Explicación del tema 1

Proyecto integrador de administración de tecnologías de información Tema 1. Planeación de la auditoría

1.1 Tipos de auditoría

Las auditorías se pueden clasificar en tres tipos, cada uno de los cuales representa un nivel de

confianza diferente y la definición de objetivos únicos; sin embargo, en todos se propone determinar la verdad.

1. Auditorías y valoraciones internas. Involucra auditar a la organización donde trabajas

para descubrir evidencia de lo que está ocurriendo dentro de la organización.

2. Auditoría externa. Involucra que el cliente realice la auditoría o que tu empresa audite a

algún proveedor.

3. Auditoría independiente. Es realizada por entidades externas especializadas en el tema.

Como auditor debes auditar productos, procesos, sistemas o los documentos financieros, cada uno de los cuales requiere un enfoque distinto; por ejemplo:

Productos. Revisar atributos con base en las especificaciones

del diseño (tamaño, color y marcas).

Procesos. Evaluar el método de procesos para determinar si

las actividades o las secuencias de actividades cumplen con los

requerimientos establecidos en la empresa.

Sistemas. Evaluar la administración del sistema, incluyendo su

configuración.

Financiera. Verificar los documentos financieros, transacciones y cuentas de balance.

Al iniciar una auditoría es importante que identifiques los diferentes programas de auditoría a los

cuales puedes estar ligado:

1. Productos o servicios. Eficiencia, efectividad, controles y costos del ciclo de vida 2. Procesos. Métodos o resultados 3. Sistema. Diseño o configuración 4. Controles generales. Preventivos, detecciones y correctivos 5. Planes organizacionales. Objetivos actuales y futuros

Como puedes observar, cada tipo de auditoría se enfoca en diferentes componentes de la organización, por lo que es necesario que, para que la auditoría refleje completamente el estado actual de la organización (con sus áreas de oportunidad y sus fortalezas), el auditor se enfoque en una búsqueda de hechos.

A su vez, deberás considerar los requerimientos específicos del negocio ya que algunos son únicos para cada auditoría y otros pueden ser comunes dependiendo de su entorno, ya que cada negocio tiene sus propias oportunidades, desafíos y limitaciones.

Es necesaria una planeación adecuada para asegurar que la auditoría misma no afecte a la

empresa, o desperdicie recursos valiosos incluyendo tiempo y dinero.

1.2 Pre-planeación de auditoría

Para realizar una auditoría exitosa, el primer paso es generar la planeación del proyecto de auditoría, necesaria para establecer los objetivos de la misma. Los análisis deben realizarse, como mínimo una vez al año, para incorporar el flujo constante de actualizaciones en la industria en donde se realizará la auditoría y en el proceso de la auditoría misma.

Los objetivos de auditoría deben incluir el cumplimiento de los estándares profesionales de auditoría (por ejemplo ISACA) y las leyes aplicables al momento de la auditoría.

Como auditor de sistemas de información debes estar preparado para justificar cualquier incumplimiento de los estándares profesionales de auditoría.

Para generar una planeación necesitas considerar el impacto de la auditoría en la operación de la organización, por lo que debes entender el negocio, su propósito y definir los límites de la auditoría; lo cual se debe basar en los tipos de auditoría y en los componentes que se exponen en la siguiente tabla, en donde se explica el fundamento de cada uno y algunas preguntas como ejemplo que ayuden a obtener la información necesaria.

Componentes de la empresa

Fundamento Pregunta

Conocimiento del entorno de

negocio

Para poder definir y alinear adecuadamente la auditoría es importante que conozcas las regulaciones que se establecen en el entorno industrial o comercial en donde se desenvuelve la empresa.

¿Se han promulgado leyes nuevas que afecten a la auditoría? ¿Cuáles son los ciclos de negocio en la empresa?

Objetivos estratégicos

Esta estrategia define lo que la empresa estará haciendo durante los siguientes tres o cinco años.

