Reporte: CISA Captulo 1 Proceso de Auditora de Sistema de Informacin

INSTITUTO TECNOLGICO LATINOAMERICANO

Auditora de Tecnologa de Informacin

Dr. Francisco Rafael Trejo Macotela

Reporte: Captulo 1 Proceso de Auditora de Sistema de Informacin

Adrian Hernndez MedinaAlejandra Ramrez AntonioBeatriz Alicia Rivera Mendoza

24-Julio-2015Contenido

1.Introduccin32.Objetivo33.Proceso de Auditora de Sistema de Informacin33.1.Referencia Rpida33.2.Gestin de la Funcin de Auditora de SI43.3.Estndares y Directrices de Aseguramiento y Auditora de TI de ISACA53.4.Anlisis de Riesgos173.5.Controles Internos183.6.Realizacin de Auditoras de SI193.7.Autoevaluacin del Control393.8.Cambios Emergentes en el Proceso de Auditora de SI414.Conclusiones435.Bibliografa436.Lista de acrnimos43

1. Introduccin

El presente trabajo tiene como finalidad presentar el proceso de Auditora de Sistemas de Informacin de CISA (Auditor Certificado de Sistemas de Informacin) la cual es una certificacin que forma parte de las certificaciones que ofrece ISACA (Asociacin de Auditora y Control en Sistemas de Informacin). Este reporte nicamente contempla el primer captulo del manual de preparacin para la certificacin CISA, en este captulo se abarcan los temas generales que se tratan en todo el manual, con la finalidad de que el aspirante a presentar el examen comprenda los conceptos abordados en todo el manual

2. Objetivo

Mostrar un marco de referencia de la certificacin CISA.

3. Proceso de Auditora de Sistema de Informacin

3.1. Referencia RpidaEn este captulo se muestra el marco para realizar un Auditora de SI, que incluye los requerimientos obligatorios relacionados con la misin y actividad del auditor tal como se muestra en la Figura 1

Figura 1 Referencia Rpida

Los temas clave que se desarrollan en este captulo son los siguientes: Roles y responsabilidades del auditor incluyen los resultados esperados Independencia del proceso de auditora y nivel de autoridad Requerimiento de planificacin independientemente de los objetivos Enfoque relacionado a controles para tener claro el enfoque de la auditora Alcance, Trabajo de Campo y Ejecucin se deben incluir en los riesgos de auditora Evidencia de Auditoria para respaldar la credibilidad y los reportes de auditora Responsabilidad de auditora y nivel de conocimientos al considerar los requerimientos legales que afectan la auditoria Enfoque orientado a Riesgos debe estar de acuerdo con los estndares y marcos de SI Comprender la diferencia entre objetivos y procedimientos de control

3.2. Gestin de la Funcin de Auditora de SIEn la Figura 2 se describe la Gestin de la Funcin de auditora

Figura 2 Gestin de la Funcin de auditora

3.3. Estndares y Directrices de Aseguramiento y Auditora de TI de ISACA3.3.1 Cdigo de tica Profesional de ISACA

ISACA establece este Cdigo de tica Profesional para guiar la conducta profesional y personal de los miembros de la asociacin y/o de los portadores de la certificacin.

Figura 3 Cdigo de tica Profesional de ISACA

3.3.2 MARCO GENERA DE ESTNDARES DE ASEGURAMIENTO Y AUDITORA DE TI DE ISACAEl carcter especializado de la auditoria de SI, y de las habilidades y conocimientos necesarios para llevar a cabo dichas auditorias, requieren estndares aplicables globalmente que sean pertinentes de forma especfica a la auditoria S.I. Una de las funciones ms importantes de ISACA es proveer informacin (conjunto comn de conocimientos) para respaldar los requerimientos de conocimiento.

