizando el telfono inteligente como un ejemplo, ms personas y departamentos lo adoptaron despus de ver a los primeros usuarios que se benefician de su uso, pero no dentro de un marco institucional. Por lo tanto, ha habido una proliferacin de modelos y sistemas operativos, lo que lleva a las incompatibilidades y las demandas de apoyo adicionales.

El papel de la auditora interna en esta etapa puede ser como la de un perro pastor, ofreciendo garantas de que numerosos sistemas dispares tienen controles adecuados. Con frecuencia, el auditor interno est en una posicin nica para reconocer que las sinergias son posibles debido a su mbito organizativo ms amplio. Esto puede ser particularmente relevante para las auditoras integradas que combinan los pasos de auditora tanto financiera como operativa " 5. Al identificar estas sinergias, el auditor interno puede ayudar al progreso de la organizacin a travs de este catico escenario y en estado III. Si una organizacin no puede hacer esto, hay riesgos significativos para el xito a largo plazo tanto para la funcin de TI dentro de una organizacin y de la propia organizacin.

Fase III ControlDesde una perspectiva de gestin, despus de haber visto la proliferacin de los sistemas presentes en el estadio II (y su utilidad), la necesidad de introducir controles puede ser identificada, no slo en el nmero de sistemas, sino tambin en los presupuestos asociados con estos sistemas. La necesidad de este control , posiblemente, puede ser reconocido a travs de una auditora interna , la identificacin de que a pesar de los primeros xitos de la etapa I y la masa (pero no controlada ) la proliferacin de la fase II , la tecnologa se nos est convirtiendo en un gigante . Por ejemplo, se puede producir una recuperacin del negocio en caso de un incidente y la continuidad despus de un desastre, lo que demuestra un riesgo intolerable para la organizacin el simplemente tener demasiados sistemas para tratar de recuperarse en un tiempo limitado.

Los objetivos de de recuperacin en el tiempo (RTO) y los objetivos de punto de recuperacin (RPO) se hacen imposibles de alcanzar, como la falta de estandarizacin de los procedimientos significa que la recuperacin se convierte en excesivamente compleja y la ventana de interrupcin es demasiado grande para ser tolerado por el negocio.

En una inspeccin inicial, se puede considerar que esta etapa es donde la auditora interna debe entrar en el proceso. Este no es el caso; la auditora interna ya haya propuesto controles que ahora tienen que formalizarse y, sobre todo , aplicado y supervisado . Si una organizacin no impone control ( con la garanta de la auditora interna ) , no slo no progresa, pero puede deslizarse fcilmente de nuevo a la fase II , como reas individuales una vez ms la implementacin de soluciones de TI dispares y sin autoridad en la organizacin .

Continuando con el ejemplo del smartphone, en esta etapa los auditores interna deberan haber identificado los problemas asociados con la multitud de diferentes dispositivos en uso. Ellos tambin pueden recomendar el control sobre el uso de los dispositivos o sugerir una poltica de compra de la organizacin. Estas recomendaciones no slo deben ser dirigidas al dispositivo actual, sino tambin en su uso, moviendo as la tecnologa hacia adelante, a la etapa IV.

Fase IV Integracin

Despus de conseguir que los sistemas estn bajo control en la etapa anterior, la organizacin puede desarrollar an ms la madurez de los sistemas de TI y comenzar a consolidar los sistemas y los datos que subyacen a la funcionalidad principal de la organizacin. Es en este punto que toda la experiencia del auditor interno en la organizacin comienza a estar a la cabeza en una funcin de asesoramiento en lugar de la vigilancia y control, seguir desarrollando este rol en la etapa V. Es posible que el auditor interno sea la nica persona que tiene la visin integral de todos los niveles de la organizacin, sobre todo si existe una estructura de gestin descentralizada (por ejemplo, una estructura de matriz).

Hoy en da, la integracin conduce inevitablemente a la consideracin de los sistemas de planificacin de recursos empresariales (ERP). El mercado de stos ha crecido rpidamente en los ltimos 20 aos, y muchos proveedores ofrecen servicios a las pequeas y medianas empresas (PYME). Es posible, por tanto, que una organizacin que experimenta un crecimiento rpido puede ser capaz de saltar por encima de estadios I a IV sin la gran cantidad de sistemas asociados a las fases II y III, y con un mayor control de los costos, lo que es especialmente necesario en las PYME.