¿Cuál es la dirección y la estructura de la organización en la empresa? ¿Cuál es el plan organizacional para la integración de los sistemas de información?

Objetivos financieros

Enfoque para el manejo de sus inversiones.

¿Cómo son administrados sus activos? ¿Cuáles son los planes de continuidad del negocio?

Objetivos operacionales para el control

interno

Las actividades operacionales se enfocan en el funcionamiento en un período del negocio (usualmente de 12 a 14 meses); siendo el enfoque que se tiene que hacer en el día a día y en el año.

¿Cuáles son las políticas o procedimientos que se deben probar? ¿Esta auditoría solamente se basará en aspectos administrativos?

¿Cómo se administran las métricas de rendimiento?

1.3 Directrices de la auditoría

Una vez que conozcas cómo la empresa desarrolla sus procesos y administra su entorno, debes recordar que el objetivo principal de una auditoría de sistemas de información es asegurar que no haya riesgos de seguridad, operación, cumplimiento de regulaciones y desempeño financiero para la compañía.

Las principales directrices son las siguientes:

Desarrollar e implementar una estrategia de auditoría basada en el riesgo para la organización en las demandas con los estándares de auditoría de SI y mejores prácticas.

Planear auditorías específicas para asegurar que la tecnología de información y los sistemas de información del negocio son protegidos y controlados.

Dirigir auditorías de acuerdo con los estándares de auditoría de sistemas de información y las mejores prácticas para alcanzar los objetivos planeados de la auditoría.

Comunicar problemas que surjan, riesgos potenciales y los resultados de la auditoría a los socios más importantes de la empresa.

Aconsejar la importancia de la implementación de la administración de riesgo y prácticas de control dentro de la organización mientras se mantiene la independencia.

1.4 Administración de proyectos

La auditoría de sistemas de información y la administración de proyectos son dos ramas que van de la mano, ya que como

administrador de proyectos defines lo que debes cumplir y las acciones que realizas como parte del proyecto (que prácticamente corresponde a los mismos pasos que realizas al hacer una auditoría).

Otra de las grandes coincidencias entre la administración de

proyectos y la auditoría es el propósito, el cual es crear un mejor resultado que el que actualmente está ocurriendo y ayudar a superar las limitaciones de tiempo, recursos y calidad.

Todos los proyectos tienen las siguientes características:

1. Es temporal. Tiene una duración establecida. 2. Es único. Todos los proyectos son aplicados con un propósito único. 3. Es elaborado progresivamente. Empiezan con ideas de alto nivel y se van especificando

conforme va avanzando la planeación.

Como puedes ver, existe mucha similitud entre la administración de proyectos y la aplicación de una auditoría, por lo que es recomendable que como auditor de sistemas de información tengas conocimiento de lo que significa la administración de proyectos. La entidad más reconocida para

PM (Administración de Proyectos) es PMI (Project Management Institute), la cual cuenta con varias certificaciones y lineamientos establecidos para ser un administrador de proyectos certificado.

Un administrador de proyectos debe balancear las demandas y su valor se puede dividir en:

Ámbito de aplicación. En dónde se está realizando el proyecto y cómo afecta en la organización.

Recursos (costo, tiempo). Especificar y administrar costos, riesgos y tiempo para la

realización del proyecto.

Calidad. Establecer los estándares mínimos para la realización del proyecto.

A su vez, un administrador de proyectos debe contar con un conjunto de habilidades y conocimientos, que como auditor facilitarán el trabajo:

Saber cómo liderar y administrar los proyectos.

Entender los detalles del entorno del negocio.

Ser amable y sin embargo convencer a la gente de llegar a un acuerdo.

Saber cómo funcionan, específicamente, las aplicaciones.

Explicación del tema 2

Proyecto integrador de administración de tecnologías de información Tema 2. Documentos operacionales en la empresa

2.1 Políticas

Las políticas son los documentos de más alto nivel dentro de la empresa

y son firmados por una persona con muy alta autoridad (como por ejemplo un CEO, presidente, vicepresidente u oficial corporativo).

