Auditoria Primer Parcial

FUNDACIÓN yo
PARA LA AUDITORÍA
Capítulo 1
Tecnologías de la información
Auditoría de medio ambiente y TI
OBJETIVOS DE APRENDIZAJE
1. Analice cómo la tecnología evoluciona constantemente y da forma a los entornos empresariales (TI) actuales.
2. Analice la profesión de auditor y defina la auditoría financiera.

3. Diferenciar entre los dos tipos de funciones de auditoría que existen en la actualidad (internas y externas).
4. Explique qué es la auditoría de TI y resuma sus dos grandes grupos.

5. Describa las tendencias actuales de auditoría de TI e identifique las necesidades de tener una auditoría de TI.
6. Explique las distintas funciones del auditor de TI.

7. Respalde por qué la auditoría de TI se considera una profesión.
8. Describa el perfil de un auditor de TI en términos de experiencia y habilidades requeridas.

9. Analice las oportunidades profesionales disponibles para los auditores de TI.
Actualmente, las organizaciones dependen más de la información y son más conscientes de la naturaleza omnipresente de la tecnología en
toda la empresa comercial. La mayor conectividad y disponibilidad de sistemas y entornos abiertos ha demostrado ser el sustento de la
mayoría de las entidades comerciales. La tecnología de la información (TI) se utiliza ahora más ampliamente en todas las áreas del comercio
en todo el mundo.
Entorno de TI
La necesidad de un mejor control de la tecnología de la información, especialmente en el comercio, se ha planteado a lo largo de los años
en estudios anteriores y continuos de muchas organizaciones nacionales e internacionales. Esencialmente, la tecnología ha impactado
varias áreas importantes del entorno empresarial, incluido el uso y procesamiento de la información, el proceso de control y la profesión de
auditoría.
3
4 • Control y auditoría de tecnologías de la información
• La tecnología ha mejorado la capacidad de capturar, almacenar, analizar y procesar enormes

cantidades de datos e información, ampliando el empoderamiento del tomador de decisiones comerciales. También se ha
convertido en un habilitador principal para los procesos de producción y servicio. Existe un efecto residual en el sentido de que el
mayor uso de la tecnología ha dado lugar a mayores presupuestos, mayores éxitos y fracasos y una mejor conciencia de la
necesidad de controlar.
• La tecnología ha impactado significativamente proceso de control alrededor de los sistemas. Aunque con-
En general, los objetivos de control se han mantenido constantes, salvo algunos que son específicos de la tecnología, la
tecnología ha alterado la forma en que se deben controlar los sistemas. Salvaguardar
bienes, como objetivo de control, sigue siendo el mismo si se hace manualmente o de forma automática. Sin embargo, la forma
en que se cumple el objetivo de control ciertamente se ve afectada.
• La tecnología ha impactado a la profesión de auditoría en términos de cómo se realizan las auditorías.
(captura y análisis de información, preocupaciones de control) y el conocimiento requerido para sacar conclusiones con
respecto a la efectividad, eficiencia e informes operativos o del sistema
integridad. Inicialmente, el impacto se centró en lidiar con un entorno de procesamiento modificado. Como la necesidad de auditores
con habilidades tecnológicas especializadas creció, también lo hizo la profesión de auditoría de TI.
La tecnología evoluciona constantemente y encuentra formas de dar forma al entorno de TI actual en la organización. Las siguientes
secciones describen brevemente varias tecnologías recientes que han revolucionado y ciertamente seguirán revolucionando las
organizaciones, la forma en que se hacen negocios y la dinámica del lugar de trabajo.
Planificación de recursos empresariales (ERP)
Según la edición de junio de 2016 de Apps Run the World, una empresa de investigación de mercado de tecnología dedicada al espacio
de las aplicaciones, el mercado mundial de sistemas ERP alcanzará los $ 84,1 mil millones en 2020 frente a $ 82,1 mil millones en
2015. ERP es un software que proporciona funcionalidad empresarial en un sistema de entorno de TI integrado (por ejemplo,
adquisiciones, inventario, contabilidad,
y recursos humanos [RRHH]). Consulte el Anexo 1.1 para ver una ilustración del sistema modular ERP.
Los ERP permiten que múltiples funciones accedan a una base de datos común, lo que reduce los costos de almacenamiento y aumenta consistencia
y exactitud de datos de una sola fuente. Además, los ERP:
• Disponer de métodos estándar para automatizar procesos (es decir, información en el sistema de RR.
tem puede ser utilizado por nómina, mesa de ayuda, etc.).
• Comparta información en tiempo real de los módulos (finanzas, recursos humanos, etc.) que residen en un
base de datos, por lo tanto, Estados financieros, Los análisis y los informes se generan con mayor rapidez y frecuencia.
Algunos de los principales proveedores de ERP en la actualidad son SAP, FIS Global, Oracle, Fiserv, Intuit, Inc., Cerner
Corporation, Microsoft, Ericsson, Infor y McKesson.
A pesar de las muchas ventajas de los ERP, no son muy diferentes de los sistemas comprados o empaquetados y, por lo tanto, pueden
requerir modificaciones importantes en los procesos comerciales nuevos o existentes. Las modificaciones de ERP (es decir, las versiones de
software) requieren una programación considerable para actualizar todo el código específico de la organización. Debido a que los sistemas
empaquetados son genéricos por naturaleza, las organizaciones pueden necesitar modificar sus operaciones comerciales para que coincidan con el
método de procesamiento del proveedor, por ejemplo. Los cambios en las operaciones comerciales pueden no encajar bien en la cultura de la
organización u otros procesos, y también pueden ser costosos debido a la capacitación. Además, dado que los ERP son ofrecidos por un
Entorno de tecnología de la información y auditoría de TI • 5
Financiero
recurso
administración
Humano
Cadena de suministro
recurso
administración
Empresa administración
recurso
planificación
(DB común)
Fabricación Cliente
recurso relación
planificación administración
Figura 1.1 Sistema modular de planificación de recursos empresariales.
vendedor, riesgos asociado con tener un solo proveedor para aplicar (por ejemplo, dependiendo de un solo proveedor para mantenimiento y
soporte, requisitos específicos de hardware o software, etc.).
Computación en la nube
La computación en la nube sigue teniendo un impacto cada vez mayor en el entorno de TI. Según ISACA (anteriormente conocida como
Asociación de Control y Auditoría de Sistemas de Información), el crecimiento exponencial de la computación en la nube ya no debería
considerarse una tecnología emergente. La computación en la nube ha dado forma a los negocios en todo el mundo, y algunas
organizaciones la utilizan para realizar procesos comerciales críticos. Según el informe ISACA Innovation Insights de julio de 2015, la
computación en la nube se considera una de las tendencias clave que impulsa el negocio estrategia. La International Data Corporation, en
su publicación de 2015, también predice que la computación en la nube crecerá un 19,4% anual durante los próximos 5 años. Además, el
informe de computación en la nube de la perspectiva 2016 de Deloitte (informe) indica que para las empresas privadas, la computación en
la nube seguirá siendo un factor dominante.
La computación en la nube, según la definición de PC Magazine, se refiere al uso de Internet (en comparación con el disco duro de la
computadora) para almacenar y acceder a datos y programas. De una manera más formal, el Instituto Nacional de Estándares y Tecnología
(NIST) define la computación en la nube como un "modelo para permitir el acceso a la red ubicuo, conveniente y bajo demanda a un grupo
compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento , aplicaciones y servicios) que pueden
proporcionarse y publicarse rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios ”. El NIST también enfatiza
que la disponibilidad es promovida significativamente por este modelo particular (nube).
Los servicios altamente flexibles que se pueden administrar en el entorno virtual hacen que la computación en la nube sea muy atractiva
para las organizaciones empresariales. No obstante, las organizaciones aún no se sienten

Totalmente cómodo al almacenar su información y aplicaciones en sistemas que residen fuera de sus instalaciones en el sitio. La migración
de información a una infraestructura compartida (como un entorno en la nube) expone la información sensible / crítica de las organizaciones a
riesgos de posible acceso no autorizado y exposición, entre otros. Deloitte, una de las firmas de contabilidad y auditoría más importantes del
mundo, también respalda la importancia de la seguridad y la privacidad antes mencionada y agregó, en base a su informe, que la información
almacenada en la nube relacionada con los datos del paciente, los detalles bancarios y los registros de personal, para nombrar un pocos, es
vulnerable y susceptible de mal uso si cae en las manos equivocadas.
Gestión de dispositivos móviles (MDM)
MDM, también conocido como Enterprise Mobility Management, es un término relativamente nuevo, pero ya está dando forma al entorno de TI en
las organizaciones. MDM es responsable de gestionar y administrar los dispositivos móviles (por ejemplo, teléfonos inteligentes, computadoras
portátiles, tabletas, impresoras móviles, etc.) que se proporcionan a los empleados como parte de sus responsabilidades laborales. En concreto, y
según PC Magazine, MDM asegura estos dispositivos móviles:
• integrarse bien dentro de la organización y se implementan para cumplir con la organización

Policias y procedimientos
• proteger la información corporativa (por ejemplo, correos electrónicos, documentos corporativos, etc.) y la configuración
configuración para todos los dispositivos móviles dentro de la organización
Los empleados también utilizan los dispositivos móviles por motivos personales. Es decir, los empleados traen su propio dispositivo móvil
(personal) a la organización (también conocido como traer su propio dispositivo o BYOD) para realizar su trabajo. Permitir que los empleados
utilicen los dispositivos móviles proporcionados por la organización por motivos laborales y personales ha demostrado ser atractivo para el
empleado medio. Sin embargo, las organizaciones deben monitorear y controlar las tareas realizadas por los empleados cuando usan dispositivos
móviles y asegurarse de que los empleados permanezcan enfocados y sean productivos. Representa un riesgo para la seguridad de la
organización y una distracción para los empleados cuando los dispositivos móviles se utilizan con fines personales y laborales. Además, permitir
el acceso directo a la información corporativa siempre representa un riesgo continuo, así como también aumenta la seguridad y conformidad preocupaciones
de la organización.
Otros sistemas tecnológicos que afectan el entorno de TI

La Internet de las cosas (IoT) tiene un efecto transformador potencial en los entornos de TI, centros de datos, proveedores de tecnología,
etc. Gartner, Inc. estima que para el año 2020, IoT incluirá 26 mil millones de unidades instaladas y los ingresos superarán los $ 300 mil
millones generados principalmente por proveedores de productos y servicios de IoT.
IoT, según lo define Gartner, Inc., es un sistema que permite que los activos remotos de "cosas" (por ejemplo, dispositivos,
sensores, objetos, etc.) interactúen y se comuniquen entre ellos y con otros sistemas de red. Los activos, por ejemplo, comunican
información sobre su estado real, ubicación y funcionalidad, entre otros. Esta información no solo proporciona una comprensión más
precisa de los activos, sino que también maximiza su utilización y productividad, lo que resulta en un proceso mejorado de toma de
decisiones. Los enormes volúmenes de datos sin procesar o conjuntos de datos (también conocidos como Big Data) generados como
resultado de estas interacciones masivas entre dispositivos y sistemas deben procesarse y analizarse de manera efectiva para generar
información significativa y útil en la toma de decisiones. proceso de fabricación.
Big Data, según lo define la Comisión Federal de Big Data de la Fundación TechAmerica (2012), “describe grandes
volúmenes de datos de alta velocidad, complejos y variables que requieren
técnicas y tecnologías para permitir la captura, almacenamiento, distribución, gestión y análisis de la información ”. Gartner, Inc.
lo define además como "... activos de información de gran volumen, alta velocidad y / o gran variedad que exigen formas
rentables e innovadoras de procesamiento de información que permitan una mejor comprensión, toma de decisiones y
automatización de procesos".
Aunque Big Data preciso puede conducir a un proceso de toma de decisiones más seguro, y las mejores decisiones a menudo
resultan en una mayor eficiencia operativa, reducción de costos y menor riesgo, actualmente existen muchos desafíos que deben
abordarse.
Los desafíos de Big Data incluyen, por ejemplo, análisis, captura, curación de datos, búsqueda, intercambio, almacenamiento,
transferencia, visualización, consultas y actualización. Ernst & Young, en su publicación EY Center for Board Matters de septiembre de
2015, afirma que los desafíos para los auditores incluyen el acceso limitado a auditoría datos relevantes, la escasez de personal
disponible y calificado para procesar y analizar esos datos particulares, y la integración oportuna de análisis en la auditoría. El IoT
también ofrece datos en rápido movimiento de sensores y dispositivos en todo el mundo y, por lo tanto, genera desafíos similares para
muchas organizaciones a la hora de dar sentido a todos esos datos.
Otras tecnologías recientes enumeradas en el Informe Hype Cycle for Emerging Technologies 2015 de Gartner que actualmente están
impactando los entornos de TI incluyen dispositivos portátiles (por ejemplo, relojes inteligentes, etc.), vehículos autónomos, criptomonedas,
impresión 3D para el consumidor y traducción de voz a voz, entre otras. .
Entorno de TI como parte de la estrategia de la organización
En el entorno actual, las organizaciones deben integrar su TI con estrategias comerciales para lograr sus objetivos generales,
obtener el máximo valor de su información y capitalizar las tecnologías disponibles para ellas. Donde antes se veía a la TI como un
habilitador de la estrategia de una organización, ahora se considera como una parte integral de esa estrategia para lograr
rentabilidad y servicio. Al mismo tiempo, cuestiones como el gobierno de TI, la infraestructura de la información internacional, la
seguridad y la privacidad y el control de la información pública y de la organización han impulsado la necesidad de autoevaluación y
autoconfianza.
Para el gerente de TI, las palabras "auditoría" y "auditor" provocan escalofríos por la columna vertebral. Sí, el auditor o la auditoría se ha
considerado un mal que debe ser tratado por todos los gerentes. En el campo de las tecnologías de la información, los auditores en el pasado
debían recibir formación o recibir orientación en conceptos y operaciones de sistemas para evaluar las prácticas y aplicaciones de las tecnologías de
la información. Los gerentes de TI se avergüenzan de la capacidad del auditor para evaluar de manera eficaz y eficiente las complejidades y
comprender los problemas. Hoy en día, se espera que los auditores de TI conozcan bien la infraestructura, las políticas y las operaciones de TI de la
organización antes de embarcarse en sus revisiones y exámenes. Más importante aún, los auditores de TI deben ser capaces de determinar si el Controles
de TI implementados por la organización garantizan la protección de datos y se alinean adecuadamente con los objetivos generales de la
organización.
Asociaciones y organizaciones profesionales como ISACA, la Instituto Americano de Contadores Públicos

Certificados (AICPA), el Instituto Canadiense de Contadores Públicos (CICA), el Instituto de Auditores Internos (IIA), la
Asociación de Examinadores de Fraude Certificados (ACFE) y otros han emitido guías, instrucciones y estudios e
investigaciones respaldados en áreas de auditoría.
La profesión de auditor
Las computadoras han estado en uso comercial desde 1952. Los delitos relacionados con las computadoras se reportaron ya en 1966. Sin
embargo, no fue hasta 1973, cuando los problemas importantes en Equity Funding
Corporation of America (EFCA) salió a la luz, que la profesión de auditoría consideró seriamente la falta de controles en los sistemas de
información por computadora (SI). En 2002, casi 30 años después, otro importante
fraude resultado de escándalos corporativos y contables (Enron y WorldCom), que trajeron consigo
escepticismo y caída de los mercados financieros. Esta vez, ni las principales firmas contables ni las empresas reguladas por valores y
cambios en las principales bolsas de valores pudieron evitar la indignación pública, la falta de confianza de los inversores y el aumento de
la regulación gubernamental que sucedió en el mercado.
Economía estadounidense. Una vez más, en 2008, la economía estadounidense sufrió debido a que la banca hipotecaria y las empresas de
inversión hipotecaria (como Countrywide, IndyMac, etc.) incumplieron debido a estrategias de préstamos poco sólidas y una mala gestión del riesgo.
Cuando la EFCA se declaró en quiebra en 1973, se informó que el impacto directo mínimo y las pérdidas de la actividad ilegal
ascendían a 200 millones de dólares. Otras estimaciones de este importante fraude financiero aumentaron hasta $ 2 mil millones, con
costos indirectos como honorarios legales y depreciación incluidos. Estas pérdidas fueron el resultado de un “fraude asistido por
computadora” en el que una corporación falsificó los registros de su seguro de vida. subsidiario para indicar la emisión de nuevas pólizas.
Además de las pólizas de seguro, otros activos, como cuentas por cobrar y Valores negociables, fueron registrados falsamente. Estos
activos ficticios deberían haberse revelado como inexistentes durante las auditorías regulares de fin de año de la corporación, pero nunca
fueron descubiertos. Como la computadora se utilizó para manipular archivos como un medio para cubrir el fraude, la profesión contable
se dio cuenta de que las técnicas manuales convencionales podrían no ser adecuadas para los trabajos de auditoría que implican
aplicaciones informáticas.
En 1973, la AICPA (principal organización nacional profesional de contadores públicos certificados), en respuesta a los
eventos en EFCA, nombró un comité especial para estudiar si los estándares de auditoría de la época eran adecuados en tales
situaciones. Se solicitó al comité que evalúe los procedimientos específicos que se utilizarán y las normas generales que se
aprobarán. En 1975, el comité emitió su recomendaciones. Aunque el comité especial encontró que las normas de auditoría
eran adecuadas y que no se requerían cambios importantes en los procedimientos utilizados por los auditores, se emitieron
varias observaciones y recomendaciones relacionadas con el uso de programas de computadora diseñados para ayudar a los examen
de estados financieros. Otra revisión crítica de las normas de auditoría existentes se inició en 1974, cuando la AICPA creó sus
primeras normas que cubren esta área. Luego, 29 años después, el fiasco de Enron-Arthur Andersen de 2002 nos devolvió a
1973.
El problema de " debido cuidado profesional "Ha pasado a la vanguardia de la comunidad de auditoría como resultado de
los principales escándalos financieros y la mala gestión de los Estados Unidos, que incluyen, entre otros, Waste Management
(1998), Enron (2001), Worldcom (2002), American Insurance Group (2005) , Lehman Brothers (2008), Bernard L. Madoff
Securities LLC (2008), MF Global (2011), Anthem Inc. (2015), Wells Fargo (2016) y otros. El escándalo de la EFCA de 1973
condujo al desarrollo de una fuerte regulación estatal y federal de las industrias de seguros y la contabilidad creativa corporativa
en la industria aeroespacial, que brindó apoyo a la Ley de Prácticas Corruptas en el Extranjero (FCPA) de 1977. Quizás hoy, la Ley
Sarbanes-Oxley de 2002 (SOX) será un vívido recordatorio de la importancia del debido cuidado profesional. SOX es un
importante paquete de reformas, que exige los cambios de mayor alcance que el Congreso ha impuesto al mundo empresarial
desde la FCPA de 1977 y la
Comisión de Bolsa y Valores (SEC) Ley de 1934. Ejemplos de algunos de estos cambios significativos incluyen la creación de
una Junta de Supervisión Contable de Empresas Públicas, * así como el aumento de sanciones penales por violaciones a las
leyes de valores. SOX se discutirá con más detalle en el próximo capítulo.
*
La PCAOB es una corporación sin fines de lucro instituida por el Congreso para supervisar las auditorías de las empresas públicas con el fin de proteger
los intereses de los inversores y promover el interés público en la preparación de informes de auditoría informativos, precisos e independientes.
http://pcaobus.org/Pages/default.aspx.
Auditoria financiera
La auditoría financiera abarca todas las actividades y responsabilidades relacionadas con la emisión de una opinión sobre la imparcialidad de los
estados financieros. Las reglas básicas que rigen las opiniones de auditoría indican claramente que alcance de una auditoría cubre todos los
equipos y procedimientos utilizados en el procesamiento de datos importantes.
La auditoría financiera, como la lleva a cabo hoy el auditor independiente, fue impulsada por la legislación de 1933 y 1934 que creó la
SEC. Esta legislación ordenó que las empresas cuyos valores se vendieron públicamente fueran auditadas anualmente por un Contador
Público Autorizado (CPA). Los contadores públicos, entonces, fueron encargados de dar fe de la imparcialidad de los estados financieros
emitidos por empresas que informaron a la SEC. La AICPA emitió en 1993 un documento denominado “ Informar sobre la estructura de
control interno de una entidad sobre la información financiera (Declaración sobre las normas para encargos de certificación 2) ”Para definir
mejor la importancia de control interno en el compromiso de atestación.
Dentro de la profesión de CPA en los Estados Unidos, se han desarrollado dos grupos de principios y estándares que afectan la
preparación de estados financieros por parte de compañías que cotizan en bolsa y los procedimientos para su examen de auditoría
por firmas de CPA: Principios contables generalmente aceptados (GAAP) y Normas de auditoría generalmente aceptadas
(GAAS).
GAAP establece pautas consistentes para la presentación de informes financieros por parte de los gerentes corporativos. Como parte
del requisito de presentación de informes, también se establecen normas para el mantenimiento de registros financieros en los que se basan
los estados periódicos. Un auditor, que emite una opinión que indica que los estados financieros se presentan de manera justa, estipula que
los estados financieros se ajustan a los PCGA. Estos principios contables han sido formulados y revisados periódicamente por
organizaciones del sector privado establecidas para este propósito. El actual órgano de gobierno es el Consejo de Normas de Contabilidad
Financiera (FASB). La implementación de GAAP es responsabilidad de la administración de la entidad que informa.
GAAS, el segundo grupo de normas, fue adoptado en 1949 por AICPA para auditorías. Estos estándares de auditoría cubren
tres categorías:
• Normas generales se relacionan con la competencia técnica y profesional, independencia, y debido

cuidado profesional.
• Estándares de trabajo de campo abarcan planificación, evaluación de control interno, suficiencia de
materia probatoria o evidencia documental en la que se basan los hallazgos.
• Estándares de presentación de informes estipular el cumplimiento de todas las normas de auditoría aceptadas,
conformidad con el período de cuenta anterior, idoneidad de la divulgación y, en caso de que no se pueda llegar a una
opinión, el requisito de declarar la afirmación explícitamente.
GAAS proporciona pautas generales, pero no una guía específica. La profesión ha complementado los estándares emitiendo
declaraciones de pronunciamientos autorizados sobre auditoría. La más completa de ellas es la serie SAS. Las publicaciones de
SAS proporcionan una guía de procedimiento relacionada con muchos aspectos de la auditoría. En 1985, la AICPA publicó una
codificación del SAS No. 1-49. Hoy, el número de declaraciones supera las 120.
Un tercer grupo de estándares, llamado Normas Internacionales de Información Financiera (NIIF),

ha sido creado recientemente por el Consejo de Normas Internacionales de Contabilidad (IASB) * para responder al creciente
entorno empresarial global y abordar la necesidad de comparar estados financieros
*
El propósito del IASB es desarrollar un conjunto único de normas de información financiera de alta calidad, comprensibles, ejecutables y aceptadas
globalmente, basadas en principios claramente articulados.
preparado en diferentes países. La AICPA define las NIIF como el “conjunto de normas contables desarrolladas por IASB que se está
convirtiendo en la norma global para la preparación de los estados financieros de las empresas públicas”. Si bien muchas de las
organizaciones mundiales ya han migrado a las NIIF, Estados Unidos aún no lo ha hecho. Sin embargo, debido al tamaño de Estados
Unidos y su presencia significativa a nivel mundial, los US GAAP todavía tienen un impacto global significativo. Esto da como resultado los
dos principales esfuerzos de establecimiento de estándares contables en el mundo: US GAAP e IFRS. Sin embargo, todas las naciones
importantes han establecido líneas de tiempo para converger o adoptar las normas IFRS en un futuro próximo.
Funciones de auditoría interna versus externa
Hay dos tipos de funciones de auditoría que existen en la actualidad. Tienen roles muy importantes para asegurar la validez e
integridad de los sistemas de información y contabilidad financiera. Son las funciones de auditoría interna y externa.
Función de auditoría interna
El IIA define la auditoría interna (IA) como "un objetivo independiente garantía y actividad de consultoría diseñada para
agregar valor y mejorar las operaciones de una organización ”. IA aporta a las organizaciones un enfoque sistemático y
disciplinado para evaluar y mejorar su gestión de riesgos, procesos de control y gobierno, así como para lograr sus metas y
objetivos.
Los departamentos de AI suelen estar dirigidos por un Director ejecutivo de auditoría (CAE), quien reporta directamente al Comité
de Auditoría del Junta Directiva. El CAE también reporta a la organización Director Ejecutivo (CEO). El propósito principal de la
función de AI es asegurar que los controles autorizados por la gerencia se estén aplicando de manera efectiva. La función de AI, aunque
no es obligatoria, existe en la mayoría de las empresas privadas o entidades corporativas y en el gobierno (como los gobiernos federal,
estatal, del condado y de la ciudad). La misión, el carácter y la fuerza de una función de AI varían ampliamente dentro del estilo de los
altos ejecutivos y las tradiciones de las empresas y organizaciones. Las auditorías de TI son una de las áreas de apoyo para la AI.
El grupo de AI, si cuenta con el personal adecuado con los recursos, realiza un seguimiento y prueba durante todo el año de las
actividades de TI dentro del control de la organización. De particular interés para las corporaciones privadas es el procesamiento de
datos y la generación de información de relevancia financiera o
materialidad.
Dado el gran papel que desempeña la dirección en la eficacia de una función de AI, su preocupación por la fiabilidad y la
integridad de la información generada por computadora a partir de la cual se toman las decisiones es fundamental. En las
organizaciones donde la gerencia muestra y demuestra preocupación por los controles internos, el papel de la AI crece en
importancia. A medida que la función de AI madura a través de la experiencia, la capacitación y el desarrollo profesional, la función
de auditoría externa y el público pueden confiar en la calidad del trabajo del auditor interno. Con una buena gestión y personal de
AI en constante mejora, el Comité de Auditoría de la Junta Directiva no duda en asignar responsabilidades adicionales de revisión,
consulta y prueba al auditor interno. Estas responsabilidades suelen tener un alcance más amplio que las del auditor externo.
Dentro de los Estados Unidos, los auditores internos de las agencias gubernamentales a menudo se reúnen para reunirse e
intercambiar experiencias a través de conferencias o foros. Por ejemplo, el Foro Intergubernamental de Auditoría es un ejemplo de un
evento en el que los auditores de la ciudad, el condado, el estado y el entorno federal se reúnen para intercambiar experiencias y
proporcionar nueva información sobre técnicas y métodos de auditoría. El IIA también celebra una conferencia nacional que atrae a una
población de auditores
de todo el mundo, tanto privados como gubernamentales, para compartir experiencias y discutir nuevos métodos y técnicas de
auditoría.
Función de auditoría externa
La función de auditoría externa evalúa la confiabilidad y la validez de los controles de sistemas en todas sus formas. El objetivo
principal de dicha evaluación es minimizar la cantidad de auditorías o pruebas sustanciales de transacciones necesarias para
emitir una opinión sobre los estados financieros.
Los auditores externos son proporcionados por firmas de contadores públicos y también existen en el gobierno. Por ejemplo, la
Oficina de Responsabilidad del Gobierno (GAO) se considera un revisor externo porque puede examinar el trabajo de organizaciones
tanto federales como privadas donde se proporcionan fondos federales. Los Watchdogs of Congressional Spending brindan un servicio
al contribuyente al informar directamente al Congreso sobre cuestiones de mala administración y controles deficientes. Curiosamente,
en países extranjeros, una Oficina del Inspector General o la Oficina del Auditor General dentro de ese país prepara funciones
similares. Además, la GAO ha apoyado firmemente a la Organización Internacional de Auditoría, que brinda capacitación y orientación
en auditoría gubernamental a sus miembros de auditoría internacional que representan a gobiernos de todo el mundo.
Desde el punto de vista de una firma de contadores públicos, firmas como Deloitte, Ernst & Young, PricewaterhouseCoopers y KPMG
(denominadas en conjunto como las “Cuatro Grandes”) brindan este tipo de servicios de auditoría externa en todo el mundo. El auditor externo es
responsable de probar la confiabilidad de los sistemas de TI del cliente y debe tener una combinación especial de habilidades y experiencia.
Dicho auditor debe estar completamente familiarizado con la auditoría. dar fe función. La función de certificación abarca todas las actividades y
responsabilidades asociadas con la emisión de una opinión de auditoría sobre la imparcialidad de los estados financieros. Además de las
habilidades de contabilidad y auditoría involucradas en el desempeño de la función de atestiguar, estos auditores externos también deben tener
una experiencia sustancial en auditoría de TI. SOX ahora gobierna su función y los límites de los servicios que se pueden ofrecer más allá de la
auditoría.
¿Qué es la auditoría de TI?
Antes de definir qué es la auditoría de TI, expliquemos la diferencia entre SI y TI. Un SI, representado por tres componentes (es
decir, personas, procesos y TI), es la combinación de actividades estratégicas, gerenciales y operativas involucradas en la gestión
de la información. El componente de TI de un SI involucra el hardware, el software, la comunicación y otras instalaciones
necesarias para administrar (es decir, ingresar, almacenar, procesar, transmitir y enviar) dicha información. Consulte el Anexo 1.2.
El término auditoría, según ISACA, se refiere a la inspección y verificación formal para verificar si se está siguiendo un estándar o
un conjunto de pautas, si los registros son precisos o si se están cumpliendo los objetivos de eficiencia y eficacia. Al combinar ambas
definiciones anteriores, la auditoría de TI se puede definir como la examen formal, independiente y objetivo de la infraestructura de TI de
una organización para determinar si las actividades (por ejemplo, procedimientos, controles, etc.) involucradas en la recopilación,
procesamiento, almacenamiento, distribución y uso de la información cumplen con las pautas, protegen los activos, mantienen la
integridad de los datos y operar de manera efectiva y eficiente para lograr los objetivos de la organización. La auditoría de TI proporciona
Garantía razonable ( nunca absoluto) que la información generada por las aplicaciones dentro de la organización es precisa, completa y
respalda la toma de decisiones efectiva de acuerdo con la naturaleza y alcance del trabajo previamente acordado.
La auditoría de TI es necesaria para evaluar la idoneidad de los sistemas de aplicación para satisfacer las necesidades de procesamiento,
evaluar la idoneidad de los controles internos y garantizar que los activos controlados por esos sistemas sean
Estos involucran estratégicos,

gerencial y operacional
actividades tradicionales trabajando
juntos hacia la reunión
ing, procesamiento, almacenamiento,
Información
distribuir y usar
sistemas
información
integra hardware, software
Personas Procesos
Ware, comunicación y
otras instalaciones para:
Ingresando Almacenamiento Procesando Transmitiendo Salida

datos datos datos datos datos
Figura 1.2 Sistemas de información versus tecnología de la información.
adecuadamente salvaguardado. En cuanto a los auditores de TI de hoy, sus conocimientos y habilidades avanzados progresarán de dos
maneras. Una dirección es el crecimiento continuo y la habilidad en esta profesión, liderando el camino en la investigación y el desarrollo de
auditoría informática y progresando en las trayectorias profesionales de auditoría externa e interna. La otra dirección implica capitalizar un
conocimiento profundo de los sistemas organizacionales y avanzar hacia áreas profesionales más responsables en la gestión general. Hoy,
incluso en estos tiempos económicos, la demanda de auditores de TI calificados supera la oferta. El gobierno de TI ha creado grandes
oportunidades para el auditor de TI.
Aprender nuevas formas de auditoría es siempre una prioridad para los auditores de TI internos y externos. La mayoría de los auditores
quieren herramientas o metodologías de auditoría que les ayuden a realizar su tarea de forma más rápida y sencilla. Casi todas las grandes
organizaciones o empresas tienen algún tipo de función o taller de auditoría de TI que involucra un departamento de auditoría interna. Hoy en día,
las firmas de las “Cuatro Grandes” han designado grupos especiales que se especializan en el campo de la auditoría de TI. Todos tienen personal
que realiza estas auditorías de TI externas. La mayoría de estos auditores de TI ayudan a los auditores financieros a establecer la exactitud de los
estados financieros de las empresas en las que auditan. Otros se enfocan en proyectos especiales como seguridad en Internet que se ocupan de
estudios de penetración, evaluaciones de firewall, puentes, enrutadores y configuraciones de puerta de enlace, entre otros.
Hay dos grandes grupos de auditorías de TI, los cuales son esenciales para asegurar el funcionamiento adecuado continuo de
SI. Estos son los siguientes:
• Auditoría general de controles informáticos. Examina los controles generales de TI ("controles generales" o
“ITGC”), incluidas las políticas y procedimientos, que se relacionan con muchas aplicaciones y respaldan el funcionamiento
eficaz de los controles de aplicaciones. Los controles generales cubren la infraestructura de TI y los servicios de soporte,
incluidos todos los sistemas y aplicaciones. Controles generales
comúnmente incluyen controles sobre (1) operaciones de SI; (2) seguridad de la información (ISec); y (3) gestión de control de
cambios (CCM) (es decir, adquisición, cambio y mantenimiento del software del sistema, cambio de programa y adquisición, desarrollo
y mantenimiento del sistema de aplicación). Los ejemplos de controles generales dentro de las operaciones de SI abordan actividades
como copias de seguridad de datos y almacenamiento fuera del sitio, monitoreo de trabajos y seguimiento de excepciones hasta su
finalización y acceso al programador de trabajos, entre otros. Ejemplos de controles generales dentro de ISec abordan actividades
como solicitudes de acceso y administración de cuentas de usuario, terminaciones de acceso y seguridad física. Ejemplos de
controles generales dentro de CCM pueden incluir aprobaciones de solicitudes de cambio; actualizaciones de aplicaciones y bases de
datos; y supervisión, seguridad y gestión de cambios de la infraestructura de red.
• Auditoría de controles de aplicaciones. Examina los controles de procesamiento específicos de la aplicación.
Los controles de aplicaciones también pueden denominarse "controles automatizados". Se preocupan por la precisión,
integridad, validez y autorización de los datos capturados, ingresados, procesados, almacenados, transmitidos y reportados.
Ejemplos de controles de aplicación incluyen verificar la precisión matemática de los registros, validar la entrada de datos y
realizar verificaciones de secuencia numérica, entre otros. Es probable que los controles de aplicación sean efectivos cuando
los controles generales son efectivos.
Consulte el Anexo 1.3 para ver una ilustración de los controles generales y de aplicación, y cómo deben estar en su lugar para
mitigar los riesgos y proteger las aplicaciones. Observe en la exposición que el sistema de aplicación está constantemente rodeado
de riesgos. Los riesgos se representan en la exposición mediante símbolos de explosión. Estos riesgos pueden ser en forma de
acceso no autorizado, pérdida o robo de equipos e información, apagado del sistema, etc. Los controles generales, mostrados en los
símbolos hexagonales, también rodean la aplicación y brindan un “escudo protector” contra los riesgos. Por último, están la
aplicación o los controles automatizados que residen dentro de la aplicación y brindan protección de primera mano sobre la entrada,
procesamiento y salida de la información.
Tendencias de auditoría de TI
La informática se ha vuelto indispensable para las actividades de organizaciones en todo el mundo. El Marco de Objetivos de
Control para la Información y Tecnología Relacionada (COBIT) fue creado en 1995 por ISACA. COBIT, ahora en su quinta edición,
enfatiza este punto y fundamenta la necesidad de investigar, desarrollar, publicitar y promover objetivos de control de TI
actualizados y aceptados internacionalmente. En documentos anteriores como el documento de debate de 1993 "Niveles mínimos
de habilidad en tecnología de la información para contadores profesionales" y su informe final de 1992 "El impacto de la tecnología
de la información en la profesión contable", la Federación Internacional de Contadores (IFAC) reconoce la necesidad de mejorar
Educación a nivel universitario para abordar las crecientes preocupaciones y problemas de control de TI.
Los informes de robo de información, fraude informático, abuso de información y otras preocupaciones relacionadas con el control se
escuchan con mayor frecuencia en todo el mundo. Las organizaciones son más conscientes de la información, las personas están dispersas
debido a la descentralización y las computadoras se utilizan más ampliamente en todas las áreas del comercio. Debido a la rápida difusión de
las tecnologías informáticas y la facilidad de acceso a la información, se necesitan auditores de TI informados y bien capacitados para
garantizar que se establezcan controles más efectivos para mantener la integridad de los datos y administrar el acceso a la información. La
necesidad de mejores controles sobre las TI se ha hecho eco en el pasado de estudios anteriores como el Comité de Organizaciones
Patrocinadoras de la Comisión Treadway (COSO) de AICPA; Internacional
General
control S
Robo o "proteger
daño a proteger"
No autorizado
hardware
modificación de
sensible
información
Terminal de acceso Pérdida / robo de
proceso de nación información

Físico
seguridad
Implementar
tación de
solicitud
Vigilancia/ cambios
seguimiento de
Solicitud
trabajo
(Aplicación o
excepciones
automatizado
Sistema
control S) Cambio
choque
solicitud
aprobaciones
Fuera del sitio
almacenamiento
Cuenta
administración
Datos
apoyo No autorizado
divulgación de
Inapropiado confidencial
manual datos
intervención
No autorizado
Procesando
Figura 1.3 Relación entre controles informáticos generales y controles de aplicaciones.
Organización de Normalización (ISO) 17799 y 27000; el Informe de Auditoría y Control de Sistemas del IIA; Directrices para la
seguridad de SI de la OCDE; el plan de estudios del Consejo del Presidente de los Estados Unidos sobre Integridad y Eficiencia en
Auditoría Informática; y la Estrategia Nacional de Estados Unidos para asegurar el ciberespacio publicada en 2002; entre otros.
El Comité Ejecutivo de Servicios de Aseguramiento de AICPA (ASEC) es responsable de actualizar y mantener los Principios y
Criterios de Servicios de Confianza (TSPC) y de crear un marco de principios y criterios para brindar garantía sobre la integridad de la
información. TSPC presenta criterios para que los utilicen los profesionales al proporcionar una certificación profesional o consultivo servicios
para evaluar controles relevantes a los siguientes principios:
• Seguridad: El sistema está protegido contra el acceso no autorizado (tanto físico como lógico).
• Disponibilidad: El sistema está disponible para su funcionamiento y uso según lo comprometido o acordado.
• Integridad de procesamiento: El procesamiento del sistema es completo, preciso, oportuno y autorizado.
• Confidencialidad: La información designada como confidencial se protege según se comprometió o acordó.