Figura 4. Estndares de auditoria ISACA

3.3.3 Directrices de aseguramiento y auditoria de TI de ISACA

El objetivo de las directrices de aseguramiento y auditoria de TI de IASACA es proporcionar informacin adicional sobre como cumplir con los estndares de aseguramiento y auditoria de TI de ISACA. El auditor de SI debera:

Usar el juicio profesional para aplicarlo en auditorias especficas. Poder justificar cualquier diferencia.

ndice de directrices de aseguramiento y auditoria de TIG1 Uso del trabajo de otros Auditores, con efecto a partir del 1 de marzo de 2008G2 Requerimiento de Evidencia de Auditoria, con efecto a partir del 1 de mayo de 2008

G3 Uso de Tcnicas de Auditora Asistidas por Computadora (CAATs), con efecto a partir del 1 de marzo de 2008 G4 Contratacin de servicios externos de actividades de SI para otras organizaciones, con efecto a partir del 1 de mayo de 2008

G5 Estatuto de Auditora, con efecto a partir del 1 de febrero de 2008 G6 Conceptos de materialidad para la Auditora de Sistemas de Informacin, con efecto a partir del 1 de mayo de 2008

G7 Debido Cuidado Profesional, con efecto a partir del 1 de marzo de 2008 G8 Documentacin de la Auditora, con efecto a partir del 1 de marzo de 2008

G9 Consideraciones de Auditora para Irregularidades y Actos Ilegales, vigentes a partir del 1 de septiembre de 2008 G10 Muestreo de Auditora, con efecto a partir del 1 de agosto de 2008

G11 Efecto de los Controles Generales de SI, con efecto a partir del 1 de agosto de 2008 G12 Relacin organizacional e Independencia, con efecto a partir del 1 de agosto de 2008

G13 Uso de la Evaluacin de riesgos en la Planificacin de la Auditora, con efecto a partir del 1 de agosto de 2008 G14 Revisin de los sistemas de aplicacin, vigente a partir del 1 de diciembre de 2008

G15 Planificacin de la auditoria, vigente a partir del 1 de mayo de 2010G16 Efecto de Terceros en los controles de TI de una Organizacin, con efecto a partir del 1 de marzo de 2009

G17 Efecto del rol de No-Auditora sobre la auditora de TI y la Garanta de la Independencia del Profesional, vigente a partir del 1 de mayo de 2010 G18 Gobierno de TI, vigente a partir del 1 de julio de 2002

G19 Irregularidades y Actos Ilegales, Eliminada, 1 de septiembre de 2008 G20 Tcnicas de reporte, vigente a partir del 16 de septiembre de 2006

G21 Revisin del Sistema de planificacin de recursos de empresa (ERP), vigente a partir del 16 de septiembre de 2010G22 Revisin del comercio electrnico de empresa a cliente (B2C), vigente a partir del 1 de agosto de 2003

G23 Revisin del Ciclo de Vida de Desarrollo de Sistemas (SDLC), con efecto a partir del 1 de agosto de 2003 G24 Banca por Internet, con efecto a partir del 1 de agosto de 2003

G25 Revisin de Redes Privadas Virtuales, con efecto a partir del 1 de julio de 2004 G26 Revisin de Proyectos de Reingeniera de Procesos de Negocio (BPR), con efecto a partir del 1 de julio de 2004

G27 Computacin Mvil, con efecto a partir del 1 de septiembre de 2004G28 Cmputo Forense, con efecto a partir del 1 de septiembre de 2004

G29 Revisin Posterior a la Implementacin, con efecto a partir del 1 de enero de 2005G30 Competencia, con efecto a partir del 1 de junio de 2005

G31 Privacidad, con efecto a partir del 1 de junio de 2005G32 Revisin del Plan de Continuidad del Negocio desde una Perspectiva de TI, con efecto a partir del 1 de septiembre de 2005

G33 Consideraciones Generales sobre el Uso de Internet, con efecto a partir del 1 de marzo de 2006G34 Responsabilidad, Autoridad y Rendicin de cuentas, con efecto a partir del 1 de marzo de 2006

G35 Actividades de seguimiento, con efecto a partir del 1 de marzo de 2006G36 Controles Biomtricos, con efecto a partir del 1 de febrero de 2007

G37 Gestin de Configuracin, con efecto a partir del 1 de noviembre de 2007G38 Control de Acceso, con efecto a partir del 1 de febrero de 2008

G39 Organizaciones de TI, con efecto a partir del 1 de mayo de 2008G40 Revisin de las Prcticas de Gestin de Seguridad, vigente a partir del 1 de diciembre de 2008