La política es un documento muy simple donde se establece que un objetivo de control particular es muy importante para el éxito de la empresa.

Las políticas pueden estar redactadas solamente en una página y representan la visión de los puestos directivos de la empresa para lograr el éxito. Todas las políticas sonobligatorias y se deben cumplir.

Las características más importantes de las políticas son las siguientes:

Proveen énfasis a objetivos vitales en la empresa.

Definen la dirección de la empresa.

Son firmadas por una autoridad directiva reconocida.

Se crean, principalmente, por los ejecutivos en jefe, oficiales financieros y oficiales operativos.

2.2 Estándares

Son documentos de nivel medio que aseguran la aplicación

uniforme de las políticas. Después de que los estándares son aprobados por la administración, su cumplimiento es obligatorio. Todos los estándares son utilizados como puntos de referencia para

asegurar que se cumplan, en todo el entorno de la empresa y en su estructura organizacional, los niveles esperados en la aplicación de las políticas. Los estándares son utilizados como base en las pruebas y en las auditorías para verificar que los procesos y los sujetos

estén realizando las acciones o pasos a seguir de acuerdo a lo establecido por la empresa y, de esta forma, certificar que hay un nivel mínimo uniforme de cumplimiento.

Sus características más importantes son las siguientes:

Especifican métodos uniformes para la aplicación de la política.

Su cumplimiento es obligatorio.

Estándares públicos incluyen a los siguientes: o ISO (International Organization for Standardization) o Sarbanes-Oxley o Las leyes establecidas por el gobierno en donde se desenvuelve la empresa

2.3 Líneas

Están diseñadas para proveer consejo sobre cómo los objetivos organizacionales pueden ser obtenidos en caso de que los estándares no estén aprobados por la

administración.

Su propósito es proveer información que ayude a tomar decisiones acerca de las acciones que afecten

directamente al cumplimiento de los objetivos (lo que se debe hacer), beneficios alternativos (lo que se puede hacer) y acciones que no podrían crear problemas (lo que no lastimará). Su uso es discrecional.

Sus principales características son:

Son acciones sugeridas y a considerar en caso de que no exista un estándar aplicable.

Su uso es discrecional.

Se pueden utilizar como base para la creación de nuevos estándares.

2.4 Procedimientos

Los procedimientos los puedes ver como libros de cocina, ya que se realizan las instrucciones paso a paso y se llevan a

cabo tareas específicas que son necesarias para cumplir un estándar. Los detalles de estas tareas son escritos y se utiliza un formato que muestre “el paso a paso”, es decir, desde el inicio del procedimiento hasta el final del mismo. Deben incluir un apartado de problemas comunes y los pasos necesarios para que en caso de que el usuario se tope con alguno de ellos sea capaz de resolverlo y cumplir con el estándar establecido sin afectar el funcionamiento del procedimiento. El cumplimiento de los procedimientos establecidos esobligatorio, ya que se asegura consistencia y exactitud en los resultados. El propósito de un proceso es mantener control del resultado.

Sus principales características son las siguientes:

Instrucciones “paso a paso” para realizar acciones deseadas.

Proveen soporte para el cumplimiento del estándar.

El cumplimiento es obligatorio.

Ejemplo

Explicación del tema 3

Proyecto integrador de administración de tecnologías de información Tema 3. Estándares de sistemas de información

3.1 Verificación de calidad en la definición de procedimientos

La naturaleza especializada de la auditoría de SI (sistemas de información) así como las habilidades y conocimientos necesarios para realizar dicha auditoría, requieren estándares de calidad globales.

Estos estándares:

Son los niveles mínimos de rendimiento requeridos para alcanzar las responsabilidades profesionales, establecidos en el Código de Ética Profesional para un auditor de SI.

Establecen la comunicación entre los directores u otros departamentos interesados en la auditoría de SI.