• Intimidad: La información personal se recopila, utiliza, conserva, divulga y destruye en

conformidad con los compromisos en el aviso de privacidad de la entidad y con los criterios establecidos en los principios de
privacidad generalmente aceptados emitidos por AICPA y CICA.
La teoría y las metodologías de la auditoría de TI se integran en cinco áreas: una comprensión fundamental de negocios, auditoría
tradicional, gestión de TI, ciencias del comportamiento y ciencias de TI. La comprensión y el conocimiento empresarial son los pilares del
proceso de auditoría. La auditoría tradicional aporta el conocimiento de las prácticas de control interno y la filosofía de control general
dentro de una empresa comercial. La gestión de TI proporciona las metodologías necesarias para lograr un diseño e implementación
exitosos de sistemas. La ciencia del comportamiento indica cuándo y por qué es probable que falle la TI debido a los problemas de las
personas. Las ciencias de TI contribuyen al conocimiento sobre la teoría de control y los modelos formales que subyacen a los diseños
de hardware y software como base para mantener la integridad de los datos.
Desde que se formó ISACA ha habido una creciente demanda de profesionales de auditoría de TI bien capacitados y capacitados.
La publicación La Asociación de Auditores de EDP: los primeros veinticinco años documenta las primeras luchas de la asociación y la
evolución de las prácticas de auditoría de TI en este campo.
El área de aseguramiento de la información también ha crecido y evolucionado. Estados Unidos, en su aprobación de la Ley de Investigación y
Desarrollo de Seguridad Cibernética, ha prometido casi mil millones de dólares para el desarrollo de planes de estudio, investigación y habilidades
para los futuros profesionales necesarios en este campo.
Aseguramiento de información
Las organizaciones dependen cada vez más de las capacidades críticas de información electrónica digital para almacenar, procesar y
mover datos esenciales en la planificación, dirección, coordinación y ejecución de operaciones. Las amenazas potentes y sofisticadas
pueden aprovechar las debilidades de seguridad en muchos de estos sistemas. Subcontratación El desarrollo tecnológico a países que
podrían tener terroristas en su personal de desarrollo genera especulaciones de que existe la posibilidad de que se implante un código
que cause interrupciones, estragos, malversación, robo, etc. Estas y otras debilidades que se pueden aprovechar se convierten en vulnerabilidades
que pueden poner en peligro los componentes más sensibles de las capacidades de información. Sin embargo, podemos emplear
defensas profundas y en capas para reducir las vulnerabilidades y disuadir, derrotar y recuperarnos de una amplia gama de amenazas.
Desde una perspectiva de aseguramiento de la información, las capacidades que debemos defender pueden verse en términos generales
en términos de cuatro elementos principales: entornos informáticos locales, sus límites, redes que los unen y su infraestructura de
soporte. La Estrategia Nacional de Estados Unidos para asegurar el ciberespacio es una de esas iniciativas.
El término "garantía de la información" se define como la integridad de la información (el nivel de confianza que se puede
depositar en la información) y la disponibilidad del servicio. En todos los contextos, ya sea empresarial o gubernamental, significa
salvaguardar la recopilación, el almacenamiento, la transmisión y el uso de la información. El objetivo final de la garantía de la
información es proteger a los usuarios, las unidades de negocio y las empresas de los efectos negativos de la corrupción de la
información o la denegación de servicios. El Departamento de Seguridad Nacional y las Organizaciones de Apoyo como la Agencia
de Seguridad Nacional (NSA), la Oficina Federal de Investigaciones (FBI) y la Agencia Central de Inteligencia (CIA) han trabajado
para apoyar este objetivo.
A medida que el SI de la nación y sus infraestructuras críticas se unen (gobierno y empresas), los puntos de entrada y la
exposición aumentan y, por lo tanto, aumentan los riesgos. El avance tecnológico hacia la comunicación de mayor ancho de
banda y los sistemas de conmutación avanzados.
dieciséis • Control y auditoría de tecnologías de la información
ha reducido el número de líneas de comunicaciones y ha centralizado aún más las funciones de conmutación. Los datos de la
encuesta indican que el mayor riesgo de estos cambios no está ampliamente reconocido. Desde el 11 de septiembre, las
organizaciones de defensa estadounidenses, como la Agencia de Sistemas de Información de Defensa, han realizado esfuerzos más
coordinados para promulgar estándares para la Infraestructura de Información de Defensa y la Red de Información Global, que
deberían tener un impacto positivo en la garantía de la información que se extenderá más allá del Departamento de Defensa de EE.
UU. e impactan a todos los segmentos de la economía nacional. La NSA ha redactado y elaborado estándares para el personal de
seguridad de TI que no solo afectan a las agencias federales sino también a las entidades corporativas que contratan servicios de TI
en apoyo del gobierno federal. NIST, por ejemplo, ha generado una guía de seguridad para el cumplimiento de la Ley de
Responsabilidad y Portabilidad de Seguros de Salud que impacta en la profesión médica y en todas las corporaciones / negocios que
prestan servicios en el campo de la salud que manejan información médica. Un ejemplo similar incluye los Estándares de seguridad
de datos de la industria de tarjetas de pago (PCI DSS), mantenidos, administrados y promovidos por el PCI Security Standards
Council (Council) en todo el mundo. El Consejo fue fundado en 2006 por las principales empresas de tarjetas de crédito, como
American Express, Discover, JCB International, MasterCard y Visa, Inc. Estas empresas comparten por igual la gobernanza, la
ejecución y el cumplimiento del trabajo del Consejo. PCI DSS se refiere a los requisitos técnicos y operativos aplicables
específicamente a las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas,
Necesidad de auditoría de TI
Inicialmente, la auditoría de TI (anteriormente denominada procesamiento electrónico de datos [EDP], sistemas de información informática [CIS] y
auditoría de SI) evolucionó como una extensión de la auditoría tradicional. En ese momento, la necesidad de una auditoría de TI provino de varias
direcciones:
• Los auditores se dieron cuenta de que las computadoras habían afectado su capacidad para realizar la certificación.
función.
• La gerencia corporativa y de procesamiento de información reconoció que las computadoras eran clave
recursos para competir en el entorno empresarial y similar a otros recursos empresariales valiosos dentro de la
organización y, por lo tanto, la necesidad de control y auditabilidad era fundamental.
• Las asociaciones y organizaciones profesionales y las entidades gubernamentales reconocieron la necesidad de
Control de TI y auditabilidad.
Los primeros componentes de la auditoría de TI se extrajeron de varias áreas. Primero, la auditoría tradicional aporta conocimiento de
las prácticas de control interno y la filosofía de control general. Otro contribuyente fue la gestión de SI, que proporciona las
metodologías necesarias para lograr un diseño e implementación exitosos de sistemas. El campo de la ciencia del comportamiento
proporcionó tales preguntas y análisis sobre cuándo y por qué es probable que IS falle debido a problemas de personas. Finalmente, el
campo de las ciencias de la computación aporta conocimientos sobre conceptos de control, disciplina, teoría y los modelos formales
que subyacen al diseño de hardware y software como base para mantener la validez, confiabilidad e integridad de los datos.
La auditoría de TI se convirtió en una parte integral de la función de auditoría porque respalda el juicio del auditor sobre la calidad de la
información procesada por los sistemas informáticos. Los auditores con habilidades de auditoría de TI fueron vistos como el recurso
tecnológico para el personal de auditoría. El personal de auditoría a menudo los buscaba en busca de asistencia técnica. El papel del auditor
de TI evolucionó para garantizar que
existen controles adecuados y adecuados. Por supuesto, la responsabilidad de asegurar que existan controles internos
adecuados recae en la dirección. La función principal de la auditoría, excepto en áreas de servicios de asesoría de gestión,
es proporcionar una declaración de seguridad sobre si existen controles internos adecuados y confiables y si están operando
de manera eficiente y eficaz. El rol de la administración es asegurar y el rol de los auditores es asegurar.
Hay varios tipos de necesidades dentro de la auditoría de TI, incluidas las auditorías de TI organizativas (control de gestión sobre TI), las
auditorías técnicas de TI (infraestructura, centros de datos, comunicación de datos) y las auditorías de TI de aplicaciones (comercial / financiera
/ operativa). También hay auditorías de TI de desarrollo / implementación (especificación / requisitos, diseño, desarrollo y fases posteriores a la
implementación) y auditorías de cumplimiento de TI que involucran estándares nacionales o internacionales.
Al auditar TI, la amplitud y profundidad de los conocimientos necesarios son amplios. Por ejemplo, auditar TI implica:
• Aplicación de enfoques de auditoría orientados al riesgo
• Uso de herramientas y técnicas de auditoría asistidas por computadora
• Aplicación de estándares (nacionales o internacionales) como la ISO * para mejorar e implementar

mejorar los sistemas de calidad en el desarrollo de software y cumplir con los estándares de seguridad de TI
• Comprensión de los roles y expectativas comerciales en la auditoría de sistemas en desarrollo.

así como la compra de paquetes de software y gestión de proyectos.
• Evaluación de seguridad de la información, confidencialidad, privacidad y cuestiones de disponibilidad que
puede poner en riesgo a la organización
• Examen y verificación del cumplimiento de la organización con cualquier normativa legal relacionada con TI.
Problemas que pueden poner en peligro o poner en riesgo a la organización.
• Evaluación de ciclos de vida de desarrollo de sistemas complejos (SDLC) o nuevos desarrollos

técnicas de desarrollo (es decir, creación de prototipos, computación del usuario final, sistemas rápidos o desarrollo de aplicaciones)
• Informar a la gerencia y realizar una revisión de seguimiento para asegurar las acciones tomadas en
trabajo
La auditoría de los protocolos de comunicaciones y TI generalmente involucra Internet, intranet, extranet, intercambio electrónico de
datos, servidores de clientes, redes de área local y amplia, comunicaciones de datos, telecomunicaciones, tecnología inalámbrica,
sistemas integrados de voz / datos / video y el software. y hardware que soporta estos procesos y funciones. Algunas de las
principales razones para iniciar una auditoría de TI incluyen la mayor dependencia de la información por parte de las organizaciones, la
tecnología que cambia rápidamente con nuevos riesgos asociados con dicha tecnología y el apoyo necesario para las auditorías de
estados financieros.
SOX también requiere la evaluación de controles internos y lo hace obligatorio para los registrantes de la SEC. Como parte del
proceso para evaluar la eficacia de los controles internos sobre los informes financieros, la administración debe considerar los controles
relacionados con el SI (incluidas las tecnologías) que respaldan los procesos comerciales y financieros relevantes. Estos controles se
conocen como ITGC (o controles generales de TI). Como se mencionó anteriormente, los ITGC son procesos, actividades y / o
procedimientos de TI que se realizan dentro del entorno de TI y se relacionan con cómo se desarrollan, mantienen, administran,
protegen, acceden y operan las aplicaciones y los sistemas. El Cuadro 1.4 ilustra otras razones principales para realizar auditorías de
TI.
*
Algunos ejemplos de normas ISO incluyen ISO / IEC 27002, ISO / IEC 27000 e ISO 17799.
Apoyar el funcionamiento eficaz de

Evaluar el aumento de sofisticados y controles de aplicación
Programación "creativa"
Para controlar y monitorear el crecimiento significativo de los

Para respaldar las auditorías de estados financieros
piratas informáticos corporativos, ya sea interno
o externo
Para evaluar la integridad y precisión de

información
Para abordar la tecnología que cambia rápidamente
y los nuevos riesgos asociados
con tal tecnología
Evaluar la integridad de la información y

seguridad de los datos
Para identificar controles que pueden abordar

riesgos de TI específicos
Para controlar el fácil acceso a las redes de la organización

desde la oficina y el personal remoto
ordenadores Para auditar grandes cantidades de datos
Figura 1.4 Principales razones para realizar una auditoría de TI.
Gobierno de TI
Ha habido muchos cambios en la forma en que las empresas abordan los problemas de TI, lo que ha dado como resultado un
enfoque renovado en los conceptos de gobierno de TI. Directores ejecutivos, Directores financieros, directores de operaciones,
directores de tecnología, y Directores de información acordar los principios fundacionales del gobierno de TI, que se centran en
la alineación estratégica entre TI y los objetivos empresariales. Esto, a su vez, crea cambios en la gestión operativa táctica y diaria
de TI en la organización.
El gobierno de TI es el proceso mediante el cual se dirige y controla la TI de una empresa. Como se definió anteriormente, TI se refiere al
hardware, software, comunicación y otras instalaciones utilizadas para ingresar, almacenar, procesar, transmitir y generar datos en cualquier
forma. La gobernanza de TI eficaz ayuda a garantizar que TI respalde los objetivos comerciales, maximice la inversión empresarial en TI y
gestione de manera adecuada los riesgos relacionados con la TI. La gobernanza de TI también ayuda a asegurar el logro de factores críticos de
éxito mediante la implementación eficiente y efectiva de información segura y confiable y tecnología aplicada.
Debido a que la TI tiene un impacto en el funcionamiento de toda una organización, todos los miembros de la organización deben
tener un interés y un papel en el gobierno de su uso y aplicación. Esta creciente conciencia ha llevado a las organizaciones a reconocer
que, si quieren aprovechar al máximo su inversión en TI y proteger esa inversión, necesitan un proceso formal para gobernarla. Las
razones para implementar un programa de gobierno de TI incluyen:
• Mayor dependencia de la información y los sistemas que la entregan

• Aumento de vulnerabilidades y un amplio espectro de amenazas
• Escala y costo de las inversiones actuales y futuras en información y SI
• Potencial de las tecnologías para cambiar drásticamente las organizaciones y las prácticas comerciales para
crear nuevas oportunidades y reducir costos

Mientras estos factores sigan siendo parte del negocio, será necesario contar con sistemas eficaces e interdependientes de gobierno
empresarial y de TI.
Una herramienta de gobierno de TI de estándar abierto que ayuda a los gerentes y auditores no técnicos y técnicos a comprender
y administrar los riesgos asociados con la información y las TI relacionadas es COBIT, desarrollada por el Instituto de Gobierno de TI y
la Fundación de Auditoría y Control de Sistemas de Información. COBIT es un marco integral de objetivos de control que ayuda a los
auditores, gerentes y ejecutivos de TI a cumplir con sus responsabilidades fiduciarias, comprender los sistemas de TI y decidir qué
nivel de seguridad y control es adecuado. COBIT proporciona un conjunto internacional autorizado de prácticas de TI generalmente
aceptadas para gerentes de negocios y auditores. COBIT se analiza en el Capítulo 3.
Papel del auditor de TI

El auditor que evalúa los sistemas complejos actuales debe tener habilidades técnicas altamente desarrolladas para comprender los métodos
en evolución de procesamiento de información. Los sistemas contemporáneos conllevan riesgos como plataformas incompatibles, nuevos
métodos para penetrar la seguridad a través de las redes de comunicación (por ejemplo, Internet) y la rápida descentralización del
procesamiento de la información con la consiguiente pérdida de controles centralizados.
A medida que el uso de TI en las organizaciones continúa creciendo, la auditoría de sistemas computarizados debe lograrse sin
muchas de las pautas establecidas para el esfuerzo de auditoría tradicional. Además, los nuevos usos de TI introducen nuevos riesgos, que
a su vez requieren nuevos controles. Los auditores de TI están en una posición única para evaluar la relevancia de un sistema en particular
para la empresa en su conjunto. Debido a esto, el auditor de TI a menudo juega un papel en la toma de decisiones de la alta dirección.
El papel del auditor de TI se puede examinar a través del proceso de gobierno de TI y los estándares existentes de práctica
profesional para esta profesión. Como se mencionó anteriormente, el gobierno de TI es una participación organizacional en la
gestión y revisión del uso de TI para alcanzar las metas y objetivos establecidos por la organización.
Auditor de TI como consejero
En el pasado, los usuarios han renunciado a la responsabilidad de controlar los sistemas informáticos, principalmente debido a las barreras
psicológicas que rodean a la computadora. Como resultado, hay pocos controles y contrapesos, a excepción del auditor de TI. Los auditores
de TI deben desempeñar un papel activo para ayudar a las organizaciones a desarrollar políticas, procedimientos, estándares y / o mejores
prácticas para salvaguardar la información, auditabilidad, control, pruebas, etc. Una buena política de seguridad de la información, por
ejemplo, puede incluir :
• Especificar las características de seguridad necesarias
• Definir "expectativas razonables" de privacidad con respecto a cuestiones como la supervisión de

ocupaciones
• Definir derechos y privilegios de acceso y proteger los activos de pérdidas, divulgaciones o daños
edades al especificar pautas de uso aceptable para los usuarios
• Proporcionar pautas para comunicaciones externas (redes)

• Definición de responsabilidades de todos los usuarios
• Establecer confianza a través de una política de contraseñas eficaz
• Especificar procedimientos de recuperación
• Exigir que se registren las infracciones

• Reconociendo que los propietarios, custodios y clientes de la información deben informar

laridades y proteger su uso y difusión
• Proporcionar a los usuarios información de soporte
El Instituto SANS proporciona plantillas de políticas generales de seguridad de la información en su sitio web, que se pueden descargar y ser
un excelente punto de partida para cualquier organización. Una buena política de seguridad informática será diferente para cada
organización, corporación o individuo dependiendo de las necesidades de seguridad. Una política de seguridad de la información no
garantizará la seguridad de un sistema ni hará que la red esté completamente a salvo de posibles ataques desde el ciberespacio. No
obstante, una política de seguridad, con la ayuda de productos de seguridad eficaces y un plan de recuperación, puede ayudar a dirigir las
pérdidas potenciales a niveles considerados "aceptables" y minimizar la filtración de información privada. El auditor de TI es parte de un
equipo institucional que ayuda a crear un gobierno compartido sobre el uso, la aplicación y la garantía de TI dentro de la organización.
Un personal de auditoría de TI en una gran corporación puede hacer una contribución importante al control del sistema informático al persuadir
a los grupos de usuarios para que insistan en una política de pruebas integrales para todos los sistemas nuevos y todos los cambios en los sistemas
existentes. Al revisar los resultados del caso base, los grupos de usuarios pueden controlar la precisión de los sistemas nuevos o modificados al
realizar una función de control completa. Los auditores deben convencer a los usuarios y al personal de TI de la necesidad de un entorno de TI
controlado.
Insistir en que todos los sistemas nuevos se revisen en puntos de control predefinidos a lo largo del ciclo de vida de desarrollo del sistema
también puede mejorar el control de TI. La perspectiva de la revisión de la auditoría debería impulsar tanto a los usuarios como a los grupos de
sistemas a definir sus objetivos y suposiciones con más cuidado. Aquí, también, los auditores de TI pueden extender sutilmente su influencia.
Auditor de TI como socio de la alta dirección
Si bien las funciones del auditor de TI como consejero y técnico calificado son vitales para el funcionamiento exitoso de la empresa,
pueden ser irrelevantes si el auditor no ve la auditoría en relación con la organización en su conjunto. Un sistema que parece estar bien
controlado puede ser incompatible con el funcionamiento de una empresa.
Las decisiones relativas a la necesidad de un sistema pertenecían tradicionalmente a la administración, pero debido a una
combinación de factores (principalmente la compleja tecnología de la computadora), las auditorías del sistema informático no se realizaron
con éxito. Al asignar fondos para nuevos sistemas, la administración ha tenido que confiar en el juicio del personal informático. Aunque sus
elecciones de sistemas informáticos nuevos y más eficaces no pueden fallar, el personal informático a menudo no ha logrado satisfacer las
verdaderas necesidades comerciales de la organización.
La gerencia necesita el apoyo de un personal informático capacitado que comprenda los requisitos de la organización, y los auditores de TI
están en condiciones de proporcionar esa información. Pueden proporcionar a la administración una evaluación independiente del efecto de las
decisiones de TI en el negocio. Además, el auditor de TI puede verificar que se hayan considerado todas las alternativas para un proyecto
determinado, que se hayan evaluado con precisión todos los riesgos, que las soluciones técnicas de hardware y software sean correctas, que se
satisfagan las necesidades comerciales y que los costos sean razonables.
Auditor de TI como investigador
Como resultado del aumento de la legislación y el uso de pruebas informáticas en los tribunales, la capacidad de capturar y documentar
información generada por computadora relacionada con la actividad delictiva es fundamental para los fines del enjuiciamiento. El conocimiento y
el uso de herramientas y técnicas asistidas por computadora en

La realización de trabajos de soporte forense ha brindado nuevas oportunidades para el auditor de TI, el personal de seguridad de TI y los
encargados de la aplicación de la ley y la investigación. Para el profesional de auditoría de TI,
informática forense es un campo emocionante y en desarrollo. El auditor de TI puede trabajar en el campo de la informática forense o
trabajar codo con codo con un especialista en informática forense, proporcionando información sobre un sistema o red en particular. Los
especialistas pueden hacer preguntas a los profesionales de auditoría de TI relacionadas con el sistema y obtener respuestas más rápido
que tener que investigar y resolver todo por sí mismos. Aunque el especialista está altamente capacitado y puede adaptarse a casi
cualquier sistema o plataforma, la colaboración puede hacer que el trabajo del especialista forense y del profesional de TI sea más fácil y
eficiente.
Desde su nacimiento a principios de la década de 1970, la informática forense ha evolucionado continuamente hasta convertirse en lo que
ahora es un campo muy extenso. Las nuevas tecnologías y las mejoras en los protocolos permiten a los ingenieros y desarrolladores crear hardware,
software y herramientas más estables y robustos para que los especialistas los utilicen en investigaciones criminales relacionadas con la informática.
A medida que las computadoras se vuelven más avanzadas y abundantes, también lo hacen las actividades delictivas. Por lo tanto, el nicho de la
informática forense también está en constante progresión junto con los avances tecnológicos de las computadoras.
Auditoría de TI: la profesión
Con la aprobación de la Ley de Seguridad Nacional, la Ley Patriota y SOX, el papel del auditor (interno y externo) es más crítico
para la verificación y validación de la infraestructura financiera. La profesión de auditoría de TI puede proporcionar a una persona
exposición a la forma en que fluye la información dentro de una organización y brindar a sus miembros la capacidad de evaluar su
validez, confiabilidad y seguridad. La auditoría de TI involucra personas, tecnología, operaciones y sistemas. Es una profesión
dinámica y desafiante con un futuro que trae crecimiento a nuevas áreas como la seguridad informática y la informática forense,
por nombrar algunas.
Hoy en día, los auditores de TI interactúan con gerentes, usuarios y técnicos de todas las áreas de la mayoría de las
organizaciones. Deben tener habilidades interpersonales para interactuar con múltiples niveles de personal y habilidades técnicas
para comprender la variedad de tecnología utilizada en la actividad de procesamiento de información, especialmente la tecnología
utilizada para generar y / o procesar la información financiera de la empresa (por ejemplo, estados financieros, etc. ). El auditor de TI
también debe comprender y estar familiarizado con el entorno operativo para evaluar la eficacia de la estructura de control interno. Finalmente,
el auditor de TI debe comprender las complejidades tecnológicas de los sistemas existentes y futuros y el impacto que tienen en las
operaciones y decisiones en todos los niveles.
La auditoría de TI es una profesión relativamente nueva y las oportunidades de empleo están presentes en todos los sectores de la
industria privada, la contabilidad pública y el gobierno en todo el mundo. Una profesión es más que una ocupación. Una profesión tiene
ciertas características especiales, que incluyen un cuerpo común de conocimientos, certificación, educación continua, asociaciones
profesionales y estándares éticos y un plan de estudios educativo.
Un cuerpo común de conocimientos
Desde 1975, se han realizado varios estudios que identifican un cuerpo común de conocimientos para la profesión de auditoría
de TI. Un cuerpo común de conocimientos consta de áreas claramente identificadas en las que una persona debe alcanzar un
nivel específico de comprensión y competencia necesaria para ejercer con éxito en la profesión. Estas áreas se clasifican en
áreas centrales. Organizaciones como ISACA, AICPA, IIA, CICA, ISSA, InfoSec y otras en todo el mundo han emitido
importantes
estudios y trabajos sobre el tema de los conocimientos, habilidades y destrezas necesarios para auditar sistemas informáticos. Los
estudiantes, especialmente aquellos con especialización en negocios e informática, reciben un grado de capacitación de nivel básico en
(1) conceptos y prácticas de auditoría; (2) conceptos y prácticas de gestión; (3) sistemas informáticos, telecomunicaciones, operaciones y
software; (4) técnicas de procesamiento de información por computadora; y (5) comprensión de los negocios a escala local e
internacional. Estas son algunas de las principales áreas de competencia identificadas por los diversos estudios independientes para la
persona que ingresa al campo de auditoría, control y seguridad de TI.
Certificación
La certificación es un componente vital de una profesión. Mientras se prepara para ingresar a su profesión, ya sea contable, SI u
otros campos comerciales, la certificación será la medida de su nivel de conocimiento, habilidades y destrezas en la profesión.
Por ejemplo, la consecución de la designación de CPA es un hito importante en la carrera del contador en ejercicio. En auditoría
de TI, el Auditor Certificado de Sistemas de Información (CISA) es uno de los principales niveles de reconocimiento y logro.
Existen ciertos requisitos para que los candidatos obtengan la certificación CISA, tales como:
• Aprobar un riguroso examen escrito

• Evidencia de un mínimo de 5 años de trabajo profesional de auditoría, control o seguridad de SI
experiencia
• Adherirse al Código de Ética Profesional de ISACA y la Auditoría de Sistemas de Información
Estándares adoptados por ISACA
• Aceptar cumplir con la Política de educación continua de CISA
El examen CISA cubre áreas (o dominios) dentro del proceso de auditoría de SI; gobernanza y gestión de TI;
Adquisición, desarrollo e implementación de SI; Gestión de operaciones, mantenimiento y servicios de SI; y la
protección de los activos de información. Por lo tanto, la educación universitaria juega un papel importante al
proporcionar las bases para el proceso de certificación. Otras licencias y certificaciones relevantes para el auditor de TI
incluyen las siguientes: Contador público certificado (CA), Auditor interno certificado (CIA), Profesional informático
certificado (CCP), Gerente financiero gubernamental certificado (CGFM), Profesional de seguridad de sistemas de
información certificado ( CISSP), Gerente Certificado de Seguridad de la Información (CISM), Certificado en Control de
Riesgos y Sistemas de Información (CRISC), Profesional Certificado en Tecnología de la Información (CITP) por
AICPA,
La certificación es importante y una medida del logro de habilidades dentro de la profesión. La obtención de más de una certificación
mejorará sus conocimientos, habilidades y capacidades dentro del dominio de la auditoría. La competencia en la aplicación de habilidades
proviene de la experiencia y la educación continua. Los cambios dinámicos en los negocios (comercio), la TI y los eventos mundiales
continúan dando forma al futuro de esta apasionante profesión.
Educación continua
La certificación requiere educación continua para que aquellos que están certificados mantengan un nivel de competencia y
continúen su certificación. La educación continua es un elemento importante para el crecimiento profesional. A medida que los
graduados ingresen a su profesión, encontrarán que su educación académica es la base para el desarrollo continuo de
conocimientos, habilidades y habilidades que mejoran la carrera. Existe un requisito de educación continua para apoyar el programa
CISA. El auditor de TI del
El futuro se enfrentará constantemente a cambios con respecto a los sistemas existentes y la dinámica del medio ambiente (es decir,
reorganización, nueva tecnología, cambio operativo y requisitos cambiantes).
La amplitud y profundidad de los conocimientos necesarios para auditar TI es extensa. Por ejemplo, la auditoría de TI implica la
aplicación de enfoques de auditoría orientados al riesgo; el uso de herramientas y técnicas de auditoría asistidas por computadora (por
ejemplo, EnCase, CaseWare, Idea, ACL, Guardant, eTrust, CA-Examine, etc.); la aplicación de normas nacionales o internacionales (es
decir, ISO 9000/3, ISO 17799, ISO 27000 y enmiendas relacionadas para mejorar e implementar sistemas de calidad en el desarrollo de
software); la auditoría de sistemas en desarrollo que involucran SDLC complejos o nuevas técnicas de desarrollo (por ejemplo, creación de
prototipos, computación del usuario final, desarrollo rápido de sistemas, etc.); y la auditoría de tecnologías complejas que involucran el
intercambio electrónico de datos, servidores de clientes, redes de área local y amplia, comunicaciones de datos, telecomunicaciones y
sistemas integrados de voz / datos / video.
Dado que el entorno organizacional en el que opera el auditor de TI es dinámico, es importante que se comprendan los
nuevos desarrollos en la profesión para que puedan aplicarse de manera adecuada. Por lo tanto, el requisito de educación continua
ayuda al CISA a adquirir nuevos conocimientos y habilidades para brindar la opinión profesional más informada. Una amplia
variedad de asociaciones y organizaciones ofrecen cursos y programas de capacitación para ayudar a mantener las habilidades
necesarias que necesitan para continuar mejorando y evolucionando. Los métodos para recibir dicha formación pueden incluso ser
globales, con videoconferencias y teletrabajo, e Internet desempeñando un papel importante en la impartición de la formación.
Asociaciones profesionales y estándares éticos
Como gerente en cualquier nivel, uno debe recordar que los auditores, ya sean internos o externos, tienen estándares de práctica
que deben seguir. Al igual que los profesionales de TI, los auditores pueden pertenecer a una o más asociaciones profesionales y
tener un código de ética y estándares profesionales de prácticas y orientación que les ayuden a realizar sus revisiones y auditorías.
Si se ve que no están realizando su trabajo de acuerdo con los “estándares de práctica” de su profesión, saben que podrían estar
expuestos a una demanda potencial o incluso “descertificados”. Algunas de las organizaciones que produjeron tales estándares de
práctica son AICPA, IIA, IFAC, CICA, GAO e ISACA.
ISACA, creada en 1969, es la principal asociación profesional de gobierno, aseguramiento y seguridad de TI en la

actualidad. ISACA:
• proporciona conocimientos y educación en áreas como aseguramiento de SI, seguridad de la información,

premia la gobernanza, la gestión de riesgos de TI y el cumplimiento.
• ofrece certificaciones / designaciones mundialmente conocidas, como CISA, CISM, Certificado en el

Gobernanza de TI empresarial (CGEIT), y Certificado en Riesgo y CRISC.
• desarrolla y actualiza con frecuencia estándares internacionales de auditoría y control de SI, tales como,
el estándar COBIT. COBIT asiste tanto a los auditores de TI como a la gerencia de TI, en el desempeño de sus deberes y
responsabilidades diarios en las áreas de aseguramiento, seguridad, riesgo y control, y entrega valor al negocio.
Para actuar como auditor, uno debe tener un alto nivel de ética moral. El termino auditor es el latín para alguien que escucha quejas
y toma decisiones o actúa como un juez. Para actuar como juez, definitivamente uno debe ser moralmente ético o se frustra el
propósito. La ética es una base muy importante para nuestra cultura en su conjunto. Si el auditor pierde el favor en esta área, es
casi imposible recuperar la confianza que el auditor una vez tuvo con la gerencia de auditoría y los auditados. Ya sea que un auditor
sea ético al principio o no, todos deben comenzar con la misma cantidad de confianza y buen favor del cliente o
auditado. Si el vínculo no se rompe, el auditor establece un buen nombre como alguien en quien se puede confiar el material
sensible.
En la economía mundial actual, la confianza es una palabra inaudita. Nadie puede confiar en nadie en estos días y por esta razón es
imperativo que la alta ética esté en la parte superior de la lista de temas del gerente para cubrir con los nuevos equipos de auditoría. Los
tiempos están cambiando y también los clientes que solicitan servicios de auditoría. La mayoría de los gerentes afirmarán que aprecian este
aspecto llamado ética porque los distingue de otros que no lo tienen.
Por ejemplo, digamos que un presupuesto requiere varias horas. No es ético anotar las horas no trabajadas. Tampoco es ético
pasar por alto algo durante la auditoría porque el cliente dice que no es importante. Existe una delgada línea entre lo ético y lo legal.
Algo puede ser éticamente incorrecto pero aún así legal. Sin embargo, dicho esto, algunas cosas que inicialmente se pensaba que
no eran éticas se vuelven ilegales con el tiempo. Si hay una población lo suficientemente grande que se opone a algo éticamente
incorrecto, verá que se introduce una legislación para convertirlo en ilegal.
Cuando los auditores de TI obtienen su certificación CISA, también se suscriben a un Código de Ética Profesional. Este código se
aplica no solo a la conducta profesional sino también a la conducta personal de los auditores de TI. El código en realidad no está en
conflicto con los códigos de ética de otros dominios relacionados con la auditoría / aseguramiento (por ejemplo, IIA, AICPA, etc.). Requiere
que se cumplan las normas de ISACA, se mantenga la confidencialidad, se informe sobre cualquier actividad ilegal o inapropiada, se
mantenga la competencia del auditor, se tenga el debido cuidado en el curso de la auditoría, se comuniquen los resultados del trabajo de
auditoría y se mantienen altos estándares de conducta y carácter.
Currículos educativos
La auditoría de TI es una profesión con conducta, objetivos y cualidades que se caracterizan por estándares técnicos y éticos mundiales.
Requiere conocimientos especializados y, a menudo, una preparación académica prolongada e intensiva. La mayoría de las sociedades
profesionales de contabilidad, auditoría y TI creen que las mejoras en la investigación y la educación definitivamente proporcionarán una
"base de conocimiento teórico y empírico mejor desarrollada para la función de auditoría de TI". Consideran que se debe poner énfasis
en la educación obtenida a nivel universitario.
Las comunidades académicas tanto en los Estados Unidos como en el extranjero han comenzado a incorporar partes del cuerpo común de
conocimiento y los dominios del examen CISA en los cursos que se imparten a nivel universitario. Varios estudios recientes indican el crecimiento
de los cursos de auditoría informática que están surgiendo en los planes de estudios universitarios en todo el mundo.
Varias universidades han desarrollado planes de estudio adaptados para apoyar la profesión de auditoría de TI. Aunque los planes
de estudio de estas universidades evolucionan constantemente, actualmente existen en instituciones como la Universidad de Bentley
(Massachusetts), la Universidad Estatal de Bowling Green (Ohio), la Universidad Politécnica del Estado de California, la Universidad de
Mississippi, la Universidad de Texas, la Universidad Estatal de Georgia, la Universidad de Maryland. , Universidad de Tennessee,
Universidad Tecnológica Nacional (Argentina), Universidad de Columbia Británica (Canadá), Universidad de York (Canadá) y
Universidad de Ciencia y Tecnología de Hong Kong, entre otras. Los graduados de estos programas califican para 1 año de experiencia
laboral para su certificación CISA.
Un modelo de plan de estudios para la educación de pregrado y posgrado en la educación en auditoría de SI y TI se emitió
inicialmente en marzo de 1998 y se actualizó en 2004, 2009 y 2011 por la Asociación y Fundación de Auditoría y Control de SI. El
propósito del Modelo es brindar a las facultades, universidades y / o instituciones educativas las herramientas necesarias para educar a
los estudiantes y prepararlos para ingresar a la profesión de auditoría de TI. La educación a través del modelo se centra en los
componentes fundamentales del curso de auditoría y control de TI, así como también se mantiene al día con el rápido ritmo de la
tecnología.
cambio. Dicha educación también está en línea con los eventos recientes, las regulaciones gubernamentales y los cambios en los procesos
comerciales, todos los cuales han afectado el papel de la auditoría de TI y las metodologías utilizadas por los auditores de TI.
Perfil de auditor de TI: experiencia y habilidades
La experiencia en auditoría de TI es imprescindible. Nada en este mundo puede compararse con las experiencias reales en el trabajo y el mundo
real. La teoría también es valiosa y, en su mayor parte, un auditor de TI debe confiar en la teoría para progresar en una auditoría. Por ejemplo, si
los auditores de TI desean demostrar su compromiso y nivel de conocimiento del campo, pueden seleccionar un área para ser probada. Existe
una serie de certificaciones profesionales que pueden beneficiar al auditor. En el área de auditoría de TI, por ejemplo, para aprobar el examen
CISA, uno debe conocer, comprender y ser capaz de aplicar la teoría de la auditoría de TI moderna a todas las preguntas del examen
planteadas. Existen otras licencias y certificaciones relevantes, como se mencionó anteriormente, que pueden ser muy útiles para la carrera y los
planes futuros de un auditor de TI.
La comprensión de la teoría es definitivamente esencial para un auditor de TI exitoso. Sin embargo, la teoría sólo puede llevar una
hasta ahora. Este libro de texto y otros disponibles deben verse como una guía. En este campo, debido a la complejidad y situación de la
tecnología, llega un momento en que un auditor de TI tiene que confiar en la experiencia para enfrentar una situación nueva, nunca antes
encontrada. La experiencia en el campo es una ventaja definitiva, pero tener experiencia en una variedad de otros campos a veces puede
ser más beneficioso. Por ejemplo, un gerente de auditoría de TI que trabaja para una firma de contabilidad pública Big Four estará expuesto
a una amplia variedad de situaciones y escenarios de auditoría de TI. Esta experiencia ayudará a ampliar los horizontes y ampliar los
conocimientos en el campo de la auditoría de TI. Otro ejemplo sería un supervisor de auditoría interna que ha realizado auditorías de
cumplimiento y centradas en el riesgo para todos los departamentos de una organización. Una experiencia tan amplia no es más que una
ventaja, y probablemente le permitirá al auditor agregar valor significativo y superior a las operaciones de la organización.
La entrada directa a la profesión, como es la situación actual, puede cambiar con los requisitos de nivel de entrada, incluida la
experiencia en procesos, sistemas y tecnología de negocios, así como un conocimiento sólido de la teoría general de auditoría
complementada con experiencia práctica. Además, los auditores de TI pueden requerir experiencia específica de la industria, como
banca, telecomunicaciones, transporte o finanzas y seguros para abordar adecuadamente los problemas de negocios / tecnología
específicos de la industria. Este libro proporciona información y enfoques actuales de este campo complejo, lo que puede ayudar a los
profesionales y a quienes deseen aprender más.
La experiencia viene con tiempo y perseverancia, como es bien sabido, pero los auditores no deben limitarse a una sola
industria, software o sistema operativo. Deben desafiarse a sí mismos y ampliar sus horizontes con una multitud de exposiciones
en diferentes entornos, si es posible. Cuanto más amplio y completo sea el auditor de TI, mayores serán las posibilidades de una
carrera de auditoría exitosa.
Además de la experiencia, los auditores de TI eficaces deben poseer una variedad de habilidades que les permitan agregar valor a
sus organizaciones o clientes. La mejor experiencia técnica o capacitación no necesariamente prepara completamente a los auditores
para las habilidades de comunicación y negociación que se requieren para el éxito.
Muchas de las habilidades no técnicas o complementarias están relacionadas con la recopilación de información y, de importancia
comparable, la presentación de información a las personas. Como tales, estas habilidades complementarias son fácilmente transferibles a otras
disciplinas, por ejemplo, finanzas, administración y marketing. El producto final que crean los auditores es un informe de auditoría. Si la
información contenida en el informe de auditoría no se entrega de manera efectiva y eficiente a través de sólidas habilidades de comunicación
oral y escrita, todo el valor se deriva de la proceso de auditoría potencialmente podría perderse.
Tener un conjunto diverso de habilidades complementarias o "blandas" nunca está de más cuando uno está trabajando con un
auditado. Por ejemplo, un auditor senior de TI estaba realizando recientemente una auditoría en la que se enfrentó a un cliente / auditado
que no fue muy cooperativo. Durante el proceso de interrogatorio, el auditor senior de TI estableció una relación con el cliente mediante el
uso de habilidades interpersonales o "habilidades blandas". El papel de un auditor no es fácil cuando se nos pide que revisemos,
cuestionemos y evaluemos el trabajo de otros. Muchas veces, el auditado debe tener un entendimiento claro de nuestro rol y que el enfoque
del auditor no es ser crítico con el individuo sino con las políticas, procedimientos y procesos organizacionales. Los objetivos de la auditoría
se centran tanto en las metas como en los objetivos de la organización.
Oportunidades profesionales
Hay una serie de oportunidades profesionales disponibles para las personas que buscan una oportunidad en auditoría de TI. Para el graduado
universitario con el conocimiento, las habilidades y las habilidades de nivel de entrada adecuados, esta carrera ofrece muchos caminos para el
crecimiento y el desarrollo. Además, a medida que una carrera se desarrolla y progresa, la auditoría de TI también puede proporcionar movilidad
hacia otras áreas. Los auditores de TI de hoy son empleados por firmas de contabilidad pública, industrias privadas, firmas de consultoría de gestión
y el gobierno.
Empresas de Contaduría Pública
Las firmas de contadores públicos ofrecen a las personas la oportunidad de ingresar al campo de la auditoría de TI. Aunque estas firmas
pueden requerir que dichas personas comiencen sus carreras en auditorías financieras para ganar experiencia en la comprensión de las
metodologías de auditoría de la organización, después de la experiencia inicial de auditoría, la persona que expresa interés en una
especialización en particular (por ejemplo, forense, seguridad, etc.) ser transferido a dicha especialidad para una mayor formación y desarrollo
profesional. Muchos de los que han tomado esta trayectoria profesional han tenido éxito y varios se han convertido en socios, directores o
directores dentro de la firma. Las fuentes principales para la mayoría de las firmas de contadores públicos son el reclutamiento y el desarrollo
universitario. Sin embargo, no es infrecuente que una empresa contrate personal externo para obtener conocimientos especializados (p. Ej.,
Informática forense, telecomunicaciones,
Industria privada
Al igual que las empresas de contabilidad pública, la industria privada ofrece puestos profesionales de auditoría de TI de nivel de entrada.
Además, los auditores de TI adquieren experiencia en áreas más especializadas (es decir, telecomunicaciones, software de sistemas y
diseño de sistemas), lo que puede convertirlos en candidatos para puestos de operaciones de TI, forense de TI y seguridad de TI. Muchos
directores ejecutivos ven la experiencia de auditoría como una función de capacitación gerencial. El auditor de TI tiene fortalezas
particulares de formación, experiencia práctica con SI corporativos y comprensión de la toma de decisiones ejecutivas. Algunas empresas
han hecho una distinción entre auditores de TI y auditores operativos y financieros. Otros requieren que todos los auditores internos sean
capaces de auditar los sistemas de TI. Las fuentes de personal para la función de auditoría de TI dentro de una empresa generalmente
pueden provenir de la contratación universitaria, transferencias internas,
Empresas de consultoría de gestión
Otra área de oportunidad para el personal de auditoría de TI es la consultoría de gestión. Esta área de carrera generalmente está disponible
para auditores de TI con varios años de experiencia. Muchos consultoría de gestión
Las prácticas, especialmente aquellas que brindan servicios en el entorno de sistemas informáticos, contratan auditores de TI con experiencia.
Esta trayectoria profesional permite que estos candidatos utilicen sus conocimientos, habilidades y habilidades particulares para diagnosticar
una variedad de problemas informáticos y de información de gestión y luego ayudar a la organización a implementar las soluciones. Los
recursos habituales para estos puestos son personal experimentado de firmas contables contables públicas, industrias privadas y el gobierno.
La informática forense es otra área en crecimiento en los servicios de consultoría de gestión.
Gobierno
El gobierno ofrece otra vía para que uno adquiera experiencia en auditoría de TI. En los Estados Unidos, los gobiernos federal, estatal, del condado
y de la ciudad emplean personal para llevar a cabo las responsabilidades relacionadas con las auditorías de TI. Las organizaciones federales como
la NSA, el FBI, el Departamento de Justicia y la CIA emplean personal que tiene experiencia en auditoría de TI, experiencia en seguridad informática
y experiencia en forense de TI. Los gobiernos de todo el mundo también emplean personal para realizar auditorías de TI.
Los puestos gubernamentales ofrecen capacitación y experiencia al personal responsable de realizar funciones de auditoría de TI. Las
fuentes de los auditores de TI del gobierno son reclutas universitarios y empleados que buscan promoción o transferencia interna. Hay
ocasiones en las que también se pueden contratar recursos con experiencia del exterior.
Conclusión
Las operaciones comerciales están cambiando a un ritmo rápido debido a la rápida mejora continua de la tecnología. La tecnología ha
impactado varias áreas del entorno empresarial, incluido el uso y procesamiento de la información, los procesos de control existentes y
cómo se realizan las auditorías para sacar conclusiones con respecto a la efectividad, eficiencia e integridad de los informes operativos o
del sistema. También se observa que la tecnología cambia constantemente e identifica formas de dar forma a los entornos de TI actuales
en la organización. Se describieron varias tecnologías recientes que han revolucionado y ciertamente seguirán revolucionando las
organizaciones, en particular la forma en que se hacen negocios y la dinámica del lugar de trabajo.
Debido a los importantes fraudes y escándalos corporativos y contables, la profesión de auditoría, tanto las funciones internas como
externas, ahora considera seriamente la falta de controles en los sistemas de información por computadora. Dentro de la auditoría
financiera, por ejemplo, existen principios y estándares que rigen la profesión de contador público autorizado en los Estados Unidos (es
decir, GAAP y GAAS). Estos buscan una preparación precisa de los estados financieros, así como procedimientos efectivos para sus
exámenes de auditoría. Un tipo diferente de auditoría, la auditoría de TI, se ha convertido en una parte integral de la función de auditoría
porque respalda el juicio del auditor sobre la calidad de la información procesada por los sistemas informáticos. La auditoría de TI
proporciona una seguridad razonable (nunca absoluta) de que la información generada por las aplicaciones dentro de la organización es
precisa, completa, y apoya la toma de decisiones eficaz y coherente con la naturaleza y el alcance acordados. Hay dos grandes grupos de
auditorías de TI (es decir, Auditoría de controles informáticos generales y Auditoría de controles de aplicaciones), ambos esenciales para
garantizar el funcionamiento adecuado continuo de SI.
Para el auditor de TI, la necesidad de auditoría sigue siendo crítica y sigue siendo exigente. Hay muchos desafíos por delante;
todos deben trabajar juntos para diseñar, implementar y salvaguardar la integración de tecnologías nuevas y existentes en el lugar de
trabajo. Dados los diversos roles que pueden desempeñar los auditores de TI, deben mantenerse actualizados con las revisiones y
cambios en las leyes existentes que rigen el uso de computadoras e Internet. Los auditores de TI pueden proporcionar una ventaja para
ayudar a las organizaciones a comprender los riesgos que enfrentan y las posibles consecuencias.
Preguntas de revisión
1. La tecnología ha impactado el entorno empresarial en tres áreas. Resume esas áreas.

2. Diferenciar entre auditores internos y externos en términos de sus roles y responsabilidades.
3. ¿Cómo se define la auditoría de TI?
4. Auditoría general de controles informáticos y controles de aplicaciones La auditoría son dos grandes grupos de auditorías de TI.
Resuma ambas auditorías y proporcione ejemplos específicos que respalden los controles evaluados dentro de cada tipo de
auditoría.
5. El TSPC, mantenido por la ASEC de AICPA, presenta criterios para que los utilicen los profesionales cuando brindan certificación
profesional o servicios de asesoría para evaluar los controles relevantes a cinco principios. Describe con tus propias palabras estos
principios.
6. Explique qué es la garantía de la información.
7. Una de las funciones del auditor de TI es actuar como consejero de las organizaciones. Como consejero, los auditores de TI pueden ayudar
a las organizaciones a desarrollar políticas, procedimientos, estándares y / o mejores prácticas, como una política de seguridad de la
información. Utilizando las características de una buena política de seguridad de la información enumeradas en el capítulo, desarrolle
cinco políticas de seguridad de la información que compartiría con su cliente.
8. Explique por qué la auditoría de TI se considera una profesión. Describa los requisitos para que los candidatos obtengan la certificación CISA.
9. ¿Qué es ISACA y cómo ayuda a la profesión de auditoría de TI?

10. ¿Dónde están las oportunidades profesionales actuales para el auditor de TI? Busque en Internet e identifique al menos un perfil / descripción
de trabajo para cada oportunidad profesional identificada anteriormente. Para cada perfil de trabajo identificado, enumere lo siguiente en
forma de tabla:
a. Descripción del trabajo
segundo. Deberes, tareas y responsabilidades requeridas
C. Requisitos mínimos de trabajo (o calificaciones)

re. Requisitos mínimos de educación y / o certificación
mi. Conocimientos, destrezas y habilidades requeridas, etc.
Ejercicios
1. Después de leer este capítulo, debe sentirse cómodo con las funciones y responsabilidades generales de un auditor de TI.
a. Describa con sus propias palabras qué hacen los auditores de TI.
segundo. ¿Por qué deberían formar parte del equipo de auditoría general al realizar la auditoría financiera anual de un cliente?
2. Enumere cinco sitios web a los que puede acceder para obtener información sobre:
a. Auditoría de TI
segundo. Problemas de privacidad y seguridad de TI
3. Visite los sitios web de cuatro organizaciones de auditoría externa: dos sitios privados y dos gubernamentales. Proporcione un
resumen de quiénes son y sus roles, funciones y responsabilidades.
4. Entreviste a un auditor de TI y recopile la siguiente información:
a. ¿Cargo y empresa?
segundo. ¿Número de años de experiencia en auditoría de TI?
C. ¿Título (s) y certificaciones profesionales?

re. ¿Trayectoria profesional?
mi. ¿Por qué se unió a la auditoría de TI?