G41 Retorno sobre la inversin en seguridad (ROSI) efectiva a partir del 1 de mayo de 2010G42 Aseguramiento continuo, efectiva a partir del 1 de mayo de 2010

3.3.4 HERRAMIENTAS Y TCNICAS DE ASEGURAMIENTO DE AUDITORA DE TI DE ISACALas herramientas y las tcnicas desarrolladas por a la Junta de Estndares de ISACA proveen ejemplos de procesos que un auditor de SI posiblemente podra seguir en un trabajo de auditoria. Para determinar si una herramienta y tcnica especfica es apropiada, los auditores de SI deben aplicar su juicio profesional a la situacin particular.No es obligatorio que el auditor de SI siga estas herramientas y tcnicas, no obstante, al seguir estos procedimientos el auditor tendr certeza de que est siguiendo los estndares.

ndice de herramientas y tcnicas de aseguramiento y auditora de TI

Figura 5. ndice de herramientas y tcnicas de aseguramiento y auditora de TI

3.3.5 RELACIONES ENTRE ESTNDARES, DIRECTRICES Y HERRAMIENTAS Y TCNICASLos estndares definidos por ISACA deben ser cumplidos por el auditor de SI. Las directrices proveen una gua sobre cmo puede el auditor implementar los estndares en diversas asignaciones de auditoria. Las herramientas y tcnicas proporcionan ejemplos de pasos que el auditor puede seguir en asignaciones de auditoria especficas para implementar los estndares, no obstante, el auditor de SI debe utilizar su juicio profesional al utilizar las directrices, las herramientas y las tcnicas.

3.3.6 INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK (ITAF)

Figura 6. INFORMATION TECHNOLOGY ASSURANCE FRAMEWORK

Seccin 2200Estndares Generales

Figura 7. Seccin 2200 Estndares Generales ISACA

Seccin 2400Estndares de Desempeo

Figura 8. Seccin 2400Estndares de Desempeo ISACA

Seccin 2600Estndares sobre InformesLos estndares sobre la elaboracin de informes tratan los tipos de informe, los medos de comunicacin y la informacin que se comunicaran.

Figura 9. Seccin 2600Estndares sobre Informes ISACA

Seccin 3000Directrices de Aseguramiento de TI

Figura 10. Seccin 3000Directrices de Aseguramiento de TI

Seccin 3200Temas relacionados con la empresa

Figura 11. Seccin 3200Temas relacionados con la empresa

Seccin 3400Procesos de gestin de TI

Figura 12. Seccin 3400Procesos de gestin de TI

Seccin 3600Procesos de aseguramiento y auditora de TI

Figura 13. Seccin 3600Procesos de aseguramiento y auditora de TI

Seccin 3800Gestin de aseguramiento y auditora de TI

Figura 14. Seccin 3800Gestin de aseguramiento y auditora de TI

3.4. Anlisis de RiesgosEl anlisis de riesgos es parte de la planificacin de auditora y ayuda a identificar los riesgos y vulnerabilidades par que el auditor de SI pueda determinar los controles necesarios para mitigar los riesgos.

En la Figura 3 se muestra el diagrama del proceso de evaluacin de Riesgos

Figura 15 Resumen de Proceso de Evaluacin de Riesgo

3.5. Controles InternosLos controles internos normalmente estn constituidos por polticas, procedimientos, prcticas y estructuras organizacionales implementadas para reducir los riesgos de la organizacin.

ClaseFuncinEjemplos

PreventivosDetecta los problemas antes de que aparezcanMonitorean tanto la operacin como las entradasIntentan predecir los problemas potenciales antes de que ocurran y realizan ajustesEvitan que ocurra un error

Emplean solo personal capacitadoSegregan funcionesControlan acceso a instalaciones fsicasUtilizan documentos bien diseadosEstablecen procedimientos adecuados para la autorizacin de transaccionesCompletan verificacin de edicin programadasUtilizan software de control de acceso a los archivosUtilizan software de encriptacin

DetectivosUtilizan controles que detectan e informan la ocurrencia de un error, omisin o acto fraudulentoTotales de comprobacinPuntos de verificacinControles de eco en telecomunicacionesMensajes de error en etiquetas de cintasVerificacin duplicada de clculosReporte de rendimiento peridicoInformes de cuentas vencidas