Los estándares de auditoría se clasifican de la siguiente manera:

S1. Informe de auditoría. El propósito, responsabilidad, autoridad y cumplimiento de la auditoría de SI o de las asignaciones de la auditoría, así como todas las obligaciones del auditor, deben ser apropiadamente documentados en un informe de auditoría o en una carta de responsabilidad.

El informe o carta de responsabilidad debe ser validado y aprobado dentro de los niveles adecuados en la organización.

S2. Independencia.

Independencia profesional. En todos los términos relacionados a la auditoría, el auditor de SI debe ser totalmente independiente del auditado en la actitud y en laapariencia.

Independencia organizacional. La función de auditoría de SI debe ser independiente del área o actividad que está siendo revisada y que implique cumplir con el objetivo asignado de la auditoría.

S3. Ética profesional y estándares.

El auditor de SI debe cumplir con el Código de Ética Profesional de ISACA y debe ejercer y mantener su cuidado profesional, incluyendo observancia de los estándares de calidad de auditoría.

S4. Competencia profesional.

El auditor debe ser profesionalmente competente y mantener una competencia profesional mediante una educación continua y capacitación profesional adecuada.

S5. Planeación.

Se debe planear la cobertura de la auditoría para cumplir con los objetivos,

las leyes reguladoras y los estándares de auditoría. A su vez se debe desarrollar y documentar una auditoría con la base de riesgo calculado.

S6. Rendimiento del trabajo de auditoría.

El auditor debe cumplir cabalmente con una supervisión adecuada, obtención de evidencia y documentar todo el proceso de la auditoría.

S7. Presentación de informes.

Se debe proveer un informe que presente todos los resultados y las recomendaciones de la auditoría, y debe ser entregado con base en los acuerdos establecidos en el informe de auditoría y en la carta de responsabilidad.

S8. Actividades de seguimiento.

Al presentar los resultados y las recomendaciones, el auditor debe solicitar y evaluar la información relevante para concluir las acciones a realizar en un tiempo determinado.

S9. Irregularidades y actos ilegales.

El auditor debe tener en cuenta todas las irregularidades y actos ilegales que puede detectar en la auditoría y reportarlos en caso de que los llegara a confirmar. Para que esto suceda, debe recabar suficiente evidencia para que respalde cualquier hallazgo que signifique algún problema legal para la empresa.

S10. Gobierno de TI.

El auditor debe verificar que las funciones de SI estén alineadas con la misión, visión, valores, objetivos y estrategias; a su vez, debe verificar que los recursos de SI estén siendo utilizados de la mejor manera por la administración.

S11. Uso de la evaluación de riesgos en la planeación de la auditoría.

Se debe determinar un método que asegure un cálculo de riesgos en la auditoría, lo más cercano a la realidad posible.

S12. Importancia de la auditoría.

Se debe cumplir con la posible ausencia de controles en los procesos de la empresa y se deben reportar a la gerencia.

S13. Utilizando el trabajo de otros expertos.

Se debe consultar el trabajo de expertos en auditoría, siempre y cuando sea adecuado al proyecto en cuestión.

S14. Auditoría de evidencias.

Se debe obtener suficiente evidencia para apoyar sus conclusiones, en las cuales estarán basados los resultados de la auditoría.

El cumplimiento de estos estándares asegura que la calidad de la auditoría, en los SI de la empresa, sea de acuerdo a los estándares internacionales de ISACA; sin embargo, para hacer acuerdos de niveles mínimos de calidad en la empresa se utilizan los acuerdos de nivel de servicios, mejor conocidos como SLA (Service Level Agreement).

3.2 SLA

Los SLA son medios contractuales para ayudar al departamento de SI a administrar los recursos de información bajo el control de un proveedor; estipulan y comprometen al proveedor a un nivel mínimo de servicio y opciones de servicios. Esto incluye garantizar un nivel de rendimiento del sistema con respecto del tiempo de inactividad, así como el tiempo de actividad, acompañado de un nivel de soporte al cliente, previamente establecido.