F. ¿Le gusta y no le gusta la auditoría de TI?
gramo. ¿Dónde se ven a sí mismos dentro de 5 años?
5. Su gerente de auditoría de TI le solicita que:
a. Prepare una lista de al menos cinco certificaciones / designaciones profesionales que serían útiles para el personal de
auditoría de TI. En un formato de tabla de tres columnas, documente el nombre de la certificación o designación
profesional, el nombre de la organización profesional emisora, las razones por las que cree que sería relevante para el
auditor de TI y el enlace de la fuente del sitio web o fuente examinada.
Otras lecturas
1. Recursos NIIF de AICPA. ¿Qué son las NIIF? www.ifrs.com/ifrs_faqs.html#q1 (consultado en octubre de 2016).
2. Instituto Americano de Contadores Públicos Autorizados (AICPA). (2011). Principales iniciativas tecnológicas,
www.aicpa.org/InterestAreas/InformationTechnology/Resources/TopTechnologyInitiatives/ Pages /
2011TopTechInitiatives.aspx
3. Chen, Y., Paxson, V. y Katz, RH (2010). ¿Qué hay de nuevo en la seguridad informática en la nube?
Informe técnico UCB / EECS-2010-5, Departamento de EECS, Universidad de California, Berkeley, 2010,
www.eecs.berkeley.edu/Pubs/TechRpts/2010/EECS-2010-5.html
4. Deloitte. Computación en la nube en 2016: problemas y oportunidades de empresas privadas, www2.deloitte.com/
us / en / pages / deloitte-growth-enterprise-services / articles / private-company-cloud-computing.html (consultado en octubre de 2016).
5. Centro EY para Asuntos de la Junta. (Septiembre de 2015). EY Big Data y Analytics en el proceso de auditoría,
www.ey.com/Publication/vwLUAssets/ey-big-data-and-analytics-in-the-audit-process/$FILE/ey-
big-data-and-analytics-in-the-audit-process.pdf (consultado en diciembre de 2015).
6. NIST. Versión final de la definición de computación en la nube del NIST publicada, www.nist.gov/news-events/ news / 2011/10 /
final-version-nist-cloud-computing-definition-Published (consultado en octubre de 2011).
7. Gallegos, F. (2002). Debido cuidado profesional. Inf. Syst. Control J., 2, 25-28.
8. Gallegos, F. (2003). Carreras de auditor de TI: el gobierno de TI proporciona nuevos roles y oportunidades. ES
Control J., 3, 40–43.
9. Gallegos, F. y Carlin, A. (julio de 2007). Auditoría de TI: un proceso empresarial crítico. Computación. Revista., 40 (7),
87–89.
10. Glosario de TI de Gartner. (Dakota del Norte). www.gartner.com/it-glossary/big-data/ (consultado en octubre de 2016).
11. El ciclo de publicidad de Gartner de 2015 para tecnologías emergentes identifica las innovaciones informáticas que las organizaciones deben
monitorear, www.gartner.com/newsroom/id/3114217 (consultado en julio de 2015).
12. Gartner dice que Internet of Things transformará el centro de datos, www.gartner.com/newsroom/ id / 2684616 (consultado en
octubre de 2014).
13. Asociación de Investigación de Delitos de Alta Tecnología. HTCIA.org
14. Ibrahim, N. Auditoría de TI 101: La auditoría interna es responsable de evaluar si los riesgos de TI se comprenden, gestionan y controlan
adecuadamente. Auditor interno, http://go.galegroup.com/ps/i.do?id=GA LE% 7CA372553480 & sid = googleScholar & v = 2.1 & it = r &
linkaccess = fulltext & issn = 00205745 & p = AO NE & sw = w & authCount = 1 & u = melb26933 & selfRedirect = true (consultado en
junio de 2014).
15. IDC. Se prevé que el gasto mundial en servicios de nube pública alcance los 266.000 millones de dólares en 2021, según IDC. USA,
www.idc.com/getdoc.jsp?containerId=prUS42889917 (consultado en julio de 2017).
16. Fundación de Auditoría y Control de Sistemas de Información. COBIT, Quinta edición. Sistemas de información
Audit and Control Foundation, Rolling Meadows, IL, www.isaca.org/Knowledge-Center/COBIT/ Pages / Overview.aspx (consultado
en junio de 2012).
17. Asociación de Auditoría y Control de Sistemas de Información. (2011). Dominio del examen CISA, ISACA
Junta de certificación, Rolling Meadows, IL.
18. ISACA. Información sobre la innovación: las principales tendencias digitales que afectan la estrategia. www.isaca.org/knowledge-Center/ Research / Pages /
isaca-innovation-insights.aspx (consultado en marzo de 2015).

19. ISACA. Perspectivas de innovación de ISACA, www.isaca.org/knowledge-center/research/pages/cloud.aspx (consultado en septiembre de

2016).
20. ISACA. Perspectivas de innovación de ISACA, www.isaca.org/knowledge-Center/Research/Pages/isaca-innovation-insights.aspx (consultado en
septiembre de 2016).
21. ISACA. Glosario de ISACA, www.isaca.org/Pages/Glossary.aspx?tid=1095&char=A (consultado en octubre
2016).
22. ISACA. Glosario de ISACA, www.isaca.org/Pages/Glossary.aspx?tid=1490&char=I (consultado en octubre
2016).
23. ISACA. Glosario de ISACA, www.isaca.org/Pages/Glossary.aspx?tid=1489&char=I (consultado en octubre
2016).
24. ISACA. El código de ética profesional, sitio web de la Asociación de Control de Auditoría de Sistemas de Información, www.isaca.org
25. ISACA. Los programas de ISACA están alineados con el plan de estudios modelo para auditoría y control de SI, http: // www.
isaca.org/Knowledge-Center/Academia/Pages/Programs-Aligned-with-Model-Curriculum-for-IS- Audit-and-Control.aspx (consultado en
octubre de 2016).
26. Nelson, B., Phillips, A. y Steuart, C. (2010). Guía de investigación y análisis forense informático, Curso
Tecnología, Cengage Learning, Boston, MA.
27. Otero, AR (2015). Impacto de la participación de los auditores de TI en las auditorías financieras. En t. J. Res. Autobús. Technol.,
6 (3), 841–849.
28. Seguridad PCI. PCI Security Standards Council, www.pcisecuritystandards.org/pci_security/ (consultado en octubre de 2016).
29. Plantillas de políticas de seguridad de la información de SANS. www.sans.org/security-resources/policies/general (consultado en octubre de 2016).
30. Senft, S., Gallegos, F. y Davis, A. (2012). Control y Auditoría de Tecnologías de la Información. Prensa CRC /
Taylor y Francis, Boca Raton, FL.
31. Singleton, T. (2003). Las ramificaciones de Sarbanes-Oxley. IS Control J., 3, 11-16.
32. AICPA. Declaraciones sobre estándares de auditoría, www.aicpa.org/research/standards/auditattest/pages/sas. aspx # SAS117 (consultado en
octubre de 2016).
33. Takabi, H., Joshi, JBD y Ahn, G. (2011). Desafíos de seguridad y privacidad en entornos de computación en la nube. IEEE Secur.
Priv., 8 (6), 24–31.
34. Comisión Federal de Big Data de la Fundación TechAmerica. (2012). Desmitificando Big Data: Una guía práctica para transformar el
negocio del gobierno, https://bigdatawg.nist.gov/_uploadfiles/M0068_ v1_3903747095.pdf (consultado en diciembre de 2012).
35. Las mejores soluciones de gestión de dispositivos móviles (MDM) de 2016. Revista de PC, www.pcmag.com/
article / 342695 / the-best-mobile-device-management-mdm-software-of-2016 (consultado en noviembre de 2016).
36. ComprehensiveNationalCybersecurityInitiative. Www.whitehouse.gov/cybersecurity/comprehensive- national-cybersecurity-Initiative
(consultado en julio de 2012).
37. Instituto de Auditores Internos. Definición de auditoría interna, www.iia.org.au/aboutIIA/definition- OfIA.aspx (consultado en octubre
de 2016).
38. Los 10 principales proveedores de software ERP y previsión del mercado 2015-2020. Las aplicaciones manejan el mundo. www.
appsruntheworld.com/top-10-erp-software-vendors-and-market-forecast-2015-2020/ (consultado en octubre
2016).
39. Comisión de Bolsa y Valores de EE. UU. La SEC anuncia casos de fraude financiero. Presione soltar,
www.sec.gov/news/pressrelease/2016-74.html (consultado en octubre de 2016).
40. ¿Qué es la computación en la nube? Revista de PC, www.pcmag.com/article2/0,2817,2372163,00.asp (consultado
Noviembre de 2016).
41. Se prevé que el gasto mundial en servicios de nube pública se duplique para 2019, según IDC, https: //
www.informationweek.com/cloud/infrastructure-as-a-service/idc-public-cloud-spending-to-double- by -2019 / d / d-id / 1324014
(consultado en octubre de 2016).
Capitulo 2
Legislación relevante para

1. Analice los delitos informáticos y explique las tres categorías principales de delitos relacionados con las computadoras.
2. Defina el ciberataque e ilustre los recientes ciberataques realizados contra empresas estadounidenses.
3. Resumir la Ley Sarbanes-Oxley de la legislación federal sobre integridad financiera de 2002.

4. Describir y discutir la legislación federal de seguridad financiera relevante para los auditores de TI.
5. Describir y discutir la legislación relacionada con la privacidad relevante para los auditores de TI.
6. Discutir las leyes estatales relevantes para los auditores de TI.
7. Discutir las leyes de privacidad internacionales relevantes para los auditores de TI.
Internet ha crecido exponencialmente desde un simple enlace de relativamente pocas computadoras

gubernamentales y educativas a una red mundial compleja que es utilizada por empresas, gobiernos y el público,
casi todos, desde el especialista en computación hasta el usuario novato y todos los intermedios. Hoy en día, los
usos comunes de Internet incluyen todo, desde contabilidad, marketing, ventas y fines de entretenimiento hasta
correo electrónico, investigación, comercio y prácticamente cualquier otro tipo de intercambio de información.
Como ocurre con cualquier avance tecnológico, los avances también han dado lugar a una nueva legislación.
Este capítulo se centra en la legislación que rige el uso y mal uso de la TI. Se cree que la legislación ha tenido un
impacto duradero en la comunidad en línea (gobierno, empresas y público),
Delitos informáticos y ciberataques
La explosión de las tecnologías de la información ha abierto muchas puertas de acceso a los delincuentes, lo que exige que las organizaciones
tomen las precauciones necesarias para proteger sus activos intelectuales contra los delitos informáticos. Según el Informe de delitos en Internet
de 2016, el Centro de quejas de delitos en Internet (IC3) del FBI recibió un total de 298,728 quejas con pérdidas reportadas superiores a $ 1,3 mil
millones. En 2015, el FBI recibió
31
127.145 denuncias de un total de 288.012 sobre presunta actividad delictiva facilitada por Internet en realidad informaron haber
experimentado una pérdida. Las pérdidas totales reportadas en 2015 ascendieron a $ 1,070,711,522 (o casi un 134% de aumento con
respecto a la pérdida total reportada de 2014 de $ 800,492,073). En
En 2014, el FBI recibió 123,684 quejas (de un total de 269,422) que en realidad informaron una pérdida por actividades delictivas
en línea. En 2015, la mayoría de las quejas continuas recibidas por el FBI se referían a delincuentes que alojaban sitios web
fraudulentos de servicios gubernamentales para adquirir
información de identificación personal (PII) y cobrar tarifas fraudulentas a los consumidores. Otros notables de 2014 a 2016
involucraron “impago” (es decir, bienes / servicios enviados o proporcionados, pero el pago nunca se realizó); “No entrega” (es decir,
pago enviado, pero bienes / servicios nunca recibidos); el robo de identidad; violación de datos personales; extorsión; y otros. Algunos
de los delitos en Internet denunciados con mayor frecuencia entre 2014 y 2016 se enumeran en el Cuadro 2.1.
Hay tres categorías principales de delitos relacionados con las computadoras. Estos delitos pueden cometerse como actos
individuales o al mismo tiempo. El primero de ellos es donde la computadora es el objetivo del crimen. Generalmente, este tipo de delito
implica el robo de información que se almacena en la computadora. Esto también cubre el acceso no autorizado o la modificación de
registros. La forma más común de obtener acceso no autorizado es que el delincuente se convierta en un "superusuario" a través de
una puerta trasera en el sistema. La puerta trasera del sistema está ahí para permitir el acceso en caso de que surja un problema. Ser
superusuario equivale a ser administrador del sistema y permite al delincuente acceder a prácticamente todas las áreas y funciones del
sistema. Este tipo de delito es el que más preocupa a la industria.
El siguiente tipo general de delito informático se produce cuando la computadora se utiliza como instrumento del delito. En
este escenario, la computadora se utiliza para ayudar al delincuente a cometer el delito. Esta categoría cubre el uso fraudulento
de tarjetas de cajeros automáticos (ATM), tarjetas de crédito, telecomunicaciones y fraude financiero de transacciones
informáticas.
En la tercera categoría, la computadora no es necesaria para cometer el delito. La computadora es
incidental y se utiliza para cometer el delito más rápidamente, procesar mayores cantidades de información y
hacer que el delito sea más difícil de identificar y rastrear. El ejemplo más popular de este delito es la
pornografía infantil. Debido al mayor acceso a Internet, la pornografía infantil está más extendida, es más fácil
de acceder y más difícil de rastrear. La TI ayuda a las fuerzas del orden a perseguir este delito porque la
información incriminatoria a menudo se almacena en la computadora. Esto facilita el enjuiciamiento penal. Si el
delincuente es inteligente, la computadora está programada para cifrar los datos o borrar los archivos si no se
accede correctamente. Así,
Un delito informático notorio con el que suelen lidiar las organizaciones, y que también puede involucrar los tres tipos de delitos
informáticos que acabamos de explicar, son los ciberataques. El Diccionario Oxford define el ciberataque como “un intento de los
piratas informáticos de dañar o destruir una red o sistema informático”. * Otra definición de ciberataque es la explotación deliberada y
maliciosa de redes, sistemas y datos (generados por computadora) por parte de personas u organizaciones para obtener información
valiosa de los usuarios a través de medios fraudulentos. † La información valiosa, confidencial y / o sensible puede tomar la forma de
contraseñas, detalles financieros, información gubernamental clasificada, etc. Los ciberataques se pueden etiquetar como campañas
cibernéticas, guerra cibernética, o terrorismo cibernético
dependiendo de su contexto. El ciberterrorismo, por ejemplo, se analiza en una sección posterior de este capítulo.
*
https://en.oxforddictionaries.com/definition/cyberattack.
† www.britannica.com/topic/cyberwar#ref1085374.
Legislación relevante para la tecnología de la información • 33
Anexo 2.1 Delitos en Internet reportados con frecuencia por el Centro de Quejas de Delitos en Internet
(IC3) del FBI de 2014 a 2016
Crimen en Internet Descripción
email de negocios Estafa sofisticada dirigida a empresas que trabajan con proveedores extranjeros y / o
Compromiso (BEC) empresas que realizan pagos por transferencia bancaria con regularidad.
Secuestro de datos El ransomware es una forma de malware que se dirige a las debilidades humanas y
técnicas en un esfuerzo por negar la disponibilidad de datos y / o sistemas críticos.
Fraude de soporte técnico El fraude de soporte técnico ocurre cuando el sujeto afirma estar asociado con un
software informático o una empresa de seguridad, o incluso una empresa de cable o
de Internet, que ofrece soporte técnico a la víctima.
Fraude automático La estafa típica de fraude automovilístico implica vender a un consumidor un automóvil
(que figura en un sitio web legítimo) con un precio significativamente inferior a su valor
justo de mercado. El vendedor (estafador) intenta apresurar la venta indicando que
debe vender de inmediato debido a la reubicación, problemas familiares, necesidad de
efectivo u otras razones personales. El vendedor no permite inspeccionar el automóvil
ni reunirse con el consumidor cara a cara. Luego, el vendedor le pide al consumidor
que envíe el pago a un agente externo y que le envíe por fax el recibo de pago como
prueba de pago. El vendedor se queda con el dinero y nunca llega a entregar el
automóvil.
Gobierno Este tipo de delito en Internet implica hacerse pasar por el gobierno, los agentes del
Correo electrónico de suplantación orden o simplemente alguien que finge tener cierto nivel de autoridad para persuadir
Estafa a las víctimas inconscientes de que proporcionen su información personal.
Intimidación / Extorsión Este tipo de delito utiliza demandas de dinero, propiedad, activos, etc. a través del
Estafa ejercicio indebido de la autoridad (es decir, amenazas de daño físico,
procesamiento penal o exposición pública) para extorsionar e intimidar.
Fraude inmobiliario Similar al fraude de automóviles. El vendedor (estafador) intenta apresurar la venta de una
casa (con un precio significativamente por debajo de las tarifas de alquiler del mercado)
indicando que debe vender de inmediato debido a la reubicación, nuevo empleo, problemas
familiares, necesidad de efectivo u otros razones. Se utiliza una reducción de precio tan
significativa para atraer a posibles víctimas. Luego, el vendedor le pedirá al consumidor que
proporcione información de identificación personal y que transfiera el pago a un tercero. Al
recibir el pago, nunca se encuentra al vendedor.
Fraude de confianza / Este tipo de delito se refiere a esquemas diseñados para buscar compañía,
Estafa romántica amistad o romance a través de recursos en línea.
Los ciberataques se han vuelto cada vez más comunes en los últimos años. Algunos de los ciberataques más recientes e infames
llevados a cabo contra empresas estadounidenses se enumeran en el Anexo 2.2. Analicemos ahora la legislación actual (federal, estatal e
internacional) vigente para hacer frente a estos delitos y ataques informáticos, y que son relevantes para el auditor de TI.
Figura 2.2 Ciberataques recientes realizados contra empresas estadounidenses
Empresa / Industria Descripción del ciberataque
Verizon (2017) / Verizon, el principal proveedor de telecomunicaciones, sufrió una violación de seguridad de datos
Telecomunicaciones con más de 6 millones de datos personales de clientes estadounidenses expuestos en Internet. un
Yahoo! (2016) / Considerada por muchos como la filtración de datos más grande descubierta en la historia de Internet.
Computadora de Internet La violación tuvo lugar a fines de 2014, cuando los piratas informáticos robaron información
Software asociada con al menos 500 millones de Yahoo! cuentas de usuario, incluidos nombres, direcciones
de correo electrónico, números de teléfono, preguntas y respuestas de seguridad cifradas o no
cifradas, fechas de nacimiento y contraseña cifrada. Yahoo! divulgó públicamente la violación de
datos 2 años después, el 22 de septiembre de 2016. segundo
Experian PLC (2015) / Los servidores que almacenaban información de evaluación crediticia (por ejemplo, nombres, direcciones,
Servicios comerciales números de seguridad social, etc.) de más de 15 millones de clientes fueron atacados por piratas
informáticos. C
WhatsApp Inc. (2015) / Hasta 200.000 usuarios estaban en riesgo de un ciberataque o ya tenían información
Comunicaciones personal comprometida, informó la aplicación de mensajería multiplataforma. A través de
la conexión a Internet, WhatsApp proporciona servicios de mensajes de texto,
reemplazando los mensajes de texto SMS habituales. segundo
Anthem, Inc. (2015) / Atención Considerada la mayor violación de la atención médica hasta la fecha, el ciberataque a Anthem afectó
médica administrada a 80 millones de clientes actuales y anteriores. El presidente y director ejecutivo de Anthem, Inc.,
Joseph Swedish, declaró que "Anthem fue el objetivo de un ciberataque externo muy sofisticado". re Los
piratas informáticos obtuvieron acceso al sistema informático de Anthem y obtuvieron información
que incluye nombres, fechas de nacimiento, identificaciones médicas, números de seguro social,
direcciones postales, direcciones de correo electrónico e información laboral, incluidos los datos de
ingresos.
Chick-Fil-A, Inc. (2014) / Los ciberataques en los sistemas de punto de venta durante 10 meses en numerosos restaurantes de
Restaurante Chick-Fil-A resultaron en alrededor de 9,000 tarjetas de crédito comprometidas. segundo
Staples, Inc. (2014) / Se detectó malware (software que daña o inutiliza sistemas informáticos) en los sistemas de
Minorista punto de venta de 115 tiendas, afectando alrededor de 1,16 millones de tarjetas de crédito. segundo
( Continuado)
Figura 2.2 ( Continuado) Ciberataques recientes contra empresas estadounidenses
Empresa / Industria Descripción del ciberataque
Sony Pictures Un ciberataque a las redes informáticas de Sony Pictures Entertainment robó cantidades
Entertainment Inc. significativas de datos privados y confidenciales y también los entregó al público. Se creía
(2014) / que los piratas informáticos estaban vinculados al gobierno de Corea del Norte, que estaba
Entretenimiento extremadamente enojado con el principal estudio cinematográfico de Hollywood por
producir una película (es decir, The Interview) que retrataba a Corea del Norte de manera
negativa y mostraba el asesinato de su líder. mi
Corporación objetivo El ciberataque durante la temporada navideña de 2013 comprometió los sistemas informáticos
(2014) / Minorista de Target y robó datos de hasta 40 millones de tarjetas de crédito y débito de clientes.
Considerada la segunda infracción más grande informada por un minorista de EE. UU. F
un http://money.cnn.com/2017/07/12/technology/verizon-data-leaked-online/.
segundo www.cnbc.com/2016/09/22/yahoo-data-breach-is-among-the-biggest-in-history.html.
C www.heritage.org/research/reports/2015/11/cyber-attacks-on-us-companies-since-november-2014.
re www.usatoday.com/story/tech/2015/02/04/health-care-anthem-hacked/22900925/.
mi www.vox.com/2014/12/14/7387945/sony-hack-explained.
F www.reuters.com/article/us-target-breach-idUSBRE9BH1GX20131219.
Legislación federal de integridad financiera: Ley Sarbanes-Oxley de 2002
Ha pasado más de una década desde el escándalo financiero de Enron-Arthur Andersen LLP (2001), pero aún continúa
plagando el mercado financiero actual como la confianza del consumidor, el inversionista y el gobierno para permitir que la
industria se autorregule. todos han sido violados. El recordatorio del fiasco de Enron son los escándalos de hoy en el mercado
hipotecario y de inversión hipotecaria y el efecto dominó que ha tenido en el gobierno, la industria privada y el público.
Por lo tanto, la Ley Sarbanes-Oxley (SOX) de 2002, que cambió drásticamente el mundo de la auditoría financiera, será un vívido
recordatorio de la importancia del debido cuidado profesional. SOX prohíbe a todas las firmas de contaduría pública registradas
proporcionar a los clientes de auditoría, al mismo tiempo que la auditoría, ciertos servicios distintos de auditoría, incluida la
subcontratación de auditoría interna, servicios de diseño e implementación de sistemas de información financiera y servicios de
expertos, entre otros. Estas restricciones de alcance de servicio van más allá de las regulaciones de independencia de la Comisión de
Intercambio y Seguridad (SEC). Todos los demás servicios, incluidos los servicios de impuestos, están permitidos solo si son
aprobados previamente por el comité de auditoría del emisor y todas las aprobaciones previas deben divulgarse en los informes
periódicos del emisor a la SEC. Los emisores se refieren a una entidad legal (por ejemplo, corporaciones, etc.
SOX analiza los requisitos para la Junta Directiva (junta), incluida la composición y las funciones. La junta debe (1)
registrar firmas de contadores públicos; (2) establecer o adoptar, por regla, auditoría, control de calidad, ética, independencia y
otras normas relacionadas con la preparación de informes de auditoría para emisores; (3) realizar inspecciones de firmas
contables; (4) realizar investigaciones y
procedimientos disciplinarios e imponer las sanciones apropiadas; (5) realizar otras tareas o funciones según sea necesario o
apropiado; (6) hacer cumplir la ley, las reglas de la junta, las normas profesionales y las leyes de valores relacionadas con la
preparación y emisión de informes de auditoría y las obligaciones y responsabilidades de los contadores con respecto a los
mismos; y (7) establecer el presupuesto y administrar las operaciones de la junta y el personal de la junta.
SOX es un paquete de reforma importante que exige los cambios de mayor alcance. El Congreso se ha impuesto al mundo empresarial
desde la Ley de Prácticas Corruptas en el Extranjero de 1977 y la Ley de la SEC de la década de 1930. Busca frustrar futuros escándalos y
restaurar la confianza de los inversores mediante, entre otras cosas, (1) la creación de la Junta de Supervisión Contable de Empresas
Públicas (PCAOB); (2) revisar las reglas de independencia del auditor y las normas de gobierno corporativo; y (3) aumentar
significativamente las sanciones penales por violaciones de las leyes de valores. Estos se describen a continuación:
PCAOB
Para auditar una empresa que cotiza en bolsa, una empresa de contabilidad pública debe registrarse en la PCAOB. La PCAOB
cobrará una tarifa de registro y una tarifa anual de cada firma contable pública registrada en montos que sean suficientes para
recuperar los costos de procesamiento y revisión de solicitudes e informes anuales. La PCAOB también establecerá una tarifa de
apoyo contable anual razonable para mantener sus operaciones.
Se deben realizar revisiones anuales de calidad para las firmas de contadores públicos que auditan a más de 100 emisores; todos los
demás deben realizarse cada 3 años. La SEC y la PCAOB pueden ordenar una inspección especial de cualquier firma de auditoría registrada
en cualquier momento. La PCAOB puede imponer sanciones si la firma no supervisa razonablemente a cualquier persona asociada con
respecto a las normas de auditoría o control de calidad.
Es ilegal que una empresa de contabilidad pública registrada proporcione cualquier servicio que no sea de auditoría a un emisor durante el
mismo tiempo que la auditoría. Estos servicios que no son de auditoría se enumeran a continuación:
• Teneduría de libros u otros servicios relacionados con los registros contables o estados financieros de
el cliente de auditoría
• Diseño e implementación de SI financieros

• Servicios de tasación o valoración, opiniones de equidad o informes de contribución en especie
• Servicios actuariales
• Servicios de subcontratación de auditoría interna
• Funciones de gestión o recursos humanos

• Servicios de corredor o distribuidor, asesor de inversiones o banca de inversión
• Servicios legales y servicios de expertos no relacionados con la auditoría
La PCAOB puede, caso por caso, eximir de las prohibiciones enumeradas anteriormente a cualquier persona, emisor, empresa de
contabilidad pública o transacción, sujeto a revisión por parte de la comisión. Sin embargo, la SEC tiene autoridad de supervisión y
ejecución sobre la PCAOB. La PCAOB, en su proceso de elaboración de normas, debe tratarse como si fuera una asociación de valores
registrada.
No será ilegal proporcionar otros servicios distintos de los de auditoría si el comité de auditoría los aprueba previamente de la siguiente
manera. SOX permite que una empresa de contabilidad se dedique a cualquier servicio que no sea de auditoría, incluidos los servicios fiscales que
no se enumeran anteriormente, solo si el comité de auditoría del emisor aprueba previamente la actividad. El comité de auditoría revelará a los
inversionistas en informes periódicos su decisión de preaprobar los servicios que no son de auditoría. Las auditorías reglamentarias de las
compañías de seguros legales se tratan como un servicio de auditoría y, por lo tanto, no requieren aprobación previa.
Normas de independencia del auditor y normas de gobierno corporativo
Para la aceptación de la independencia, SOX requiere la rotación del auditor (no de la firma de auditoría). El
socio principal de auditoría o coordinador y el socio de revisión deben rotar fuera de la auditoría cada 5 años.
SOX no hace distinciones con respecto a la capacidad en la que el socio auditor principal o el socio de revisión
concurrente proporcionó dichos servicios de auditoría. Cualquier servicio prestado como gerente o en alguna
otra capacidad parece contar para el período de 5 años. La disposición comienza tan pronto como se registra la
firma, por lo tanto, en ausencia de orientación en sentido contrario, el socio auditor principal y el socio de
revisión concurrente deben contar 5 años a partir de la fecha en que se produce el registro. Además, la firma
contable debe informar al comité de auditoría sobre todas las políticas y prácticas contables críticas que se
utilizarán.
Otro problema de cumplimiento de la independencia de auditoría es que el director ejecutivo (CEO), el controlador, el director
financiero (CFO), el director de contabilidad o la persona en un puesto equivalente no pueden ser empleados por la firma de
auditoría de la empresa durante el período de 1 año. antes de la auditoría. Además y para cumplir con la Sección 302:
Responsabilidad corporativa por informes financieros, por ejemplo, tanto el CEO como el CFO de la empresa deberán:
• preparar y firmar una declaración (que acompaña al informe de auditoría) para certificar a interesados
que los estados financieros de la empresa y todas las divulgaciones complementarias contenidas en el informe son veraces,
fiables y presentan razonablemente, en todos los aspectos materiales, las operaciones y la situación financiera de la empresa.
• declarar que efectivamente son responsables de implementar y mantener el control interno

estructura.
• Apoyar que han implementado todos los pasos necesarios para asegurar que la divulgación
Los procesos y controles dentro de la empresa generan sistemáticamente información financiera en la que las partes interesadas pueden
confiar.
• Presentar conclusiones sobre la efectividad de la estructura de control interno resultante de

su evaluación (dicha evaluación debe ocurrir dentro de los 90 días anteriores a la emisión del informe).
• identificar para los auditores externos de la empresa:
- alguna deficiencias significativo o no) en el diseño u operación de controles internos que podrían afectar adversamente la
capacidad de la compañía para registrar, procesar, resumir y reportar información financiera;
- alguna debilidades materiales en controles internos;
- cualquier fraude (material o no) que involucre al personal de la empresa que tenga un papel importante en los controles
internos de la empresa; y
- cualquier cambio significativo implementado que pueda afectar materialmente los controles internos posteriores a la fecha
de su evaluación.
Una violación de esta sección debe ser consciente e intencional para dar lugar a responsabilidad. Será ilegal que cualquier funcionario o
director de un emisor tome cualquier acción para influenciar, coaccionar, manipular o engañar fraudulentamente a cualquier auditor
involucrado en la realización de una auditoría con el propósito de hacer que los estados financieros sean materialmente engañosos. Otra
sección crítica y relacionada de SOX es la Sección 404: Evaluación de los controles internos por parte de la administración, que requiere
que los auditores externos de la empresa informen sobre la confiabilidad de la evaluación de los controles internos realizada por la
administración. Para ello, el paquete de informe financiero anual que es elaborado por el
los auditores deben incluir un informe (es decir, un informe de control interno) que indique que la administración es responsable de
implementar y mantener una estructura de control interno adecuada. Dicho informe también debe incluir la evaluación realizada por la
gerencia para respaldar la efectividad de la estructura de control. También se debe informar cualquier falla, deficiencia o debilidad
identificada como resultado de la evaluación. Los auditores externos deben dar fe de la exactitud de la afirmación de la dirección de la
empresa de que los controles contables internos están establecidos y funcionan de manera eficaz.
Aumento de las sanciones penales por infracciones de las leyes de valores
SOX penaliza a los ejecutivos por incumplimiento. Si se requiere que un emisor prepare una reexpresión debido a un incumplimiento sustancial de
los requisitos de información financiera, el director ejecutivo y el director financiero deben reembolsar al emisor cualquier bonificación u otra
compensación basada en incentivos o acciones recibidas durante los 12 meses posteriores a la emisión. SOX también prohíbe la compra o venta de
acciones por parte de funcionarios y directores y otras personas con información privilegiada durante períodos de apagón. Cualquier beneficio que
resulte de las ventas en violación de esto será recuperable por el emisor.
Cada informe financiero que deba prepararse de acuerdo con los PCGA deberá reflejar todos los ajustes de
corrección de material que hayan sido identificados por una firma contable registrada. Cada informe financiero
anual y trimestral deberá revelar todas las transacciones importantes fuera del balance general y otras relaciones
con entidades no consolidadas que puedan tener un efecto material presente o futuro sobre la situación
financiera del emisor. Además, los directores, funcionarios y el 10% o más de los propietarios deben informar las
transacciones designadas al final del segundo día hábil siguiente al día en que se ejecutó la transacción. SOX
requiere que cada informe anual de un emisor contenga un informe de control interno. La SEC emitirá reglas para
exigir a los emisores que revelen si al menos un miembro de su comité de auditoría es un experto financiero.
También,
SOX identifica como delito que cualquier persona altere, destruya, mutile u oculte de manera corrupta cualquier documento con la
intención de dañar la integridad o disponibilidad del objeto para su uso en un procedimiento oficial o para obstruir, influir o impedir
cualquier procedimiento oficial. , siendo dicha persona responsable de hasta 20 años de prisión y una multa.
La SEC también está autorizada a congelar el pago de un pago extraordinario a cualquier director, funcionario, socio, persona
controladora, agente o empleado de una empresa durante una investigación de posibles violaciones de las leyes de valores. Finalmente,
la SEC puede prohibir que una persona se desempeñe como funcionario o director de una empresa pública si la persona ha cometido
fraude de valores.
Legislación de seguridad federal
Parece que los métodos y técnicas de seguridad tradicionales simplemente no funcionan. De hecho, la literatura sostiene que el uso
actual de herramientas y tecnologías de seguridad de la información (por ejemplo, cifrado, cortafuegos, administración de acceso, etc.) por
sí solo no es suficiente para proteger la información y abordar los desafíos de seguridad de la información. De manera similar, la
legislación de seguridad actual, aunque aborda los problemas de entrada no deseada a una red, puede permitir formas en las que los
delincuentes puedan escapar de las sanciones más severas por violar el acceso autorizado a un sistema informático. La industria de las
redes informáticas cambia continuamente. Debido a esto, las leyes, políticas, procedimientos y pautas deben cambiar constantemente con
él; de lo contrario, tenderán a volverse obsoletos, ineficaces y obsoletos.
En el pasado, la industria privada se ha mostrado reacia a implementar estas leyes del gobierno federal de los EE. UU.
Debido al temor del impacto negativo que podría traer a la empresa actual y
ganancias futuras e imagen para el público. A continuación se describen algunas de las leyes del gobierno federal de EE. UU. Que
regulan la seguridad de TI.
Ley de fraude y abuso informáticos de 1984
La Ley de Abuso y Fraude Informático (CFAA) se redactó por primera vez en 1984 como respuesta a los delitos informáticos. La
respuesta del gobierno a la seguridad de la red y los delitos relacionados con la red fue revisar la ley en 1994 bajo la Ley de
Enmiendas al Abuso de Computadoras para cubrir delitos como la entrada ilegal (entrada no autorizada) a un sistema en línea,
exceder el acceso autorizado e intercambiar información sobre cómo para obtener acceso no autorizado. Aunque la ley tenía como
objetivo proteger contra ataques en un entorno de red, también tiene su parte justa de fallas.
La ley requiere que existan ciertas condiciones para que el delito sea una violación de la CFAA. Solo si estas
condiciones están presentes, el delito será una violación de la CFAA. Los tres tipos de ataques que están cubiertos por
la Ley y las condiciones que deben cumplirse incluyen:
• Allanamiento fraudulento. Esto es cuando se comete una infracción con la intención de defraudar que resulta en
tanto promoviendo el fraude como el atacante obteniendo algo de valor.

• Traspaso destructivo intencional. Esta es una infracción junto con acciones que intencionalmente causan
daño a una computadora, sistema informático, red, información, datos o programa, o da como resultado negación de servicio y
causa al menos $ 1,000 en pérdidas totales en el transcurso de un año.
• Traspaso destructivo imprudente. Aquí es cuando hay presencia de transgresión junto con imprudencia
acciones (aunque no deliberadamente dañinas) que causen daños a una computadora, sistema informático, red, información, datos o
programa, o que den como resultado la denegación del servicio y causen al menos $ 1,000 en pérdida total en el transcurso de un
año.
Cada una de las definiciones anteriores está orientada a un tipo particular de ataque. La intrusión fraudulenta fue una respuesta contra
los delitos relacionados con el fraude telefónico que se comete a través de un sistema informático, como el uso de la computadora de una
compañía telefónica para obtener servicio telefónico gratuito. Esta condición ayuda a procesar a las personas responsables de las
grandes pérdidas financieras sufridas por empresas como AT&T. El fraude telefónico se ha convertido en un problema de más de mil
millones de dólares al año para las compañías telefónicas. Los otros dos generalmente se aplican a sistemas en línea y se han
implementado para abordar problemas de piratas informáticos o crackers, gusanos, virus y prácticamente cualquier otro tipo de intruso
que pueda dañar, alterar o destruir información. Estos dos ataques son similares en muchos aspectos, pero la clave para diferenciarlos
son las palabras "intencional", que serían, por supuesto, significa un ataque deliberado con la intención de causar daño, mientras que
“imprudente” puede cubrir un ataque en el que el daño fue causado por negligencia. Las sanciones bajo la Sección 1030 (c) de la CFAA
varían desde un año de prisión por allanamiento destructivo imprudente en una computadora no federal hasta 20 años por un ataque
intencional a una computadora federal donde la información obtenida se utiliza para "el daño de los Estados Unidos o en beneficio de
cualquier nación extranjera ”(es decir, casos de espionaje).
Ley de seguridad informática de 1987
Otro acto de importancia es la Ley de Seguridad Informática de 1987, que fue redactada debido a las preocupaciones del Congreso y la
conciencia pública sobre temas relacionados con la seguridad informática y debido a disputas sobre el control de información no
clasificada. El propósito general de la ley fue una declaración del gobierno de que mejorar la seguridad de la información confidencial
en los sistemas informáticos federales es de interés público. La Ley estableció un programa de seguridad informática del gobierno
federal que
protegería la información confidencial en los sistemas informáticos del gobierno federal. También desarrollaría estándares y pautas
para sistemas informáticos federales no clasificados y facilitaría dicha protección. *
La Ley de Seguridad Informática de 1987 también asignó la responsabilidad de desarrollar estándares, directrices y programas de
capacitación en seguridad de sistemas informáticos para todo el gobierno a la Oficina Nacional de Estándares (ahora NIST). Además,
estableció una Junta Asesora de Seguridad y Privacidad de Sistemas de Computación dentro del Departamento de Comercio, y requirió que
las agencias federales identificaran los sistemas de computadoras que contienen información confidencial y desarrollen planes de seguridad
para esos sistemas. Finalmente, brindó capacitación periódica en seguridad informática para todos los empleados y contratistas federales
que administraban, usaban u operaban sistemas informáticos federales.
La Ley de Seguridad Informática de 1987 es particularmente importante porque es fundamental para el desarrollo de
estándares federales para salvaguardar información no clasificada y establecer un equilibrio entre la seguridad nacional y otras
cuestiones no clasificadas en la implementación de políticas de seguridad dentro del gobierno federal. También es importante para
abordar cuestiones relativas al control gubernamental de criptografía.
Ley de seguridad nacional de 2002
Los eventos del ataque terrorista del 11 de septiembre de 2001 provocaron la aprobación de la Ley de Seguridad
Nacional de 2002, cuyo propósito era prevenir ataques terroristas dentro de los Estados Unidos y reducir la
vulnerabilidad de los Estados Unidos al terrorismo. Desempeña un papel importante en la seguridad del
ciberespacio porque impone muchas limitaciones y restricciones a los usuarios de Internet. Por ejemplo, uno de
los objetivos de la ley es establecer un sistema basado en Internet que solo permitirá a las personas autorizadas
el acceso a determinada información o servicios. Debido a esta restricción, las posibilidades de vulnerabilidad y
ataques pueden disminuir. El impacto de esta Ley definitivamente contribuirá a la seguridad del ciberespacio
porque su función principal es proteger a la gente de los Estados Unidos de cualquier forma de ataque, incluidos
los ataques de Internet. la seguridad cibernética es asunto de todos.
La CSEA (HR 3482) se incorporó a la Ley de Seguridad Nacional de 2002. La CSEA exige cadenas perpetuas para aquellos piratas
informáticos que imprudentemente pongan en peligro vidas. La Ley también incluyó disposiciones que buscan permitir que la vigilancia de la
red recopile números de teléfono, direcciones de Protocolo de Internet (IP) y localizadores de recursos universales (URL) o información de
correo electrónico sin recurrir a un tribunal cuando haya una "amenaza inmediata a un interés de seguridad nacional " se sospecha.
Finalmente, los proveedores de servicios de Internet (ISP) deben entregar los registros de los usuarios a las autoridades policiales,
derogando la legislación actual que prohíbe tal comportamiento.
La Ley de Seguridad Nacional de 2002 agregó una redacción que busca prohibir la publicación en cualquier lugar de detalles de herramientas
como Pretty Good Privacy, que codifican los correos electrónicos para que los fisgones no puedan leerlos. Esta disposición permite a la policía
realizar escuchas telefónicas o por Internet de forma aleatoria sin necesidad de pedir permiso al tribunal primero. Esta ley tiene una disposición que
exige un castigo de hasta cadena perpetua para los piratas informáticos electrónicos que sean declarados culpables de causar la muerte a otros a
través de sus acciones. Cualquier pirata informático condenado por causar lesiones a otros podría enfrentar penas de prisión de hasta 20 años
según las disposiciones sobre delitos cibernéticos, que se encuentran en la Sección 225 de la disposición de la CSEA de la Ley de Seguridad
Nacional.
*
Office of Technology Assessment, Issue Update on Information Security and Privacy in Networked Environments, pág. 105.
Normas de seguridad de datos de la industria de tarjetas de pago de 2004
Los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se refieren a los requisitos técnicos y operativos
aplicables a las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas, con la intención de proteger dichos datos a
fin de reducir el fraude con tarjetas de crédito. Las PCI DSS son mantenidas, administradas y promovidas por el PCI Security Standards
Council (Council) en todo el mundo para proteger los datos de los titulares de tarjetas. El Consejo fue fundado en 2006 por las principales
empresas de tarjetas de crédito, como American Express, Discover, JCB International, MasterCard y Visa, Inc. Estas empresas comparten
por igual la gobernanza, la ejecución y el cumplimiento del trabajo del Consejo.
Todos los comerciantes que aceptan o procesan pagos mediante tarjetas deben cumplir con las PCI DSS. Algunos objetivos
y requisitos específicos de PCI DSS incluyen los siguientes:
• Crear y mantener una red segura: implementar una configuración de firewall sólida;
Evite el uso de valores predeterminados proporcionados por el proveedor para las contraseñas del sistema que son fáciles de descifrar
• Protección de los datos almacenados del titular de la tarjeta: utilice técnicas de cifrado en todas las transmisiones de
datos del titular de la tarjeta
• Mantener un programa de gestión de vulnerabilidades: desarrollar sistemas más fuertes y seguros;

implementar (y actualizar según sea necesario) software o programas antivirus
• Implementar fuertes medidas de control de acceso: asigne identificaciones únicas; configurar el acceso a la tarjeta
los datos del titular al nivel mínimo posible de acuerdo con las necesidades comerciales, las tareas relacionadas y las responsabilidades (es
decir, el principio de privilegio mínimo); restringir el acceso físico a los datos del titular de la tarjeta
• Monitorear y probar redes: monitorear todo el acceso a los recursos de red donde la tarjeta
se están transmitiendo datos del titular; probar periódicamente los sistemas de seguridad que transmiten y procesan los datos del titular
• Mantener una política de seguridad de la información: especificar las características de seguridad requeridas y aceptar
pautas de uso capaz para los usuarios; definir las expectativas, responsabilidades y derechos de acceso y privilegios del usuario
Ley Federal de Administración de Seguridad de la Información de 2002
La Ley Federal de Gestión de Seguridad de la Información (FISMA) fue promulgada como parte de la Ley de Gobierno Electrónico de 2002
para "proporcionar un marco integral para garantizar la efectividad de los controles de seguridad de la información sobre los recursos de
información que respaldan las operaciones y activos federales y para proporcionar desarrollo y mantenimiento de los controles mínimos
necesarios para proteger la información y los sistemas de información federales ”. En otras palabras, FISMA requiere que las agencias
federales desarrollen, documenten y pongan en marcha programas de seguridad de la información con el propósito de proteger tanto la
información como los sistemas implementados para respaldar las operaciones y los activos de las agencias, incluidos los proporcionados o
administrados. por otra agencia, contratista u otra fuente. Específicamente, FISMA requiere que las agencias federales:
• Asegurarse de que se asigne seguridad a los funcionarios adecuados (por ejemplo, director de información, etc.)
responsabilidad y autoridad para asegurar el cumplimiento de los requisitos impuestos por FISMA
• planificar e implementar programas de seguridad de la información
• Desarrollar y mantener inventarios de los principales sistemas de información de la agencia.
• tener evaluaciones independientes anuales (es decir, libres de cualquier sesgo o influencia) de su información
programa y prácticas de seguridad