La auditora interna puede tener la tentacin de confiar nicamente en los informes estndar generados por los sistemas ERP en s. Es esencial que la independencia del auditor, incluyendo la independencia de los propios sistemas, se mantiene. Los auditores internos tienen ahora la posibilidad de acceder a grandes repositorios de datos, esto hace que sea imprescindible que consideren el uso de herramientas automatizadas (por ejemplo, tcnicas de auditora con ayuda de computadora [CAAT]) para analizar los datos disponibles. La dificultad puede ahora residir en la identificacin y obtencin de los conjuntos de datos necesarios y procedimientos para anlisis que han de aplicarse sobre ellos, en lugar de asegurar la pertinencia y la exactitud de los datos de los datos.

Fase V Administracin de Datos

La etapa de administracin de datos es menor a un cambio tecnolgico , y ms a un cambio de cultura filosfica dentro de la organizacin . La cuestin de la propiedad de los datos (DO) es lo que est a la vanguardia durante esta etapa. En lugar de que los datos sean propiedad del departamento de TI (o proveedor externo), los usuarios tienen la propiedad de los datos. La auditora interna puede ayudar a definir el concepto de DO en el contexto especfico de la organizacin y la asignacin de una persona responsable de la propiedad, el acceso y la proteccin de los activos de informacin.

Los datos del sistema ERP se pueden aperturar hasta una base de usuarios ms amplia, y la organizacin necesita de la confianza (a travs de acceso basado en roles) que las personas saben cmo utilizar la informacin a la que tienen acceso.

En esta etapa, el rol del auditor interno se ha desplazado a la de un polica con la el fin de asegurar que los datos y recursos de informacin se estn utilizando con eficacia y correctamente por la organizacin, cumpliendo con los marcos normativos externos y las mejores prcticas.

Continuando con el ejemplo de dispositivo mvil, hay una necesidad de que el auditor interno garantice que los usuarios de forma individual aprecian las cuestiones de los datos que son removidos de la organizacin y la importancia de la sincronizacin de los datos, garantizando as la integridad de toda la organizacin. La aparicin de almacenamiento en la nube puede ayudar a este nivel, lo que permite una clara demarcacin de la custodia de los datos, el titular de los datos y los datos de usuario con independencia de su ubicacin y dispositivo de acceso.

Fase VIMadurez

La etapa final identificada por Nolan se consigue cuando todos los sistemas dentro de una organizacin se desarrollan a su estado ptimo y se puede decir que han alcanzado una madurez tanto tecnolgica y una estabilidad del sistema acorde con la dependencia del negocio a esos sistemas. Mientras que la evaluacin comparativa externa puede proporcionar un cierto nivel de tranquilidad, tambin es posible que la organizacin se vuelva complaciente, en cuyo caso la deriva estratgica podra sobrevenir. Por lo tanto, el papel del auditor interno es asegurar que la complacencia se evita o elimina.

En realidad, el ritmo del cambio tecnolgico y de negocios significa que los sistemas se deben desarrollar constantemente. Esto podra ser para mantener la ventaja competitiva, introducir a un nuevo mercado o tomar ventaja de ( por ejemplo ) que bajan los costos de arquitectura de TI.Por lo tanto, a pesar de que pareca imposible de lograr, la etapa de madurez de TI es algo a lo que la organizacin debe esforzarse continuamente, y la carta compromiso del comit de direccin de TI puede identificar la realizacin de esta etapa como un objetivo estratgico, permanente y orgnico.Conclusin