CorrectivoMinimizar el impacto de una amenazaRemediar problemas descubiertosIdentificar la causa de un problemaCorregir errores que surgen de un problemaModificar los sistemas de procesamiento para minimizar futuras ocurrencias del problemaPlanificacin de ContingenciaProcedimientos de respaldoProcedimientos de nueva ejecucin

Figura 16 Controles Internos

3.6. Realizacin de Auditoras de SIPara realizar una auditoria, se requieren varios pasos. Una planeacin adecuada es el primer paso necesario para realizar auditorias de SI efectivas.

Fig. 17 Se muestran los aspectos a realizar por un auditor

El proceso de auditoria incluye: Definicin del alcance de la auditoria Formulacin de objetivos Realizacin de procedimientos Revisin y evaluacin de evidencia Elaboracin de conclusiones Realizacin de reporte presentado a la gerencia.

Fig. 18 Se muestran las tcnicas de gestin de proyectos para realizar una auditoria

3.6.1 Clasificacin de AuditoriasFig. 19 Se muestra la clasificacin de auditoria

3.6.2 Programas de AuditoriaEl programa de trabajo de auditoria es la estrategia de auditoria y el plan de auditoria, este identifica el alcance, los objetivos y los procedimientos de auditoria para lograr evidencia suficiente, competente y confiable para obtener y sustentar las conclusiones y opiniones de auditoria.

Fig. 20 Se muestran los procedimientos generales de auditoraEl auditor de SI debe entender los procedimientos para la prueba y evaluacin de los controles de SI.

Fig. 21 Muestra los procedimientos de pruebas y evaluacin de los controles de SI

3.6.3 Metodologa de la AuditoriaUna metodologa de auditoria es un conjunto de procedimientos documentados de auditoria diseados para alcanzar los objetivos de auditoria planificados

Fig. 22 Muestra una tabla con las fases de la auditoria

3.6.4 Auditoria basada en el riesgoUn enfoque de auditoria basado en el riesgo esta generalmente adaptado para desarrollar y mejorar el proceso de auditoria continua. En un enfoque de auditoria basado en riesgos, los auditores de SI no se basan solo en el riesgo, si no que tambin se basan en los controles internos y operativos as como en sus conocimientos de la empresa o del negocio.Al entender la naturaleza del negocio, los auditores de SI pueden identificar y clasificar los tipos de riesgo que determinaran mejor el modelo de riesgo o el enfoque para llevar acabo la auditoria.

3.6.5 Riesgo y materialidad de la AuditoriaEl riesgo de auditoria puede ser definido como el riesgo que la informacin pueda contener errores importantes que pueden pasar sin ser detectados durante el curso de la auditoria

Fig. 23 Clasificacin de riesgos

El riesgo de auditoria se usa tambin a veces para describir el nivel de riesgo que un auditor de SI esta preparado para aceptar durante una asignacin de auditoria. Las consideraciones de materialidad, combinadas con una comprensin del riesgo de auditoria, son conceptos esenciales para planificar las reas que sern auditadas as como las pruebas especificas que se llevaran a cabo en una auditoria determinada.

3.6.6 Evaluacin y tratamiento de riesgos

Las evaluaciones de riesgos deben identificar, cuantificar y priorizar los riesgos contra criterios para aceptacin del riesgo y objetivos relevantes para la organizacin. Los resultados deben guiar y determinar la accin apropiada de a gerencia y las prioridades para gestionar los riesgos de seguridad de la informacin y para implementar controles seleccionados para proteger contra estos riesgos. El alcance de una evaluacin de riesgos puede ser o bien toda la organizacin, parte de la organizacin, un sistema de informacin individual, componentes especficos del sistema, o servicios en los que esto es practicable, realista y til.