• informar sobre la idoneidad y eficacia de sus controles, políticas,
procedimientos y prácticas
Es fundamental que las agencias comprendan y, lo más importante, implementen las tareas enumeradas anteriormente para mitigar los
riesgos a niveles aceptables y otros factores que podrían afectar negativamente sus misiones. Las agencias deben monitorear y evaluar
constantemente sus programas de seguridad de la información para salvaguardar la información (y los sistemas que la generan) de
eventos que puedan resultar del acceso no autorizado, así como del uso, divulgación, interrupción, modificación o destrucción de la
información.
Leyes de firma electrónica: Ley uniforme de transacciones electrónicas de 1999 y

firmas electrónicas en todo el mundo.
y la Ley de Comercio Nacional de 2000
Un área de preocupación para muchas empresas son las firmas electrónicas. Al igual que el almacenamiento en línea, las firmas electrónicas
pueden mejorar significativamente las operaciones comerciales, aunque "se debe tener cuidado para evitar comprometer los datos confidenciales
de los clientes y / o violar las regulaciones gubernamentales sobre el tema".
Existen al menos dos leyes principales con respecto a las leyes de firma electrónica que las empresas deben conocer: la Ley
Uniforme de Transacciones Electrónicas (UETA) y la Ley de Firmas Electrónicas en el Comercio Nacional y Global (ESIGN). Con estas
dos leyes, las empresas pueden acelerar significativamente los tiempos de respuesta de las transacciones comerciales al declarar su
acuerdo con los términos contractuales con solo un clic del mouse (es decir, reemplazando los documentos tradicionales de firma en
papel con formularios electrónicos).
UETA es una de las varias Leyes Uniformes de los Estados Unidos propuestas por la Conferencia Nacional de Comisionados sobre
Leyes Estatales Uniformes. Existe para armonizar las leyes estatales sobre la retención de registros en papel (especialmente cheques) y la
validez de las firmas electrónicas. UETA se introdujo en 1999 y ha sido adoptado por 47U.S. estados, así como el Distrito de Columbia,
Puerto Rico y las Islas Vírgenes de EE. UU. En pocas palabras, UETA hace que las firmas electrónicas sean válidas y de conformidad con los
requisitos de la ley cuando las partes que están listas para realizar una transacción han acordado proceder electrónicamente.
ESIGN, por otro lado, es una ley federal aprobada por el Congreso de los Estados Unidos en 2000. Al igual que UETA, ESIGN
reconoce las firmas y registros electrónicos otorgados a todas las partes contratantes que optan por utilizar documentos electrónicos y
firmarlos electrónicamente. En otras palabras, con ESIGN, los documentos con firmas y registros electrónicos son tan buenos como sus
equivalentes en papel estándar y, por lo tanto, están sujetos al mismo examen legal de autenticidad que se aplica a los documentos
tradicionales en papel y las firmas con tinta húmeda.
Para que una firma electrónica sea reconocida como válida bajo la ley de los EE. UU. (ESIGN y UETA), debe ocurrir lo
siguiente:
• Debe haber una clara intención de firmar por todas las partes involucradas.
• Las partes de la transacción deben dar su consentimiento para hacer negocios electrónicamente.
• El sistema de aplicación utilizado para la captura de la firma electrónica debe estar configurado y
listo para retener (con fines de validación) todos los pasos de procesamiento realizados para generar la firma electrónica, así
como los registros de firma electrónica necesarios para su reproducción o restauración precisa y oportuna, si es necesario.
Legislación de privacidad
Sobre el tema de la privacidad, en 2009, el Departamento de Salud Pública de California (CDPH) descubrió que un Hospital de Niños del
Condado de Orange envió por error registros de pacientes a un taller de automóviles.
El negocio de talleres de automóviles recibió seis faxes que contenían información sobre atención médica, incluida información que
identificaba el nombre del paciente, la fecha de nacimiento y detalles sobre las visitas. El personal del hospital le dijo al CDPH que primero se
debería haber enviado un fax de prueba, según la política del hospital. Este es un ejemplo de violación de la privacidad. La privacidad, según
la definición de ISACA, implica la "libertad de la intrusión o divulgación no autorizada de información sobre un individuo". La privacidad se
centra en proteger la información personal sobre clientes, empleados, proveedores o socios comerciales. Las organizaciones tienen la
obligación ética y moral de implementar controles para proteger la información personal que recopilan.
Los delincuentes también han accedido a la privacidad de la información en el mundo en línea. Parte de la legislación aprobada
protege al usuario contra la invasión de la privacidad. Sin embargo, algunas de las leyes observadas contienen demasiadas
excepciones y exclusiones hasta el punto de que su eficacia se resiente. Además, el gobierno continúa utilizando técnicas de
vanguardia con el propósito de acceder a la información en aras de la “seguridad nacional” justificada actualmente bajo la Ley de
Seguridad Nacional. Los nuevos proyectos de ley y la legislación continúan intentando encontrar una solución a estos problemas, pero
es necesario establecer nuevas pautas, políticas y procedimientos, y las leyes deben aplicarse en toda su extensión para que los
ciudadanos disfruten de su derecho a la privacidad garantizado por la Constitución.
Ley de privacidad de 1974
Además del derecho básico a la privacidad al que tiene derecho un individuo según los Estados Unidos. Constitución, el gobierno
también promulgó la Ley de Privacidad de 1974. El propósito de esto es proporcionar ciertas salvaguardas a un individuo contra una
invasión de la privacidad personal. Esta ley impone ciertos requisitos a las agencias federales, como permitir que las personas *:
• determinar qué registros personales recopilan y mantienen las agencias federales

• Evitar que los registros personales que se obtuvieron para un propósito particular se utilicen o
puesto a disposición para otro propósito sin consentimiento
• obtener acceso a su información personal en los registros de la agencia federal y corregir o enmendar
ellos
La Ley también requiere que las agencias federales recopilen, mantengan y usen cualquier información privada de una manera que
asegure que dicha acción sea para un propósito necesario y legal, que la información sea actual y precisa, y que se proporcionen
salvaguardas para prevenir el mal uso de la información. información.
Aunque la Ley de Privacidad de 1974 es una parte importante de la protección de los derechos de privacidad individual, es
importante que el auditor de TI reconozca que existen muchas exenciones bajo las cuales puede ser legal que se divulgue cierta
información. Esto podría, en algunos casos, permitir a las agencias federales y no federales los medios por los cuales pueden obtener
y divulgar información sobre cualquier individuo simplemente porque pueden estar cubiertos por una de las muchas exenciones que
permite la Ley de Privacidad. Por ejemplo, la subsecuente Ley de Libertad de Información proporciona al gobierno federal una forma
de divulgar información histórica al público de manera controlada. La Ley de Privacidad de 1974 también se ha actualizado con el
tiempo mediante el proceso de enmienda.
Ley de Privacidad de Comunicaciones Electrónicas de 1986
En el área de las redes informáticas, la Ley de privacidad de las comunicaciones electrónicas de 1986 es una de las primeras
leyes principales contra la violación de la información privada según se aplique a
*
Archivo de información / privacidad de RSE, Ley de privacidad de 1974 y enmiendas.
sistemas en línea. La ley prohíbe específicamente la interceptación y divulgación de comunicaciones por cable, orales o
electrónicas, así como la fabricación o posesión de dispositivos de interceptación.
Ley de Decencia en las Comunicaciones de 1996
La Ley de Decencia en las Comunicaciones (CDA) de 1996 prohíbe la puesta a disposición de menores de material "indecente" o
"evidentemente ofensivo" a través de redes informáticas. La ley impone una multa de hasta 250.000 dólares y una pena de prisión de
hasta 2 años. La CDA exime específicamente de responsabilidad a cualquier persona que proporcione acceso o conexión o forme una
instalación, sistema o red que no esté bajo el control de la persona que viola la Ley. La CDA también establece que un empleador no
será responsable de las acciones de un empleado a menos que la conducta del empleado esté dentro del alcance de su empleo. La
aplicación más reciente de esta ley se ha utilizado para proteger el uso de las redes sociales por parte de menores y ser presa de
depredadores / acosadores.
Ley de Protección de la Privacidad Infantil en Línea de 1998
Esta es otra ley aprobada por el Congreso después de la CDA, vigente en abril de 2000. La Ley de Protección de la Privacidad Infantil
en Línea (COPPA) de 1998 se aplica a la recopilación en línea de información personal de niños menores de 13 años. Las nuevas
reglas explican lo que un operador de sitio web debe incluir en una política de privacidad cuándo y cómo buscar el consentimiento
verificable de un padre, y qué responsabilidades tiene un operador para proteger la privacidad y seguridad de los niños en línea. Los
operadores o propietarios de un sitio web comercial o un servicio en línea dirigido a niños menores de 13 años deben cumplir con la
COPPA al recopilar información personal de dichos niños.
Para determinar si un sitio web está dirigido a niños, la Comisión Federal de Comercio (FTC) considera
varios factores, incluido el tema; contenido visual o de audio; la edad de los modelos en el sitio; idioma; si la
publicidad en el sitio web está dirigida a niños; información sobre la edad de la audiencia real o prevista; y si un
sitio utiliza personajes animados u otras funciones para niños.
Para determinar si una entidad es un "operador" con respecto a la información recopilada en un sitio, la FTC
considerará quién posee y controla la información, quién paga por la recopilación y mantenimiento de la información,
cuáles son las relaciones contractuales preexistentes en conexión con la información y qué papel juega el sitio web en la
recopilación o el mantenimiento de la información.
En 2008, el Congreso enmendó esta Ley y la incluyó como Título II “Protección de los niños” de la Ley de mejora de datos de
banda ancha de 2008, Ley pública 110-385, 10 de octubre de 2008. La enmienda define específicamente la información personal de
un niño. La información personal se define como información de identificación individual sobre un niño que se recopila en línea,
como el nombre completo, la dirección de la casa, la dirección de correo electrónico, el número de teléfono o cualquier otra
información que permita a alguien identificar o contactar al niño. La Ley también cubre otros tipos de información, por ejemplo,
pasatiempos, intereses e información recopilada a través de cookies u otros tipos de mecanismos de seguimiento, cuando están
vinculados a información de identificación individual.
Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996
Los estándares nacionales para transacciones electrónicas fomentan el comercio electrónico en la industria de la salud y, en última instancia,
simplifican los procesos involucrados. Esto se traduce en ahorros por la reducción de las cargas administrativas de los proveedores de atención
médica y los planes de salud. Hoy, los proveedores de atención médica

y los planes de salud que realizan negocios electrónicamente deben usar muchos formatos diferentes para transacciones electrónicas. Por ejemplo,
en la actualidad existen alrededor de 400 formatos diferentes para reclamos de atención médica. Con un estándar nacional para reclamos
electrónicos y otras transacciones, los proveedores de atención médica pueden enviar la misma transacción a cualquier plan de salud en los Estados
Unidos y el plan de salud debe aceptarla. Los planes de salud también pueden enviar transacciones electrónicas estándar, como avisos de remesas
y autorizaciones de remisión a los proveedores de atención médica. Estos estándares nacionales hacen del intercambio de datos electrónicos una
alternativa viable y preferible al procesamiento en papel para proveedores y planes de salud por igual.
La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996, los primeros estándares federales de privacidad
para proteger los registros médicos de los pacientes y otra información de salud proporcionada a planes de salud, médicos, hospitales y
otros proveedores de atención médica entraron en vigencia el 14 de abril de 2003. Desarrollado por el Departamento de Salud y Servicios
Humanos, estos nuevos estándares brindan a los pacientes acceso a sus registros médicos y más control sobre cómo se usa y divulga su
información médica personal. Representan un piso federal uniforme de protección de la privacidad para los consumidores de todo el país.
Las leyes estatales que brindan protecciones adicionales a los consumidores no se ven afectadas por esta nueva regla.
HIPAA exige una estricta protección de seguridad en la información de salud electrónica mientras se mantiene y transmite. Para
los directores de TI, cumplir con los requisitos de privacidad de la HIPAA es principalmente una cuestión de seguridad informática que
protege la confidencialidad de la información médica del paciente y estandariza los procesos de presentación de informes y facturación
para toda la información médica y médica. La confidencialidad se refiere a la protección de cualquier tipo de información sensible
contra el acceso no autorizado. Es fundamental para la reputación de una organización y también para cumplir con las regulaciones de
privacidad. Los riesgos asociados con la confidencialidad incluyen permitir el acceso no autorizado o la divulgación de datos sensibles
y valiosos de la organización (por ejemplo, planes estratégicos corporativos, información de los titulares de pólizas, etc.). Desde el
punto de vista de una organización,
• Planes estrategicos
• Secretos comerciales
• Información de costos
• Documentos legales
• Mejoras de proceso
Para cumplir con HIPAA, debe ocurrir lo siguiente:
• Cualquier conexión a Internet u otras redes o sistemas externos se produce a través de un

puerta o cortafuegos.
• La autenticación sólida se utiliza para restringir el acceso a sistemas críticos o procesos comerciales.
y datos altamente sensibles.
• Las evaluaciones de vulnerabilidad, confiabilidad y el entorno de amenazas se realizan al menos
anualmente.
La tecnología de la información sanitaria para la salud económica y

clínica de 2009
La Ley de Tecnología de la Información de Salud para la Salud Clínica y Económica (HITECH) de 2009 fue promulgada como parte
de la Ley de Recuperación y Reinversión Estadounidense de 2009. HITECH promueve la adopción y el uso significativo de la TI de
salud en los Estados Unidos. HITECH otorga al Departamento de Salud y Servicios Humanos de EE. UU. La autoridad para
establecer programas para mejorar
calidad, seguridad y eficiencia de la atención médica a través del “uso significativo” y la promoción de la tecnología de la información sanitaria,
incluidos los registros médicos electrónicos y el intercambio electrónico de información de salud privado y seguro. El uso significativo se refiere al
mínimo de EE. UU. estándares gubernamentales para el uso de registros médicos electrónicos y para el intercambio de datos clínicos de pacientes
entre proveedores de atención médica, proveedores de atención médica y aseguradoras, y proveedores de atención médica y pacientes. Las
secciones dentro de HITECH incluyen las siguientes:
• Subtítulo A: Promoción de la TI para la salud
• Subtítulo B: Pruebas de TI para la salud
• Subtítulo C — Financiamiento de subvenciones y préstamos
• Subtítulo D: Privacidad
Los objetivos del Subtítulo A incluyen la protección y salvaguarda de la información médica de cada paciente de acuerdo con la ley; mejora de la
calidad de la asistencia sanitaria; y reducción de errores médicos y costes sanitarios derivados de la ineficiencia; entre otros. El Subtítulo B
enumera las descripciones y los requisitos para: (1) probar e implementar los estándares de Tecnología de la Información de Salud (HIT); (2)
pruebas de la infraestructura HIT (por ejemplo, bancos de pruebas técnicas, etc.); y (3) ayudar a las instituciones de educación superior a
establecer Centros multidisciplinarios para la Integración de Empresas de Información de Atención de Salud. El Subtítulo C implementa
subvenciones, préstamos y programas de demostración como incentivos para utilizar las tecnologías de la información para la salud. Por último, el
Subtítulo D se ocupa de las preocupaciones de privacidad y seguridad relacionadas con las transmisiones electrónicas de información médica.
Tanto HITECH como HIPAA, aunque son leyes separadas y no relacionadas, se complementan entre sí de alguna manera. Por
ejemplo, HITECH exige que sus tecnologías y estándares relacionados con TI no comprometan las leyes de privacidad y seguridad de
HIPAA. HITECH también estipula que los médicos y hospitales que den fe de un uso significativo, deben haber realizado previamente una
evaluación de riesgos de seguridad, como lo requiere HIPAA. HITECH además establece reglas de notificación para instancias de violación
de datos, que también son reflejadas por HIPAA.
Ley Gramm-Leach-Bliley de 1999

La Ley Gramm-Leach-Bliley de 1999 requiere que las instituciones financieras protejan la privacidad financiera del consumidor. Las
instituciones financieras son empresas que ofrecen a los consumidores productos o servicios financieros como préstamos, asesoramiento
financiero o de inversión o seguros. Según la Ley Gramm-Leach-Bliley de 1999, las instituciones financieras deben explicar a sus clientes
sus prácticas de intercambio de información y proteger sus datos confidenciales.
Para cumplir con la Ley, las instituciones financieras deben evaluar, administrar y controlar el riesgo; supervisar a los proveedores de
servicios; y ajustar los programas de seguridad según sea necesario en función del riesgo cambiante. Una disposición específica requiere que las
instituciones financieras identifiquen las amenazas internas y / o externas que pueden resultar en divulgaciones no autorizadas, así como en el uso
indebido, la destrucción o la manipulación de la información confidencial del cliente.
Unir y fortalecer a Estados Unidos mediante la provisión de las herramientas adecuadas

necesarias para interceptar y obstruir el terrorismo Ley (Ley PATRIOTA de EE. UU.) De 2001
El propósito de la Ley USA PATRIOT de 2001 es disuadir y castigar los actos terroristas en los Estados Unidos y en todo el
mundo, mejorar las herramientas de investigación de las fuerzas del orden y otros fines, algunos de los cuales incluyen:
• Fortalecer las medidas estadounidenses para prevenir, detectar y enjuiciar lanzamiento de dinero
dering y financiación de terrorismo
• Someter a escrutinio especial jurisdicciones extranjeras, instituciones financieras extranjeras y clases
de transacciones internacionales o tipos de cuentas susceptibles de abuso criminal
• Exigir que todos los elementos apropiados de la industria de servicios financieros informen posibles
lavado de dinero
• Fortalecer las medidas para prevenir el uso del sistema financiero estadounidense para beneficio personal por parte de
romper con funcionarios extranjeros y facilitar la repatriación de activos robados a los ciudadanos de países a los que pertenecen dichos
activos
Lamentablemente, el terrorismo sigue ocurriendo y no hay muchas señales de que vaya a desaparecer pronto. Por ejemplo, el
Congreso debe monitorear continuamente la empresa de contraterrorismo estadounidense y determinar si se necesitan otras
medidas para mejorarla. Como se menciona en un artículo de 2015 de The Heritage Foundation, y en relación con los temas
tratados en este libro de texto, el Congreso debe priorizar las capacidades de investigación cibernética. Con tanta actividad
relacionada con el terrorismo que ocurre en Internet, las fuerzas del orden deben ser capaces de identificar, monitorear y rastrear
dicha actividad violenta de manera efectiva y oportuna. Los ciberataques severos, como el ciberterrorismo, son capaces de
apagar centrífugas nucleares, sistemas de defensa aérea y redes eléctricas. Para algo, Estos tipos de ataques deben tratarse
como actos de guerra, ya que representan una grave amenaza para la seguridad nacional. Algunos de los recientes
ciberterrorismos notables en los Estados Unidos incluyen:
• Ciberataques y ciberespionaje llevados a cabo por China contra los EE. UU. Y su explotación
redes gubernamentales y privadas (2016)
• Ciberataques y ciberataques llevados a cabo por Rusia contra periodistas en Nueva York
Times y otras organizaciones de noticias de EE. UU. (2016)
• Ciberataques orquestados por Rusia contra el Comité Nacional Demócrata y el

Comité de Campaña del Congreso Demócrata, para interrumpir o desacreditar la elección presidencial (2016)
• Ciberataques contra instituciones financieras estadounidenses (por ejemplo, American Express, JP Morgan Chase,
etc.) instigados por los gobiernos de Irán y Corea del Norte (2013)
• Ciberataques e infracciones cibernéticas reclamadas por un grupo de hackers sirios en organizaciones de medios
(New York Times, Twitter y The Huffington Post) (2013)
Lo anterior representa solo algunos de los ataques ciberterroristas perpetrados contra el gobierno de los Estados Unidos y entidades privadas.
En el Anexo 2.3 se incluye un resumen de todas las leyes federales de EE. UU. Descritas en esta sección.
Leyes estatales
La legislación de TI a nivel estatal es igualmente relevante para los auditores de TI encargados de examinar aplicaciones, datos, redes y
controles, y el riesgo asociado con el incumplimiento. A continuación se describen ejemplos de estas leyes estatales, que incluyen leyes de
notificación de infracciones de seguridad, legislación sobre ciberseguridad, leyes estatales de privacidad en las redes sociales y otras.
En la actualidad, 47 estados, el Distrito de Columbia, Guam, Puerto Rico y las Islas Vírgenes han promulgado leyes de notificación de
violaciones de seguridad que requieren entidades en el sector privado, gubernamental,
Figura 2.3 Resumen de las leyes federales de EE. UU. Relevantes para los auditores de TI
Ley de EE. UU. Para combatir los

Tipo de legislación delitos informáticos Descripción
Financiero Federal Sarbanes-Oxley • Paquete de reforma importante que exige los cambios de mayor
Integridad (SOX) de 2002 alcance que el Congreso ha impuesto al mundo empresarial desde la
Ley de Prácticas Corruptas en el Extranjero de 1977 y la Ley de la
SEC de la década de 1930.
• Establece requisitos para la Junta Directiva de las

organizaciones, incluyendo su composición y funciones.
• Requiere la rotación del auditor (no de la firma de auditoría).
• Creó la Junta de Supervisión Contable de Empresas

Públicas (PCAOB).
• Prohíbe que las firmas contables públicas registradas proporcionen

clientes de auditoría,
simultáneamente con la auditoría, ciertos servicios distintos de los

de auditoría.
• Requiere que se incluya un informe de control interno
como parte del informe anual.
• Requerir que el CEO y el CFO confirmen y afirmen a las partes

interesadas que las divulgaciones de la SEC son (1) veraces y
confiables; y que (2) la administración ha tomado las medidas
necesarias para asegurar que los procesos y controles de
divulgación de la compañía sean capaces de generar información
financiera precisa y consistente, confiable para las partes
interesadas (Sección
302). Las divulgaciones de la SEC incluyen los estados financieros de la
empresa, así como todos los
divulgaciones complementarias. El auditor externo de la

empresa también debe informar sobre la confiabilidad de la
evaluación de la administración del control interno (Sección
404).
• Penaliza a los CEO, CFO, etc. por
incumplimiento.
Seguridad Federal Fraude informático y • Protege contra la entrada ilegal (entrada no autorizada);
Ley de abuso de 1984 exceder el acceso autorizado; traspaso destructivo
intencional e imprudente; e intercambiar información sobre
cómo obtener acceso no autorizado.
Seguridad Federal La seguridad informática • Protege la información confidencial en los sistemas del
gobierno federal.
Ley de 1987
• Estableció un programa de seguridad informática del gobierno
federal, NIST, para ayudar
desarrollar normas, directrices y capacitación en seguridad para todo
el gobierno en materia de seguridad de sistemas informáticos.
( Continuado)
Figura 2.3 ( Continuado) Resumen de las leyes federales de EE. UU. Relevantes para los auditores de TI

Seguridad Federal Seguridad nacional • Previene ataques terroristas en los Estados Unidos; reduce la
Ley de 2002 vulnerabilidad de los Estados Unidos al terrorismo; e incluye
la Ley de mejora de la seguridad cibernética, que:
- exige cadenas perpetuas para los piratas informáticos que ponen en

peligro vidas imprudentemente.
- permite que la vigilancia de la red recopile datos personales y

privados (números de teléfono, direcciones IP, URL, correos
electrónicos, etc.) sin una orden judicial.
- requiere que los proveedores de servicios de Internet (ISP)

entreguen los registros de los usuarios a las autoridades
policiales, anulando
legislación actual.
Seguridad Federal Tarjeta de pago • Las PCI DSS son requisitos técnicos y operativos que se aplican a las
entidades que almacenan, procesan o transmiten datos de titulares de
Datos de la industria
tarjetas.
Estándares de seguridad
(PCI DSS) de 2004 • El objetivo principal de PCI DSS es proteger los datos de los titulares
de tarjetas para reducir el fraude con tarjetas de crédito.
• Todos los comerciantes que aceptan o procesan pagos

mediante tarjetas deben cumplir con las PCI DSS.
• Las PCI DSS son mantenidas, administradas y promocionadas

en todo el mundo por un PCI Security Standards Council.
• El Consejo está formado por las principales empresas de tarjetas

de crédito (es decir, American Express, Discover, JCB
International, MasterCard y Visa, Inc.). Estas empresas
comparten por igual en la gobernanza, ejecución y cumplimiento
del trabajo del Consejo.
Seguridad Federal Información federal • FISMA requiere que las agencias federales desarrollen,
Seguridad documenten y pongan en marcha programas de seguridad de la
información con el propósito de proteger tanto la información
Ley de gestión
como los sistemas / aplicaciones implementados para
(FISMA) de 2002
respaldar las operaciones y los activos de las agencias,

incluidos los proporcionados o administrados por otra
agencia, contratista u otra fuente.
( Continuado)

Seguridad Federal firma electronica • Dos leyes principales con respecto a las leyes de firma
Leyes de 1999 y 2000 electrónica son: la Ley Uniforme de Transacciones
Electrónicas (UETA) y la Ley de Firmas Electrónicas en el
Comercio Nacional y Global (ESIGN).
• UETA, una ley estatal introducida en 1999 y ya adoptada por

47U.S. estados, el Distrito de Columbia, Puerto Rico y las Islas
Vírgenes de los EE. UU., hace que las firmas electrónicas sean
válidas y cumplan con los requisitos de la ley cuando las partes
estén listas para celebrar una
la transacción ha acordado proceder

electrónicamente.
• ESIGN, una ley federal aprobada en 2000 por el
El Congreso de los Estados Unidos reconoce las firmas y los registros
electrónicos otorgados a todas las partes contratantes que optan por utilizar
documentos electrónicos y firmarlos electrónicamente.
Intimidad Ley de privacidad de 1974 • Protege a las personas contra la invasión de su

privacidad personal al:
- permitir que las personas determinen qué

información se recopila.
- garantizar que la información recopilada solo se utilice

para un propósito.
- asegurar que la información esté actualizada y sea precisa.
Intimidad Comunicaciones electrónicas • Prohíbe (1) la interceptación / divulgación de comunicaciones

Ley de privacidad de 1986
por cable, orales o electrónicas; y (2) fabricación o posesión
de dispositivos interceptores.
Intimidad Comunicaciones • Prohíbe la puesta a disposición de los menores de material

indecente o evidentemente ofensivo a través de redes informáticas.
Acto de decencia de
1996
• Los empleadores no son responsables de las acciones de un
empleado a menos que esté dentro del alcance de su empleo.
Intimidad Niños en línea • Se aplica a la recopilación en línea de información personal de

niños menores de 13 años.
Protección de privacidad
Ley de 1998 • La ley define específicamente qué información personal

es para un niño.
( Continuado)

Intimidad Seguro de salud • Protege la confidencialidad y seguridad de la información de

atención médica (por ejemplo, registros médicos de los
Portabilidad y
pacientes, información de salud proporcionada a médicos,
Ley de responsabilidad hospitales).
(HIPAA) de 1996
• Restringe a las aseguradoras a rechazar trabajadores basándose en
condiciones de salud preexistentes; requiere seguridad y privacidad
para proteger la información personal.
Intimidad La salud • Promueve la adopción y el uso significativo de las tecnologías de la

información de salud en los Estados Unidos.
Información
Tecnología para • Otorga al Departamento de Salud y Servicios Humanos de los EE.
Económico y UU. La autoridad para establecer programas para mejorar la
calidad, la seguridad y la eficiencia de la atención médica a través
Salud Clínica de
del “uso significativo” y la promoción de la TI para la salud.
2009
• El uso significativo se refiere a los estándares gubernamentales mínimos

para el uso de registros médicos electrónicos e intercambio de datos
de pacientes entre proveedores de atención médica, proveedores de
atención médica y aseguradoras, y proveedores de atención médica y
pacientes.
Intimidad Gram-Leach-Bliley • Requiere que las instituciones financieras evalúen, gestionen y controlen
el riesgo; supervisar a los proveedores de servicios; y ajustar los
Ley de 1999
programas de seguridad en función del riesgo.
Intimidad Ley Patriota de Estados • Disuade y castiga los actos terroristas en los Estados
Unidos y en todo el mundo.
Unidos de 2001
• Mejora las herramientas de investigación de las fuerzas del orden,

entre otras.
y / o industrias educativas para notificar a las personas sobre violaciones de seguridad relacionadas con su PII. Normalmente, las leyes sobre
violaciones de seguridad involucran las siguientes disposiciones:
• ¿Quién debe cumplir con la ley (por ejemplo, empresas, corredores de datos / información,
entidades, etc.)
• ¿Cómo se define la "información personal" (p. Ej., Nombre combinado con números de seguro social,
licencia de conducir o identificación estatal, números de cuenta, etc.)
• Qué constituye una brecha de seguridad (por ejemplo, adquisición no autorizada de datos)
• Requisitos de notificación (por ejemplo, tiempo o método de notificación, a quién se debe notificar)
• Exenciones (por ejemplo, para información encriptada)
La legislación sobre ciberseguridad es otro ejemplo de leyes estatales vigentes para proteger contra las amenazas cibernéticas y sus vastas
implicaciones para la seguridad del gobierno y la industria privada, la prosperidad económica y la seguridad pública. Los estados han empleado
legislación con un número significativo de enfoques para abordar específicamente la ciberseguridad. Ejemplos de estos métodos incluyen exigir
a las agencias gubernamentales que establezcan prácticas de seguridad, así como ofrecer incentivos a la industria de la ciberseguridad. Los
procedimientos adicionales para combatir la ciberseguridad incluyen proporcionar exenciones de las leyes de registros públicos para la
información de seguridad y crear comisiones, estudios o grupos de trabajo de ciberseguridad para promover la educación en ciberseguridad.
Otras leyes estatales comunes y relevantes incluyen las leyes estatales de privacidad en las redes sociales, las leyes de eliminación
de datos y los estatutos sobre delitos informáticos. Con respecto a las redes sociales, en 2012 se introdujo una legislación estatal para
evitar que los empleadores soliciten contraseñas a cuentas personales de Internet (incluidas las cuentas de redes sociales) para obtener o
mantener un trabajo. Una legislación similar prohíbe que los colegios y universidades requieran acceso a las cuentas de redes sociales de
los estudiantes. El razonamiento aquí fue que tanto los empleados como los estudiantes consideraban que tales solicitudes eran una
invasión de su privacidad. Se han promulgado leyes de eliminación de datos en al menos 31 estados y Puerto Rico que exigen a las
empresas y entidades gubernamentales que eliminen toda la PII recopilada y almacenada, tanto en formato electrónico como en papel. En
concreto y con el fin de cumplir con las leyes establecidas, las empresas y el gobierno deben "destruir, eliminar o hacer que la información
personal sea ilegible o indescifrable". Por último, existen estatutos sobre delitos informáticos que prohíben "acciones que destruyan o
interfieran con el funcionamiento normal de un sistema informático", como piratear, obtener acceso no autorizado sin consentimiento y
establecer o transmitir instrucciones informáticas maliciosas (p. Ej. virus, malware, etc.) para modificar, dañar o destruir registros de
información dentro de un sistema informático o red sin el permiso del propietario.
Leyes internacionales de privacidad
La protección de datos consiste en salvaguardar dicha información privada, que se recopila, procesa y almacena por medios
electrónicos, o se destina a formar parte de los sistemas de archivo. Deben existir leyes de protección de datos para controlar
y dar forma a tales actividades, especialmente aquellas realizadas por empresas y gobiernos. Estas instituciones han
demostrado una y otra vez que, a menos que las reglas y leyes restrinjan sus acciones, intentarán recopilar, examinar y
conservar todos esos datos sin notificar adecuadamente a las personas sobre el uso y el propósito de acceder a sus datos.
A partir de 2014, más de 100 países de todo el mundo han promulgado leyes de protección de datos o privacidad, y varios
otros países están en proceso de aprobar dicha legislación. Por ejemplo, la Unión Europea ha implementado algunas de las leyes
de privacidad de datos más estrictas y completas (es decir, la Directiva de protección de datos de 1995). Canadá es otro ejemplo
destacado con legislación tanto a nivel nacional como provincial (por ejemplo, la Ley de Protección de Información Personal y
Documentos Electrónicos de 2000, etc.). El Anexo 2.4 resume estas y otras leyes internacionales de protección de datos y
privacidad relevantes como la Ley de Protección de Datos Personales en Posesión de Particulares de México de 2010 y la Ley de
Puerto Seguro de 1998.
Figura 2.4 Resumen de las leyes de privacidad internacionales relevantes para los auditores de TI
Legislación internacional de privacidad Breve descripción
Protección de información personal Uno de los principales propósitos de PIPEDA es apoyar y promover el
y la Ley de Documentos Electrónicos de comercio electrónico al "proteger la información personal que se recopila,
2000 (Ley PIPED, o utiliza o divulga en determinadas circunstancias". un Los siguientes 10
PIPEDA) —Canadá principios, establecidos por PIPEDA, rigen la recopilación, el uso y la
divulgación de información personal segundo:
1. Responsabilidad
2. Identificación de propósitos
3. Consentimiento
4. Limitación de la colección
5. Limitación de uso, divulgación y retención

6. Exactitud
7. Salvaguardias
8. Apertura
9. Acceso individual
10. Desafiando el cumplimiento
Ley de Protección de Datos Personales en La ley requiere que las organizaciones empresariales mexicanas (así como
Posesión de Particulares de 2010 — cualquier empresa que opere o anuncie en México o utilice centros de llamadas
México en español y otros servicios de apoyo ubicados en México) tengan
consentimiento u obligación legal para / al recolectar, procesar, usar y divulgar
información de identificación personal (PII). Las organizaciones que se ocupan
de la PII deben informar a las personas sobre dicho uso y, lo que es más
importante, notificar a todas las personas afectadas en caso de que se produzca
una infracción de seguridad. segundo La ley también incluye ocho principios
generales que las organizaciones empresariales mexicanas deben seguir en el
manejo de datos personales. C:
• Legalidad
• Consentimiento
• Aviso
• Calidad
• Limitación de propósito
• Fidelidad
• Proporcionalidad
• Responsabilidad
Datos de la Unión Europea La Directiva establece límites rigurosos sobre la recopilación y el uso de datos
Directiva de protección de 1995 personales y exige que cada estado miembro instituya un organismo nacional
independiente responsable de la protección de dichos datos. segundo La Directiva
afecta a las empresas europeas (así como a las empresas no europeas a las
que se exportan datos) e incluye los siete principios rectores que se
describen a continuación. re:
( Continuado)
Figura 2.4 ( Continuado) Resumen de las leyes de privacidad internacionales relevantes para los auditores de TI
Legislación internacional de privacidad Breve descripción
Datos de la Unión Europea 1. aviso debe darse a todos los interesados afectados cuando se
Directiva de protección de 1995 recopilen sus datos.
2. Los datos solo deben usarse para propósito fijado.
3. Los datos no deben divulgarse sin la autorización del sujeto
consentimiento.
4. Los datos recopilados deben conservarse seguro de posibles

abusos.
5. Divulgar de quién recopila los datos debe facilitarse a todos los
interesados afectados.
6. Los interesados deberían poder acceso sus datos y corregir los
datos inexactos.
7. Los interesados deben tener un método disponible para mantener a los
recopiladores de datos explicable por seguir estos seis principios anteriores.
Ley de puerto seguro de 1998 Según la Ley, se prohíbe la transferencia de datos personales a países no pertenecientes a la
Unión Europea (por ejemplo, empresas estadounidenses) que no cumplan con el estándar
europeo de "adecuación" para la protección de la privacidad (establecido por la Directiva de
protección de datos de la Unión Europea). La Ley (específicamente relacionada con las
empresas estadounidenses que hacen negocios en Europa) tenía la intención de unir los
diferentes enfoques de privacidad de la
Estados Unidos y Europa, lo que permite a las empresas estadounidenses participar de manera
segura en transacciones transatlánticas sin enfrentar interrupciones o incluso enjuiciamiento por
parte de las autoridades europeas. segundo
Algunos requisitos o disposiciones clave de la ley incluyen h:
• Las empresas que participan en el puerto seguro se considerarán

adecuadas y continuará el flujo de datos hacia esas empresas.
• Los requisitos de los estados miembros para la aprobación previa de transferencias

de datos no se aplicarán o la aprobación se otorgará automáticamente.
• Las reclamaciones presentadas por ciudadanos europeos contra empresas

estadounidenses se atenderán en los Estados Unidos, con limitadas excepciones.
Nota: Puede encontrar una lista de otras leyes de privacidad internacionales

relevantes, segregadas por país y región, en
https://informationshield.com/free-security-policy-tools/
international-data-privacy-leyes /
un
www.parl.gc.ca/HousePublications/Publication.aspx?Pub=Bill&Doc=C-6&Language=E&Mode
= 1 & Parl = 36 & Ses = 2 & File = 35.
www.csoonline.com/article/2126072/compliance/the-security-laws--regulations-and-guidelines-directory.html?page=4.
segundo
C
www.dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010.
re
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:EN:PDF.
mi
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/00/865&format=HTML&aged=1 & language = EN &
guiLanguage = en.
Conclusión
Las operaciones comerciales están cambiando a un ritmo rápido debido a la rápida mejora continua de la tecnología.
Internet en particular ahora incluye todo, desde fines de marketing, ventas y entretenimiento hasta correo electrónico,
investigación y comercio, y prácticamente cualquier otro tipo de intercambio de información. Al igual que con cualquier
avance tecnológico, los avances también han dado lugar a varios problemas nuevos y cuestiones de delitos informáticos
que deben abordarse. Estos problemas a menudo se señalan a la atención del especialista en control y auditoría de TI.
Debe existir legislación que regule el uso y mal uso de TI, incluida la seguridad y privacidad de la información.
Se cree que la legislación federal ha tenido un impacto duradero en la comunidad en línea (gobierno, empresas y público), que
es algo que deben conocer quienes ingresan a la profesión de auditoría y aseguramiento de la información de TI. La legislación
federal sobre integridad financiera, como la SOX de 2002, cambió drásticamente el mundo de la auditoría financiera y enfatizó la
importancia del debido cuidado profesional. De manera similar, se implementó la legislación federal de seguridad para evitar que los
delincuentes escapen a las sanciones por violar el acceso autorizado a un sistema informático. Con respecto a la legislación sobre
privacidad, el gobierno de los Estados Unidos promulgó la Ley de Privacidad de 1974 para brindar ciertas garantías a un individuo
contra una invasión de la privacidad personal. La ley también impone ciertos requisitos a las agencias federales.
El auditor de TI no puede ignorar las leyes tanto a nivel estatal como internacional. Los auditores de TI deben estar
familiarizados con esta legislación específica y asegurarse de que existan procedimientos al examinar aplicaciones, datos, redes y
controles, por ejemplo, para abordar los riesgos y cumplir con estas leyes de TI relevantes.
1. Resuma las tres categorías principales de delitos que involucran computadoras.

2. ¿Qué prohíbe la Ley Sarbanes-Oxley (SOX) de 2002? ¿Qué requiere SOX del Consejo de Administración?
3. ¿Qué es la Ley de Abuso y Fraude Informático (CFAA) de 1984?

4. ¿Cuál es el propósito de la Ley de seguridad informática de 1987 y qué protege?
5. ¿Por qué se creó la Ley de Seguridad Nacional? ¿Pueden enjuiciarse en virtud de esta ley los piratas informáticos que causen lesiones o la
muerte a otras personas? Por favor elabora.
6. Diferenciar entre la Ley Uniforme de Transacciones Electrónicas (UETA) y la Ley de Firmas Electrónicas en el
Comercio Nacional y Global (ESIGN). Proporcione ejemplos de transacciones específicas en las que una firma
electrónica puede ser válida según la ley de EE. UU. Sugerencia: para esto, debe revisar los requisitos para una
firma electrónica válida que se enumeran en el capítulo.
7. ¿Qué es la Ley de Privacidad de 1974? ¿Qué requisitos impone a las agencias federales?
8. ¿Qué es la Ley de Privacidad de Comunicaciones Electrónicas de 1986 y qué prohíbe?
9. ¿A qué se aplica la Ley de Protección de la Privacidad Infantil en Línea de 1998? ¿Qué factores considera la
Comisión Federal de Comercio (FTC) para determinar si un sitio web está dirigido a niños?
10. ¿Qué significa HIPAA y qué protege? Enumere los tres factores que deben existir para cumplir con
HIPAA.
11. ¿Por qué se implementó la Ley USA PATRIOT de 2001?
Ejercicios
1. Con un navegador web de Internet, busque y examine cinco sitios web sobre cada uno de los temas siguientes. En un formato de
tabla de tres columnas, documente el nombre del sitio web examinado en la primera columna, el enlace de la fuente en la
segunda columna y un breve resumen de la información proporcionada por el sitio web en la tercera columna.
a. Crimen informático
segundo. Privacidad informática
C. Derecho informático
2. Explique por qué cree que es importante que los auditores de TI conozcan cada tipo de legislación a
continuación. Su explicación para cada tipo de legislación debe tener no menos de tres párrafos e incorporar
ejemplos de apoyo. También se le anima a buscar fuentes externas.
a. Legislación Federal
segundo. Legislación estatal
C. Legislación internacional
3. Usted fue contratado como consultor por un cliente que acababa de comenzar a hacer negocios. Algunos de los servicios que brinda
su cliente incluyen el almacenamiento, procesamiento y / o transmisión de datos de tarjetas de crédito. Su cliente desconoce las
leyes o regulaciones relacionadas con los servicios antes mencionados. Sabe desde el principio que su cliente debe cumplir con los
estándares PCI DSS. Utilizando un formato de nota, prepare la comunicación para su cliente, incluyendo lo siguiente:
a. Resuma qué son las PCI DSS y por qué son relevantes para su cliente. Se le anima a buscar fuentes
externas.
segundo. Utilizando las seis metas y requisitos (viñetas) de las PCI DSS enumeradas en el capítulo como objetivos, desarrolle
un plan para cumplir con cada objetivo. Tu plan debe incluir el objetivo específico junto con una breve explicación de la
actividad o procedimiento que aconsejarás a tu cliente implementar para cumplir con el objetivo específico. Por ejemplo,
para una de las metas u objetivos, "Protección de los datos almacenados del titular de la tarjeta", debe explicar cómo se
protegerán específicamente los datos del titular de la tarjeta y qué técnicas de cifrado se deben implementar (es posible
que desee ampliar aquí ya que su cliente había expresado para usted que no está muy familiarizada con la tecnología).
En última instancia, su comunicación debe brindar comodidad a su cliente y garantizar que todas las transmisiones de
datos del titular de la tarjeta estén realmente protegidas.
4. Identifique dos ciberataques recientes (no mencionados en el libro) llevados a cabo en los Estados Unidos o
internacionalmente. Resuma ambos ciberataques de acuerdo con el Anexo 2.2 (es decir, Compañía, Industria y
Descripción del Ciberataque) y esté listo para presentarlos a la clase en una presentación de 5 minutos.
Otras lecturas
1. Autor desconocido. (Marzo de 2016). Informe sobre delitos en Internet de 2009, Centro de quejas de delitos en Internet IC3,
pags. 14, www.ic3.gov/media/annualreport/2009_IC3Report.pdf (consultado el 2 de junio de 2010).

2. Autor desconocido. (Marzo de 2016). Los esfuerzos del Departamento de Justicia para combatir el robo de identidad, NOS
Oficina del Inspector General del Departamento de Justicia, www.justice.gov/oig/reports/plus/a1021.pdf (consultado el 2 de junio de 2010).
3. CIPHER — Boletín electrónico del Comité Técnico de Seguridad y Privacidad, Comité Técnico de la Sociedad de
Computación del IEEE, www.ieee-security.org/cipher.html
4. División de seguridad informática, Centro de recursos de seguridad informática. NIST, http://csrc.nist.gov/groups/ SMA / fisma / overview.html
5. Estatutos sobre delitos informáticos. Conferencia Nacional de Legislaturas Estatales, www.ncsl.org/research/tele-
communications-and-information-technology / computer-hacking-and-unuthorized-access-leyes. aspx (consultado en enero de 2017).
6. Violación de la confidencialidad: el hospital envió los registros de los pacientes al taller de automóviles. Questex LLC, www.fiercehealthcare. com / story /
confidenciality-breach-hospital-sent-patient-records-auto-shop / 2010-06-28 (consultado en enero
2017).
7. Legislación en ciberseguridad. (2016). Conferencia Nacional de Legislaturas Estatales, www.ncsl.org/research/
telecommunications-and-information-technology / cybersecurity -law-2016.aspx (consultado en octubre de 2016).
8. China continúa con los ataques cibernéticos a las redes estadounidenses. La baliza libre de Washington, http: // freebeacon.
com / national-security / china-continue-cyber-attack-on-us-networks / (consultado en octubre de 2016).

9. Leyes de eliminación de datos. Conferencia Nacional de Legislaturas Estatales,
www.ncsl.org/research/telecommunication-and-information-technology / data-disposition-law.aspx (consultado en octubre de 2016).
10. Protección de datos. Privacy International, www.privacyinternational.org/topics/data-protection (consultado en noviembre de 2016).
11. Oficina Federal de Investigaciones. Los delincuentes alojan sitios web de servicios gubernamentales falsos para adquirir información personal
identificable y cobrar tarifas fraudulentas, anuncio de servicio público. www.ic3. gov / media / 2015 / 150407-2.aspx (consultado en diciembre
de 2015).
12. Gallegos, F. (2001). Leyes federales que afectan a los profesionales de auditoría y control de SI, Serie de auditoría de EDP
# 72-10-20, Auerbach Publishers, Boca Raton, FL, págs. 1-20.