El software y hardware requerido para que se provea el servicio son establecidos en los SLA y se especifican las multas y opciones para reforzar los servicios que no sean provistos por el proveedor; también puede incluir incentivos como bonos o aumentos de participación por exceder los niveles mínimos establecidos.

Explicación del tema 4

Proyecto integrador de administración de tecnologías de información Tema 4. Recopilación de la información

4.1 Tipos de evidencia

Como auditor debes estar consciente que la recolección de pruebas es uno de los objetivos básicos de tu función, ya que con ellas puedes probar tus hallazgos y conclusiones; recuerda que laausencia de evidencia es la ausencia de pruebas.

Las evidencias se clasifican en dos tipos principales:

1. Directas. Prueban la existencia de un hecho, sin interferencia o

presunción. La interferencia se da cuando se diseña una proposición lógica y razonable de algún supuesto que puede ser verdad. Este tipo de evidencia incluye los testimonios inalterados

de testigos y documentos escritos.

2. Indirectas. Usan la hipótesis, sin evidencia directa, para hacer

demandas consistentes en interferencias y presunciones. Esta evidencia está basada en una cadena de circunstancias, que las llevan a las demandas, sin la intención de probar la existencia o no existencia de los hechos; también es conocida como evidencia circunstancial.

También es importante que evalúes la fiabilidad de la evidencia recolectada, esto lo haces basándote en las siguientes características:

1. Independencia del origen de la evidencia. La evidencia recolectada, por fuentes

externas al auditado, es más confiable que las recolectadas dentro de la organización.

2. Evaluaciones de la persona que provee la información/evidencia. Independientemente

si la fuente es externa o interna de la organización, el auditor de sistemas de información debe siempre considerar las evaluaciones y las responsabilidades de la persona que provee la información. A su vez, el auditor debe comprender cómo funciona el área a auditar, ya que en caso de que no comprenda cómo se desarrollan los procesos, la evidencia recolectada puede no serle útil.

3. Objetividad de la evidencia. La evidencia objetiva es más confiable que la evidencia que

requiere un análisis o interpretación considerable.

4. Tiempo de vida de la evidencia. Se debe considerar el tiempo durante el cual la

información existe y está disponible determinando el origen, tiempo y extensión de las pruebas de conformidad y, en caso de ser aplicable, realizar pruebas de confirmación.

Como auditor, tu principal objetivo, en cuanto a la recolección de evidencias, es tratar de obtener la mejor evidencia en la auditoría; lo óptimo es el uso de evidencia directa ya que la indirecta tiene un valor más bajo por su naturaleza subjetiva. Una auditoría sin evidencia directa, típicamente, es inaceptable.

Como auditor de SI utilizarás técnicas muy parecidas a un detective para recolectar evidencia, alguna será de gran valor y otra no tendrá tanto, por lo que siempre deberás valorar la calidad y la cantidad de la evidencia. Podrás encontrar evidencia por medio de tus propias observaciones, revisando documentos internos, utilizando herramientas asistidas por computadora para auditoría conocidas como CAAT, o revisando correspondencia y la minuta de las juntas.

Algunas de las evidencias que puedes encontrar son las siguientes:

1. Evidencia documentada 2. Extracción de datos por medio de herramientas automatizadas 3. Reclamos del auditado 4. Análisis de la planeación, políticas, procedimientos y diagramas de flujo de la organización 5. Resultados de las quejas y exámenes de auditoría de fondo 6. Observaciones del auditor sobre el trabajo del auditado o repetición del proceso

seleccionado

Toda la evidencia debe evaluarse para determinar su relevancia y su fiabilidad, ya que la calidad de la evidencia que obtengas tendrá un efecto directo sobre los hallazgos que desees probar al auditado.