Como se ha demostrado, las tecnologas de TI se someten a una serie de etapas incrementales. En cada etapa, factores internos y externos impulsan el cambio hacia delante, y en general, el papel de la auditora interna es para asegurar que esto ocurre de una manera controlada. Al asociar una organizacin o departamento con una etapa particular de el modelo, un auditor puede identificar las acciones necesarias para impulsar la tecnologa a los niveles ms altos, con tendencia hacia la madurez. Por lo tanto, el modelo de Nolan ofrece una herramienta til para el auditor cuando se habla de la planificacin estratgica a largo plazo como parte de la funcin de auditora de TI de la institucin, lo que garantiza que la alta direccin reconoce el riesgo de adopcin descontrolada de TI y aprovechar las oportunidades de seguir adelante con una coherente y estructurada estrategia de TI. Endnotes1 Nolan, Richard L., Managing the Computer Resource: A Stage Hypothesis, Communications of the ACM, July 1973, vol. 16, no.7, p. 399405, http://cacm.acm.org/magazines/1973/7/11861-managing-the-computer-resource/abstract2 Nolan, Richard L., Managing the Crises in Data Processing, Harvard Business Review, March 1979, 57(2), p.1156, http://hbr.org/1979/03/managing-the-crises-in-data-processing/ar/1 3 King, John Leslie; Kenneth L. Kraemer; Evolution and Organizational Information Systems: An Assessment of Nolans Stage Model, Communications of the ACM, May 1984, vol. 27 no. 5, p. 46675, http://dl.acm.org/citation.cfm?id=358074&dl=ACM&coll=DL&CFID=99581475&CFTOKEN=896428164 Aiken, Peter; M. David Allen; Burt Parker; Angela Mattia, Measuring Data Management Practice Maturity: A Communitys Self-Assessment, Computer, April 2007, 40(4), p.42, www.irmac.ca/0708/Measuring%20Data%20Management%20Practice%20Maturity.pdf5 ISACA, CISA Review Manual 2011, USA, 2010Andy Hollyhead, CISA, FHEA, is a senior lecturer in governance and risk management in the Centre for Internal Audit, Governance and Risk Management at Birmingham City University (Birmingham, England, UK). Hollyheads work experience includes 15 years as a programmer and business analyst for large UK organisations, specialising in payroll systems. He is also studying for his Ph.D. in Technology Enhanced Learning at Lancaster University (Lancaster, England, UK).Alan Robson, CISA, CISM, is a senior academic in information systems (IS) audit in the Centre for Internal Audit, Governance and Risk Management at Birmingham City University. Robsons teaching career extends more than 25 years across a range of IT and IS subjects, from the undergraduate to postgraduate level.

Enjoying this article? To read the most current ISACA Journal articles, become a member or subscribe to the Journal. The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors content. 2012 ISACA. All rights reserved.Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25 per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

INTRODUCCINEl Proceso de auditora (CISA Review Manual 2006)ORGANIZACIN DE LA FUNCIN DE AUDITORA DE SISTEMAS DE INFORMACINEl rol del la funcin de auditora de sistemas de informacin (SI) debe ser establecida por una escritura de constitucin, este documento incorpora la institucin y especifica los derechos y funciones, asimismo incorpora los artculos y el certificado de la incorporacin. La auditora de SI es ms probable que sea parte de auditora interna, por lo tanto la escritura de constitucin incluir todas aquellas funciones de auditora.Esta carta o escritura debe establecer claramente las responsabilidades y objetivos asociados, la delegacin de autoridades para, la funcin de auditora SI. Este documento debe remarcar la autoridad general, alcance y responsabilidades de la funcin de auditora. El documento debe ser aprobado por el nivel ms alto de la administracin y por el comit de auditora.Una vez establecido este documento, puede cambiar solo si el cambio es justificable a fondo. Los estndares de auditora de SI de la ISACA solicitan que la responsabilidad, la autoridad y lo sustantivo de la funcin de auditora de SI estn documentadas de forma adecuada en una escritura de constitucin o carta compromiso. ADMINISTRACIN DE RECURSOS DE AUDITORA DE SILos auditores de SI son un recurso limitado y la tecnologa asociada a SI sufre constantes cambios. Por lo tanto, es importante que los auditores mantengan sus competencias a travs de actualizaciones para las habilidades existentes y obtengan capacitacin directa a nuevas tcnicas de auditora y de reas tecnolgicas. Especficamente, el auditor de SI debe entender las tcnicas para la gestin de proyectos de auditora con miembros del personal apropiados y capacitados. Los estndares de auditora de SI de ISACA requieren del auditor SI: es tcnicamente competente, posee las habilidades y conocimiento necesarios para el desempeo del trabajo del auditor. Adems, el auditor de SI mantiene la competencia tcnica mediante educacin profesional de forma continua. Habilidad y conocimiento deben ser considerados en la planeacin de auditora as como para la asignacin especfica de personal a las auditoras.De forma preferente debera desarrollarse un programa especfico de capacitacin para el ao en curso basado en la directriz organizacional en trminos de tecnologa y riesgos asociados que requieran ser abordados. Esto debiera revisarse al menos una vez al ao para asegurar que las necesidades de entrenamiento o capacitacin estn alineadas a la direccin que est tomando de la organizacin de la auditora. Adicionalmente, la gerencia de la auditora de SI deber proveer los recursos necesarios de TI (tecnologas de informacin) necesarios para un desempeo apropiado las auditoras de SI de naturaleza altamente especializadas. (e.g. escaneo de software para pruebas de intrusin a red, pruebas de penetracin).PLANEACIN DE LA AUDITORALa Planeacin de Auditora contempla tanto la programacin a corto como a largo plazo. El corto plazo considera aquellos hallazgos de auditora que sern cubiertos durante el ao en curso, donde el largo plazo se relaciona a planes de auditora que considerarn incidentes relacionados a riesgos que impliquen cambios en la direccin de la estrategia de la organizacin de TI que afecten el ambiente de TI de la organizacin.El anlisis de largo y corto plazo deber realizarse al menos una vez al ao. Esto se hace necesario para considerar incidentes de control nuevos, cambios en tecnologa, cambios en los procesos de negocio y mejoras en las tcnicas de evaluacin. Los resultados de ste anlisis para la planificacin de las actividades de auditoras futuras debern revisarse por la alta gerencia, aprobadas por el comit de auditora, si existe, o de forma alterna por la mesa directiva, y comunicarse a los niveles relevantes de la gerencia.Adicionalmente a toda la planeacin anual, cada compromiso de auditora individual debe ser adecuadamente planificado. El auditor de SI deber entender que otras consideraciones tales como la valoracin de riesgos por la gerencia, problemas de privacidad, y requerimientos regulatorios puedan impactar el enfoque general de la auditora.El auditor de SI deber considerar plazos establecidos para mejoras de los sistemas, implementaciones, tecnologas actuales y futuras, requerimientos de los dueos de proceso de negocio, y limitantes de recursos de SI.