13. Legislación y normativa de tecnologías de la información sanitaria. HealthIT.gov, https://www.healthit.gov/topic/laws-regulation- and-policy / health-it -law
14. Hathaway, OA, Crootof, R., Levitz, P., Nix, H., Nowlan, A., Perdue, W. y Spiegel, J. La ley del ciberataque. California. L. Rev., 100
(4), 817–885. www.jstor.org/stable/23249823
15. Herath, T. y Rao, HR (2009). Fomentar comportamientos de seguridad de la información en las organizaciones: papel de las sanciones,
presiones y efectividad percibida. Decis. Soporte Syst., 47 (2), 154-165.
16. Regla final provisional de aplicación de la ley HITECH. Departamento de Salud y Servicios Humanos de EE. UU.,
Www.hhs.gov/hipaa/for-professionals/special-topics/HITECH-act-enforcement-interim-final-rule/ (consultado en noviembre de 2016).
17. Recursos legales de HG.org. Ley de tecnología de la información — Guía de la ley de TI, www.hg.org/information-technology-law.html # 1
18. Comisión Federal de Comercio, (2002). Cómo cumplir con la regla de privacidad de la información financiera del consumidor de la
Ley Gramm-Leach-Bliley. www.ftc.gov/tips-advice/business-center/guidance/
how-compliance-privacy-consumer-financial-information-rule-gramm # whois
19. Inserra, D. 69 ° complot terrorista islamista: el aumento continuo del terrorismo debería obligar al Congreso a enfrentarse finalmente al
amenaza terrorista. The Heritage Foundation, www.heritage.org/research/reports/2015/06/69th-islamist-

terrorist-plot-actual-spike-in-terrorismo-should-force-congress-toofinally-confront-the-terrorist-amenaza
20. Uso significativo. Tech Target, http://searchhealthit.techtarget.com/definition/meaningful-use (consultado en octubre de 2016).
21. Privacidad médica: estándares nacionales para proteger la privacidad de la información médica personal, www. hhs.gov/ocr/hipaa/
22. New York Times, Twitter pirateado por un grupo sirio. The Daily Star, www.thedailystar.net/news/new-
york-times-twitter-hacked-by-syrian-group (consultado en febrero de 2016).
23. Seguridad PCI. PCI Security Standards Council, www.pcisecuritystandards.org/pci_security/ (consultado en diciembre de 2016).
24. Privacidad. Glosario de términos de ISACA®, www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf

25. Ley de privacidad de 1974 y enmiendas, documento del Archivo de información / privacidad de la CPSR,
https://epic.org/privacy/1974act/
26. Pautas de privacidad para la revisión de NII de los principios propuestos del Grupo de trabajo de privacidad, compilado por el Centro de información de
privacidad electrónica, www.epic.org
27. Rusia sospechosa de ciberataques a medios de comunicación estadounidenses. New York Post, http://nypost.com/2016/08/23/
russia-sospechos-in-cyber-attack-on-us-news-outlets / (consultado en agosto de 2016).

28. Sarbanes – Oxley-101. Sección 302: Responsabilidad corporativa de informes financieros, www.sarbanesoxley-101.com/SOX-302.htm
(consultado en agosto de 2016).
29. Sarbanes – Oxley-101. Sección 404: Evaluación de la gestión de controles internos, www.sarbanesoxley-101.com/SOX-404.htm
30. Leyes de notificación de infracciones de seguridad. Conferencia Nacional de Legislaturas Estatales, www.ncsl.org/research/
telecommunications-and-information-technology / security-breach-notification -law.aspx # 1 (consultado en octubre de 2016).
31. Senft, S., Gallegos, F. y Davis, A. (2012). Control y auditoría de tecnologías de la información, Prensa CRC /
32. Conferencia Nacional de Legislaturas Estatales. Leyes estatales de privacidad de las redes sociales, www.ncsl.org/research/
telecommunications-and-information-technology / state-law-prohibiting-access-to-social-media-usernames-and-passwords.aspx (consultado
en octubre de 2016).
33. Ley UETA y ESIGN. DocuSign Inc, www.docusign.com/learn/esign-act-ueta (consultado en diciembre
2016).
34. Congreso de Estados Unidos. Ley de seguridad informática de 1987, compilada por el Centro de información de privacidad electrónica,
www.epic.org/crypto/csa
35. Departamento de Salud y Servicios de EE. UU. Oficina de Derechos Civiles — HIPAA, http://aspe.hhs.gov/ admnsimp / pL104191.htm
36. Departamento de Justicia de Estados Unidos, Oficina Federal de Investigaciones. 2016. Informe sobre delitos en Internet, https: // pdf.
ic3.gov/2016_IC3Report.pdf (consultado en noviembre de 2016).
37. Departamento de Justicia de los Estados Unidos, Oficina Federal de Investigaciones. 2015. Informe sobre delitos en Internet, https: // pdf.
ic3.gov/2015_IC3Report.pdf (consultado en diciembre de 2015).
38. Departamento de Justicia de los Estados Unidos, Oficina Federal de Investigaciones. 2014. Informe sobre delitos en Internet, https: // pdf.
ic3.gov/2014_IC3Report.pdf (consultado en diciembre de 2015).
39. Departamento de Justicia de los Estados Unidos, Oficina de Programas de Justicia, Oficina de Asistencia Judicial. Ley de gobierno electrónico de 2002,
www.it.ojp.gov/PrivacyLiberty/authorities/statutes/1287 (consultado en junio de 2013).
40. Estados Unidos acusa formalmente a los piratas informáticos rusos de ciberataques políticos. Reuters, www.reuters.com/ article /
us-usa-cyber-russia-idUSKCN12729B (consultado en diciembre de 2016).
41. Oficina de Responsabilidad del Gobierno de EE. UU. (14 de febrero de 2008). Testimonio ante Subcomités de Seguridad de la
Información del Congreso.
Capítulo 3
El proceso de auditoría de TI
1. Describa qué es el universo de auditoría e ilustre un ejemplo.

2. Definir los objetivos de control de la información y la tecnología relacionada y explicar por qué son útiles para las organizaciones
y los auditores.
3. Explique qué es una evaluación de riesgos y su importancia para la función de auditoría. Ilustre un ejemplo de una
evaluación de riesgos siguiendo la metodología del Instituto Nacional de Estándares y Tecnología.
4. Describa un plan de auditoría y sus componentes. Ilustre ejemplos de documentación de auditoría de TI que respalden una auditoría de
5. Definir el proceso de auditoría y describir las fases de un trabajo de auditoría de TI.

6. Analice otros tipos de auditorías realizadas en TI.
El papel de la auditoría de TI continúa siendo un mecanismo crítico para asegurar la integridad de los sistemas de información y la
presentación de informes de las finanzas de la organización para prevenir futuros fiascos financieros como Enron (2001) y WorldCom
(2002). Desafortunadamente, estos fiascos continúan ocurriendo. Las economías globales son más interdependientes que nunca y los
riesgos geopolíticos afectan a todos. La infraestructura electrónica y el comercio están integrados en los procesos comerciales de todo el
mundo. La necesidad de controlar y auditar TI nunca ha sido tan grande.
El auditor de TI de hoy se enfrenta a muchas preocupaciones sobre la exposición de los sistemas de información a una multitud
de riesgos. De estas preocupaciones surgen los objetivos para el proceso y la función de auditoría. Este capítulo analiza el proceso de
auditoría de TI y las demandas que se impondrán a la profesión en el futuro.
Universo de auditoría
Una de las mejores prácticas para una función de auditoría es tener un universo de auditoría. El universo de auditoría es un inventario de todas las
áreas de auditoría potenciales dentro de una organización. Las áreas básicas de auditoría funcional dentro de una organización incluyen ventas,
marketing, servicio al cliente, operaciones, investigación y desarrollo, finanzas, recursos humanos, tecnología de la información y legal. Un universo
de auditoría documenta la clave
59
procesos de negocio y riesgos de una organización. La documentación de los procesos y, en particular, los riesgos ha demostrado ser una de las
mejores prácticas para las organizaciones. La Norma de Desempeño 2010 del IIA fomenta el establecimiento de planes basados en riesgos para
determinar las prioridades de la actividad de auditoría interna.
Un universo de auditoría incluye el área funcional básica de auditoría, los objetivos de la organización, los procesos comerciales clave que
respaldan esos objetivos de la organización, los objetivos de auditoría específicos, los riesgos de no lograr esos objetivos y los controles que
mitigan los riesgos. La vinculación del universo de auditoría a los objetivos de la organización vincula todo el proceso de auditoría con los objetivos y
riesgos comerciales, lo que facilita la comunicación del impacto de las deficiencias de control. El Cuadro 3.1 muestra un ejemplo de un universo de
auditoría relacionado con el área de TI de una organización.
El universo de auditoría también es un componente esencial para un proceso de auditoría interna adecuadamente basado en riesgos. Por lo
general, los grupos de auditoría interna preparan programas de auditoría anuales para determinar la cantidad de horas disponibles y la cantidad de
auditorías que se pueden realizar. El universo de la auditoría es un proceso continuo; a medida que cambia una organización, surgen nuevos riesgos
o cambian los riesgos existentes, y se introducen nuevas regulaciones. Las organizaciones pueden eliminar las auditorías de menor prioridad del
programa o contratar auditores externos para complementar al personal interno.
Las auditorías de TI, por ejemplo, tienen procesos de TI específicos para incluir en el universo de auditoría. Control Objectives for
Information and Related Technology (COBIT) proporciona una lista completa de procesos críticos de TI, que se puede utilizar como
punto de partida.
COBIT
COBIT es un conjunto internacional autorizado de prácticas de TI generalmente aceptadas u objetivos de control que ayudan a los
empleados, gerentes, ejecutivos y auditores a: comprender los sistemas de TI, descargar responsabilidades fiduciarias y decidir los
niveles adecuados de seguridad y controles.
COBIT respalda la necesidad de investigar, desarrollar, publicitar y promover objetivos actualizados de control de TI
internacionalmente aceptados. El énfasis principal del marco COBIT emitido por la Information Systems Audit and Control
Foundation en 1996 es asegurar que la tecnología brinde a las empresas información relevante, oportuna y de calidad
para la toma de decisiones. El marco COBIT, ahora en su quinta edición (COBIT 5), ha evolucionado a lo largo de los
años y cada vez que hay cambios importantes en el marco, el marco se numera a su versión actual.
El beneficio de un marco estándar para los controles de TI, como COBIT, es que permite a la gerencia comparar su
entorno y compararlo con otras organizaciones. Los auditores de TI también pueden utilizar COBIT para fundamentar sus
evaluaciones y opiniones de control interno. Debido a que el marco es completo, proporciona garantías de que existen
controles y seguridad de TI.
COBIT 5, que se puede descargar de www.isaca.org, ayuda a las organizaciones a crear un valor óptimo de TI al mantener
un equilibrio entre obtener beneficios y optimizar los niveles de riesgo y el uso de recursos. COBIT5 se basa en cinco principios
(ver Figura 3.2). COBIT5 considera las necesidades de TI de las partes interesadas internas y externas (Principio 1), al tiempo que
cubre por completo el gobierno y la gestión de la información y la tecnología relacionada de la organización (Principio 2). COBIT 5
proporciona un marco integrado que se alinea e integra fácilmente con otros marcos (por ejemplo, Comité de Organizaciones
Patrocinadoras de la Comisión Treadway-Gestión de Riesgos Empresariales (COSO-ERM), etc.), estándares y mejores prácticas
utilizadas (Principio 3). COBIT 5 permite que la TI sea gobernada y administrada de manera integral para toda la organización
(Principio 4) a través de:
a. Establecer principios, políticas y orientaciones prácticas para la gestión diaria.

segundo. Implementar procesos para lograr metas y objetivos generales relacionados con TI.
El proceso de auditoría de TI • 61
Figura 3.1 Ejemplo de un universo de auditoría relacionado con el área de TI de una organización
Área de auditoría funcional básica: Organización de tecnologías de la información ' s Objetivo: Brindar acceso seguro a
información, tecnología y servicios financieros para todos los empleados autorizados.
Negocio clave
Proceso Objetivo de auditoría de TI Riesgo de TI Control de mitigación de TI
Acceso La seguridad del sistema es Los usuarios poseen privilegios Privilegios de acceso de usuario
Controlar adecuadamente que no son coherentes con sus son periódicamente

administración implementado, funciones laborales, lo que revisado por
administrado, y permite propietarios de aplicaciones
registrado para salvaguardar no autorizado o para verificar el acceso
contra no autorizado modificaciones incorrectas los privilegios permanecen
acceso ao a financiero o apropiado y

modificaciones de datos contables, que consistente con el trabajo
programas y datos, Podría causar requisitos.

que resulta en segregación de deberes
incompleto, conflictos, no prevenidos
inexacto o inválido o errores no detectados,
procesamiento o finanzas incorrectas, o
registro de finanzas las decisiones de gestión
información. basado en engañoso
información.
Cambio Programas y sistemas Desarrolladores o Sistemas de aplicación,

Controlar son apropiadamente los programadores tienen el bases de datos, redes,
administración implementado en un capacidad para promover y operando
manera de apoyar incorrecto o los sistemas son
el preciso inapropiado desarrollado, modificado,

completo y válido modificaciones o y probado en un
procesamiento y cambios en las finanzas ambiente separado
registro de finanzas datos, programas o de la producción
información. ajustes en el medio ambiente. Acceso
procesamiento de producción al desarrollo
medio ambiente, así y prueba
resultando en inválido entornos es
datos contables y / o adecuadamente
fraude. restringido.
administración Los datos están apropiadamente Informes financieros Las copias de seguridad se archivan
de datos logró proporcionar información y fuera del sitio para minimizar
Centrar, Garantía razonable los datos contables no pueden riesgo de pérdida de datos.
Red, esos datos financieros recuperarse en caso de falla
y apoyo permanecer completo, del sistema, que afecte la
exacto y válido
durante el capacidad para informar
actualización y almacenamiento información financiera

proceso. de acuerdo a
informes establecidos
requisitos.
1. Reunión
Interesado
necesidades
5. Separar
2. Cubriendo el
gobernancia
fin de empresa
desde
para terminar
administración
3. Aplicar un
4. Habilitación de
soltero,
holístico
integrado
Acercarse
marco de referencia
Figura 3.2 Principios del marco de COBIT 5. (Adaptado de http://www.isaca.org/cobit/ pages /

cobit-5-framework-product-page.aspx.)
C. Poner en marcha estructuras organizativas con capacidades clave para la toma de decisiones.
re. Promover la buena cultura, la ética y el comportamiento en la organización.
mi. Reconocer que la información es omnipresente en cualquier organización y, a menudo, es el producto clave de la
propia organización.
F. Teniendo en cuenta la infraestructura, tecnología y aplicaciones que brindan a la organización
procesamiento y servicios de TI.
gramo. Reconocer que se requieren personas, habilidades y competencias para completar con éxito todas las actividades y
tomar decisiones correctas.
COBIT 5 ayuda a las organizaciones a separar adecuadamente la gobernanza de los objetivos de gestión (Principio 5). Tanto la
gobernanza como la gestión se describen a continuación.
a. Gobernancia —Optimiza el uso de los recursos de la organización para abordar los riesgos de manera eficaz. El gobierno
asegura que la Junta Directiva ("junta"):
yo. evalúa las necesidades de las partes interesadas para identificar objetivos,
ii. orienta la gestión priorizando los objetivos, y

iii. monitorea el desempeño general de la gerencia.
segundo. administración —Planificar, construir, ejecutar y monitorear las actividades y procesos utilizados por la organización para
perseguir los objetivos establecidos por la junta.
El marco de COBIT 5 es valioso para organizaciones de todo tipo, incluidas las comerciales, sin fines de lucro o en el sector
público. El marco integral proporciona un conjunto de objetivos de control que no solo ayuda a los profesionales de gestión y
gobierno de TI a administrar sus operaciones de TI, sino también a los auditores de TI en su búsqueda por examinar esos
objetivos.
Los procesos de COBIT se pueden personalizar para el entorno de la organización. Los auditores de TI pueden ayudar a la
gestión de auditoría a identificar las aplicaciones asociadas con el negocio crítico y
procesos financieros, así como los controles necesarios para que el área auditada esté libre de exposiciones significativas al
riesgo. Este objetivo también abarca la validación de la adherencia de los sistemas de aplicación bajo examen a los estándares
apropiados (por ejemplo, la contabilidad financiera debe cumplir con los PCGA, etc.).
El siguiente paso en el proceso de planificación es realizar una evaluación de riesgos para cada elemento del universo del Cuadro 3.1. La
evaluación de riesgos analizará las exposiciones y ayudará a priorizar los proyectos de auditoría de “alto riesgo”.
Evaluación de riesgos
Las evaluaciones de riesgos se consideran la base de la función de auditoría, ya que ayudan a desarrollar el proceso de planificación de
auditorías individuales. Específicamente, evaluaciones de riesgo:
• mejorar la calidad, cantidad y accesibilidad de los datos de planificación, como áreas de riesgo,
auditorías y resultados e información presupuestaria;
• examinar posibles proyectos de auditoría en el universo de auditoría y elegir aquellos que tengan la
la mayor exposición al riesgo debe realizarse primero; y
• proporcionar un marco para la asignación de recursos de auditoría para lograr los máximos beneficios.
Dado el gran número de auditorías potenciales que se pueden realizar y, a menudo, la cantidad limitada de recursos de auditoría, es
importante centrarse en las auditorías adecuadas. El enfoque de evaluación de riesgos proporciona criterios explícitos para evaluar y
seleccionar sistemáticamente estas auditorías.
En el entorno actual, es difícil mantenerse al día con los cambios organizativos y regulatorios para proporcionar información oportuna sobre
los controles internos. El cambio aumenta el universo de auditoría, el número de socios comerciales (es decir, proveedores) y el número de
proyectos en los que se necesita una perspectiva objetiva e independiente. Un proceso de planificación de la evaluación de riesgos eficaz permite
que la auditoría sea más flexible y eficiente para satisfacer las necesidades de una organización cambiante, tales como:
• identificar nuevas áreas de riesgo
• identificar cambios en áreas de riesgo existentes
• acceder a información legal y regulatoria actual

• aprovechar la información recopilada durante el proceso de auditoría para mejorar la evaluación de riesgos
Las áreas de auditoría se pueden evaluar mediante un mecanismo de puntuación ponderado. Sin embargo, la dirección de auditoría debe evaluar
los resultados utilizando su conocimiento de los objetivos y el entorno de la organización para asegurarse de que las prioridades reflejen la realidad.
Las áreas de auditoría también pueden agruparse para mejorar la eficiencia de la auditoría al revisar procesos similares. La función de auditoría es
cíclica en el sentido de que utiliza información histórica y actual para la evaluación de riesgos, evalúa los controles, comunica resultados e
incorpora esos resultados nuevamente a la evaluación de riesgos.
En una evaluación de riesgos de TI, por ejemplo, las aplicaciones financieras son auditorías / proyectos comunes que deben clasificarse. Sus
riesgos se pueden identificar, evaluar y priorizar. También se identifican controles (salvaguardas) que se implementarán para abordar y mitigar
dichos riesgos. Los riesgos de TI relacionados con las aplicaciones financieras se pueden identificar a través de:
• Auditorías, revisiones, inspecciones
• Leer diagramas de flujo de operaciones

• Usar cuestionarios de análisis de riesgos
• Analizar las tendencias de los estados financieros
• Completar listas de verificación de pólizas de seguro
La seguridad absoluta frente a subprocesos y riesgos en los entornos tecnológicos actuales no es realista. Las evaluaciones de
riesgo, según la publicación especial 800-30 del Instituto Nacional de Estándares y Tecnología (NIST), se utilizan para ayudar a
las organizaciones a determinar el alcance de las amenazas potenciales y los riesgos asociados con los sistemas y aplicaciones
de TI. Los resultados de lo anterior ayudan a la administración a identificar e implementar controles de TI apropiados para reducir
o eliminar esas amenazas y riesgos durante el proceso de mitigación. NIST recomienda que para una evaluación de riesgos, es
importante que las organizaciones sigan estos pasos:
1. Disponga de un proceso para identificar o caracterizar los activos (por ejemplo, aplicaciones financieras, etc.).
2. Defina las vulnerabilidades de esos activos y las fuentes de amenazas que pueden desencadenarlos.
3. Determine la probabilidad o los niveles de probabilidad (por ejemplo, muy alto, alto, medio, etc.) de que se puedan ejercer
las vulnerabilidades. Por ejemplo, se pueden asignar probabilidades de muy alta = 1,00, alta = 0,75, media = 0,50, baja =
0,25 y muy baja = 0,10 para cada vulnerabilidad según la estimación de la organización de su nivel de probabilidad.
4. Asigne una magnitud de impacto para determinar qué tan sensible puede ser el activo frente a las amenazas ejercidas con éxito.
La administración suele asignar las magnitudes de impacto y los valores de nivel de impacto para cada amenaza exitosa que
pueda ejercer una vulnerabilidad.
5. Asociar activos con TI correspondiente y / o riesgos comerciales.
6. Calcule la calificación de riesgo multiplicando la probabilidad asignada en el Paso 3 anterior (por ejemplo,
1,00, 0,75, etc.) multiplicado por el valor del nivel de impacto asignado en el Paso 4.
7. Recomendar los controles necesarios para mitigar los riesgos según su prioridad o ranking.
Depende de la organización determinar cómo lidiar con los riesgos que han identificado: arriesgarse y vivir con ellos o tomar medidas
para proteger sus activos. Al mismo tiempo, deben considerar los costos asociados con la implementación de los controles, su
impacto en los usuarios, la mano de obra necesaria para implementarlos y administrarlos, y el alcance de la acción. El Cuadro 3.3
muestra un ejemplo de una evaluación de riesgos de TI realizada para identificar y priorizar los riesgos dentro de las aplicaciones
financieras. La evaluación de riesgos se trata con más detalle en un capítulo posterior.
Plan de auditoria
La función de auditoría debe formular planes anuales y a largo plazo. La planificación es una función básica necesaria para describir lo que se
debe lograr, incluir presupuestos de tiempo y costos y establecer prioridades de acuerdo con las metas y políticas de la organización. El objetivo
de la planificación de la auditoría es optimizar el uso de los recursos de auditoría. Para asignar eficazmente los recursos de auditoría, los
departamentos de auditoría interna deben obtener una comprensión integral del universo de auditoría y los riesgos asociados con cada elemento
del universo. No seleccionar los elementos apropiados puede resultar en la pérdida de oportunidades para mejorar los controles y la eficiencia
operativa. Los departamentos de auditoría interna que desarrollan y mantienen los archivos del universo de auditoría se proporcionan a sí
mismos un marco sólido para la planificación de la auditoría.
La intención del plan de auditoría es proporcionar un enfoque general dentro del cual se puedan realizar los encargos de
auditoría. Proporciona la guía para auditar los procesos integrales de la organización.
mi e te norte s, tu le
rs) Dakota del Sur s re rce
re fo
r
H METRO Me gusta Me gustath
yo G mi
Le mi mi
h re
lih
mi
iu ve lih ESO
metro
l o o
o o Fu
re re
re norte
ctio
mi
PAGS te
UN ro
ssig rm norte
0,75 0,50 segundo
ab en alA
norte
mi ilidad atio
re tu
norte re
eso
H H o METRO UN
yo G yo G fIm ag rea
h h norte
pags itu Estoy
Actuar
re
mi pags
Actuar
V L Im
75 75 alu mi
vp
ea
mi l ct
FA
para ti upa cp arun p S re re mi en fi ab C soy sy th re c
nol o sa norte ope ve st eoeca 1
Fs atl eo norteguisante rc q pagstc F
ai
A er tu w fi ro nm ri au tu o un co o
segundo rm n li m ameoni
1. acce th n gramo t ira rt lr
t
cyp ctin fnrt vnn fo R
upo yo es d
oti en rrtey te metronorteh en un ia a l un eb rm
isk
ss
real academia
ilg fo e de bellas artes
mi
gramopor o
ejemplo, ti ygat
re 'st il odeap
ze d ai rs re a n
r , te ly norte
ts.
huf en tio
re o eres
norte
r ,
t
R
56.25 37,5 en R
en es
Gk
un
T segundo
un lo pagspmc en P Pi co p FA es h th a arco fi un
culo mi como culo mi norteck R
re ck Rioc se c ar n re 1a atd metro un mi
Posada
oi fi osu ct un tui co
co o h td he
tu
tu dmg rp wr ic ss SO en ciald pags C
metrotth o yo
rd cuuooi r ty eti r te o r rhe a menudo
ata
estoy s o metro
ra dv sy re unt
re o nortemetro
pags cm ra
le re h h le t yo t sa ml
mbn t s gt iticateyf
h
son o
tamaño
ff-siteata
fFA tro
mi
un tu es decir o
xity. sh Es para noe
ngn ue nsw l norte
re
gramo ss iti
metro
th lo riesgo 1
o ry et t. du S t.
son mi
ld , h fo, r tu re
metro
ts
oe rs
(C ,,
o H METRO
norte PAGSUN
yo G mi Rio ctio
estaño
h re
tu iu ridad
mi metro norte
re
)
et ee te, tu
se rsd rce
)d re s, re en
)
t
V V Li Me gustaExamen
mi mi
ry ry Lk mi
ee lih
H H v li
yo G yo G eh o pags
lo o le
h h o
re re
re fo
PAGS
mi r
te
UN ro th
ssig rm mi
1,00 1,00 segundo
ab en
norte ESO
mi ilidad atio
re Fu
norte
norte
ctio
H H o METRO
yo G yo G fIm ag
h h norte
norte
pags itu
un
Estoy l
Actuar
re UN
pags
Actuar tu
mi
re
V eso
LI
75 75 alu em UN
vp
ea rea
mi l ct
T U
en fi ma accetu mi en mbdmc o moua fu th c ar p s
norte norte se rm ae awt o yo nl l
fo
ao dd F
os yo uh ao neo cerca ivile rs
rm norte rs en r ls ei California
mi ds ag e
nortes ic F d
uw ct ir s
civ ss mamá h A2 en
fi c yo io jin R
yo fy yo mi
atio un a
podercomió
a re u io
nortemi c 'sco en nos a
mi
te gp o isk
l es w yo
yo
nospags metro o re Arkansas
tyo re rg sb norte s
ss
entonces re o tu un bronceado ,
norte r
FA gramo
norte
gramo
norte
mi l o C tamaño tw el
. ain
.
norte re t
2 t s re con una ss
t
R
en R
75 75
en es
Gk
un
T
th ch im e mi jo co ap r acceoa re p F p U
mp riv
te hra mnaodh mi mi wp R
mi un mp
mv segundo
npm npve A yo he r mi
ir pt s re si ra co
mi o ile es decir lim ss ele ri 2 rs
nortegdl o fi e en e C
nótese bien r ic woa le dria C
mi mi ye d qso egc o metro
pagssa
gramoen e yo
su Rhode Island
w día a día mi tra utp mi
en tteio d ica CE nortemetro
a eete s ee eo inr yo rivile o se s
statu o dn s F
tt y r
eta pesomi vnbl aa l ws
tro
mi
rls . w o
ey
un fsu
re UN r
metro mi yo
th l norte
re
Florida cce h es eia gramoyo
r
o n th n F mi
s. mi ch re mi en re
Connecticut t
s.
sy
ss
(C
o
norte HV HV PAGSUN
estaño Rio ctio
ig re ig re
tu hy hy ridad
mi norte
re
)
yo
o
un tu
ilidad norte rce
nortere re en
s
UN
t
ssig
Lo Me gusta Me gustaExamen
w Le mi mi
lih lih
norte ve
mi l o o pags
re o o le
" re re
un re fo
re PAGS
mi r
te
UN ro th
th ssig rm mi
0,25 segundo
mi ab en
"Estoy norte ESO
mi ilidad atio
re Fu
pags norte
actLe norte
ctio
H o METRO
yo G fIm ag
ve h norte
norte
pags itu
un
lV Estoy l
Actuar
re UN
alu pags
Actuar tu
mi
re
mi
V eso
." LI
75 alu em UN
vp
ea rea
mi l ct
FA
m en co o Im au n
es v fsu
tu pagsa 2
le a ld lhtc
un li ch eoph R
dd re mrra
en o su ch ei zo pn gramo isk
gramo
ndemi
ltin un ta. r se ly ar
re
ata. t
gramo
io mi
mi
s norte
R
18,75 en R
en es
Gk
un
re te ac p im to mat C s ts cr eh
R
aps
tu oo ejército de reservami
lt pagsrdp ltnpen co
s. laca duehar yo yo diosv mi C
un
norte mi o metro
sn tio er norte medir dn t nortemetro
tro
C.A ebdo mi
nen ta nortey F
re Wisconsin
Nuevo t
io Testamento
UN l norte
re
eso pags 2 mi
h norte ryo Arkansas re
yo
norte
o mi
r
Lo
PAGSUN
w Rio ctio
ridad
norte
La organización y su dirección deben participar y apoyar plenamente este esfuerzo. Se puede ganar compromiso si los
participantes reconocen que un buen plan puede ayudar a identificar problemas en un entorno de TI altamente dinámico y
automatizado, por ejemplo. Por tanto, debería ser responsabilidad de todos los participantes no sólo ayudar a identificar tales
problemas, sino también ayudar en la medición y cuantificación de los problemas.
Es difícil identificar, medir y cuantificar problemas en el área de TI. El campo de las TI es tecnológicamente complejo y tiene un
lenguaje propio. Los participantes en la formulación de un plan de auditoría de TI, y en particular los propios auditores de TI, deben tener
suficiente experiencia y capacitación en asuntos técnicos para poder captar conceptos clave y abstracciones sobre los sistemas de
aplicación. Por ejemplo, las abstracciones sobre TI pueden incluir aspectos importantes que son susceptibles de nombrar, contar o
conceptualizar. La comprensión de los sistemas en este nivel puede conducir a la identificación de áreas problemáticas importantes. La
concentración de la auditoría, entonces, puede dirigirse a las áreas de problemas principales con mayor probabilidad de producir
resultados significativos.
Con base en esta identificación de problemas, el auditor de TI determina qué datos adicionales podrían ser necesarios para tomar
decisiones de evaluación. El proceso de auditoría, por lo tanto, debe ser lo suficientemente flexible como para combinar personal calificado,
nueva tecnología y técnicas de auditoría de nuevas formas para adaptarse a cada situación. Sin embargo, esta flexibilidad de enfoque requiere
documentación en pasos planificados y dirigidos. Los sistemas que no se entienden bien (o que se han diseñado sin los controles adecuados)
pueden provocar una pérdida de ingresos, un aumento de los costos y tal vez un desastre o un fraude.
Durante la fase de planificación de la auditoría, el gerente de auditoría de TI debe reunirse con el director de información (CIO) y los
miembros superiores de la administración de TI para obtener su opinión y su conformidad con la evaluación de riesgos de los procesos de
TI en el universo de auditoría. Si hay un comité directivo de TI, el universo de auditoría también debe revisarse con él. Esto ayudará a
asegurar la alineación entre TI, negocios y auditoría en las áreas clave de riesgo. La reunión con el CIO y los gerentes de TI también debe
presentar al personal de auditoría y comunicar el alcance, los objetivos, el cronograma, el presupuesto y el proceso de comunicación que
se utilizará durante todo el trabajo. Esta también es una oportunidad para una discusión abierta sobre la percepción de la gerencia de TI
de las áreas de riesgo, los cambios significativos en el área bajo revisión y la identificación de los contactos apropiados en TI.
Un plan de auditoría de TI divide la auditoría en segmentos discretos que describen los sistemas de aplicación como una serie de
compromisos y pasos de auditoría manejables. En el nivel detallado de planificación o participación, estos segmentos tendrán objetivos
personalizados para implementar metas y objetivos organizacionales dentro de las circunstancias de la auditoría. Por lo tanto, la
auditoría de TI no requiere enfoques "enlatados". No existe una única serie de pasos detallados que puedan describirse una vez y
luego repetirse en cada auditoría. El plan de auditoría, por lo tanto, es un intento de proporcionar un enfoque ordenado dentro del cual
se pueda ejercer la flexibilidad. Como mínimo, un plan de auditoría de TI, después de recopilar una comprensión completa del universo
de auditoría y los riesgos asociados con cada elemento del universo, debe:
1. Enumere los objetivos de la auditoría y describa el contexto.
2. Desarrollar el programa de auditoría
3. Cree el presupuesto de auditoría y defina el alcance
4. Enumere los miembros del equipo de auditoría, describa las tareas de auditoría, determine los plazos
Objetivos y contexto
El objetivo y el contexto del trabajo son elementos clave en cualquier entorno de auditoría y no deben pasarse por alto. Son
simplemente la base por la cual se deben abordar todas las auditorías. los objetivo
es lo que se intenta lograr. los contexto es el entorno en el que se realizará el trabajo. Por tanto, todo depende en última instancia tanto
del objetivo como del contexto del trabajo a realizar. Es decir, las decisiones tomadas sobre el alcance, la naturaleza y el momento del
trabajo de auditoría dependen de lo que el auditor esté tratando de hacer (por ejemplo, obtener seguridad de un saldo de cuentas por
cobrar, asegurarse de que una aplicación financiera recién implementada funcionará correctamente , evaluar si el sitio web de un cliente
es seguro, etc.) y el entorno en el que está trabajando (por ejemplo, una empresa grande frente a una pequeña, una organización
nacional con un sistema centralizado frente a una multinacional con múltiples divisiones, una empresa con sede en Nueva York
organización versus una con sede en Dakota del Norte, etc.).
Tenga en cuenta que lo que funciona bien para una organización, puede no funcionar tan bien en otra en
función de muchas combinaciones de objetivos y contexto. Por ejemplo, si el auditor de TI tiene una Evaluación
de Controles Generales, los objetivos de la auditoría pueden ser verificar que todos los controles que rodean las
aplicaciones financieras y relacionados con el centro de datos, las operaciones de los sistemas de información,
la seguridad de la información y la gestión del control de cambios son adecuados. Por lo tanto, el auditor de TI
necesita verificar los controles porque los auditores financieros confiaban en dicho sistema informático financiero
para proporcionarles la información financiera correcta. El contexto es donde entran en juego las verdaderas
habilidades analíticas del auditor. Aquí, el entorno es en su mayor parte siempre diferente de una tienda a otra.
Al definir los objetivos y el contexto del trabajo adecuados, la dirección puede garantizar que la auditoría verificará el correcto funcionamiento
y control de todas las áreas clave de la auditoría. Un objetivo / contexto común establecido para las auditorías de TI es respaldar las auditorías de
Auditorías de TI realizadas para respaldar las auditorías de estados financieros
Una vez que el auditor se ha familiarizado en general con los procedimientos contables y financieros del cliente, se deben
identificar áreas específicas de interés de auditoría. El auditor debe decidir qué aplicaciones deberán examinarse a un nivel más
detallado. Para las aplicaciones que se usan para respaldar procesos comerciales importantes, el auditor debe determinar su
sofisticación y extensión de uso. Este estudio preliminar es lo suficientemente profundo como para que el auditor evalúe la
complejidad y sofisticación de las aplicaciones y determine los procedimientos a seguir para evaluar sus controles internos.
Comprender las aplicaciones financieras y determinar si existen controles de TI para protegerlas de manera efectiva y la información
generada representa un proceso importante en lo que se refiere a la auditoría general de los estados financieros. Los resultados de una
auditoría de TI sobre aplicaciones financieras tienen una relación directa con las pruebas sustantivas realizadas por los auditores
financieros. Las pruebas sustantivas implican los procedimientos de auditoría necesarios para examinar y respaldar los estados
financieros (por ejemplo, confirmar los saldos de las cuentas, examinar la documentación, volver a realizar los procedimientos, consultar u
observar una transacción, etc.). Estos procedimientos proporcionan la evidencia necesaria para respaldar la afirmación de que los
registros financieros de la organización son válidos, precisos y completos.
Los resultados o hallazgos de una auditoría de TI generalmente determinan la cantidad de pruebas sustantivas que
realizarán los auditores financieros. Si los resultados son efectivos (es decir, se encuentra que los controles de TI están en su
lugar y funcionando correctamente), el trabajo del auditor financiero probablemente sería menor en esa parte particular de la
auditoría. Por otro lado, si no existen controles de TI que protejan las aplicaciones financieras, o si los controles de TI
existentes no funcionan de manera efectiva, la cantidad de pruebas sustantivas realizadas por el auditor financiero será
mucho mayor. Esto puede tener implicaciones importantes para la auditoría, como el tiempo que lleva completar la auditoría,
el aumento de los costos para el cliente, etc. El resto de este capítulo se centra en las auditorías de TI realizadas para
respaldar las auditorías de estados financieros.
Programa de auditoría
Los departamentos de auditoría interna crean programas de auditoría anuales para obtener el acuerdo de la junta sobre las áreas de auditoría,
comunicar las áreas de auditoría con los departamentos funcionales y crear un plan de proyecto / recursos para el año. El programa de auditoría
debe estar vinculado a los objetivos y riesgos comerciales actuales en función de su costo relativo en términos de pérdida potencial de fondo de
comercio, pérdida de ingresos o incumplimiento de las leyes y regulaciones.
La creación de un cronograma anual es el proceso de determinar el total de horas de auditoría disponibles y luego asignar elementos del
universo (áreas de auditoría) para completar el tiempo disponible. Como se mencionó anteriormente, para maximizar el proceso de evaluación de
riesgos, los elementos del universo de “alto riesgo” deben recibir la máxima prioridad de auditoría. La creación del cronograma debe realizarse junto
con el proceso anual de evaluación de riesgos; esto permitirá a los departamentos de auditoría interna dar cuenta de los cambios en las
clasificaciones de riesgo y realizar las adiciones o eliminaciones necesarias en el universo de auditoría. Por supuesto, el programa de auditoría
también deberá acordarse con el comité de auditoría como parte del proceso general de planificación de la auditoría. Una vez que se determinan las
horas de auditoría disponibles, la gerencia de auditoría puede continuar preparando el plan de auditoría.
La planificación y la programación son tareas continuas a medida que cambian los riesgos, las prioridades, los recursos disponibles y
los plazos. Cuando se producen estos cambios, es importante comunicarlos al comité de auditoría, la junta y todos los demás departamentos
funcionales afectados.
Auditoría de presupuesto y alcance
Idealmente, el presupuesto de auditoría debe crearse después de que se determina el programa de auditoría. Sin embargo, la mayoría de las
organizaciones tienen limitaciones de recursos y presupuesto. Puede ser necesario un enfoque alternativo al elaborar el cronograma de auditoría.
Después de determinar las prioridades de auditoría, la gerencia de auditoría determinará la cantidad de horas disponibles para decidir cuántas
auditorías pueden completar en un año. Para una auditoría de TI en particular, las horas disponibles se enumeran por área, personal, etc. El
Cuadro 3.4 ilustra un ejemplo de un presupuesto en una auditoría de TI.
El alcance de una auditoría define el área o áreas (por ejemplo, aplicaciones financieras relevantes, bases de datos, sistemas
operativos, redes, etc.) que se revisarán. Los nombres de las aplicaciones financieras y las bases de datos también deben describirse junto
con la información de su alojamiento (por ejemplo, ubicación del servidor, etc.). El alcance debe identificar claramente el proceso comercial
crítico respaldado por la aplicación financiera seleccionada. Esta asociación generalmente justifica la relevancia de la solicitud y, por lo tanto,
su inclusión como parte de la auditoría. El alcance debe indicar además las áreas de control general, los objetivos de control y las actividades
de control que se someterían a revisión. El Cuadro 3.5a, b muestra ejemplos de alcance para aplicaciones y objetivos de control,
respectivamente, en una auditoría de TI.
Equipo de auditoría, tareas y plazos
El plan de auditoría debe incluir una sección que enumere los miembros de la auditoría, sus títulos y cargos, y las tareas generales que
tendrán. Por ejemplo, una auditoría típica involucra a miembros del personal, altos cargos, gerentes o gerentes senior, y un socio, director o
director (PPD) que supervisará toda la auditoría. A nivel del personal (generalmente los auditores con menos de 3 años de experiencia), la
mayor parte del trabajo de campo se realiza, incluida la recopilación de documentación, la reunión con el personal y la creación de auditorías. papeles
de trabajo, entre otros. Los auditores de nivel superior no solo supervisan el trabajo de los auditores del personal, sino que los guían en la
realización del trabajo (por ejemplo, acompañan a los auditores del personal a reunirse con los usuarios, ayudan al personal a seleccionar
qué información específica debe recopilarse, cómo documentar dicha información en el papeles de trabajo, etc.). A continuación están los
gerentes o gerentes senior (senior
Figura 3.4 Ejemplo de un presupuesto para una auditoría de TI
nombre de empresa
Presupuesto de TI
Año fiscal 20XX
Profesional de Auditoría
Personal/ Total
Área de auditoría Mayor Gerente Compañero Horas
Planificación
Revise los documentos de trabajo del año anterior, si 3,0 1.0 0.0 4.0
corresponde; preparar presupuesto de TI; realizar
reuniones de planificación; preparar memorando de
planificación; preparar la solicitud inicial de información y
enviarla al personal de la empresa, etc.
Primer año. Reúna y documente una comprensión 3,0 1.0 0.0 4.0
de la organización y su entorno de TI, incluida la
forma en que la organización utiliza el sistema
informático y qué aplicaciones afectan los procesos
comerciales / financieros críticos, entre
otros.
Años subsecuentes. Revisar y actualizar la
comprensión de la organización y su entorno de
TI obtenida del año anterior.
Realizar reunión de planificación con el personal 1.0 1.0 1.0 3,0

de la empresa.
Total parcial 7.0 3,0 1.0 11,0 11%
Trabajo de campo
Documentar / actualizar la comprensión de

el entorno de TI de la organización y realizar pruebas
de los controles de TI ( por área de Control General IT).
Operaciones de sistemas de información 16,0 0.0 0.0 16,0
Seguridad de información 17.0 0.0 0.0 17.0
Gestión de control de cambios 20,0 0.0 0.0 20,0
Total parcial 53,0 0.0 0.0 53,0 53%
( Continuado)
Figura 3.4 ( Continuado) Ejemplo de presupuesto para una auditoría de TI
nombre de empresa
Presupuesto de TI
Año fiscal 20XX
Profesional de Auditoría
Personal/ Total
Área de auditoría Mayor Gerente Compañero Horas
Revisión, informes y conclusión
Revisar y documentar las acciones tomadas por la gerencia de la 2.0 0.0 0.0 2.0
empresa para corregir los hallazgos de la auditoría de TI del año
pasado /
deficiencias.
Documente los hallazgos / deficiencias de la auditoría de 3,0 0.0 0.0 3,0