Fig. 24 Tratamiento de riesgos

Los controles se pueden seleccionar a partir de este estndar u otro conjunto de controles, o es posible disear nuevos controles para cubrir las necesidades especificas de la organizacin.3.6.7 Tcnicas de valoracin de riesgosAl determinar cuales reas funcionales deberan ser auditadas, el auditor de SI podra enfrentarse con una gran variedad de sujetos de auditoria. Cada uno de ellos puede representar diferentes tipos de riesgo de auditoria. El auditor de SI debera evaluar estos candidatos con diferentes riesgos para determinar cuales son las reas de alto riesgo que debera ser auditadas.Uno de estos enfoques de evaluacin de riesgos es un sistema de puntuacin que es til para priorizar auditorias con base en una evaluacin de factores de riesgo.Los mtodos de evaluacin de riesgos pueden cambiar y desarrollarse atreves del tiempo para satisfacer las necesidades de la organizacin. El auditor de SI debera considerar el nivel de complejidad y detalle apropiados para la organizacin que se este auditando.

3.6.8 Objetivos de la auditoriaLos objetivos de la auditoria se refieren a las metas especificas que deben cumplirse por parte de la auditoria.Los objetivos de auditoria se centran a menudo en validar que existen controles internos para minimizar los riesgos del negocio y que estos funcionen como se espera. Un elemento clave en la planificacin de una auditoria de sistemas de informacin es traducir los objetivos de auditoria bsicos y de amplio alcance en objetivos especficos de auditoria de sistemas de informacin. El auditor de SI debe tener una comprensin de cmo se pueden traducir los objetivos generales de auditoria en objetivos especficos de control de los sistemas de informacin.De manera alternativa, un auditor de SI puede ayudar en la evolucin de la integridad de los datos de un informe financiero, la cual es conocida como prueba sustantiva, a travs de tcnicas de auditoria asistida por computadora.

3.6.9 Pruebas de cumplimiento vs Pruebas sustantivasLas pruebas de cumplimiento consisten en recolctar evidencia con el propositp de probar el cumplimiento de una organizacin con procedimientos de control. Eso difiere de la prueba sustantiva, en la que la evidencia se recoge para evaluar la integridad de transacciones individuales, datos u otra informacinUna prueba de cumplimiento determina si los controles estn siendo aplicados de manera que cumplen con las polticas y los procedimientos de gestin.Es importante que el auditor de SI entienda el objetivo especifico de una prueba de cumplimiento y del control que se esta probando.Los auditores de SI podrn usar pruebas sustantivas para comprobar si ay errores monetarios que afecten directamente a los saldos de los estados financieros u otros datos relevantes de la organizacin.

3.6.10 EvidenciasLa evidencia es cualquier informacin usada por el auditor de SI para determinar si la entidad o los datos que estn siendo auditados cumplen con los criterios u objetivos establecidos y soporta las conclusiones de auditoria.La evidencia de auditoria puede incluir observaciones del auditor de SI, notas de las entrevistas, material extrado de la correspondencia y documentacin interna o los contratos con socios externos o los resultados de los procedimientos de prueba de auditoria.

Fig. 25 Determinantes para evaluar la confidencialidad de la evidencia de la auditoria

El auditor de SI rene una variedad de evidencias durante la auditoria. Es importante que los auditores de SI tengan una comprensin de las reglas de la evidencia, ya que es posible que encuentren una variedad de tipos de evidencia

Fig.26 Tcnicas para la recopilacin de evidencia

Los auditores de SI deberan reconocer que con las tcnicas de desarrollo de sistemas, como la ingeniera de software asistida por computadora o creacin de prototipos no se requerir la documentacin de sistemas tradicionales o estar en una forma autorizada en vez de estar en papel.

3.6.11 MuestreoEl muestreo es usado cuando las consideraciones de tiempo y de costo impiden una verificacin total de todas las transacciones o eventos en una poblacin definida previamente.

Fig. 27 Tipos de muestreo de auditoria

Al utilizar mtodos de muestreo estadstico o no estadstico, el auditor de SI debera disear y seleccionar una muestra de auditoria, ejecutar procedimientos de auditoria y evaluar los resultados de la muestra para obtener evidencia de auditoria suficiente , confiable, relevante y til.Dentro de estos dos enfoques generales para muestreo de auditoria, existen dos mtodos principales de muestreo usados por los auditores de SI: muestreo de atributos y muestreo de variables.

Fig. 28 Mtodos de muestreo

Es importante saber que existen herramientas para analizar la totalidad de los datos, no solo aquellas disponibles a travs de tcnicas de auditorias asistidas por computadora.