Cuando se planifique el compromiso, el auditor deber tener un entendimiento amplio del ambiente a revisar. Esto deber incorporar un entendimiento general de diversas prcticas de negocio y funciones asociadas al tema de la auditora, as como de los sistemas de informacin y la tecnologa soporte a la actividad. Por ejemplo, el auditor debe estar familiarizado con el ambiente regulatorio donde opera el negocio. Para el desempeo de la planeacin de la auditora. El auditor de SI deber desempear los siguientes pasos en orden de: Obtener un entendimiento de la misin de un negocio, objetivos, propsitos y procesos, lo cual incluye requerimientos de informacin y procesamiento, tales como disponibilidad, integridad, seguridad y tecnologa del negocio. Identificar contenidos vertidos, tales como polticas, estndares y guas relacionadas, procedimientos y estructuras de la organizacin. Evaluar la valoracin del riesgo y analizar cualquier impacto sobre la privacidad realizada por la gerencia. Desarrollar un anlisis de riesgos Conducir una revisin del control interno Definir el alcance de la auditora y los objetivos de la misma Desarrollar el enfoque de auditora o estrategia de auditora Asignar recursos del personal a la auditora y dirigir la logstica del compromisoLos estndares para Auditora de SI de ISACA, requieren que el auditor de SI plane el trabajo de auditora para dirigir los objetivos de la auditora y para cumplir con los estndares aplicables de la profesin. El plan desarrollado por el auditor considerar los objetivos relevantes para el auditado y para su infraestructura tecnolgica. Si esto aplica, deber considerar tambin el rea bajo revisin y su relacin con la organizacin (estratgicamente, financieramente y operacionalmente) y obtener informacin del plan estratgico, incluyendo el plan estratgico para SI. El auditor de SI deber contar con un entendimiento de la informacin de arquitectura y la directriz tecnolgica del auditado para un diseo de plan apropiado para el presente y donde sea apropiado, para el futuro de la tecnologa del auditado.Los pasos que un auditor de SI puede tomar para obtener un entendimiento del negocio incluyen: Recorrer las instalaciones clave de la organizacin Revisar material documental soporte, incluyendo publicaciones de la industria, reportes anuales y reportes de anlisis financiero independientes Revisar los planes estratgicos a largo plazo de SI Entrevistar a gerentes clave para entender los problemas del negocio Revisar reportes anterioresOtro componente bsico de la planeacin es la adecuacin de los recursos de auditora disponibles para las tareas como han sido definidos en el plan de auditora.El auditor que elabore el plan deber considerar los requerimientos del proyecto de auditora, recursos del personal, y otras restricciones. Este ejercicio de adecuacin deber considerar las necesidades de proyectos individuales de auditora as como las necesidades generales del departamento de auditora.