TI y las oportunidades para mejorar los controles
existentes.
Evaluar y clasificar los hallazgos / deficiencias de auditoría de 1.0 0.0 0.0 1.0
TI identificados.
Borrador de la carta de gestión de TI que enumera todos los 0.0 1.0 1.0 2.0
hallazgos / deficiencias de auditoría de TI y
oportunidades para mejorar los controles

existentes. Envíe la carta a la dirección de TI para
su revisión.
Realice reuniones de estado, internamente o con el 1.0 0.0 0.0 1.0

personal de TI.
Revise los documentos de trabajo que demuestren el 0.0 9.0 4.0 13,0
trabajo de auditoría de TI realizado.
Salir de la reunión con el personal de TI para discutir la 0.0 1.0 0.0 1.0
auditoría y los resultados.
Abordar y revisar notas claras de la 11,0 2.0 0.0 13,0

administración de auditoría (Gerente y Socio) y
concluir la auditoría.
Total parcial 18.0 13,0 5,0 36,0 36%
Gran total 78,0 16,0 6.0 100,0 100%
Personal / Senior 78,0 78%
Gerente 16,0 dieciséis%
Compañero 6.0 6%
t mi
ciatioxam metro
r
con
O O METRO Aleta
ap
racle racle S una D segundo
o pagspags
nortele en tu un
ftw Automóvil club británico pecado
gt tip , cialA
e ab gramo
ess
son mamá th th
icamente
es mi
mi
nordeste S metro PAGS
t UN ro
pags
Lo ju
PAGS a cesses pags
[lo HC S C Lo [lo HCS un
UN ap
licatio
CE stifi th
eo mi
co
eo ce C CE re p Lo
catioad m n/A catioad mona pagsmi
tl re PC HP h licatioir
qp nortee D qpntl eD li ao
ti sy
mi
re r, ata una pestaña
California s s
ua
norteun
ua
norteandr, un t yo Testamento
Antiguo ic th
co
] ry Flo
] r yF un ti nn rre norte
te es te s lo Plazaobursátil norteamericana
l mi norte s
o o -
n - ga re es sp
rs r; r r;
s le tu o
R Aleta
camioneta
se norte
mi re
pags re en
X o un ce segundo
gramo
o y
rtin
cial
quinto (o segundo
tu
gramo r pecado
Exp mi su
ap pagsmi ss
pags
mi pagso pags
norte licatiorts) thro
X re
itu ce
re ss (e
nortemi
s un Aleta
PAGSPAGS s) .A
mi ayro re un
rso segundo, h
X tu cialRnorte
nortell & pecado mi
norte "X
norte ce
mi ess "
l , mi en
pags
METRO PAGS es o th
ro
un En en rtin mi
impuesto
ag ve clu
gramo
lengüeta
X mi norte sio ,Exp le
metroa S
tu
mi ry pags norte o
norte pags comomi norte
t o norte
rted re th
En pagsitu mi
arto
ve re plataforma
stm h
pecado
quinto tid
mi ve
norte mi mi
t au nortenorte
re
a tifi
R
mi eso. ry mi
ve s
X METRO
th
norte un mi
(C tu
mi ag segundo
o tu
norte mi pecado
estaño UN Fixe metro
sse
mi mi
tu nortess
mi ts re t,
re
)
t mi
ciatioxam metro fSco
con
O O METRO
ap
racle racle S una D segundo
o pagspags
nortele en tu
ftw Automóvil club británico pecado pags
gt tip , en
e ab gramo
ess
son mamá th th gramo
icamente
es mi
mi fo
nordeste S metro PAGS
t UN ro
r
L ju
PAGS a cesses Aleta
[lo HCSC Lo [lo HCS un
UN Lo ap
eo ce ec eocec e C o re pags
stifi th
catioad mon al catioun n / Al pagsmi un
dmo re pags c HP licatioir
qpn te D qpn te D licatioaoh mi
una pestaña tsy
io ti s s cialA
uadr
norteun
, un
t tu un
nortear y F
dr, un t th
co
] r 'sl y F un
] un nn ic rre
te o te 'tan l - ganorteamericana
Plaza bursátil l mi norte
o o nortere
r r es sp
s r; s r;
le tu o pags
pags
R Aleta
camioneta
se norte
licatio
mi re
pags re en
o un ce segundo
gramo
o y
rtin
cial
quinto (o segundo
tu norte
gramo r pecado s
Exp mi su
ap pagsmi ss
pags
mi pagso pags
norte licatiorts) thro
re
itu ce
re ss (e
nortemi
s un Aleta
PAGSPAGS s) .A
mi ayro re un
rso segundo, h
tu cialRnorte
nortell & pecado mi
norte "X
norte ce
mi ess "
l , mi en
pags
METRO PAGS es o
ro th
un En en rtin
impuesto mi
ag ve clu
gramolengüeta
mi norte sio ,Exp
metroa S le
tu
mi ry pags norte o
norte pags mi
comonortenorte
t o
rted re th
En pagsitu
arto mi
ve re plataforma
X stm pecado
h
quinto
tid
mi ve
norte mi
mi
t au nortenorte
re
a tifi
R
mi eso. ry mi
ve s
METRO
norte th
un
tu mi
mi ag segundo
tu
mi pecado
UN Fixe metro
sse
X mi mi
nortess
ts re t,
Figura 3.5b Ejemplo de determinación del alcance para objetivos y actividades generales de control por computadora
nombre de empresa
Controles informáticos generales Objetivos y actividades para el año fiscal 20XX
seleccionados
# Área de TI Objetivo de control Actividad de control
1 Información ISO 1.00 - Soporte de operaciones ISO 1.01 - El procesamiento por lotes y / o en línea se define,
Sistemas de TI adecuado se ejecuta oportunamente y se monitorea para completar con
Operaciones programación, ejecución, éxito.
seguimiento y continuidad ISO 1.02 - Las excepciones identificadas en el
de sistemas, programas y procesos para procesamiento por lotes y / o en línea se revisan y corrigen
garantizar el procesamiento y registro a tiempo para garantizar
completos, precisos y válidos de las precisa, completa y autorizada
transacciones financieras. procesamiento de información financiera.
2 Información ISO 2.00 - El almacenamiento de ISO 2.02: se han implementado herramientas de copia de seguridad
Sistemas información financiera está automatizadas para administrar los planes y programas de retención
Operaciones gestionado adecuadamente, de datos.
precisa y completa. ISO 2.04: las pruebas de legibilidad de las copias de seguridad
se realizan periódicamente. Los resultados respaldan la
restauración oportuna y exitosa de los datos respaldados.
3 Información ISO 3.00 - El acceso físico se gestiona ISO 3.02 - El acceso físico está autorizado, monitoreado y
Sistemas adecuadamente para restringido a las personas que requieren dicho acceso para
Operaciones salvaguardar relevante realizar sus tareas laborales. Entrada de no autorizados
componentes de la
infraestructura de TI y el personal está supervisado y registrado. La
integridad de las finanzas administración de TI mantiene y revisa periódicamente el
información. registro.
4 Información ISEC 1.00 - Configuración de ISEC 1.02 - Las políticas y procedimientos formales definen los
Seguridad seguridad de objetivos de seguridad de la información de la organización y
aplicaciones, bases de datos, las responsabilidades de los empleados con respecto a la
redes, y operando protección y divulgación de los recursos de información. La
sistemas es adecuadamente gerencia monitorea el cumplimiento de las políticas y
logrado proteger contra cambios no procedimientos de seguridad, y
autorizados a
programas y datos que pueden acuerdo con estos se evidencia por el
resultar incompletos, firma de empleados.
inexacto o inválido ISEC 1.06: coherente con la información
procesamiento o registro de políticas y procedimientos de seguridad, locales y
información financiera. los usuarios remotos deben autenticarse
a aplicaciones, bases de datos, redes y
sistemas operativos a través de contraseñas para
mejorar la seguridad informática.
( Continuado)
Figura 3.5b ( Continuado) Ejemplo de determinación del alcance para actividades y objetivos generales de control por
computadora
nombre de empresa
seleccionados
5 Información ISEC 2.00 - Seguridad adecuada ISEC 2.02 - Los propietarios del sistema autorizan al usuario se implementa
Seguridad para proteger cuentas y la naturaleza y alcance de
contra no autorizado sus privilegios de acceso.
acceso y modificaciones de ISEC 2.04 - Usuarios que han cambiado roles o sistemas e
información, tareas dentro de la organización, o que tienen
que puede resultar en la han sido transferidos o rescindidos son
procesamiento o grabación de Inmediatamente informado a la seguridad
incompleto, inexacto o departamento de acceso a la cuenta de usuario
financiero inválido revisión para reflejar lo nuevo y / o

información. estado revisado.
ISEC 2.05: la transmisión de información confidencial está
encriptada de acuerdo con las políticas y procedimientos de
seguridad para proteger su confidencialidad.
6 Cambio CCM 1.00 - Cambios CCM 1.03 - La documentación relacionada con la

Controlar implementados en implementación del cambio es adecuada y completa.
administración aplicaciones, bases de datos,
redes, y operando CCM 1.05 - La documentación relacionada con la
sistemas (en conjunto implementación del cambio se ha publicado y comunicado a
referidos como "cambios del sistema") los usuarios del sistema.
son evaluados por riesgo, autorizados
y
documentado a fondo para
asegúrese de que los resultados deseados
sean los adecuados.
7 Cambio CCM 2.00 - Cambios CCM 2.01: los cambios del sistema se prueban antes
Controlar implementados en de la implementación en el
administración aplicaciones, bases de datos, entorno de producción coherente con los planes y casos
redes, y operando de prueba.
sistemas (en conjunto CCM 2.02 - planes de prueba y casos relacionados como "cambios de
sistema") son datos de prueba completos y representativos
debidamente probado. Pruebas (en lugar de datos de producción) están aprobados
son realizadas por un grupo que por propietarios de aplicaciones y desarrollo
no es el grupo administración.
responsable del sistema (por ejemplo,
sistemas operativos
se implementan los cambios
por alguien que no sea el
programador de sistemas, etc.).
( Continuado)
Figura 3.5b ( Continuado) Ejemplo de determinación del alcance para actividades y objetivos generales de control por
computadora
nombre de empresa
seleccionados
8 Cambio CCM 3.00 - Cambios CCM 3.01 - Problemas y errores

Controlar implementados en encontrados durante la prueba de cambios del sistema se
administración aplicaciones, bases de datos, identifican, corrigen, vuelven a probar, se les da seguimiento
redes, y operando para su corrección y
sistemas (en conjunto documentado.
referido como "sistema
cambios ") son los adecuados
logrado reducir
interrupciones, no autorizado
alteraciones y errores
que afectan la precisión, integridad
y validez
procesamiento y grabación
de información financiera.
9 Cambio CCM 4.00 - Cambios CCM 4.04: la administración realiza una revisión general
Controlar implementados en después de que los cambios del sistema se hayan
administración aplicaciones, bases de datos, implementado en vivo o
redes, y operando entorno de producción para determinar si se
sistemas (en conjunto cumplieron los objetivos para implementar cambios
denominados "cambios de en el sistema.
sistema") son formalmente
aprobado para apoyar
precisa, completa y
procesamiento válido y
registro de finanzas
información.
los gerentes suelen participar como parte de grandes auditorías) que supervisan el trabajo de auditoría preparado por el personal y
revisado por el superior. Los gerentes realizan revisiones detalladas de los papeles de trabajo y se aseguran de que se hayan alcanzado
los objetivos de auditoría. Los gerentes se reúnen frecuentemente con los clientes de auditoría y les proporcionan el estado de la
auditoría, los hallazgos preliminares identificados, las horas incurridas y las que quedan por terminar, etc. Los gerentes también brindan
el estado frecuente del trabajo de auditoría al PPD asignado, al que informan directamente. Por último, el PPD realiza una revisión de
alto nivel del trabajo (según lo provisto por los gerentes), enfocándose en áreas de alto riesgo, controles implementados que no están
diseñados adecuadamente ni operan de manera efectiva, hallazgos identificados y su impacto en la auditoría general. , etc. Los PPD
tienden a depender de revisiones detalladas realizadas por gerentes o altos directivos,
Los plazos son un componente crítico de un plan de auditoría. Deben ser revisados y acordados con la organización cliente
desde el inicio de la auditoría para que cumplan con los requisitos establecidos por terceros (por ejemplo, bancos, instituciones
financieras, etc.) y reguladores (por ejemplo, gobierno,
organizaciones privadas, etc.). Los plazos deben estar bien pensados teniendo en cuenta la información y los recursos que
deben estar disponibles para realizar el trabajo de auditoría dentro de los requisitos establecidos.
Un memorando de planificación de auditoría (“memorando de planificación”) es parte de los papeles de trabajo del auditor y
documenta las secciones que se acaban de describir. El memo de planificación generalmente lo prepara el jefe de auditoría y el
gerente lo revisa antes de enviarlo al PPD para su aprobación. El Apéndice 1 muestra el formato de un memorando de planificación
de TI típico, incluidos los procedimientos que puede realizar un auditor de TI en relación con un trabajo de auditoría. El memorando
de planificación puede adaptarse a los hechos y circunstancias específicos del trabajo de auditoría. Esto incluye eliminar secciones
que no son aplicables. El memorando en el Apéndice 1 incluye algunas palabras en cursiva que se incluyen entre corchetes o
paréntesis. Este formato se utiliza para indicar la información que se reemplazará según corresponda, o para guiar la finalización
del memo.
Proceso de auditoría
La Declaración sobre Normas de Auditoría (SAS No. 1) tiene el efecto de imponer un enfoque uniforme y orientado al proceso para los trabajos de
auditoría. El enfoque descrito es una verdadera técnica de proceso. Es decir, las auditorías siguen una serie de pasos lógicos y ordenados, cada
uno diseñado para lograr resultados finales específicos. Este también es el caso de una auditoría de TI. La diferencia en una auditoría de TI es el
enfoque especializado del trabajo de auditoría y las habilidades necesarias para comprender la tecnología y el entorno de control de TI. Las fases
de las actividades de auditoría suelen superponerse e implican una reevaluación y un seguimiento de los procedimientos realizados anteriormente.
Las fases comunes de un trabajo de auditoría se muestran en el Cuadro 3.6. Las dos primeras fases, Evaluación de riesgos y Plan de auditoría, se
han explicado anteriormente. A continuación se ofrecen explicaciones de las fases restantes relacionadas con una auditoría de TI.
Revisión preliminar
En esta fase, el auditor debe obtener y revisar información a nivel de resumen y evaluarla en relación con los objetivos de
la auditoría. El propósito de la fase de revisión preliminar de un trabajo de auditoría de TI es obtener una comprensión del
entorno de TI, incluidos los controles establecidos
1. Evaluación de riesgos
8. Comunicación 2. Plan de auditoría
7. Documento 3. Preliminar
resultados revisión
6. Sustantivo 4. Auditoría de diseño
pruebas procedimientos
5. Controles de prueba
Figura 3.6 Fases de una auditoría.

que son esenciales para cumplir con los objetivos generales de auditoría. El auditor de TI realiza esta revisión preliminar a nivel general,
sin examinar los detalles de las aplicaciones individuales y los procesos involucrados. En cambio, el auditor de TI entrevista al personal
clave para determinar las políticas y prácticas, y prepara información de auditoría complementaria según sea necesario. La información
de revisión preliminar sirve como base para respaldar la información incluida en el plan de auditoría de TI.
Información general sobre el entorno de TI
Como se discutió anteriormente, TI se define como el hardware, software, comunicación y otras instalaciones utilizadas para ingresar,
almacenar, procesar, transmitir y generar datos en cualquier forma. El entorno de TI se refiere a las políticas, procedimientos y
prácticas implementadas por las organizaciones para programar, probar, entregar, monitorear, controlar y respaldar su infraestructura
de TI (por ejemplo, hardware, software, redes, etc.). El entorno de TI también incluye las aplicaciones y programas que utilizan las
organizaciones para respaldar las operaciones comerciales críticas (es decir, operaciones financieras) y lograr estrategias
comerciales.
El auditor de TI comienza el proceso de examen familiarizándose, en general, con la empresa, su línea de negocio y el entorno
de TI, incluidos sus sistemas de aplicación financiera. Por lo general, un auditor de TI recorrería las instalaciones de la empresa
cliente y observaría las operaciones comerciales generales que influyen en el servicio al cliente, así como en las funciones
estrictamente financieras.
Dada esta familiaridad, el siguiente nivel de recopilación de datos generales incluiría la preparación de organigramas,
particularmente aquellos para las funciones de contabilidad y TI. Si los organigramas no están disponibles, el auditor de TI debe
desarrollarlos. Una vez dibujados, los gráficos deben revisarse y verificarse con el personal apropiado (es decir, ejecutivos clave
en las áreas de contabilidad y TI) para asegurar un acuerdo de que representan la estructura real de la organización. Durante
estas entrevistas, el auditor de TI también obtendría copias del plan de cuentas de la empresa y un manual de normas
contables, si estuviera disponible.
Los auditores de TI deben obtener un conocimiento profundo del entorno de TI, en particular cómo responde la organización a
los riesgos que surgen de TI, y si los controles de TI implementados se han diseñado adecuadamente y funcionan de manera
efectiva para abordar esos riesgos. Desde un punto de vista financiero, el conocimiento sobre el entorno de TI es crucial para los
auditores de TI a fin de comprender cómo se inician, autorizan, registran, procesan e informan las transacciones financieras en los
Para los sistemas de aplicación en los que la organización usa computadoras para procesar datos financieros importantes, el auditor
de TI recopilaría una serie de elementos específicos de evidencia, tales como:
• Políticas y procedimientos que implementa la organización y la infraestructura de TI y

software de aplicación que utiliza para respaldar las operaciones comerciales y lograr estrategias comerciales.
• Las narrativas o diagramas de flujo de descripción general de las aplicaciones financieras, incluidos los nombres de servidor, hacen
y modelo, sistemas operativos de apoyo, bases de datos y ubicaciones físicas, entre otros.
• Si las aplicaciones financieras se desarrollan internamente, se compran con poca o ninguna clientela
personalización, comprado con personalización significativa o propiedad proporcionada por una organización de servicios.
• Si las organizaciones de servicios albergan aplicaciones financieras y, de ser así, ¿cuáles son estas aplicaciones?
ciones y los servicios relevantes que realizan.

• Controles implementados que apoyan el área de operaciones de sistemas de información, como los
portando programación de trabajos, datos y restauración, copias de seguridad y almacenamiento externo.
• Controles implementados que respaldan el área de seguridad de la información, como los que respaldan
técnicas de autenticación (es decir, contraseñas), nuevos procedimientos de acceso o terminación, uso de firewalls y
cómo se configuran, seguridad física, etc.
• Controles implementados que apoyan el área de gestión de control de cambios, como los
portando la implementación de cambios en aplicaciones, sistemas operativos y bases de datos; probar si el acceso de los
programadores es adecuado; etc.
Los métodos aplicados para recopilar estos datos incluyen la revisión de sistemas de información de computadoras y prácticas, procedimientos,
documentos, narrativas, diagramas de flujo y diseños de registros de la interfaz humana. Otros procedimientos de auditoría implementados para
recopilar datos incluyen: observación, entrevistas, inspección de documentación existente y diagrama de flujo, entre otros. Las técnicas de
inspección física se utilizan tanto para recopilar datos como para validar documentos existentes o representaciones realizadas durante las
entrevistas. Por ejemplo, una sola visita a la computadora / centro de datos puede brindar oportunidades de recopilación y validación de datos
para determinar configuraciones de equipos, procedimientos de biblioteca, procedimientos operativos, controles de seguridad física, controles
ambientales existentes y otros procedimientos de control de datos.
Muchos de estos procedimientos son sustancialmente los mismos independientemente de si el sistema de contabilidad está
computarizado o no. Las diferencias asociadas con la auditoría de sistemas computarizados se centran en cambios en los controles, la
documentación, las técnicas de auditoría y las calificaciones técnicas requeridas por los miembros del personal de auditoría. El
Apéndice 2 muestra un ejemplo de los tipos de preguntas e información que se deben documentar al obtener una comprensión de un
entorno de TI.
Procedimientos de auditoría de diseño
En esta fase, el auditor de TI debe preparar un programa de auditoría para las áreas que se auditan, seleccionar los objetivos de control
aplicables a cada área e identificar los procedimientos o actividades para evaluar dichos objetivos. Un programa de auditoría se diferencia de un
cuestionario de control interno (ICQ) en que un ICQ implica preguntas para evaluar el diseño del sistema de control interno. En particular, los
ICQ comprueban si se implementan controles para detectar, prevenir o corregir una errores materiales. Los controles que no se encuentran en
su lugar representarían una desviación o deficiencia en la estructura de control interno. Un programa de auditoría, por otro lado, contiene
procedimientos específicos para probar las respuestas recibidas de las preguntas formuladas, lo que demuestra que los controles identificados
están en su lugar y funcionan según lo esperado por la gerencia.
Un programa de auditoría es un plan formal para revisar y probar cada área importante de auditoría revelada durante la recopilación de
datos. El auditor debe seleccionar áreas temáticas para las pruebas que tengan un impacto significativo en el control de la aplicación y
aquellas que estén dentro del alcance definido por los objetivos de auditoría. Las áreas de auditoría de TI son muy específicas para el tipo de
auditoría. Para TI, COBIT es un excelente punto de partida, ya que enumera riesgos, objetivos y controles clave por área de auditoría de TI.
Luego, esta información debe adaptarse a los objetivos, los procesos y la tecnología de la organización en particular. El Apéndice 3 ilustra
ejemplos de programas de auditoría de TI para las áreas generales de control de TI.
Identificación de aplicaciones financieras
Con la ayuda de la administración, el auditor de TI debe decidir qué sistemas de aplicación deberán examinarse a un nivel más
detallado (es decir, determinación del alcance). Como base para la preparación del plan de auditoría, el auditor de TI también debe
determinar, en general, cuánto tiempo se requerirá, qué tipo de personas y habilidades se necesitarán para realizar el examen; y,
aproximadamente, cuál será el horario.
La identificación de aplicaciones financieras se puede lograr con el auditor familiarizándose con los
procedimientos y procesos contables de la organización. La importancia de
La determinación de las aplicaciones financieras significativas debe derivarse de un análisis preliminar. La evaluación de la
sofisticación de la aplicación, su complejidad, el proceso de negocio que soporta y el grado de uso son factores que entran en
juego para decidir si seleccionar dicha aplicación y cómo se puede evaluar. Como se mencionó anteriormente, la fase de revisión
preliminar es un paso crítico en el proceso de auditoría que examina los sistemas financieros de una organización y proporciona
al auditor una base para seleccionar áreas de auditoría para un análisis y evaluación más detallados, ya sean manuales o
computarizados.
Los auditores involucrados en la revisión de aplicaciones financieras deben enfocar sus preocupaciones en los aspectos de control de la
aplicación. Esto requiere su participación desde el momento en que se inicia una transacción hasta que se registra en el libro mayor de la
organización. Específicamente, los auditores deben asegurarse de que se tomen disposiciones para:
• Una pista de auditoría adecuada para que las transacciones se puedan rastrear hacia adelante y hacia atrás
la aplicación financiera
• La documentación y la existencia de controles sobre la contabilidad de todos los datos (por ejemplo, transacciones
ciones, etc.) ingresados en la aplicación y controles para garantizar la integridad de esas transacciones en todo el
segmento informatizado de la aplicación
• Manejo de excepciones y rechazos de la aplicación financiera
• Pruebas unitarias e integradas, con controles establecidos para determinar si las aplicaciones
realizar como se indica
• Controla los cambios en la aplicación para determinar si la autorización adecuada ha

sido dado y documentado
• Procedimientos de autorización para anulaciones del sistema de solicitud y documentación de
esos procesos
• Determinar si se cumplen las políticas y procedimientos de la organización y el gobierno
en la implementación del sistema
• Capacitar al personal usuario en el funcionamiento de la aplicación financiera

• Desarrollar criterios de evaluación detallados para que sea posible determinar si la implementación
La aplicación mentada ha cumplido con especificaciones predeterminadas.
• Controles adecuados entre sistemas de aplicación interconectados

• Procedimientos de seguridad adecuados para proteger los datos del usuario
• Procedimientos de respaldo y recuperación para el funcionamiento de la aplicación y garantía de

continuidad del negocio
• Asegurar que la tecnología proporcionada por diferentes proveedores (es decir, plataformas operativas) sea un compromiso
patible y controlado
• Bases de datos adecuadamente diseñadas y controladas para asegurar que las definiciones comunes de datos sean
utilizado en toda la organización, la redundancia se elimina o se controla, y los datos existentes en varias bases de datos se
actualizan al mismo tiempo
Esta lista afirma que el auditor de TI se preocupa principalmente por los controles adecuados para salvaguardar los activos de la organización.
Controles de prueba
El auditor de TI ejecuta varios procedimientos para probar controles, procesos y exposiciones aparentes. Estos procedimientos
de auditoría pueden incluir el examen de evidencia documental, así como la realización de entrevistas, inspecciones y
observaciones personales de corroboración.
La evidencia documental puede consistir en una variedad de formas de documentación sobre el sistema de solicitud bajo revisión.
Los ejemplos incluyen notas de reuniones sobre el sistema en cuestión, notas del programador, documentación de sistemas, capturas de
pantalla, manuales de usuario y documentación de control de cambios de cualquier sistema o cambios de operación desde el inicio, y una
copia del contrato si hay terceros involucrados. El examen de dicha evidencia documental puede requerir que el auditor de TI haga
preguntas al usuario, desarrollador y gerentes para ayudarlo a establecer los criterios de prueba apropiados que se utilizarán. También
ayuda a identificar la aplicación y los procesos críticos que se van a probar.
Las entrevistas de corroboración también son parte del proceso de prueba y pueden incluir procedimientos como:
• Hacer la misma pregunta a diferentes empleados y comparar sus respuestas.

• Hacer la misma pregunta de diferentes maneras en diferentes momentos
• Comparar respuestas con documentación de respaldo, documentos de trabajo, programas, exámenes u otros
resultados verificables
• Comparación de respuestas a observaciones y resultados reales del sistema
Un ejemplo implicaría entrevistar a un programador para una aplicación que se está revisando. El programador afirma que la
aplicación ha sufrido cambios recientes que no se reflejan en la documentación actual. Es muy importante identificar cuáles
fueron esos cambios si esas áreas de la aplicación fueran seleccionadas para las pruebas de control.
Para la inspección de la documentación, el auditor de TI puede obtener la configuración lógica (es decir, contraseñas) configurada
actualmente en la red de la organización, el sistema operativo y los niveles de aplicación financiera. Es de particular importancia obtener
y evaluar la configuración lógica de la red, ya que este es el primer nivel de autenticación antes de que los usuarios puedan acceder a las
aplicaciones financieras. Las configuraciones recibidas luego se comparan con la política de contraseñas de la organización para
determinar si cumplen o no con dichas políticas. En ausencia de una política de contraseñas, los parámetros lógicos de la organización
configurados se comparan con los estándares de la industria o las mejores prácticas. La documentación que respalda las configuraciones
anteriores generalmente se obtiene primero entrevistando al personal de seguridad de la información.
Otro procedimiento de auditoría común para probar y validar la información sería observar los procedimientos reales que tienen lugar. En el
ejemplo anterior, el auditor de TI observaría la configuración configurada en la aplicación financiera y solicitaría al personal de la organización que
imprima una captura de pantalla para la documentación en los papeles de trabajo de auditoría. El Cuadro 3.7a muestra un ejemplo de
documentación común obtenida que respalda los ajustes de contraseña configurados. En este caso, configuraciones como el historial de
contraseñas forzadas, la antigüedad mínima (o máxima) de la contraseña, la longitud mínima de la contraseña, la complejidad de la contraseña, la
duración y el umbral del bloqueo de la cuenta, y si las contraseñas se han almacenado mediante cifrado reversible son algunas de las
configuraciones que normalmente se recopilan. . Un documento de trabajo de un auditor de TI que documente las pruebas de algunas de estas
configuraciones se vería como el de la Figura 3.7b. Observe en la tabla las configuraciones reales de contraseña configuradas documentadas en la
red (o el primer nivel de autenticación), el sistema operativo y los niveles de aplicaciones financieras. También observe las notas y marcas de
verificación (explicaciones) sobre la información contenida y, lo que es más importante, la evaluación de si la configuración de la contraseña del
cliente cumple con la política de la empresa existente o con los estándares y mejores prácticas de la industria. Cuando la configuración no cumple
con la política o los estándares de la industria o las mejores prácticas, las excepciones de auditoría (hallazgos) se escriben y se enumeran en un
documento de trabajo separado. Este documento de trabajo eventualmente ayudará a redactar la sección de hallazgos / deficiencias del También
observe las notas y marcas de verificación (explicaciones) sobre la información contenida y, lo que es más importante, la evaluación de si la
configuración de la contraseña del cliente cumple con la política de la empresa existente o con los estándares y mejores prácticas de la industria.
Cuando la configuración no cumple con la política o los estándares de la industria o las mejores prácticas, las excepciones de auditoría (hallazgos)
se escriben y se enumeran en un documento de trabajo separado. Este documento de trabajo eventualmente ayudará a redactar la sección de
hallazgos / deficiencias del También observe las notas y marcas de verificación (explicaciones) sobre la información contenida y, lo que es más
importante, la evaluación de si la configuración de la contraseña del cliente cumple con la política de la empresa existente o con los estándares y mejores prácticas de la
Figura 3.7a Ejemplo de evidencia que respalda la configuración de seguridad lógica (contraseña) implementada actualmente.
observaciones, el auditor puede evaluar y determinar si el personal está siguiendo los procedimientos y planes operativos y si está
adecuadamente preparado para el desastre simulado.
Pruebas sustantivas
Cuando se determine que los controles no son efectivos, es posible que se requieran pruebas sustantivas para determinar si existe un
problema material con la información financiera resultante. En una auditoría de TI, las pruebas sustantivas se utilizan para determinar la
precisión y la integridad de la información que genera un proceso o aplicación. Al contrario de las pruebas de cumplimiento, donde el
objetivo del auditor es confirmar si la organización se está adhiriendo a las políticas, procedimientos, reglas y regulaciones aplicables. Un
ejemplo de un procedimiento de prueba de cumplimiento sería verificar que un cambio o actualización en una aplicación financiera se
haya probado, aprobado y documentado adecuadamente antes de su implementación.
Figura 3.7b Ejemplo de soporte de una prueba de configuración de seguridad lógica
Configuración lógica
Red /
Sistema / Hacer cumplir Mínimo Mínimo
Financiero Contraseña Contraseña Contraseña Contraseña Cuenta
# Solicitud Historia Años Longitud Complejidad Bloqueo
Según la política de la empresa 5 contraseñas 90 dias 6 caracteres Habilitado 3 inválido

[ hoja de trabajo recordado iniciar sesión
(w / p) ##] { 1} intentos
Pruebas reales realizadas
Área local 0 contraseñas 0 días 4 caracteres Discapacitado 0 inválido

Red recordado {un} {un} {un} iniciar sesión
(LAN) / {un} intentos

Ventanas {un}
1 Financiero {segundo} {segundo} {segundo} {segundo} {segundo}
Aplicación X
2 Financiero Opción no 90 dias 6 caracteres Habilitado 3 inválido

Aplicación Y disponible-- {C} {C} {C} iniciar sesión
Solicitud intentos
limitación {C}
{re}
Nota: Los valores de contraseña anteriores se obtuvieron mediante observación y con la ayuda
de [ nombre del administrador de seguridad de la información].
Marcas de graduación (explicaciones):
{1} –– Configuración de contraseña obtenida de la política de la empresa. Una copia de la política de la empresa que respalda estas configuraciones está
documentada en w / p [##].
{un} –– La configuración de Forzar historial de contraseñas, Antigüedad mínima de contraseña, Longitud mínima de contraseña, Complejidad
de contraseña y Bloqueo de cuenta son no configurados de acuerdo con la política de la empresa y, por lo tanto, no promueven un
nivel aceptable de seguridad. El valor configurado para la complejidad de la contraseña también se ha establecido en "Desactivado".
Los requisitos de complejidad de la contraseña establecen parámetros mínimos de contraseña que no se comprometen fácilmente y
que los usuarios deben seguir para establecer sus contraseñas, particularmente a nivel de LAN / Windows, que sirve como la
primera capa de autenticación . Se señalaron excepciones. Consulte tow / p [##], donde se enumeran estas excepciones.
{segundo} –– La configuración de seguridad de la contraseña se controla a través del sistema operativo Windows. Por lo tanto,
la configuración de la contraseña de LAN / Windows cubre esta aplicación. Consulte la fila LAN / Windows anterior.
{C} –– La configuración de seguridad de la contraseña, como la antigüedad mínima de la contraseña, la longitud mínima de la contraseña, la complejidad
de la contraseña y el bloqueo de la cuenta, se han configurado de acuerdo con la política de la empresa, lo que promueve un nivel adecuado de
seguridad. No se observaron excepciones.
{re} ––Las limitaciones de la funcionalidad de la aplicación no permiten la aplicación del historial de contraseñas. Se señalaron excepciones.
Consulte w / p [##], donde se ha incluido esta excepción.
Las pruebas de auditoría sustantivas se diseñan y realizan para verificar la precisión funcional, la eficiencia y el control del sujeto de la
auditoría. Durante la auditoría de una aplicación financiera, por ejemplo, el auditor de TI construiría y procesaría datos de prueba para
verificar los pasos de procesamiento de dicha aplicación.
Auditoría a través de la computadora es un término que implica pasos adicionales a los mencionados anteriormente. Los programas
se ejecutan en la computadora para probar y autenticar los programas de aplicación que se ejecutan en el procesamiento normal. Por lo
general, el equipo de auditoría financiera seleccionará uno de los muchos paquetes de software de auditoría generalizada, como SAS,
SPSS, técnicas de auditoría asistidas por computadora (CAAT) o CA-Easytrieve (T), y determinará qué cambios son necesarios para
ejecutar el software en el instalación. Los auditores financieros utilizan este software específico para realizar muestreos, extracción de
datos, informes de excepciones, resúmenes y totales de pie, y otras tareas. También utilizan paquetes como Microsoft Access, Excel, IDEA
o ACL debido a sus análisis en profundidad y capacidades de generación de informes.
Los CAAT, por ejemplo, utilizan especificaciones proporcionadas por el auditor para generar un programa que realiza funciones de auditoría,
como evaluar controles de aplicación, seleccionar y analizar datos computarizados para pruebas de auditoría sustantivas, etc. En esencia, los
CAAT automatizan y simplifican el proceso de auditoría, y esto Es por eso que los equipos de auditoría (externos e internos) los utilizan cada vez
más. De hecho, muchas organizaciones ya tienen instalado un Software de Auditoría Generalizada para sus auditores internos que les permite
recopilar información y realizar las pruebas de auditoría planificadas. La selección adecuada y el uso eficaz de estas herramientas de auditoría
son esenciales no solo para realizar las pruebas de auditoría adecuadas, sino también para documentar los resultados.
Resultados del documento
La siguiente fase de una auditoría implica documentar los resultados del trabajo realizado, así como informar sobre los hallazgos. Los resultados
de la auditoría deben incluir una descripción de los hallazgos, conclusiones y recomendaciones de la auditoría.
Resultados de la auditoría
Los términos hallazgo, excepción, deficiencia, desviación, problema y emisión son básicamente sinónimos en el mundo de la auditoría
y significan que el auditor identificó una situación en la que los controles, procedimientos o eficiencias pueden mejorarse. Los
hallazgos identifican y describen sujetos de auditoría inexactos, ineficientes o controlados de manera inadecuada. Un ejemplo de un
hallazgo de auditoría de TI sería un cambio implementado en una aplicación financiera que no incluye la autorización de
administración adecuada. Otro ejemplo incluiría que el auditor de TI descubra que el manual de procedimientos de la organización no
requiere el permiso de la gerencia antes de implementar cambios en las aplicaciones.
Los hallazgos de la auditoría deben documentarse individualmente y deben incluir al menos lo siguiente:
• Nombre del entorno de TI (sistema operativo que aloja las aplicaciones financieras relevantes)
evaluado
• Área de TI afectada (operaciones de SI, seguridad de la información, gestión de control de cambios)
• Referencia de prueba de papel de trabajo donde se identificó el hallazgo

• Objetivo (s) de control general y actividad (es) que fallaron
• Breve descripción del hallazgo
• ¿Dónde se comunica formalmente el hallazgo a la gerencia (esto debe hacer referencia al
Carta de gestión dentro del Informe de auditor)
• La clasificación individual del hallazgo según la norma de auditoría AU 325, Comunicaciones

Acerca de las deficiencias de control en una auditoría de estados financieros, como una deficiencia, una deficiencia significativa o una
debilidad material *
• Evaluación del hallazgo, específicamente si se identificó a nivel de diseño (es decir, no

no existe un control general) o en el nivel operativo (es decir, el control general estaba en su lugar, pero no se probó de manera
efectiva)
• Si el hallazgo representa o no un riesgo a nivel de entidad
• Si el hallazgo puede mitigarse mediante otros controles generales compensatorios y, de ser así,
incluir una referencia a dónde se han probado estos controles con éxito
Se puede utilizar un formulario de hallazgos de auditoría (por ejemplo, Formulario de hallazgos de controles informáticos generales, etc.) para
revisar los problemas de control identificados con el gerente de TI responsable a fin de acordar la acción correctiva. Luego, esta información
se puede utilizar para preparar la Carta de gestión formal que acompañará al Informe de auditoría y los seguimientos de las acciones
correctivas. Tomar medidas correctivas podría resultar en una mayor productividad; la disuasión del fraude; o la prevención de pérdidas
monetarias, lesiones personales o daños ambientales. El Cuadro 3.8 muestra un ejemplo de una hoja de trabajo que puede usarse para
resumir los hallazgos individuales identificados durante una auditoría de TI.
Conclusiones y Recomendaciones
Las conclusiones son opiniones del auditor, basadas en evidencia documentada, que determinan si un área temática de auditoría cumple con el
objetivo de auditoría. Todas las conclusiones deben basarse en datos fácticos obtenidos y documentados por el auditor como resultado de la
actividad de auditoría. El grado en que las conclusiones están respaldadas por la evidencia es una función de la cantidad de evidencia obtenida
por el auditor. Las conclusiones están documentadas en los papeles de trabajo de la auditoría y deben respaldar los procedimientos de auditoría
realizados. Los papeles de trabajo son la colección formal de escritos, documentos, diagramas de flujo, correspondencia, resultados de
observaciones, planes y resultados de pruebas pertinentes, el plan de auditoría, actas de reuniones, registros computarizados, archivos de
datos o resultados de aplicaciones y evaluaciones que documenten la actividad del auditor durante todo el período de auditoría. Un completo,
bien organizado, Un conjunto de documentos de trabajo legibles y con referencias cruzadas es esencial para respaldar los hallazgos,
conclusiones y recomendaciones que se indican en el Informe de auditoría. Por lo general, se archiva una copia del informe de auditoría final en
los papeles de trabajo.
Las recomendaciones son declaraciones formales que describen un curso de acción que debe ser implementado por la administración
de la empresa para restaurar o proporcionar precisión, eficiencia o control adecuado de los sujetos de auditoría. El auditor debe
proporcionar una recomendación para cada hallazgo de auditoría para que el informe sea útil para la administración.
Comunicación
El valor de una auditoría depende, en gran parte, de la eficiencia y eficacia con que se comunican sus resultados. Al final de las pruebas
de auditoría, es mejor discutir los hallazgos identificados con la gerencia de TI para obtener su acuerdo y comenzar cualquier acción
correctiva necesaria. Los hallazgos, los riesgos como resultado de esos hallazgos y las recomendaciones de auditoría generalmente se
documentan en la Carta de administración (en una sección separada del Informe de auditoría). Consulte el Anexo 3.9 para ver un
ejemplo del formato de una Carta de administración de una auditoría de TI.
*
http://pcaobus.org/Standards/Auditing/Pages/AU325.aspx.
ES o
S t un re naud
yo tr tot ch w cu
un C ver en im te ahra él Fa
tu jefe
re Florida mi cf metroregaña un o C metro
/ oere rp auomr apostar A ile
s.
rcd te
ss a rrr yo en fe hns h2
gramo en
t mi a .0 discos compactos
re th rrc ecm ity eda ra
rv iz w re v 4 tiv C tatio
a voe d ia t
te e eea eso UE es o
vi e norte a re db ti h r
eres tu yn
se n nortet ly , eo en o
Arkansas le se
yo
ot fo o en tro norte
t
Delaware
w h mi rn, t Oh s
norte
r mi
rs
l o
reo quinto
r
p su fwne M [ fi r te th bpw accoR f W mi

mi r om te t se ue eoe
segundo
GRAMO
o norte mim rm a rie
rpo es
semht tr
pemr un s sr como sr
o yo s lo di mi norte un no otn M [W F
en
n rv tne o C iiti naeenou
Nueva Hampshire ueo
norteyn , n en v norterrt a/P MCD eralC
NIH es mi te mi snt cme re norte o
e tan es decir o ee Ira l d te usert ese una R ame s
lr ev re , s en t h gen
. s ti amc Rhode Island
omem 'nortemonte fi eo F ap adcerawc se dl se (un
ys iel H t yo atth
mi
m fer gramo
rp pagstma
eup o
ee ca mr
segundo iv t iv e c R o metro
Hl d rm t p fi li ) n eemnt ic io
R ou y yo lv C epc. unél yo lo o c W in d te ff mi
nn C norte pags
es ntinoe No ti te mi
tu
tei ia ea o
norte
yuesbdor norte n
Le # teo en
o
'se s l ti oeo
y
te nae yo paratmo F
ter
yo y de mi tu norte h ets lv t toid nt F
T s t mi T te uuc te f
no lo hagas norte ooe yo norte
rw o H ifi o en C
un
rwe F
un F
stin e
r] ES
re o
y s
metro en sm en en norte
s como ix mi No tro
]. e tere grai No norte gramo
lFin
o un fu pagsen mc sobredosis
gramo mpw re DO C
norte mi ao Educaciónooed
físicafi ae repetir muchacha
norterfo th nn e fi vfne mi re
anuncio
/ o ctio ra c e th o fiuca
n te var fi r re sobredosis en
tim r comer rn ogin rekec a mi pags
rm ng ro Corbata ella yo n / AC I a nns yo
yo fi ee ifi gs
l yo
en
C norte un
oe Maryland norteC nordeste es snnn C r fi C C
s, a en rm eo m, eee
ostcg un un Carné de identidad
le
y ro y cc a cl ys W ie t
iinordeste
gramo o ). eh un mit ay D n ti
b re fS sa señor Delaware en en
t
C.Asoy repagsh la n t se el yo (yo. rge sd (yo. em C.A gco
hermana es v mi estafa era te
t
lver metroae t. , ao fi Kentucky), Entonces
yn ti
r oro
yo mi o t ce wte ci No
p., d ti mi carné
F
auet mi l mt il re s nordeste gramode F identidad ed
yo w th nn
s sr
se srmse al p lo X y, ngramo t en C s M nei
ta n sig o bajo estaño yo
s t
h
t decir ots) n eal norten
es ia
olty . comió
finoiges
d
tt yo
mi fi ha s. t re
cni
e, norte
Maryland mi fy C ttmi mi T sc t
rial un
norte
mi gramo
un vh
norteee en o ponche
e te re mi tr como
nordeste s, t
tio re tr
aquí
tc
S t, norte e ct un
[ (Si GRAMO
fi yo (un cL Aleta
nd co m te o es mi C
Delaware tdnt t th o norteo re
inm
nortetiitps ig e , mi m B en
su ro L r
g fi ead le iapyg
(C ]. mi
Nuevoe)Testamento s stC lC e O
dsotun h cc yo G norte
METRO
o atcan Delaware o
te r o norteS t
norte norte
se mi un golpe
estaño sfu nordeste nortetro tei gramo
th tr
ifi al tro
yo comió
nr
tu mi lly
mi mi ll. sg re
re re )?
)
ap o r wdoayrp pa es pags
re PD ri c CEC Fa pags
ahe se
pags
rr visto tw Leiov e ri il o o
oe o th rm e w A ile rtin
pm un r ic metro re eu 2n .03 discos compactos
ab rnmi tiv C
ria en es ati se ic g
sa - gramo
le teh to oadaet nortenortelicenciado en Derecho
te
dylac Uyrc io yt n re
. un mi eesse tro o
Nueva York
da sr cu
/ re l
metro
W en
ap fo segundo
ESOre segundo
tu mi tatio
pagsr
rie
pagsrivalizar
licatioth
pecado norte [
mi o MW F
mi mi rso w te a / P MCD norte
re ss / ap s norte o
nortew
re
una R ame s o
nortele nortemi norte gen quinto
s camioneta mi re o e fe estoy cri
pagslan mrg
en lica fo eup mi
pags
tfi del Sur mi rm nn
eemnt GRAMO
Carolina
ti
re r
tc e ci io norte en
en o /o fo alacce L en en
pagsun norter rm mi fFin eralC
mi tte#oteo carné
n a de identidad
. C o
ial w mi
rf
re ] ESO re
norte ss en
mi segundo
y
o
rs gramo metro
pags
S tu
a.m C ter
lassifi
mi re sobredosis C
como mi pags o
fi ee norte
C r fi catio
ab C.A tro
W ie ti yo
o norte
nordeste
ve en lFin
C.A gramo norte
. Kentucky), yC o
No DAKOTAfFin DEL SUR
mi re
sr en
s M ig nordeste
comióes
fi ig re gs
o en
norte
puede
rial Carné de identidad
gramo
tr como en
un ti
ed
[L (Si GRAMO
fi co monte (un C Aleta
norte oi eC
re metrots
es decir
ig te re
n st o norte
en pags tr t , eo yo
mi anuncio su Oh L rm B d
(C
gramo te) le es apyn
le O g
]. saciar
norte cce s
tC C METRO
o o th yo G
Delaware
r atcan en S t
norte ssfu en o
estaño nordeste
tr nnah t este ig
tro ro en ra
th
tu
ifi al te
mi lly l
mi mi l. sg re
re re )?
)
fo pa co e bp (coa pagsP ES pags
rm sa nre nnp ra eoofc ro como E Fa pags
s lyo ns ce o
s fi fo c tt metros C
awa en ic se w1 A ile rtin
t. os dri o .0 discos compactos
ecc de es cp
tartamudear rd 7 tiv C
rt
d ro n en e ua eraoib te gramo
nortees gs) st nny le t s- es o re
gramo
Alabama segundo
y ry dt/Ay le metro yn
eso tro o
y v tu cu
r eso h mi
ls
St l
metro
en
se np co ac id leeal mi [E
Fv segundo tatio
arrullo ve vu estañoCmi rie
utl mce et . norte
rp ponr llo ,lh e] un t M [W
es ic
F
ro y , ad ti th n re un /PAGS MCD norte
y na fi gramo qCh norte o
. soy un yne icalsee ti C un tu un R ame s o
'scd
sobredosis r
mi au yo ir logramo gen quinto
te m lo w ew mi UN h mi fe soy cr
h w te s pags un mrg ui pags
o ay ca it i ea mi mi t mi
pags cu re tt u pags ic C enmn ic io GRAMO
tl h ch mi norte
t
im eahw
hpt hs
ridadap er un
l C
mi tLe ce ean en
s t ssio t
n te o
al rs mi
pn # eralC
ese re tte o es nt Fdf
fo w se le to norte o
yo
nortettin Connecticut ajuste o en
ro aw fi 1 r]
e rd o ti o, 2
re
en
estaño ors o
gramo norte kt, gramo metro
s -
pags
S tu
a.m C ter
l
mi re O D como C
mi pags s
como
fi ee ifi o
C r fi norte
ab acc tro
W ie té iinn ti
o
en lFin
ve
C.A gco
. Kentucky), yn
No Entonces
mi i D fF re
sr en
s M g ne en
ais gs
t fi ig d
mi en
rcn
soyun nog Carné de identidad
ltr como en
un ti
ed
[L (Si GRAMO
fi co monte (C.A Aleta
norte es decir No yo eC
re metrots ns
ig te re tr tht o norte re
en pags , eo
mi anuncio soe L rm B i
gramo te) tu es apyn
lC e OM gramo
]. norte cl
o thatcancsg
saciar
e id n mi
tC
r en S t
ss ee o
fn nnah tteies
tro rirg
th ut ra un
mi lil fi l en te
S.M l
re l. sg re
)?
Figura 3.9 Ejemplo de una carta de administración de una auditoría de TI
nombre de empresa
Carta de gestión: auditoría de TI