3.6.12 Tcnicas de auditoria asistidas por computadoraDurante la ejecucin de la auditoria, el auditor de SI debe obtener evidencia suficiente, relevante y til para lograr de manera efectiva los objetivos de la auditoria. En la actualidad, los ambientes de proceamiento de informacin plantean un duro desafio al auditor de SI para la recopilacin de evidencia sufciente relevante y til ya que la evidencia existe en medios magnticos.Las CAATs son herramientas impprtantes para el auditor de SI para recolectar informacin de estos ambientes. Estas mismas incluyen numerosos tipos de herramientas y tcnicas, tales como software de uso generalizo en auditoria (GAS), entre otros.El GAS se refiere al software estndar que tiene la capacidad de leer y acceder a los datos directamente de diversas plataformas de BD, sistemas de archivos planos y formatos ASCII.

Fig. 29 Funciones soportadas por GAS

Un auditor de SI debera ponderar el costo y los beneficios de las CAATs antes de invertir esfuerzo, tiempo y gastos para comprarlos o desarrollarlos.

Fig. 30 Beneficios de las CAATs

La mayora de los CAATs proveen la descarga de los datos de produccin de los sistemas de produccin a una plataforma independiente y luego proveen la realizacin del anlisis a partir de la plataforma independiente, y finalmente aislar los sistemas de produccin de cualquier impacto adverso.

3.6.13 Evaluacin de las fortalezas y debilidadesEl auditor de SI revisara la evidencia recopilada durante la auditoria para determinar si las operaciones revisadas estn bien controladas y son efectivas. Normalmente un objetivo de control no se alcanza considerando que un control es adecuado.Por el contrario el auditor de SI llevara acabo una variedad de procedimientos de prueba y evaluara como estos se relacionan entre si. El auditor de SI puede encontrar que no todos los procedimientos de control estn establecidos pero debera de evaluar la totalidad de los controles considerando las fortalezas y debilidades de los procedimientos de control.

3.6.14 Comunicacin de los resultados de la auditoriaLa entrevista final llevada acabo al final de la auditoria, provee al auditor de SI la oportunidad de discutir los hallazgos y las recomendaciones con la gerencia.

Fig. 31 Puntos a considerar por el auditor para la entrevista final

Antes de comunicar los resultados de una auditoria a la alta direccin, el auditor de SI debera discutir los hallazgos con el personal directivo de la entidad auditada. El auditor de SI deber comunicar la diferencia entre el rol de un auditor y un consultor, y prestar suma consideracin a como bridar apoyo al auditado pudiera afectar adversamente la independencia del auditor de SI.

3.6.15 Estructura y contenido del informe de auditoriaLos informes de auditoria son el producto final del trabajo de auditoria de SI

Fig. 32 Contenido del reporte de auditoria

El auditor de SI sin embargo, debera tomar la decisin final acerca de que incluir o excluir del informe de auditoria. La gerencia del auditado evala los hallazgos, estableciendo las acciones correctivas a tomar y plazos para su implementacin. El auditor de SI debera discutir las recomendaciones y las fechas planificadas de implementacin mientras esta en el proceso de emitir el informe de auditoria.

Cuando sea apropiado el auditor de SI debera de comunicar prontamente los hallazgos significativos a las personas adecuadas antes de la emisin del informe. La comunicacin previa de hallazgos significativos no debera alterar la intencin o el contenido de informe.

3.6.16 Implementacin de las recomendaciones por parte de la gerenciaLos auditores de SI deberan de estar consientes de que la auditoria es un proceso continuo. El auditor de SI no es eficaz si se realizan las auditorias y s emiten los informes. El plazo del seguimiento depender de la gravedad de los hallazgos y estara sujeto al criterio del auditor de SI. Los resultados del seguimiento se deberan comunicar a los niveles apropiados de la gerencia.

3.6.17 Documentacin de la auditoria

Fig. 33 Pasos de la documentacin de la auditoria

3.7. Autoevaluacin del ControlLa autoevaluacin del control (CSA) puede definirse como una tcnica de la direccin que asegura a las partes interesadas, los clientes y otros que el sistema de control interno de la organizacin es segura.