EFECTOS DE LAS LEYES Y REGULACIONES EL LA PLANEACIN DE LA AUDITORACada organizacin, no obstante su tamao o el ramo de la industria donde opera, debe cumplir con un nmero de requerimientos gubernamentales y externos, relacionados con las prcticas de sistemas computacionales y controles, y con las maneras en que las computadoras programas, y datos son almacenados y utilizados. Adicionalmente las regulaciones pueden impactar las formas en que los datos son procesados, transmitidos y almacenados (intercambio de acciones, bancos centrales, etc.)Debe darse atencin especial a estos temas en aquellas industrias que histricamente han sido reguladas de forma cercanamente. Por ejemplo, en la industria financiera mundial, tienen graves penalizaciones para las compaas y sus funcionarios si la compaa no pueda proveer un nivel de servicio adecuado derivado de deficientes procedimientos de respaldo y recuperacin. Tambin, los proveedores del servicio de Internet son sujetos en varios pases a leyes especficas con relacin a confidencialidad y disponibilidad del servicio.Los auditores de SI debern revisar la poltica de privacidad establecida por la gerencia para comprobar si se toma en cuenta los requerimientos aplicables a las leyes y regulaciones para la privacidad, incluyendo el flujo transfronterizo de datos tales como las pautas del Safe Harbor y los de la OCDE (Organization of Economic Cooperation and Development) que regulan la proteccin y la privacidad en flujos transfronterizos de los datos personales.Varios pases derivado de creciente dependencias de sistemas de y tecnologa relacionada estn haciendo esfuerzos para adicionar niveles o capas de requerimientos regulatorios acerca de auditora de SI. Los contenidos de estas regulaciones legales consideran: Establecimiento de requerimientos regulatorios Organizacin de requerimientos regulatorios Responsabilidades asignadas a las entidades correspondientes Correlacin con las funciones financieras, operacionales y de auditora de TI.

El personal de la gerencia, a todos sus niveles, deben ser conscientes de los requerimientos externos que son relevantes para las metas y planes de la organizacin y de las responsabilidades y actividades del departamento/funcin/actividad de servicios de informacin.Existen dos reas principales de atencin: Los requerimientos legales (leyes, acuerdos legales y contractuales) asociados en auditora o auditora de SI y requerimientos legales asociados al auditado y sus sistemas, a la administracin de datos, reportes, etc. Estas reas pueden impactar en el alcance y en los objetivos de la auditora. Esto ltimo es importante para los auditores internos y externos. Las cuestiones jurdicas tambin impactan las operaciones de negocio de la organizacin en trminos de cumplimiento con regulaciones ergonmicas. Un ejemplo es la ley HIPAA (US Health Insurance Portability and Accountability Act) que est enfocada en la regulacin.Un ejemplo de prcticas de control robustas, es la Ley Sarbanes-Oxley (SOX Act) del 2002 de los EEUU. Esta ley requiere de las organizaciones una evaluacin de su control interno de TI. SOX prev nuevas reglas de gobierno corporativo, as como estndares y regulaciones especficas para empresas pblicas, lo que incluye a las compaas solicitantes de registro de la Security and Exchange Comission (SEC). La SEC ha obligado el uso de reconocidos marcos de referencia para el control interno. SOX requiere a las organizaciones seleccionar e instrumentar un marco de control interno adecaudo. COSO, Internal Control Integrated Framework, ha sido el marco de referencia ms comnmente adoptado. Los auditores de SI tienen que considerar el impacto de Sarbanes-Oxley como parte de la planeacin de auditora. TAREAELEMENTO PARA INVESTIGACIN PARA EL INTEGRADOR PLANEACIN DE LA AUDITORA.El alumno investigar lo siguiente:Revise las leyes, tratados o regulaciones que son aplicables en Mxico. De aquellos elementos que identifique generar un resumen para contar con el concepto y logre dar una explicacin de cada una. Tome en consideracin la industria donde se desarrolla para enfocar su investigacin y logre integrar a su trabajo integrador.