Año terminado el 31 de diciembre de 20XX
Los hallazgos a continuación se han priorizado en orden de importancia y se han debatido con [ nombre y cargo del personal de
la empresa responsable de TI], en [ fecha en que tuvo lugar la reunión].
Los resultados marcados con un asterisco (*) se repiten de años anteriores.
[ Nombre del área de TI de control general (es decir, operaciones de sistemas de información, seguridad de la información o gestión de
control de cambios) - Descripción breve de la actividad de control fallida]
HALLAZGO
[ Descripción detallada del hallazgo.]
[EJEMPLO: Durante el año fiscal que finalizó el 30 de junio de 20XX, la Compañía convirtió su aplicación financiera principal de
[Solicitud # 1] a [Solicitud # 2]. Observamos que la Compañía no tenía políticas y procedimientos formales establecidos o
documentados con respecto al proceso de gestión de cambios en lo que respecta a la conversión de datos de sistemas,
aplicaciones y bases de datos antiguos a nuevos.]
RIESGO
[ Descripción del riesgo de TI relacionado con el hallazgo anterior.]
[EJEMPLO: No implementar controles generales apropiados relacionados con la conversión de datos puede resultar en interrupciones
operativas, rendimiento degradado del sistema o seguridad comprometida.]
RECOMENDACIÓN
[ La recomendación del auditor se documenta aquí.]
[EJEMPLO: La Compañía debe documentar formalmente una política de control de cambios para establecer procedimientos sobre cada cambio. ' s
ciclo de vida, incluidos los controles sobre conversiones de datos. Las políticas desarrolladas recientemente también deben aprobarse,
comunicarse y distribuirse formalmente a los usuarios finales.]
RESPUESTA DE GESTIÓN
[ La gestión ' La respuesta debe abordar la responsabilidad y la rendición de cuentas para la implementación de una acción
correctiva, así como incluir una fecha de implementación prevista para la corrección.]
[EJEMPLO: La gerencia reconoce y acepta la recomendación del auditor de TI. Se implementará un plan para implementar
controles de conversión de datos apropiados y se enviará a nuestro CEO y CFO para su revisión y aprobación dentro del próximo
mes. Se espera que los controles generales relacionados con la conversión de datos estén diseñados y completamente operativos
para el próximo año ' s auditoría de TI.]
Al recibir la carta de gestión, la dirección de TI y el personal afectado deben revisar el documento de inmediato. Los elementos que
aún no se hayan completado deben manipularse y hacerse un seguimiento. En un plazo relativamente corto, el hecho de que se hayan
corregido todas las discrepancias debe transmitirse al personal de auditoría de manera formal. Estas acciones se anotan en los archivos
de auditoría, y dicha cooperación se refleja favorablemente en futuras auditorías.
I. Evaluación de riesgos
Vulnerabilidades
Activos del sistema Probabilidad Impacto Riesgo Controlar
y amenazas
caracterización determinación análisis determinación recomendaciones
identificación
II. Plan de auditoria
Equipo de auditoría,
Exhaustivo Riesgo Objetivos y Auditoría Presupuesto de auditoría
tareas, y
comprensión evaluación contexto calendario y alcance
plazos
IV. Resultados y comunicación
Documentar los resultados y garantizar que los papeles de trabajo sean
coherentes con las conclusiones de la auditoría

III. Procedimientos de auditoria
Prueba
Preliminar si Redactar los hallazgos y recomendaciones de la auditoría y
control S
revisión y comunicarlos a la gerencia para su revisión.
Evaluar
diseño
¿control S?
auditoría
Sustantivo Acordar los hallazgos con la gerencia y documentar sus
procedimientos No planes de respuesta y corrección.
pruebas
Emitir informe de auditoría
Figura 3.10 Resumen del proceso de auditoría.
Es importante realizar un seguimiento de las acciones correctivas para verificar que los hallazgos se hayan corregido. Esto requiere un proceso
formal para realizar un seguimiento de las acciones correctivas, las fechas objetivo y el estado para informar a la administración de TI, el comité de
auditoría y la junta.
Al cierre de la auditoría, se emite un borrador del Informe de Auditoría para que lo revisen todas las partes afectadas. El proceso de
revisión será mucho más rápido si los hallazgos ya se acordaron con la gerencia durante la fase de prueba y conclusión. Una vez
finalizado el informe de auditoría, es una buena práctica programar una reunión final que involucre tanto a los departamentos de TI como
a los financieros. Por lo general, las invitaciones a la reunión final se envían al CIO y al Director Financiero (CFO) (o Contralor si el CFO
no está disponible) para discutir la auditoría, así como para revisar los objetivos de la auditoría y solicitar comentarios sobre el
desempeño. del equipo de auditoría. Esta reunión proporcionará información valiosa sobre el desempeño del personal de auditoría y las
lecciones aprendidas para mejorar los compromisos futuros.
Para resumir el proceso de auditoría explicado en este capítulo, consulte el Anexo 3.10.
Otros tipos de auditorías de TI
Además de respaldar las auditorías de estados financieros, existen otras áreas de auditoría altamente demandadas que se llevan a cabo en TI.
Estos se describen brevemente a continuación.
Arquitectura empresarial
La gerencia de TI debe desarrollar procedimientos organizacionales para asegurar una arquitectura controlada y eficiente para el
procesamiento de la información. Estos procedimientos también deben especificar las computadoras y los equipos periféricos necesarios para
respaldar todas las funciones de manera económica y oportuna. Con
Los sistemas empresariales son muy críticos para las empresas medianas y grandes en la actualidad, por lo que la necesidad de supervisar y validar
la integridad operativa de un sistema de planificación de recursos empresariales es un proceso importante. La auditoría de TI juega un papel
importante en el mantenimiento, la validación y el seguimiento de la arquitectura empresarial.
Sistemas y aplicaciones informáticos

Un tipo de auditoría de sistemas y aplicaciones computarizados verifica que los sistemas y aplicaciones de la organización (de
naturaleza operativa y no financiera) son:
• adecuado a las necesidades de los usuarios,
• eficiente y
• adecuadamente controlados para garantizar una entrada, un procesamiento y un procesamiento válidos, confiables, oportunos y seguros
producción a los niveles actuales y proyectados de actividad del sistema.
Instalaciones de procesamiento de información
Una auditoría de la instalación de procesamiento de información asegura el procesamiento oportuno, preciso y eficiente de las solicitudes en
condiciones normales y potencialmente disruptivas.
Desarrollo de sistemas
Una auditoría de TI relacionada con el desarrollo de sistemas garantizaría que las aplicaciones y los sistemas en desarrollo cumplan
con los objetivos de la organización, satisfagan los requisitos del usuario y proporcionen aplicaciones y sistemas eficientes, precisos y
rentables. Este tipo de auditoría asegura que las aplicaciones y los sistemas estén escritos, probados e instalados de acuerdo con los
estándares generalmente aceptados para el desarrollo de sistemas.
Planificación de continuidad del negocio / Planificación de recuperación ante desastres
Según el SysAdmin, Audit, Network, Security (SANS) Institute, un plan de continuidad (o resiliencia) empresarial (BCP) incorpora actividades
y procedimientos para recuperar todas las operaciones comerciales (no solo TI) de interrupciones o eventos adversos. * Una recuperación
ante desastres. plan (DRP) incorpora un conjunto de procedimientos para recuperar y proteger la infraestructura de TI de la organización en
caso de una emergencia o desastre. Ambos planes deben documentarse formalmente y mantenerse actualizados dentro de la organización.
Una auditoría de BCP evalúa cómo se gestionan los procesos de continuidad de una organización. Este tipo de auditoría define
los riesgos o amenazas para el éxito del plan y evalúa los controles establecidos para determinar si esos riesgos o amenazas son
aceptables y están en línea con los objetivos de la organización. † Esta auditoría también cuantifica el impacto de las debilidades del
plan y ofrece recomendaciones para mejorar el plan de continuidad del negocio.
Las auditorías de DRP ayudan a garantizar que la infraestructura de TI y todo el equipo relacionado que se usa para desarrollar, probar,
operar, monitorear, administrar y / o brindar soporte a los servicios de TI (por ejemplo, hardware, software, redes, centros de datos, etc.) se
mantienen y protegen adecuadamente para asegurar su disponibilidad continua consistente con los objetivos organizacionales. Una auditoría de
DRP considera factores como el diseño alternativo del sitio, la capacitación del personal y los problemas de seguros, entre otros.
*
www.sans.org/reading-room/whitepapers/recovery/introduction-business-continuity-planning-559.
† http://searchdisasterrecovery.techtarget.com/definition/business-continuity-plan-audit.
Conclusión
Durante décadas, la computadora se ha utilizado para respaldar las operaciones diarias en entornos comerciales. La mayoría de las empresas
descubren que deben utilizar la tecnología informática de forma eficaz para seguir siendo competitivas. Sin embargo, la naturaleza de la
tecnología sigue cambiando rápidamente. Como resultado, las empresas continúan integrando sus operaciones y sistemas contables /
financieros. La profesión de auditoría también ha realizado estos ajustes. En todo el mundo, las organizaciones profesionales han emitido guías
e instrucciones útiles para ayudar a los gerentes y a los profesionales de auditoría.
Ya sea que la auditoría de TI revise las operaciones de los sistemas de información, la seguridad de la información o las aplicaciones, se
deben verificar los controles aplicados en esas áreas. La función del auditor de TI (ya sea interna o externa) proporciona una seguridad
razonable de que los activos del sistema están protegidos, la información es oportuna y confiable, y los errores y deficiencias se descubren y
corrigen con prontitud. Los objetivos igualmente importantes de esta función son los controles efectivos, las pistas de auditoría completas y el
cumplimiento de las políticas organizacionales.
Sin duda, la naturaleza de la auditoría seguirá experimentando cambios sustanciales a medida que mejore el nivel de la
tecnología. La automatización completa desde el inicio del proyecto hasta la etapa final de presentación de informes permitirá a los
auditores hacer un uso más eficiente de los recursos disponibles y mejorar la credibilidad de la auditoría realizada. El uso eficaz de la
tecnología informática también puede permitir a los auditores comprender mejor el diseño del sistema informático del cliente, así como
realizar auditorías exitosas en los entornos altamente automatizados de hoy.
1. ¿Qué es un universo de auditoría y qué incluye?

2. ¿Qué son los Objetivos de Control para la Información y Tecnología Relacionada (COBIT) y por qué es valioso para la
administración y los auditores de TI?
3. ¿Por qué las evaluaciones de riesgos son importantes para la función de auditoría?
4. Resuma la importancia de un plan de auditoría. ¿Cuáles son los cuatro pasos mínimos que debe tener un plan de auditoría?
5. Indique la importancia de un programa de auditoría.
6. Describa qué debe incluir el alcance de una auditoría.

7. Describa brevemente las ocho fases típicas de un trabajo de auditoría.
8. ¿Qué información o evidencia específica puede reunir un auditor de TI para un cliente que usa su entorno de TI para
almacenar y procesar datos de importancia financiera?
9. Explique qué es un programa de auditoría.
10. Describa los procedimientos que realizan los auditores de TI para probar controles, procesos y exposiciones.
11. Describa los procedimientos que se suelen realizar al realizar una auditoría de TI relacionada con:
a. Desarrollo de sistemas
segundo. Planificación de continuidad del negocio / Planificación de recuperación ante desastres
Ejercicios
1. Como jefe de auditoría de TI del trabajo, le presentará al gerente de TI y al socio (como parte de la reunión de
planificación) los resultados de la evaluación de riesgos realizada en el Cuadro 3.3.
Con base en estos resultados (vea el Anexo 3.3, en las columnas “Calificación de riesgo” y “Prioridad de acción”), parece claro
que la auditoría debe enfocarse en la Aplicación financiera n. ° 2 (FA2). Sin embargo, el gerente de TI y el socio, con base en la
experiencia relevante previa, creen que la auditoría debe realizarse en la Aplicación financiera n. ° 1 (FA1). La reunión de
planificación ha terminado y todavía tiene dudas sobre la decisión que acaba de tomar. Su tarea: Prepare un memorando de dos
páginas para el gerente de auditoría (copiando al socio) indicando sus razones por las cuales FA2 debe ser auditado primero.
Para convencer al gerente de auditoría y al socio, debe pensar "fuera de la caja". En otras palabras, piense en información
adicional no necesariamente documentada en la evaluación de riesgos que se muestra en el Anexo 3.3, y documente en su
memorando información relacionada con:
a. Cualquier vulnerabilidad o debilidad adicional que pueda estar actualmente afectando a FA2
segundo. Cualquier fuente de amenaza adicional que pueda desencadenar las vulnerabilidades o debilidades que acaba de identificar para
FA2
C. Cualquier riesgo o situación adicional que implique exposición a pérdidas para la información financiera en FA2.
re. Cualquier control o procedimiento adicional que deba implementarse para mitigar los riesgos recién identificados.
2. Utilice la siguiente información para preparar un memorando de planificación de TI similar al del Apéndice 1.
a. Usted es el sénior de auditoría de TI (o representante del auditor de TI) asignado. Su firma de auditoría tiene varias sucursales,
pero está trabajando con este cliente en particular de la oficina de Melbourne, FL.
La auditoría de TI apoyará la auditoría del estado financiero de la Compañía XYZ, con un año fiscal que finalizará el 31 de
segundo.
diciembre de 20XX.
C. Ya se han llevado a cabo conversaciones con el Director de auditoría financiera sobre la participación en la auditoría de TI, y están
documentadas en el documento de trabajo (w / p) 1000.1. Los auditores de TI no han participado en auditorías anteriores para este
cliente.
re. Su equipo está compuesto por: IT Partner P, ITManager M y IT Audit Staff AS. Usted es el Senior S.
mi. El calendario de auditoría incluye: La planificación se realizará durante el sexto mes del año bajo auditoría; Los
procedimientos de auditoría intermedia se llevarán a cabo durante 2 meses antes del final del año fiscal; Los
procedimientos de fin de año están programados para enero a marzo del año siguiente al final del año fiscal; y
todos los papeles de trabajo y la documentación de auditoría vencerán y firmarán el 30 de abril del año siguiente al
final del año fiscal.
F. Se estima que la auditoría de TI durará 100 horas. Las horas se cargarán al código de cliente: Compañía
XYZ-0000.
La comprensión del entorno de TI de la empresa XYZ se documenta en la publicación 1540. Las tres aplicaciones
gramo.
h. relevantes para la auditoría de TI incluyen:

yo. Toda la aplicación de contabilidad ( AAA) —usado para capturar y procesar contabilidad-
Transacciones Relacionadas. AAA está instalado en una plataforma UNIX (o sistema operativo) y utiliza la base de datos
Oracle. Se puede acceder a AAA a través de una red de Windows.
ii. Aplicación del generador de documentos financieros ( FDGA): se utiliza para producir todo tipo de informes y
documentación financieros. FDGA está instalado en un sistema operativo Windows y utiliza Oracle como base de
datos. Se accede a FDGA a través de una red de Windows.
iii. Solicitud de Recursos Humanos y Nómina ( HRPA): se utiliza para administrar los recursos humanos de la
empresa y procesar la nómina. Esta aplicación está alojada fuera de la empresa, en una organización externa
llamada HRP-For-All.
yo. Los controles de aplicación relevantes utilizados para mitigar los riesgos en esta auditoría se enumeran en el Anexo
3.5b (estos deben agregarse al Memo de planificación de TI). Utilice w / p 1000.2 como referencia.
j. Las desviaciones o hallazgos que resulten de probar los controles de aplicación relevantes se documentarán en w / p
2302.
k. No habrá trabajo de otros (por ejemplo, personal de Auditoría Interna, etc.) utilizado en la auditoría de TI. Los servicios de recursos
l. humanos y nómina son realizados por una organización de servicios de terceros llamada HRP-For-All, ubicada en Austin, Texas.
Deloitte, el auditor de servicios, acaba de terminar de emitir un informe evaluando los controles en la organización de servicios
para el período del 1 de julio de 20XX al 30 de junio de 20XX. Se encontró que los controles en HRP-For-All eran efectivos. No hay
otras áreas identificadas dentro de la Compañía XYZ en las que los auditores de TI puedan ayudar.
metro.
3. ¿Cómo se utilizan las pruebas sustantivas en una auditoría de TI? Explique qué significa el término auditoría-
a través de la computadora.
4. ¿Qué es un hallazgo de auditoría y qué información debe incluirse al documentarlo? La aplicación de transacciones (FTA) está
5. Usted es un auditor de TI externo al que se le solicitó que realice una revisión de lo siguiente: El financiero (GLA) debido al momento
causando un problema con la aplicación del libro mayor, lo que hace que los informes de fin de mes se indiquen de manera inexacta.
de la transferencia de transacciones. Los datos fueron transferidos tarde por los informes de actividad del mes de FTA y notaron un
Los gerentes se reunieron para revisar el plan de auditoría anterior para llevar a cabo procedimientos para abordar este tipo de
déficit de $ 50,000 en algunas cuentas. Preparar un
situación.
Otras lecturas
1. AICPA. Análisis de auditoría y auditoría continua: mirando hacia el futuro, www.aicpa.org/ InterestAreas / FRC /
AssuranceAdvisoryServices / DownloadableDocuments / AuditAnalytics_ LookingTowardFuture.pdf (consultado en agosto
de 2017).
2. Benson, J. (agosto de 2007). La importancia del seguimiento. Auditor interno. Instituto de Interna
Auditores, Altamonte Springs, FL.
3. Berry, L. (octubre de 2007). Una auditoría más amable y gentil. Auditor interno. Instituto de Auditores Internos,
Altamonte Springs, FL.
4. Bodin, L., Gordon, L. y Loeb, M. (2008). Seguridad de la información y gestión de riesgos. Comun.
ACM, 51 (1), 64–68.
5. Casas, E. (octubre de 2007). Dígalo como es. Auditor interno. Instituto de Auditores Internos, Altamonte
Springs, FL.
6. Cavusoglu, H., Mishra, B. y Raghunathan, S. (2004). Un modelo para evaluar las inversiones en seguridad de TI. Comun. ACM, 47
(1), 87–92.
7. Chaney, C. y Gene, K. (agosto de 2007). El Auditor Integrado. Auditor interno. Instituto de Interna
Auditores, Altamonte Springs, FL.
8. Deloitte LLP. (2014). Documentos de trabajo de planificación de auditoría de TI. Documento interno inédito.
9. Diez consideraciones de TI clave de EY para la auditoría interna: evaluación de riesgos de TI y planificación de auditoría efectivas.
(Febrero de 2013). Información sobre gobernanza, riesgo y cumplimiento, www.ey.com/Publication/ vwLUAssets /
Ten_key_IT_considerations_for_internal_audit / $ FILE / Ten_key_IT_considerations_ for_internal_audit.pdf
10. Flipek, R. (junio de 2007). Habilidades de auditoría de TI que faltan. Auditor interno. Instituto de Auditores Internos,
11. Gallegos, F. (2002). El informe de auditoría y el seguimiento: métodos y técnicas para comunicar los hallazgos y recomendaciones
de la auditoría. Inf. Syst. Control J., 4, 17-20.
12. Gallegos, F. y Preiser-Houy, L. (2001). Revisión de las aplicaciones de la base de datos Focus, Serie de auditoría EDP,
74-10-23, Auerbach Publishers, Boca Raton, FL, págs. 1-24.
13. Hyde, G. (agosto de 2007). Pruebas de auditoría mejoradas. Auditor interno. Instituto de Auditores Internos,
14. Fundación de Auditoría y Control de Sistemas de Información. COBIT, Quinta edición, Sistemas de información
en junio de 2012).
15. Conceptos básicos de auditoría de SI. El proceso de auditoría de los sistemas de información, www.isaca.org/knowledge-center/itaf-is-
assurance-audit- / pages / is-audit-basics.aspx (consultado en julio de 2017).

16. Manson, D. y Gallegos, F. (septiembre de 2002). Auditoría de los procedimientos de recuperación de DBMS, Auditoría EDP
Serie, 75-20-45, Auerbach Publishers, Boca Raton, FL, págs. 1–20.

17. Predicciones de amenazas de McAfee Labs 2017, informe publicado en noviembre de 2016,
www.mcafee.com/au/resources/informes/rp-menazas-predictions-2017.pdf (consultado en octubre de 2017).
18. Informe de amenazas de McAfee Labs: diciembre de 2016, www.mcafee.com/ca/resources/reports/rp-quarterly-things-dec-2016.pdf (consultado
en octubre de 2017).
19. McCafferty, J. (2016). Cinco pasos para planificar un programa de auditoría de TI eficaz, Instituto de Formación MIS,
http://misti.com/internal-audit-insights/five-steps-to-planning-an-effective-it-audit-program
20. Menkus, B. y Gallegos, F. (2002). Introducción a la auditoría de TI, # 71-10-10.1, Editores de Auerbach,
Boca Raton, FL, págs. 1-20.
21. Base de datos nacional de vulnerabilidad. Instituto Nacional de Estándares y Tecnología, https: //nvd.nist. gov / vuln / search (consultado en
agosto de 2017).
22. Otero, AR (2015). Una metodología de evaluación del control de la seguridad de la información para la información financiera de las organizaciones. En
t. J. Acc. Informar. Syst., 18 (1), 26–45.
6 (3), 841–849.
24. Otero, AR, Tejay, G., Otero, LD y Ruiz, A. (2012). Una evaluación de control de seguridad de la información basada en lógica difusa
para organizaciones, IEEE Conference on Open Systems, Kuala Lumpur, Malasia.
25. Otero, AR, Otero, CE y Qureshi, A. (2010). Evaluación de múltiples criterios de controles de seguridad de la información utilizando características
booleanas. En t. J. Network Secur. Appl., 2 (4), 1–11.
26. Pareek, M. (2006). Optimización de controles para probar como parte de una estrategia de auditoría basada en riesgos. Inf. Syst. Auditoría
Control Assoc. J., 2, 39–42.

27. Romney, MB y Steinbart, PJ (2015). Sistemas de información contable, 13a edición, Pearson
Educación, Upper Saddle River, Nueva Jersey.
28. Richardson, VJ, Chang, CJ y Smith, R. (2014). Sistemas de información contable, McGraw Hill,
Nueva York.
29. Plantillas de políticas de seguridad de la información de SANS, www.sans.org/security-resources/policies/general (consultado en octubre de 2016).
30. Sarbanes-Oxley-101. Sección 404: Evaluación de la gestión de controles internos, www.sarbanesoxley-101.com/SOX-404.htm

32. Singleton, T. (2003). Las ramificaciones de la Ley Sarbanes-Oxley. Inf. Syst. Control J., 3, 11-16.
33. Oficina de contabilidad general de EE. UU., Evaluación de la confiabilidad de los datos procesados por computadora, https: //
digital.library.unt.edu/ark:/67531/metadc302511/ (consultado en noviembre de 2016).

34. Oficina de contabilidad general de EE. UU., Normas de Auditoría Gubernamentales 2017 Proyecto de Norma, www.gao.gov/
Yellowbook (consultado en mayo de 2017).
35. Oficina de contabilidad general de EE. UU., Estándares de Control Interno en el Gobierno Federal, septiembre
2014, GAO / AIMD 00-21.3.1.
Capítulo 4
Herramientas y técnicas
Utilizado en auditoría de TI
1. Definir herramientas de productividad del auditor y describir cómo ayudan al proceso de auditoría.
2. Describir las técnicas utilizadas para documentar los sistemas de aplicación, como los diagramas de flujo, y cómo se desarrollan estas
técnicas para ayudar al proceso de auditoría.
3. Explique qué son las técnicas de auditoría asistidas por computadora (CAAT) y describa el papel que desempeñan en el desempeño del
trabajo de auditoría.
4. Describa cómo se utilizan las CAAT para definir el tamaño de la muestra y seleccionar la muestra.
5. Describa los distintos CAAT que se utilizan para revisar aplicaciones, en particular, el software de auditoría del lenguaje de comandos de
auditoría (ACL).
6. Describa las CAAT utilizadas al auditar los controles de las aplicaciones.
7. Describa las CAAT utilizadas en las revisiones operativas.
8. Diferenciar entre "Auditoría en la computadora" y "Auditoría a través de la computadora".
9. Describir la informática forense y las fuentes para evaluar las herramientas y técnicas informáticas forenses.
La tecnología informática se ha convertido en una parte integral de la mayoría de las funciones organizativas. Es probable que muchos clientes
de auditoría hayan eliminado o eliminarán una parte sustancial de sus documentos en papel y los reemplazarán con documentos electrónicos
archivados solo en forma computarizada. Un auditor que no pueda utilizar las herramientas y técnicas de auditoría computarizadas de manera
eficaz estará en desventaja.
El auditor de hoy debe estar equipado con un conocimiento de las herramientas y técnicas alternativas para probar las operaciones de
los sistemas computarizados y recopilar y analizar los datos contenidos en archivos computarizados. Los auditores pueden aprovechar esas
herramientas y técnicas para ser más eficientes y efectivos al realizar el trabajo de auditoría. Las herramientas y técnicas utilizadas en las
auditorías de TI incluyen:
• Auditoría de herramientas de productividad —Software que ayuda a los auditores a reducir la cantidad de tiempo dedicado a tareas
administrativas al automatizar la función de auditoría e integrar la información recopilada como parte del proceso de auditoría.
97
• Técnicas de documentación del sistema —Métodos, como diagramas de flujo, diagramas de flujo de datos y diagramas de
procesos comerciales aplicados a documentar y probar sistemas de aplicaciones, procesos de TI y su integración en el
entorno de TI.
• Técnicas de auditoría asistidas por computadora (CAAT) —Software que ayuda a los auditores a evaluar los controles de aplicación y
seleccionar y analizar datos computarizados para pruebas de auditoría sustantivas.
Este capítulo comienza definiendo las herramientas de productividad del auditor y describiendo cómo ayudan al proceso de auditoría.
Este capítulo luego aborda las diversas técnicas utilizadas para documentar los sistemas de aplicación, en particular los sistemas de
aplicación financiera, y cómo ayudan al proceso de auditoría. Las explicaciones de los CAAT y el papel que desempeñan en la auditoría
seguirán junto con las descripciones de los distintos CAAT utilizados al definir el tamaño de la muestra de auditoría, seleccionar muestras
y revisar aplicaciones (por ejemplo, Audit Command Language (ACL), etc.). A continuación, se describirán los CAAT utilizados en la
auditoría de los controles de aplicación y en las revisiones operativas, seguidos de explicaciones de la auditoría en la computadora oa
través de ella. Por último, se discuten las herramientas y técnicas informáticas forenses.
Herramientas de productividad de auditoría
El núcleo del proceso de auditoría es evaluar los controles internos para determinar si son efectivos o necesitan mejoras. Sin embargo, muchas de
las tareas asociadas con la realización de una auditoría, como la planificación, las pruebas y la documentación de los resultados, aunque necesarias,
toman tiempo para realizar el trabajo de evaluación de control real. Aquí es donde entran en juego las herramientas de productividad del auditor. Las
herramientas de productividad de los auditores ayudan a los auditores a automatizar las funciones de auditoría necesarias e integrar la información
recopilada como parte del proceso de auditoría. Ejemplos de funciones de auditoría que pueden automatizarse mediante herramientas de
productividad del auditor incluyen:
• Planificación y seguimiento de auditorías
• Documentación y presentaciones
• Comunicación
• Gestión de datos, documentos de trabajo electrónicos y software colaborativo
• Administracion de recursos
Planificación y seguimiento de auditorías
Desarrollar un universo de auditoría con todas las áreas de auditoría potenciales dentro de la organización, una evaluación de riesgos que priorice
estas áreas de auditoría, un programa de auditoría y un presupuesto para rastrear el progreso de la auditoría son algunas de las tareas necesarias
en cualquier planificación de auditoría. Se pueden utilizar soluciones como hojas de cálculo, software de base de datos y / o software de gestión
de proyectos para documentar y planificar auditorías, así como para rastrear su estado actual. Sin embargo, cada una de estas soluciones es
independiente, ya que su integración puede que ni siquiera sea posible. Debido a que las tareas de planificación son interdependientes, un
software de herramienta de productividad para auditores que integre estas tareas de planificación y seguimiento proporcionaría una actualización
más rápida y garantizaría que todas las fases de la planificación se mantengan sincronizadas. Por ejemplo, el presupuesto debe proporcionar
costos suficientes para cumplir con el programa de auditoría,

Herramientas y técnicas utilizadas en la auditoría de TI • 99
Documentación y presentaciones
Las herramientas, como la suite de Microsoft Office, proporcionan funciones para facilitar la creación y presentación de documentos. Por ejemplo,
los datos de una hoja de cálculo que contienen los resultados de las pruebas funcionales se pueden incorporar en un documento de informe con
unos pocos clics del mouse. Estos mismos datos pueden luego copiarse en una diapositiva de presentación y también vincularse, de modo que los
cambios en los documentos de origen se reflejen en cualquiera de los documentos relacionados. Las herramientas de software como estas ahorran
tiempo y garantizan coherencia y precisión. Otras herramientas incluyen software de videoconferencia y / o captura de video para proporcionar
presentaciones a colaboradores en todo el mundo y para documentar evidencia de auditoría, respectivamente.
Comunicación
Debido a que el auditor opera como parte de un equipo, la necesidad de compartir datos y comunicarse con otros miembros del grupo es
importante. Al proporcionar acceso inmediato a datos actuales, mensajería electrónica y capacidades de revisión en línea, el personal de
auditoría se comunica rápidamente y recopila información de investigación para auditorías y proyectos especiales. Además, los auditores
pueden necesitar ocasionalmente operar desde una terminal de computadora host, pero aún así tener toda la capacidad de un procesador
de escritorio dedicado. Por lo tanto, es necesario tener el hardware de computadora requerido, hardware de medios, controladores de
protocolo, emuladores de software de terminal deseados y conectividad cableada o inalámbrica de alta velocidad en el sitio de auditoría.
La conectividad electrónica no solo permite que los auditores se comuniquen, sino que también brinda acceso para que el personal de
administración de la organización o los clientes de auditoría intercambien información. Por ejemplo, el personal de gestión del cliente o de la
organización puede tener acceso a la base de datos del universo de riesgos de auditoría. Esto permite a la administración examinar la base de datos
y sugerir cambios en las áreas de riesgo de auditoría actuales.
Las capacidades de videoconferencia también son una forma eficaz de comunicación. La videoconferencia permite que se lleven
a cabo reuniones y que los miembros participen en todo el mundo. Algunos de los mejores software de videoconferencia incluyen
Cisco WebEx Meeting Center, Citrix GoToMeeting y Adobe Connect, entre otros. * El software de videoconferencia utiliza redes de
computadoras para transmitir video, auditoría y datos de texto, suavizando el proceso de iniciar y realizar conferencias en vivo entre
dos o más partes independientemente de su ubicación. A través de la videoconferencia, los participantes pueden ver una hoja de
cálculo, un gráfico o un videoclip; recibir feeds de datos en vivo; y vea las respuestas de todas las partes involucradas.
Gestión de datos, documentos de trabajo electrónicos y software colaborativo
El establecimiento de conectividad electrónica proporciona al personal de auditoría la capacidad de acceder e ingresar datos en un depósito de datos
central o una base de conocimientos. El repositorio de datos central (por ejemplo, base de datos, etc.) puede archivar datos históricos de riesgo,
programa de auditoría y presupuesto a los que pueden acceder electrónicamente todos los usuarios autorizados del grupo de auditoría,
independientemente de su ubicación física. Se pueden desarrollar aplicaciones de bases de datos para consolidar automáticamente la entrada de
datos electrónicamente desde todas las funciones de auditoría.
*
www.pcmag.com/article2/0,2817,2388678,00.asp.
Mediante el uso de bases de datos, la administración de auditorías puede monitorear centralmente y tener acceso inmediato a actividades
críticas como el estado del cronograma de auditorías, el estado de las auditorías de campo, el fraude o la escasez de actividades y el progreso de la
capacitación y el desarrollo. Las aplicaciones de base de datos pueden consolidar automáticamente los datos de toda la función y generar informes
de tendencias y estado local y consolidados. Los auditores pueden producir productos más eficaces aprovechando el conocimiento de otros
auditores al tener acceso a datos de toda la función.
Una base de datos puede contener información como áreas de riesgo, programas de auditoría, hallazgos, procedimientos de acciones
correctivas, estándares de la industria, mejores prácticas y lecciones aprendidas. Esta información podría estar disponible para investigación cuando
sea necesario. Además de los datos históricos, las bases de datos proporcionan una plataforma para actividades interactivas, como tableros de
mensajes o foros informáticos. El personal de auditoría (y otros, si están autorizados) pueden publicar información nueva o actualizar la información
anterior. De manera similar, el almacenamiento de información en línea permite a los auditores buscar información específica en documentos
voluminosos (p. Ej., Código de seguro, etc.), investigar un área de auditoría para determinar áreas de riesgo previas y enfoques de pruebas
funcionales, identificar áreas relacionadas o interrelacionadas y revisar locales o planes de acción correctiva para toda la organización.
Los papeles de trabajo electrónicos o EWP también han transformado el proceso de auditoría de manera significativa. Los EWP ofrecen
un enfoque coherente para crear, documentar, revisar, compartir y almacenar el trabajo de auditoría. * Al crear y documentar los EWP, los
auditores pueden hacer referencia a su trabajo en la evidencia, documentar los procedimientos de auditoría realizados y aprobar
electrónicamente su trabajo sin esperar para que otros miembros del equipo completen y firmen sus partes. Además, los EWP funcionan con
software de imágenes artísticas que permite la incorporación de imágenes escaneadas, correos electrónicos e imágenes digitales en el archivo
como evidencia de auditoría. †
Los EWP también brindan acceso a la gestión de auditoría para navegar (de forma remota) a través de archivos de auditoría e
identificar el trabajo de auditoría completado, firmado y listo para su revisión. Los revisores pueden agregar notas electrónicas,
comentarios y / o preguntas en los archivos de auditoría que deban abordarse y enviarlas a los encargados de trabajar con esos archivos.
Al recibir los archivos de auditoría, los revisores verifican y confirman que todas las notas, comentarios y / o preguntas se hayan abordado
de manera adecuada antes de completar su revisión y firma.
Mantener los EWP en un archivo de auditoría o una base de datos centralizados permite a los auditores navegar y compartir el trabajo de
auditoría actual y archivado con facilidad. Dicho archivo o base de datos de auditoría centralizada facilita el proceso para que los auditores accedan
rápidamente al trabajo de auditoría anterior (por ejemplo, hallazgos, áreas de alto riesgo, etc.) para coordinar los procedimientos de auditoría
actuales.
Groupware o software colaborativo es una herramienta especializada o conjunto de herramientas compatibles que permite a los equipos
comerciales trabajar más rápido, compartir más información, comunicarse de manera más eficaz y realizar un mejor trabajo al completar las tareas.
Los sistemas de trabajo en grupo crean entornos de trabajo colaborativos. Hoy en día, vemos conferencias de escritorio, videoconferencias, correo
electrónico, tableros de mensajes o foros, sistemas de apoyo a reuniones, sistemas de flujo de trabajo y calendarios de grupos y subgrupos como
ejemplos de herramientas de trabajo en grupo.
El software colaborativo es "natural" para automatizar la función de auditoría. Las herramientas de software colaborativo utilizan funciones de
base de datos y procesamiento de flujo de trabajo que se pueden utilizar para almacenar e integrar la información recopilada y utilizada en el
proceso de auditoría. Por ejemplo, la información de evaluación de riesgos alimenta la planificación de la auditoría y los resultados de la auditoría
alimentan los informes de auditoría y actualizan el modelo de evaluación de riesgos.
*
www.wipo.int/export/sites/www/about-wipo/en/oversight/iaod/audit/pdf/annex_1.1_teammate_principles_ Guidelines.pdf.
† www.teammatesolutions.com/teamewp.aspx.
Administracion de recursos
Otro desafío para los supervisores de auditoría es administrar una fuerza de trabajo remota. Ya sea que un auditor de plantilla esté trabajando en
una auditoría local o en el campo, los gerentes deben poder brindar orientación y revisar el trabajo a medida que avanza la auditoría. Los gerentes
de auditoría deben proporcionar retroalimentación mientras el auditor del personal está en el lugar en caso de que sea necesaria una acción de
seguimiento.
Una fuerza de trabajo distribuida requiere un equipo de gestión muy informado y receptivo que pueda recopilar y difundir información
rápidamente. La información importante se puede recopilar y difundir rápidamente en toda la función a través del correo electrónico y los tableros de
mensajes o foros informáticos. Los supervisores pueden proporcionar retroalimentación y orientación inmediatas sobre los proyectos de auditoría a
través de la revisión en línea de los documentos de trabajo electrónicos.
Técnicas de documentación del sistema para comprender los sistemas de

aplicación
El énfasis en comprender y documentar los sistemas de información de la organización / cliente es particularmente apropiado
durante la fase de análisis de la aplicación de un trabajo de auditoría. Es importante que el auditor comprenda la relación de cada
aplicación con la conducción de los negocios de la organización o del cliente y que documente tal comprensión. Para ello, los
auditores suelen solicitar a las organizaciones o clientes los diagramas de relación de una entidad (ERD). Si están disponibles,
estos ERD son un excelente punto de partida para los auditores, ya que representan gráficamente la relación entre "entidades" (o
personas, objetos, lugares, conceptos, eventos, etc.) dentro del sistema de información (es decir, el sistema de aplicación
financiera).
La documentación de los sistemas de información, en particular los sistemas de aplicación financiera, ayuda a los auditores, contadores,
consultores, gerencia, etc. a comprender lo que está sucediendo financieramente en la entidad y, lo más importante, cómo evaluar de manera
efectiva esos sistemas. Los auditores también documentan los sistemas de aplicación financiera, según lo requieren las normas de auditoría, para
comprender los procedimientos de control interno automatizados y manuales que utiliza la entidad. Al documentar los sistemas de aplicación
financiera, los auditores utilizan principalmente representaciones gráficas, ¿por qué? Se ha dicho que una imagen vale más que mil palabras.
Además, las imágenes tienden a ser fáciles de entender.
La documentación de los sistemas de aplicación se realiza comúnmente utilizando narrativas, diagramas, tablas, diagramas de flujo de
datos, diagramas de procesos comerciales, diagramas de flujo, etc. Los diagramas de flujo de datos o DFD, por ejemplo, están orientados a
procesos y utilizan gráficos o símbolos para describir la transformación de datos. y cómo fluye en toda la organización. Consulte el Anexo
4.1.
En la Figura 4.1, los cuadrados o rectángulos representan fuentes o destinos de datos. Las flechas indican flujos de datos y el símbolo del
círculo significa que se está produciendo un proceso de transformación. Los diagramas de procesos empresariales muestran visualmente las
diversas actividades que se desarrollan en un proceso empresarial. Estos diagramas de procesos comerciales también muestran la unidad
organizativa o el proceso (por ejemplo, nómina, cuentas por pagar, desembolso de efectivo, etc.) que realmente está realizando la actividad.
Consulte el Anexo 4.2.
En la Figura 4.2, los rectángulos redondeados representan las actividades o procedimientos que ocurren en un proceso. El círculo
indica el inicio de un proceso, mientras que el círculo en negrita indica el final del proceso. La flecha muestra el flujo de datos. La flecha
discontinua es la información de anotación o información que ayuda a explicar el proceso empresarial. Un tercer y más común ejemplo
de documentación de sistemas de aplicación financiera es a través de diagramas de flujo. De manera similar a las otras técnicas de
documentación del sistema, los diagramas de flujo son una descripción gráfica de un sistema que representa cómo se realizan los
procesos comerciales y cómo se realizan los diversos documentos dentro del proceso comercial.
Financiero
Nómina de sueldos institución
cheque (banco)
Departamentos
Tarjeta de tiempo
dentro
información
organización
Empleado
Nómina de sueldos Empleados
cheques
Procesando
solicitud
Nuevo sistema
empleado
formar
Humano
Nómina de sueldos
recursos y administración
reporte
nómina de sueldos Existente
empleado
cambiar de forma
Informe fiscal
y Gobierno
pago
Figura 4.1 DFD que ilustra los procedimientos típicos de procesamiento de nóminas.
Empleado Actividades o trámites que tienen lugar
Factura de registros
Actualiza el diario A / P
Cuenta por pagar recibido de ven-
nal basado en C / D
(A / P) empleado dor en el A / P
diario
Sub.Ledger
Prepara el cheque para Actualiza el diario C / D

Desembolso de efectivo
liquidar proveedor con cancelado
(C / D) empleado
factura factura
Aprueba y firma
Desembolsa el cheque a
Tesorero cheque; cancela
el vendedor
factura
Figura 4.2 Ejemplo de un diagrama de proceso empresarial para un proceso de desembolso de efectivo.
fluir a través de la organización. Los diagramas de flujo usan símbolos para describir el procesamiento de transacciones y el flujo de datos a través
de un sistema mostrando específicamente: entradas y salidas; actividades de información (procesamiento de datos); almacenamiento de datos;
flujos de datos; y pasos de decisión. Consulte el Anexo 4.3.
Las siguientes secciones se centran en la técnica de diagrama de flujo para documentar sistemas.
Empleado de cuentas por pagar (A / P) Del Auxiliar de desembolsos de efectivo (C / D) Tesorero
proveedor
Factura Factura
Factura
Pre- Cheque
Cheque
pares
cheque
A/P
Registros
Sub. Aprueba
factura Cancelado
y signos
libro mayor
factura
cheque;
cancela
factura
Factura Registros
pago
Cancelado
factura
Publicaciones
Firmado
DISCOS COMPACTOS C / Ds Cancelado
DISCOS COMPACTOS cheque
diario cada factura
diario
viernes
Al vendedor
norte
A / P Sub.
libro mayor
Figura 4.3 Ejemplo de un diagrama de flujo para un proceso de desembolso de efectivo.
Diagramas de flujo como herramienta de análisis de auditoría
Los auditores preparan diagramas de flujo utilizando símbolos y técnicas estándar para representar sistemas de aplicación, flujos de
trabajo o procesos. Los diagramas de flujo desarrollados durante la fase de análisis de la aplicación de un trabajo de auditoría son más
útiles si distinguen el procesamiento por departamento, función o área de la empresa. Hay algunos paquetes de soporte de
aplicaciones muy buenos para el desarrollo de diagramas de flujo, así como el poder del procesador de texto para construir diagramas
e ilustraciones del proceso.
Para un auditor de TI, los diagramas de flujo representan un método para identificar y evaluar las fortalezas y debilidades del
control dentro de un sistema de aplicación financiera bajo examen. Puede llevar mucho tiempo desarrollar una comprensión de las
fortalezas y debilidades dentro de un sistema que se auditará. Sin embargo, la identificación de fortalezas y debilidades a menudo
es crucial porque conducirán la dirección del resto de la auditoría (p. Ej., Fundamentar y determinar el efecto de las debilidades de
control identificadas, etc.).
Por ejemplo, la Declaración sobre la Norma de Auditoría (SAS) No. 109 requiere que el auditor obtenga una comprensión de la
entidad y su entorno y determine los controles relevantes para la auditoría. El auditor debe comprender la naturaleza y complejidad
de los sistemas que forman parte del entorno de control que se audita (es decir, sistemas de aplicación financiera). Una forma de
obtener esa comprensión es a través de cualquier documentación existente que pueda proporcionar una ilustración visual del
sistema bajo revisión y cualquier interacción con otros sistemas. Cualquier documentación existente, como diagramas de flujo,
proporciona un punto de referencia para la revisión del auditor.
Como un paso hacia la construcción de la comprensión necesaria de las debilidades de control, el personal de auditoría debe desarrollar un
diagrama de flujo de toda la información procesada. Los diagramas de flujo deben abarcar toda la información procesada, desde los documentos
originales hasta los resultados finales. Se pueden utilizar técnicas manuales o automáticas para preparar estos diagramas de flujo. Con
cualquiera de los enfoques, el proceso conduce a la evaluación de una serie de elementos de un sistema, incluidos los siguientes:
• Calidad de la documentación del sistema
• Adecuación de los controles manuales o automatizados sobre los documentos.
• Efectividad del procesamiento por programas de computadora (es decir, si el procesamiento es necesario
o redundante y si la secuencia de procesamiento es adecuada)
• Utilidad de los resultados, incluidos informes y archivos almacenados
Los símbolos comunes de los diagramas de flujo se describen en la figura 4.4. A continuación se describen los pasos en el desarrollo de diagramas
de flujo.
Comprender cómo procesan los datos las aplicaciones
El auditor debe comprender cómo el sistema de aplicación financiera, por ejemplo, genera sus datos. Este entendimiento debe
abarcar todo el alcance del sistema financiero desde la preparación de los documentos fuente hasta la generación, distribución y uso
final de los productos. Mientras aprende cómo funciona el sistema, el auditor debe identificar las áreas potenciales de prueba,
utilizando procedimientos de auditoría familiares, tales como:
• Revisión de la documentación corporativa, incluidos los archivos de documentación del sistema, preparación de entradas
instrucciones y manuales de usuario

• Entrevistar al personal de la organización, incluidos usuarios, analistas de sistemas y programadores.
• Inspeccionar, comparar y analizar registros corporativos
Identificación de documentos y su flujo a través del sistema
Para comprender el flujo de documentos, se debe obtener cierta información de antecedentes a través de discusiones con funcionarios
corporativos, de auditorías o evaluaciones anteriores, o de archivos de documentación del sistema. Debido a que esta información puede no
estar actualizada o completa, debe ser verificada con el personal apropiado (por ejemplo, contabilidad, TI, etc.). Es posible que un usuario o
miembro del personal del departamento de TI ya tenga un diagrama de flujo de documentos o un diagrama de flujo que muestre el origen de
los datos y cómo fluyen hacia y desde la aplicación. Este diagrama no debe confundirse ni con un diagrama de flujo del sistema que muestra
la relación entre la entrada, el procesamiento y la salida en un SI, ni con un diagrama de flujo del programa que muestra la secuencia de
operaciones lógicas que realiza una computadora mientras ejecuta un programa.
Si no está disponible, los auditores deberán desarrollar diagramas de flujo de documentos. El diagrama de flujo del documento debe
incluir:
• Fuentes y documento (s) fuente, por título y número de identificación, con copias de los formularios
adjunto
• Punto de origen de cada documento fuente
• Cada unidad operativa u oficina a través de la cual se procesan los datos
• Destino de cada copia de los documentos de origen
Figura 4.4 Símbolos comunes del diagrama de flujo
Símbolo Descripción
Documento manual o electrónico.
Varias copias de documentos manuales o electrónicos.
Dispositivo de entrada de datos electrónicos (por ejemplo, computadora portátil, dispositivo móvil, etc.)
Operación o procesamiento electrónico de datos que se realiza por computadora.
Manual de operación.
Datos almacenados electrónicamente en base de datos.
Indica cómo se archivan los documentos en papel. Típicamente, norte significa por número; re significa
norte
por fecha; y UN significa alfabéticamente.
Datos almacenados electrónicamente en cinta magnética (generalmente con fines de respaldo).
Indica un tipo de diario manual o libro mayor.
Indica la dirección de un documento o flujo de procesamiento.
Conector en la página utilizado para vincular los flujos de procesamiento dentro de la misma página.
Conector fuera de página para indicar la entrada o salida a otra página.
Se utiliza en un proceso para indicar un comienzo, un final o un punto de interrupción.
Se está tomando una decisión.