La Figura 6 muestra Mtodo de implementacin del programa CSA

Figura 34 Mtodo de implementacin del programa CSAEn la siguiente tabla se muestra algunos aspectos relevantes de CSA

CaractersticaDescripcin

Objetivo de CSAApalancar la funcin de auditora interna cambiando algunas de las responsabilidades de monitoreo.Educan a la gerencia sobre el diseo y monitoreo de los controles, en particular concentracin en las reas de riesgo.

Beneficios de CSADeteccin temprana de riesgosControles internos mas efectivos y mejoradosMayor conciencia de los empleados sobre los objetivos de la organizacinEmpleados sumamente motivadosMayor seguridad de las partes interesadas y clientesReduccin del costo de controlMayor comunicacin entre los mandos operativos y la alta direccin

Desventajas de CSAPodra confundirse con un remplazo de la funcin de auditoraSe le considera una carga de trabajo adicionalNo implementar las mejoras sugeridas podra daar la moral de los empleados

Rol del auditorSe considera que el rol del en CSAs ha mejorado cuando el departamento de auditora establece un programa de CSA

Impulsores tecnolgicos para el programa CSACombinacin de hardware y software para soportar la seleccin de CSA y un uso de un sistema electrnico de reunin y apoyo para la toma de decisiones

Figura 35 Caractersticas del programa CSA

El enfoque CSA, enfatiza la gestin y rendicin de cuentas sobre el desarrollo y el monitoreo de los controles internos de los procesos de negocio sensibles y crticos de una organizacin.Un resumen de atributos o enfoques que distingue a cada uno de ellos se describe en la Figura

Histrica TradicionalCSA

Asigna funciones/supervisa personalEmpleados con autoridad/responsables

Controlado por polticas y reglasMejora continua/curva de aprendizaje

Participacin limitada de empleadosParticipacin y capacitacin extensivas a empleados

Inters reducido de las partes interesadasInters extenso de las partes interesadas

Auditores y otros especialistasLos miembros del personal a todo nivel, en todas las funciones, son los principales analistas de control

Encargados de elaborar informesEncargados de elaborar informes

Figura. 36 Atributos tradicionales y de CSA

3.8. Cambios Emergentes en el Proceso de Auditora de SIEl proceso de auditora de SI debe cambiar constantemente para mantener el paso de las innovaciones en la tecnologa. Los temas para encarar estos cambios emergentes incluyen reas tales como auditora integrada y auditora continua.La auditora Integrada exige un enfoque sobre el riesgo del negocio y una motivacin por lograr soluciones creativas de control. Usar este enfoque permite una sola auditora en una entidad con un informe completo. Ver figura

Figura 37 Auditora Integrada

La auditora continua tiene como caractersticas un corto lapso de tiempo entre los hechos a ser auditados y el informe de auditora

La figura 10 muestra las caractersticas de la auditora Integrada y la auditora Continua

Figura 38 Auditora Integrada y Auditora Continua

4. Conclusiones

El xito de una empresa depende de la eficiencia de sus sistemas de informacin, la auditoria de sistemas debe hacerse por gente altamente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada,principalmente econmicas, de igual manera deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.La auditoria es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).Al final de la auditora, los auditores de SI preparan y entregan un informe resumido para la empresa. El resumen del informe detalla todos los hallazgos de la auditora. Esto incluye las discrepancias encontradas en la presentacin de informes y el incumplimiento de las normas y reglamentos. Los hallazgos del auditor ofrecen a la compaa una forma de corregir las discrepancias y llegar a cumplir antes de que un cuerpo regulatorio lo informe.

5. Bibliografa

ISACA. (2012). Manual de Preparacin al Examen CISA. ISACA

6. Lista de acrnimos

ISACA.- Information Systems Audit and Control Association (Asociacin de Auditora y Control en Sistemas de Informacin).CISA.- Certified Information Systems Auditor (Auditor Certificado de Sistemas de Informacin).GAS.- Software de uso Generalizado en AuditoriaCAATs.- Computer Aided Audit ToolsITAF.- Information Technology Assurance FrameworkSI.-Sistemas de InformacinTI. Tecnologas de la InformacinITGC. Auditoria de Controles Generales de TI

44