4.2 Clasificación de pruebas

Las pruebas se clasifican en dos tipos básicos que son los siguientes:

1. Pruebas de cumplimiento. Comprueban la presencia o ausencia

de algo, incluyendo la verificación de políticas y procedimientos establecidos, y revisando que los usuarios, que cuenten con el permiso adecuado, puedan cambiar los controles de procesos llevando un control en los logs del sistema. Estas pruebas están basadas en los siguientes tipos de muestras de

auditoría:

a. Muestras de atributo. Su objetivo es determinar si un

atributo está presente o ausente en la muestra. El resultado es especificado por la tasa de ocurrencia; por ejemplo, el

archivo resultados_Nmes.xls se encuentra 1 en 5 meses que sería un 20%.

b. Muestras de stop-and-go. Son utilizadas cuando los errores son esperados, ya

que permite a la prueba ocurrir sin esfuerzos excesivos en muestreo y provee la

oportunidad de detener la prueba lo más pronto posible.

c. Muestras de descubrimiento. Es usado para detectar fraude o cuando el

porcentaje de descubrir evidencia es muy bajo.

d. Porcentaje de error esperado. Es el margen de error aceptable entre las

muestras de auditoría y la cantidad de la población.

2. Pruebas extensas. Buscan verificar el contenido y la integridad de la

evidencia, pueden incluir cálculos complejos para verificar las cuentas de los balances, hacer inventarios físicos, etc. Usan muestras de auditoría seleccionadas por el valor monetario o para proyectar un grupo total de grupos con mismas características.

Están basadas en los siguientes tipos de muestras de auditoría:

a. Muestras variables. Designan el valor monetario o el peso

de la efectividad de toda la población mediante la

segmentación de un grupo más pequeño.

b. Estimación diferencial. Determina la diferencia de valor entre los reclamos de los

auditados y los no auditados.

4.3 Ciclo de vida de las evidencias

La evidencia pasa a través de 7 fases en el ciclo de vida necesarios en cada auditoría. Cada

auditor de SI debe permanecer atento a las demandas legales, que siempre están presentes, con base en el manejo de la documentación y evidencia de los resultados de la auditoría.

Recuerda que toda la información que estás recabando en la empresa es la base de sus procesos y reflejan todas las ventajas, desventajas y oportunidades de las mismas, por lo que debes ser muy cuidadoso con el manejo de toda la evidencia que recabes.

En caso de haber una falla en la cadena de custodia de la evidencia, ésta podrá ser descalificada; el manejo de la evidencia es tan importante como el descubrimiento de alguna actividad ilícita. Las 7 fases del ciclo de vida de las evidencias son las siguientes:

1. Identificación. El auditor necesita identificar los artículos y objetos, que puedan ser

evidencia, que se puedan solicitar a préstamo.

2. Colección. El proceso de colección involucra tomar posesión de la evidencia y colocarla

bajo custodia de un auditor.

3. Preservación inicial del almacenaje. Uno de los problemas más graves con la evidencia

es el reto de preservarla en su estado original, por lo que este proceso es un componente vital en la cadena de custodia, ya que su objetivo es que se garantice que esté protegida y

no sea alterada en ningún momento.

4. Análisis. En esta fase, las muestras de evidencia son examinadas por observación,

exámenes científicos y mediciones cualitativas y cuantitativas. Todo este proceso debe ser

documentado.

5. Preservación y post análisis del almacenaje. Después de las pruebas, la evidencia y las

muestras deben ser regresadas para preservarse y tener un almacenaje seguro. La evidencia seguirá en almacenaje hasta que se presente o se vuelvan a realizar exámenes; en caso de volver a realizar exámenes la evidencia se regresará a la fase de análisis, de

no ser así, continuará a la siguiente fase.

6. Presentación. La evidencia y los hallazgos son presentados en apoyo del reporte del

auditor, en caso de ser necesario la evidencia y hallazgos regresarán a la fase previa hasta

que estén totalmente listos para presentarlos.

7. Regreso de la evidencia. La evidencia es regresada al dueño después de que los

exámenes de la auditoría sean evaluados exitosamente o después de que los procedimientos legales sean concluidos.