• Acciones tomadas por cada unidad u oficina en la que se procesan los datos (p. Ej., Preparados, registrados,
publicado, archivado, etc.)
• Controla la transferencia de documentos fuente entre unidades u oficinas para asegurar que no
los documentos se pierden, agregan o cambian (por ejemplo, verificaciones, aprobaciones, conteos de registros, totales de control, totales
aritméticos de datos importantes, etc.)
• Destinatarios de salidas informáticas
Definición de elementos de datos
El auditor debe tener una comprensión clara de los datos que se registran en la aplicación para propósitos de definición. Al definir elementos
de datos individuales, los títulos pueden ser engañosos. Por ejemplo, ¿se deriva un costo del período actual o es acumulativo? ¿El costo se
acumula o se incurre? ¿Cuáles son los componentes de un costo? Utilice nombres descriptivos al definir elementos de datos y verbos de
acción para procesos (por ejemplo, actualizar, preparar, validar, etc.). El diccionario de elementos de datos de la organización es una buena
fuente para tales definiciones. Si un diccionario de datos no está disponible, un diseño de registro puede contener las definiciones
necesarias.
Desarrollo de diagramas de flujo
Las entradas a partir de las cuales se preparan los diagramas de flujo deben incluir copias de lo siguiente:
• Descripciones narrativas de todos los principales sistemas de aplicación.
• Todos los documentos de origen preparados manualmente que afectan el procesamiento de la solicitud, así como
responder hojas de codificación e instrucciones para la transcripción de datos
• Diseños de registro para todos los principales registros de entrada y salida de computadora, archivos maestros de computadora y
archivos de trabajo (como cintas de actualización o mantenimiento de archivos y cintas de cálculo)
• Todos los productos principales producidos por el sistema de aplicación
• Listas de códigos estándar, constantes y tablas utilizadas por la aplicación
Estos documentos, junto con la información desarrollada en las tareas anteriores, deberían permitir al personal de auditoría preparar un
diagrama de flujo detallado y bien entendido.
Evaluación de la calidad de la documentación del sistema
Sobre la base de las aportaciones del usuario y del personal de TI, así como del grado de dificultad experimentado en la construcción de
un diagrama de flujo, el auditor debe poder comentar sobre la calidad de la documentación del sistema. Hay dos preguntas básicas que
responder: ¿Es precisa la documentación? ¿Está completa la documentación?
Para ilustrar, si un auditor federal estuviera examinando problemas de control en una instalación de computación de la Marina de los EE. UU.,
Él o ella podría usar la Manual de auditoría de controles de sistemas de información federal ( FISCAM) del
Oficina de Responsabilidad del Gobierno de EE. UU. (GAO). Esta publicación proporciona una base para evaluar el cumplimiento de los controles
del sistema de información con las pautas federales.
Evaluación de controles sobre documentos
Los puntos de control en los diagramas de flujo deben identificarse y evaluarse. Al revisar un diagrama de este tipo, el
auditor puede determinar si se han utilizado controles y, de ser así, resaltar
brechas, fortalezas y debilidades dentro del sistema. Los controles identificados, incluidos los controles de aplicaciones
automatizados y dependientes de TI, deben diseñarse e implementarse adecuadamente para mitigar los riesgos.
También deben evaluarse para determinar si abordan posibles errores o prevenir / detectar transacciones no autorizadas
que podrían resultar en estados financieros con errores materiales. Un ejemplo de un control común incluye la verificación
de coincidencia de tres vías entre la factura del proveedor, la orden de compra y el informe de conciliación que realiza el
sistema como confirmación antes de que se libere el pago. Otros ejemplos de controles incluyen la realización de
verificaciones y aprobaciones, así como la configuración del sistema para identificar transacciones que caen fuera de los
rangos tolerables definidos. Si se identifican estas transacciones,
Determinación de la eficacia del procesamiento de datos
El personal de auditoría debe determinar qué tan efectivo es el procesamiento de datos identificando áreas problemáticas, como las siguientes, en
el ciclo de procesamiento:
• Procesamiento redundante de datos u otras formas de duplicación

• Puntos de cuello de botella que retrasan o congestionan el procesamiento
• Puntos del ciclo operativo en los que los empleados no tienen tiempo suficiente para revisar los resultados.
informes y hacer correcciones
Tras la identificación, el auditor debe hacer recomendaciones sobre cómo abordar estas áreas problemáticas.
Evaluación de la precisión, integridad y utilidad de los informes

El personal de auditoría debe revisar los resultados clave o principales (por ejemplo, editar listados, listados de errores, control de listados
de horas, etc.) del sistema de aplicación financiera y determinar si los resultados son precisos, completos y útiles según lo previsto. El
auditor debe confirmar la exactitud, integridad y utilidad de los informes generados entrevistando a los usuarios apropiados. Una técnica
adecuada podría ser completar un cuestionario o una encuesta, quizás realizada por correo electrónico, sobre la satisfacción del usuario
con los informes de salida.
Idoneidad de las técnicas de diagrama de flujo

Cabe señalar una distinción entre el uso de diagramas de flujo en la auditoría informática y en el campo más amplio del análisis de sistemas. En
los últimos años, los analistas de sistemas han comenzado a favorecer otros métodos de modelado y documentación. Los DFD, por ejemplo, a
menudo se prefieren a los diagramas de flujo para propósitos de análisis (ver Figura 4.1). Como se indicó anteriormente, los DFD están
orientados a procesos y enfatizan los flujos lógicos y las transformaciones de datos. Por el contrario, los diagramas de flujo enfatizan los pasos y
controles del procesamiento físico. Sin embargo, este tipo de visión orientada al control es el enfoque principal del auditor. Por lo tanto, aunque
el uso de diagramas de flujo puede estar disminuyendo para fines de desarrollo de sistemas, esta herramienta de modelado sigue siendo
importante para los auditores de TI.
El diagrama de flujo no siempre es necesariamente el enfoque más práctico para el auditor. La documentación existente, incluidos
los DFD, narrativas o descripciones de programas en pseudocódigo, se puede utilizar como puntos de partida. Basado en una revisión
de la documentación existente, el auditor puede decidir
qué modelos adicionales se necesitan para obtener una comprensión adecuada de los sistemas de aplicación financiera bajo
examen.
El auditor también debe ser consciente del uso cada vez mayor de técnicas automatizadas en la preparación de diagramas de flujo. Hay
paquetes de software disponibles, muchos de los cuales se ejecutan en mainframes y microcomputadoras que aceptan el código fuente del
programa como entrada y generan diagramas de flujo terminados. Además, los paquetes de software basados en microcomputadoras ahora
disponibles pueden ayudar en la documentación o verificación de hojas de cálculo o aplicaciones de bases de datos, por ejemplo.
La técnica para la segregación departamental del procesamiento en la preparación de diagramas de flujo es importante. La
separación de departamentos (por ejemplo, Cuentas por pagar, Desembolsos de efectivo, Tesorero, Cuentas por cobrar, etc.) en
columnas verticales al crear diagramas de flujo muestra el procesamiento por función o departamento. Esta representación es útil
porque uno de los controles importantes que evalúa el auditor es la segregación de funciones dentro del sistema de contabilidad
financiera. Estructurar los diagramas de flujo de esta manera ayuda a disciplinar el pensamiento del auditor e identificar cualquier
función incompatible que pueda existir dentro de las aplicaciones financieras. Esta segregación también ayuda a documentar el rol de
TI en el inicio, autorización, registro, procesamiento y reporte de transacciones manejadas por la aplicación.
En el cuadro 4.3 se muestra un ejemplo de un diagrama de flujo para un proceso de desembolso de efectivo. A continuación, se describen los
pasos resumidos que tienen lugar en el proceso y se utilizan para crear el diagrama de flujo:
1. El proveedor envía la factura a la empresa por los servicios de consultoría empresarial.
2. La factura se envía al encargado de cuentas a pagar (A / P) de la empresa para su registro.

3. El empleado de acreedores registra manualmente la factura en el libro mayor auxiliar de acreedores.
4. Luego, la factura se envía al Secretario de Desembolso de Efectivo (C / D) de la Compañía para su procesamiento.
5. El secretario de C / D prepara un cheque para liquidar la factura, luego envía tanto el cheque como la factura al Tesorero de la Compañía.
6. El tesorero revisa ambos documentos, luego aprueba y firma el cheque. El tesorero también marca la factura como
cancelada (aquí se llevan a cabo varios controles).
7. El tesorero luego envía el cheque al vendedor y reenvía la factura cancelada al secretario de C / D para registrar el
pago o desembolso de efectivo en el diario de C / D.
8. La factura cancelada se archiva luego por número (representado como " norte ”En el diagrama de flujo).
9. Cada viernes, el secretario de C / P contabiliza manualmente los pagos del diario C / D en el libro mayor subsidiario de C / P.
Al crear o revisar los diagramas de flujo que describen los procesos de negocios, el auditor debe acumular notas para ser consideradas
para su posterior inclusión como comentarios dentro de una carta de recomendaciones para la organización o el personal de
administración del cliente. Al concluir la revisión, el equipo de auditoría informa al personal administrativo asociado con la auditoría.
Todas las partes responsables deben tener una comprensión clara de las fuentes y los procedimientos descritos en el desarrollo del
diagrama de flujo y, en última instancia, cómo se reflejan en los estados financieros sobre los que la firma de auditoría emitirá una
opinión. Al completar dicha revisión, el equipo de auditoría debería haber adquirido un entendimiento que incluye:
• Establecimiento de fuentes para toda la información contable de importancia financiera.

• Identificar los pasos de procesamiento, particularmente de los puntos dentro de las aplicaciones en los que los principales
se producen cambios en la información contable

• Determinar y comprender los resultados del procesamiento
• Analizar la naturaleza y el progreso de las pistas de auditoría en la medida en que existan y puedan ser
seguido en aplicaciones individuales
Técnicas de auditoría asistidas por computadora (CAAT)
Otro tipo de técnicas de software que se utilizan en las auditorías de TI son las CAAT. Como se mencionó en un capítulo
anterior, el Instituto Americano de Contadores Públicos Certificados emitió el SAS No. 94, "El efecto de la tecnología de la
información en la consideración del auditor del control interno en una auditoría de estados financieros". Esta SAS no cambia el
requisito de realizar pruebas sustantivas en cantidades significativas, pero establece que “No es práctico ni posible restringir el
riesgo de detección a un nivel aceptable realizando solo pruebas sustantivas”. Al evaluar la efectividad del diseño y operación de
los controles de TI, es necesario que el auditor (auditor de TI o financiero) evalúe y pruebe estos controles. La decisión de
evaluar y probar no está relacionada con el tamaño de la organización sino con la complejidad del entorno de TI.
Los CAAT pueden ser utilizados por auditores financieros o de TI de diversas formas para evaluar la integridad de una
aplicación, determinar el cumplimiento de los procedimientos y monitorear continuamente los resultados del procesamiento. Los
auditores de TI, por ejemplo, revisan las aplicaciones para comprender los controles establecidos para garantizar la precisión y la
integridad de la información generada. Cuando se identifican los controles de aplicación adecuados, el auditor de TI realiza pruebas
para verificar su diseño y efectividad. Cuando los controles no son adecuados, los auditores de TI realizan pruebas exhaustivas para
verificar la integridad de los datos. Para realizar pruebas de aplicaciones y datos, el auditor puede utilizar CAAT.
Las técnicas automatizadas han demostrado ser mejores que las técnicas manuales cuando se enfrentan a grandes volúmenes de
información. El auditor, mediante el uso de técnicas automatizadas, puede evaluar mayores volúmenes de datos y realizar rápidamente
análisis de datos para obtener una visión más amplia de un proceso. Los CAAT comunes como ACL y Extracción y análisis de datos
interactivos (IDEA) se pueden utilizar para seleccionar una muestra, analizar las características de un archivo de datos, identificar
tendencias en los datos y evaluar la integridad de los datos. Otras técnicas utilizadas para analizar datos incluyen, por ejemplo, Microsoft
Access y Microsoft Excel. Microsoft Access se puede utilizar para analizar datos, crear informes y consultar archivos de datos. Microsoft
Excel también analiza datos, genera muestras, crea gráficos y realiza análisis de regresión o tendencias. SAP Audit Management (parte
del software SAP Assurance and Compliance que viene encapsulado con SAP GRC) también agiliza el proceso de auditoría al
proporcionar alternativas rentables a las hojas de cálculo y herramientas manuales. * SAP Audit Management facilita la documentación de
pruebas y la organización de los papeles de trabajo y elaboración de informes de auditoría. Esta técnica también proporciona capacidades
analíticas para cambiar el enfoque de las auditorías de la garantía básica a proporcionar información y asesoramiento. †
Una gran parte de las habilidades profesionales requeridas para usar CAAT radica en planificar, comprender y supervisar (por
ejemplo, SAS No. 108 — Planificación y supervisión, etc.) estas técnicas de auditoría y realizar las funciones y pruebas de auditoría
apropiadas. La computadora tiene una amplia gama de capacidades. A modo de ilustración, se pueden identificar tres categorías
amplias de funciones de auditoría informática:
• Elementos de interés de auditoría
• Auditoría de matemáticas
• Análisis de los datos
*
www.complianceweek.com/blogs/grc-announcements/sap-delivers-new-audit-management-tool-for-internal- audit-teams #
.WEhtkE0zW72.
† https://www.sap.com/products/audit-management.html.
Elementos de interés de auditoría
El auditor puede utilizar la computadora para seleccionar elementos de interés, como elementos materiales, elementos inusuales o muestras
estadísticas de elementos, por ejemplo, estipulando criterios específicos para la selección de elementos de muestra, o indicando criterios relativos y
dejando que la computadora lo haga. la selección.
Un ejemplo de selección por criterios específicos podría ser una especificación de que la computadora identifica todas las
transacciones de $ 100,000 o más y prepara un informe que incluya dichas transacciones para revisión de auditoría. Sin embargo, el auditor
podría adoptar un enfoque relativo e instruir a la computadora para que seleccione las transacciones más grandes que representen el 20%
del volumen total en dólares para una aplicación determinada. Este enfoque abrevia los procedimientos de auditoría manuales porque el
auditor puede confiar en la selección de elementos de interés de la computadora. Si no se usaran computadoras, el auditor tendría que
validar el proceso de selección. Bajo los enfoques tradicionales, por ejemplo, sería común que un auditor pidiera a la organización o al
personal del cliente que enumerara todas las transacciones de $ 100,000 o más. Con la computadora, el auditor puede estar satisfecho de
que el CAAT utilizado ha examinado el universo total de partidas de cuentas por pagar, por ejemplo. La validación del proceso de selección
es inherente a que el auditor desarrolle y acepte el programa de aplicación de auditoría por computadora.
Matemáticas de auditoría
Ejecutando extensiones o zapatas puede ser un área de pago rentable para la aplicación de computadoras en auditoría, particularmente
si los cálculos se pueden realizar como un subproducto de otra función de auditoría. Por ejemplo, suponga que se utiliza la computadora
para seleccionar elementos importantes de un archivo de cuentas por cobrar. En el proceso de mirar este archivo, la computadora puede
programarse para extender y pagar todas las transacciones de facturación. Debido a la velocidad de la computadora, estos cálculos se
pueden realizar en el 100% de los elementos en un archivo sin una adición significativa de tiempo o costo para este procesamiento.
Por el contrario, las extensiones y las bases son tediosas y costosas con las técnicas de examen manual convencionales. Por
lo general, el auditor debe limitar el examen de cualquier aplicación dada a la extensión y la base de una muestra de juicio que
cubre unos pocos intervalos cortos del período bajo examen. Claramente, la confianza puede ser mucho mayor cuando estos
cálculos de verificación se realizan en archivos completos.
Sin embargo, recuerde que la computadora tiene limitaciones en esta área. Aunque se puede programar para realizar muchas
comparaciones y pruebas lógicas, la computadora no puede suplantar el juicio humano al examinar los elementos que se van a probar.
Análisis de los datos
El uso de la computadora para el análisis de datos representa una gran oportunidad de innovación por parte del auditor. La computadora
puede comparar y resumir datos y puede representar datos en forma gráfica. Los programas de análisis de datos utilizan técnicas como:
• Histogramas
• Modelado
• Análisis comparativo
Los histogramas son gráficos de barras que muestran relaciones gráficas entre estratos de datos. En la auditoría asistida por computadora, los
histogramas típicamente representan distribuciones gráficas de frecuencia de registros dentro de

archivos de información. Al representar estas relaciones en forma gráfica, los histogramas brindan al auditor una perspectiva mejorada sobre el
análisis de los estados financieros. El histograma es, en efecto, una instantánea que muestra el contenido, la composición y la distribución de
los datos dentro del sistema contable o financiero de una organización. Consulte la figura 4.5 para ver un ejemplo de histograma.
Los auditores pueden aplicar su criterio para identificar y seleccionar técnicas de prueba apropiadas utilizando histogramas. En
comparación, dada una gran colección de datos sobre los cuales no se conocen tales datos de distribución, el auditor realiza las
pruebas de forma relativamente ciega. En tales casos, el auditor no puede estar seguro de la importancia de los datos hasta que la
prueba esté bien avanzada. Con un histograma, los elementos de importancia para las pruebas se pueden identificar de antemano
porque su relación con el universo contable se enfatiza gráficamente.
El modelado es una técnica mediante la cual el auditor puede comparar los datos actuales con una tendencia o patrón como base para
evaluar la razonabilidad. Consulte el Cuadro 4.6 para ver una ilustración de un modelo de comparación. Los ejemplos de modelos comunes
desarrollados por auditores se basan en varios años de estados financieros. La computadora puede generar una pro forma Estado
financiero basado en ingresos pasados o relaciones de costos. los pro forma El estado financiero se compara con los estados financieros
reales como prueba de razonabilidad.
Ambas técnicas, histogramas y modelado, agregan nuevo contenido y dimensiones de información al proceso de auditoría
mediante el uso de la computadora. Con estos métodos, el auditor ya no está restringido simplemente a validar los datos
proporcionados por la organización o el personal del cliente. Con estas técnicas automatizadas, el auditor genera cifras o
instantáneas de datos financieros para probar la razonabilidad de las representaciones bajo examen.
El análisis comparativo, otra técnica común utilizada en el análisis de datos, es un examen de auditoría comprobado y rentable que
implica la comparación de conjuntos de datos para determinar las relaciones que pueden ser de interés para la auditoría. Consulte la Figura
4.7 para ver una ilustración de un análisis comparativo del estado de resultados.
Otros ejemplos comunes de análisis de datos utilizan la computadora para comparar archivos de inventario de los años anteriores y actuales.
Las grandes variaciones en los saldos de fin de año podrían dar lugar a revisiones por posible obsolescencia. El hecho de no coincidir con los
números de pieza de los años anteriores y actuales podría desencadenar procedimientos de prueba para determinar si se han eliminado artículos
antiguos o si se han agregado nuevos.
Empresa Producto A Histograma de ventas por región

Trimestre finalizado el 31 de diciembre de 20XX
70
60
50
Ventas (millones)
40
30
20
10
0
norte Sur Este Oeste
Región de la empresa
Figura 4.5 Ejemplo de histograma.

Empresa Producto A Modelo de comparación de ventas por región

Trimestre finalizado el 31 de diciembre de 20XX
70
60
Industria
50
Empresa
Ventas (millones)
40
30
20
10
0
norte Sur Este Oeste
Región de la empresa
Figura 4.6 Ejemplo de un modelo de comparación.
Figura 4.7 Ejemplo de un análisis comparativo del estado de resultados
Compañía XYZ
Estado de resultados comparativo
Para los años terminados el 31 de diciembre de 20X1 y 20X2 (en miles excepto porcentaje)
20X1 20X2 Aumentar Disminuir)
Cantidad Cantidad Cantidad Por ciento
Ventas $ 840.0 $ 600 $ 240.0 40,0
Costo de bienes vendidos 724,5 525 199,5 38,0
Ganancia bruta $ 115.5 $ 75 $ 40.5 54,0
Gastos de venta 52,5 37,5 15.0 40,0
Gastos administrativos 41,4 30 11,4 38,0
Gastos totales de operación $ 93.9 $ 67.5 $ 26.4 39,1
Utilidad antes del impuesto sobre la renta 21,6 7.5 14.1 188,0
Gasto por impuesto sobre la renta 10,8 2,7 8.1 300,0
Lngresos netos $ 10,8 $ 4.8 $ 6.0 125,0
El análisis de datos, fundamental para realizar las funciones de auditoría y las pruebas, debe seguir una comprensión
profunda y completa del sistema de TI del cliente (es decir, el sistema de información contable). SAS No. 109, “Comprensión
de la entidad y su entorno…”, refuerza la declaración anterior y requiere que los auditores comprendan el entorno del cliente,
que incluye sus sistemas de TI contables y financieros. Los auditores suelen emplear CAAT para comprender y examinar
este tipo de sistemas de TI.
CAAT para muestreo

Algunas técnicas de auditoría ayudan a definir el tamaño de la muestra y a seleccionarla. Por ejemplo, ACL calcula automáticamente el
tamaño de la muestra y selecciona una muestra de una población. Las aplicaciones de hojas de cálculo también generan números
aleatorios para seleccionar una muestra. Hay dos tipos de técnicas de muestreo:
• Muestreo de juicio: La muestra seleccionada se basa en el conocimiento y la experiencia del auditor.

ence. El juicio puede ser seleccionar un bloque de tiempo, una región geográfica o una función específicos.
• Muestreo estadístico: La muestra se selecciona al azar y se evalúa a través de la aplicación.

de la teoría de la probabilidad.
Ambos métodos permiten al auditor proyectar a la población. Sin embargo, solo el muestreo estadístico permite al auditor
cuantificar el riesgo de que la muestra no sea representativa de la población. El método específico seleccionado para una
muestra dependerá de los objetivos de la auditoría y las características de la población. La idoneidad del método seleccionado
debe ser revisada para fines de validez por personal estadístico o actuarial con experiencia en esta área. Además, el método
de muestreo aplicado debe revisarse y reevaluarse con el tiempo para ver si hay algún cambio en las características o
atributos de la población bajo revisión. Dos métodos de muestreo estadístico comunes son: muestreo de atributos aleatorios y
muestreo de variables.
Muestreo de atributos aleatorios y muestreo variable
El muestreo de atributos aleatorios es una técnica estadística que prueba atributos específicos predefinidos de transacciones
seleccionadas de forma aleatoria de un archivo. Los atributos para los cuales se realizan tales pruebas podrían incluir firmas, distribución
de cuentas, documentación y cumplimiento de políticas y procedimientos. Para realizar el muestreo de atributos, el auditor debe
especificar tres parámetros que determinan el tamaño de la muestra:
1. Estime la “tasa de error esperada”, o porcentaje estimado de transacciones de excepción, en la población total.
2. Especifique la "precisión" requerida, o el grado de exactitud deseado, de la conclusión de la muestra que se va a hacer.
3. Establezca un “nivel de confianza” aceptable de que la conclusión extraída de la muestra será representativa de
la población.
El tamaño de la muestra se determinará mediante la combinación de la tasa de error esperada, la precisión y los parámetros del nivel de
confianza.
El muestreo variable es otra técnica estadística que estima el valor en dólares de una población o alguna otra característica
cuantificable. Para determinar el tamaño de la muestra mediante muestreo variable, el auditor debe especificar cuatro
parámetros:
1. "Nivel de confianza" aceptable de que la conclusión extraída de la muestra será representativa de la población.
2. Valor absoluto de la “población” del campo que se muestrea.

3. “Materialidad” o cantidad máxima de error permisible en la población sin detección.
4. “Tasa de error esperada” o porcentaje estimado de transacciones de excepción en la población total.
El tamaño de la muestra se determinará mediante la combinación de los cuatro parámetros enumerados anteriormente. El Cuadro 4.8 describe
otras técnicas de muestreo estadístico comúnmente utilizadas. Nuevamente, el auditor debe estar atento a los cambios y actualizaciones de la
guía en el uso del muestreo para realizar el trabajo de auditoría. Un buen ejemplo es SASNo. 111 (Modificación de la Declaración sobre la
Norma de Auditoría N ° 39, Muestreo de auditoría). SAS No. 111 aborda los conceptos de establecer "tasas de desviación tolerables" cuando se
toman muestras de pruebas de controles, como el emparejamiento y la autorización. También define el uso apropiado del muestreo de doble
propósito.
Figura 4.8 Técnicas de muestreo estadístico
Técnica de muestreo Descripción
Número aleatorio Los elementos se seleccionan al azar de una población para que cada elemento tenga la
Muestreo misma probabilidad de ser seleccionado.
Muestreo sistemático Un método de muestreo aleatorio que comienza la muestra seleccionando un punto
(Muestreo de intervalo) de partida aleatorio en una población y luego seleccionando los elementos restantes
a intervalos fijos. Este método no debe utilizarse para la selección de una población
que tiene un patrón fijo.
Muestreo estratificado Método de muestreo aleatorio que separa a la población en grupos homogéneos
antes de seleccionar una muestra aleatoria. Este método debe utilizarse para la
selección de una población con amplias variaciones de valor.
Muestreo de conglomerados (bloque Un método de muestreo aleatorio que separa a la población en grupos similares y
Muestreo) luego selecciona una muestra aleatoria del grupo.
Muestreo de parada o marcha Minimiza el tamaño de la muestra asumiendo una tasa de error baja. Estima la tasa de
(Muestreo secuencial) error de la población dentro de un intervalo específico (por ejemplo, más o menos
número, etc.).
Muestreo de descubrimiento Comprueba si hay errores o irregularidades importantes. No debe usarse donde se
conocen condiciones anormales.
Muestreo por unidad de dólar Este método utiliza el dólar como unidad de muestreo, lo que aumenta la probabilidad de que
(Probabilidad proporcional se seleccionen valores en dólares más grandes. Principalmente detecta pagos en exceso.
medir)
Media por unidad El valor medio de una muestra se calcula y se multiplica por las unidades de la
población para estimar el valor total de la población.
Estimación de diferencias Se calcula la diferencia promedio entre el valor de auditoría y el valor contable para
una unidad de muestra. Esta diferencia luego se multiplica por la población para
estimar el valor total.
Estimación de razón La relación de la muestra al valor contable se multiplica por el valor contable de la población
para estimar el valor total.
Fuente: De Senft, S., Gallegos, F. y Davis, A. (2012). Control de tecnología de la información y

Auditoría. CRC Press / Taylor & Francis, Boca Raton, FL.
CAAT para revisiones de aplicaciones
Existe una variedad de CAAT que son útiles para auditar aplicaciones e integridad de datos. Un ejemplo de tales técnicas incluye
software de auditoría generalizado. El software de auditoría generalizado se puede utilizar para analizar la lógica y los cálculos de la
hoja de cálculo para verificar su precisión y exhaustividad, evaluar los datos producidos a partir de aplicaciones (que residen en
bases de datos) y producir diagramas de flujo de datos lógicos, entre otros. Al auditar bases de datos, por ejemplo, las técnicas
relacionadas con la minería de datos pueden buscar “a través de grandes cantidades de datos computarizados para encontrar
patrones o tendencias útiles”. * Las técnicas de minería de datos ayudan a analizar datos desde diferentes perspectivas y
resumirlos en información útil. Otro ejemplo relacionado incluye el análisis de datos (DA), o procedimientos para examinar datos sin
procesar con el fin de sacar conclusiones. La DA se utiliza en muchas industrias para permitir una mejor toma de decisiones, † DA se
diferencia de la minería de datos por el alcance, el propósito y el enfoque del análisis. La minería de datos clasifica grandes
cantidades de datos utilizando software sofisticado para identificar patrones no descubiertos y establecer relaciones ocultas. DA,
por otro lado, se centra en el proceso de derivar una conclusión (o inferir) basándose únicamente en lo que ya se sabe.
El software de auditoría generalizado permite realizar las funciones necesarias directamente en los archivos de aplicación, ya que utiliza
especificaciones proporcionadas por el auditor para generar un programa que realiza funciones de auditoría. Los auditores financieros, por ejemplo,
utilizan software de auditoría generalizado para:
• Analizar y comparar archivos

• Seleccionar registros específicos para su examen
• Realizar muestras aleatorias

• Validar cálculos
• Prepara cartas de confirmación
• Analizar la antigüedad de los archivos de transacciones
Los auditores de TI también utilizan estas técnicas de software para probar y / o documentar procesos seleccionados dentro del entorno
de TI en forma de diagramas de flujo y diagramas de flujo de datos, por ejemplo. El software de auditoría generalizado permite a los
auditores de TI evaluar los controles de las aplicaciones, así como consultar y analizar datos computarizados para pruebas de auditoría
sustantivas, entre otros. Algunos de los paquetes de software más populares incluyen Audit Analytics de Arbutus Software, TopCAATs,
CaseWare Analytics IDEA Data Analysis, Easy2Analyse, TeamMate y ACL. Todos estos son prácticamente similares en cuanto a
funcionalidad. El paquete de software ACL se describe a continuación como un ejemplo de lo que pueden hacer estas técnicas.
Lenguaje de comandos de auditoría (ACL)
ACL es un software de auditoría general que lee de la mayoría de formatos (por ejemplo, bases de datos, archivos delimitados, archivos de texto,
archivos de Excel, etc.) y proporciona selección, análisis e informes de datos. Más específicamente, ACL es una herramienta de interrogación de
archivos diseñada para ayudar en la auditoría de aplicaciones, ya que puede manejar y procesar grandes cantidades de datos. Las funciones de
ACL van desde: (1) identificar los saldos negativos, mínimos y máximos; (2) realizar muestreos estadísticos y análisis de envejecimiento; (3)
identificación de duplicados
*
www.merriam-webster.com/dictionary/data%20mining.
† http://searchdatamanagement.techtarget.com/definition/data-analytics.
o lagunas en la secuencia de pruebas; y (4) realizar uniones y emparejamientos comparativos; entre otros. Los beneficios dentro de ACL
incluyen:
• Vistas generales efectivas del formato y la estructura de un archivo
• Posibilidad de importar varios tipos de archivos de datos sin procesar
• Fácil creación de muestras de auditoría y resúmenes

• Mayor cobertura de pruebas y mayor eficiencia
• Scripts que se pueden ejecutar en períodos actuales y posteriores.
• Cuadros de diálogo para usar en aplicaciones interactivas
• Mayor comprensión de procesos y sistemas de entornos complejos

• Procedimientos manuales reducidos
Algunas de las características comunes de ACL incluyen:
• Definición e importación de datos en ACL. Definir qué tipo de organización o datos del cliente
ser utilizado con fines de análisis de ACL es uno de los pasos más importantes al utilizar ACL. Aquí, el auditor debe identificar dos cosas:
primero, la ubicación de los datos que se utilizarán; en segundo lugar, el formato y la estructura de dichos datos. Para evitar problemas al
acceder a los datos o al acceder a unidades protegidas por error, etc., es una buena práctica que el auditor solicite al personal de la
organización o del cliente que coloque los datos requeridos para el análisis en una unidad separada (por ejemplo, audi - unidad USB, CD,
disco duro independiente, etc. del tor). ACL tiene la capacidad de leer e importar datos de archivos de retorno de carro (CR) (informes de
texto sin formato donde los CR marcan el final de cada registro); bases de datos, como dBASE, DB2 y Open Database Connectivity
(ODBC) (por ejemplo, MS Access, MS Excel, Oracle, etc.); archivos planos (datos ordenados secuencialmente en filas); y archivos
delimitados (campos separados por coma, punto y coma, etc.). Otros tipos de archivos leídos por ACL incluyen archivos de informes,
archivos segmentados, archivos de longitud variable, archivos CR / Line Feed (LF), fuentes de datos con o sin diseño de archivo, archivos
de longitud fija, archivos LF, bases de datos de mainframe y múltiples archivos de tipo registro.
• Personalizar una vista. Con ACL, el auditor puede modificar la vista del archivo original que se
definido en uno que se adapte mejor al análisis de datos en cuestión. ACL también permite al auditor crear una nueva
vista o cambiar las existentes sin "tocar" los datos reales del archivo. Esto significa que los cambios en la visualización
de los datos son solo para fines de presentación y, por lo tanto, no cambiarán ni eliminarán los datos.
• Filtrado de datos. Los filtros se crean fácilmente en ACL y son útiles para un análisis y control rápidos
totales una vez que se importa un archivo. El filtrado de datos a través de ACL permite a los auditores respaldar sus pruebas y
análisis. El filtrado en ACL utiliza operadores lógicos (por ejemplo, Y, O, NO, etc.) como condiciones para generar información de
manera efectiva que coincida con un criterio específico. Por ejemplo, los auditores pueden buscar entradas de diario de contabilidad
específicas publicadas en un día festivo o fuera de horas. ACL permitiría producir dicha información basada en condiciones para su
análisis. Hay dos tipos de filtros: filtros globales y filtros de comando. Un filtro global, cuando se activa, se aplica a todos los
comandos y a todas las vistas de la tabla activa. Los filtros globales permanecen en su lugar hasta que se quitan o hasta que se
cierra la mesa. Un filtro de comando, por otro lado, se aplica a un solo comando y permanece en efecto solo hasta que ACL procesa
el comando. Los filtros se pueden nombrar, guardar,
• Análisis de los datos. Los auditores utilizan ACL para evaluar y transformar datos en información utilizable.
Los datos pueden ser de cualquier tamaño, formato y desde casi cualquier plataforma. Tanto el razonamiento analítico como lógico se
utilizan para examinar cada componente de los datos y extraer el significado incluso a partir de cantidades significativas de datos. Los
comandos de ACL en la figura 4.9 se usan comúnmente para realizar tareas analíticas de datos.
Figura 4.9 Comandos de ACL que se usan comúnmente al realizar análisis de datos
Comando ACL Descripción
Extraer Selecciona registros o campos de un archivo o tabla actual y los copia en un archivo o tabla
diferente.
Exportar Envía datos a un archivo externo (por ejemplo, base de datos, Excel, archivo de texto, etc.) para su uso fuera de
ACL.
Clasificación Ordena u organiza la tabla activa en orden ascendente o descendente según los campos clave
especificados.
Verificar Comprueba si hay errores de validez de datos en la tabla activa. Garantiza que los datos de una tabla se ajusten
al diseño de la tabla e informa sobre los errores encontrados.
Buscar Ubica el primer registro en una tabla indexada que cumple con un criterio / condición específico.
Adjuntar Agrega la salida del comando al final de un archivo existente en lugar de sobrescribir el archivo existente.
Contar Suma el número de registros en la tabla actual, o solo aquellos registros que cumplen con un criterio o
condición de prueba especificados.
Total Suma campos numéricos o expresiones en la tabla activa.
Estadístico Se utiliza en campos numéricos y de fecha para obtener una descripción general de los datos. El comando
Estadístico produce (1) recuentos de registros, totales de campo y valores de campo promedio para valores de
campo positivos, nulos y negativos; (2) valores absolutos; (3) rangos; y (4) valores de campo más altos y más
bajos.
Estratificar Permite ver una distribución de registros que caen en intervalos o estratos específicos. Es decir, cuenta
el número de registros que caen en intervalos específicos de valores de expresión o campo numérico
y calcula el subtotal de uno o más campos para cada estrato.
Clasificar Cuenta el número de registros relacionados con cada valor único de un campo de caracteres y subtotales
campos numéricos especificados para cada uno de estos valores únicos.
Histograma Proporciona una descripción general del contenido de una tabla. Específicamente, produce un gráfico de barras
verticales en 3D de la distribución de registros sobre los valores de un campo o expresión.
Años Produce resúmenes de datos antiguos (p. Ej., Clasificación de facturas pendientes)
Resumir Genera un recuento de registros y totales de valor de campo numérico para cada valor distinto de los campos de
caracteres clave en una tabla ordenada.
Examinar Determina si los campos clave de la tabla activa están en orden secuencial y detecta
Secuencia espacios, duplicados o números faltantes en la secuencia.
Busque huecos Detecta espacios en los campos clave de la tabla actual (por ejemplo, espacios en números, fechas, etc.)
( Continuado)
Figura 4.9 ( Continuado) Comandos de ACL de uso común para realizar análisis de datos
Comando ACL Descripción
Buscar Detecta si los campos clave de la tabla actual contienen duplicados en la secuencia.
Duplicados
Muestreo ACL ofrece muchos métodos de muestreo para análisis estadístico. Dos de los más utilizados son el muestreo por
registros (RS) y el muestreo por unidad monetaria (MUS), ambos creados a partir de una población dentro de
una tabla. Cada método permite el muestreo aleatorio y por intervalos. MUS extrae registros de muestra de un
conjunto de datos. MUS se utiliza normalmente si el archivo está muy sesgado con elementos de gran valor. RS,
por otro lado, trata cada registro por igual, usando un valor nominal de uno. RS se utiliza cuando los registros de
un archivo se distribuyen de manera bastante uniforme entre los datos, lo que da como resultado que cada
registro tenga la misma probabilidad de ser seleccionado. La elección de los métodos dependerá del propósito
general del muestreo, así como de la composición del archivo que se audita.
Al planificar un proyecto de análisis de datos de ACL, es importante que los auditores de TI sigan los pasos a continuación:
• Paso 1: Adquirir los datos

• Paso 2: acceder a los datos
• Paso 3: verificar la integridad de los datos
• Paso 4: analizar y probar los datos
• Paso 5: Informar los hallazgos
Paso 1: Adquirir los datos
El auditor debe conocer los datos que necesita para cumplir con los objetivos del proyecto especificado. Para ello, el auditor debe
reunir la información necesaria reuniéndose con diversas organizaciones y / o personal del cliente, incluidos, entre otros, personal
de TI, MIS y / o personal de contabilidad o finanzas para comprender los datos, su tamaño y formato. , estructura y campos de
datos obligatorios.
Paso 2: acceder a los datos
El auditor debe familiarizarse con los datos con los que está a punto de trabajar, en particular, el archivo donde se almacenan
los datos, la estructura del archivo, formato, diseño, tamaño, campos de datos, número de registros, etc. El auditor debe
evaluar los datos incluidos en el archivo para determinar qué tarea de análisis de datos se debe utilizar y qué plataforma o
entorno.
Paso 3: Verificación de la integridad de los datos
El auditor debe asegurarse de que los datos sean buenos. En otras palabras, los datos que se van a analizar deben ser válidos, precisos y
completos, especialmente cuando se trabaja con archivos de datos que no están organizados en registros. ACL proporciona herramientas
como contar, totalizar y verificar para tratar este tipo de archivos de datos.
Paso 4: analizar y probar los datos
Los datos que se analizarán y probarán pueden ser de cualquier tamaño, formato y desde casi cualquier plataforma. Los auditores utilizan ACL
para evaluar y transformar dichos datos en información significativa que puede ayudar en su proceso de toma de decisiones. Hay varios
comandos de ACL que se usan comúnmente al realizar este tipo de análisis y pruebas de datos (consulte la Figura 4.9). El Apéndice 4 también
muestra los procedimientos de auditoría de mejores prácticas cuando se usa ACL para realizar, por ejemplo, pruebas en asientos de diario de
contabilidad.
Paso 5: Informar los hallazgos
Al completar la realización de análisis y pruebas de datos, los auditores de TI deben presentar y comunicar sus resultados y hallazgos en un formato
de fácil lectura. Como parte del informe de los resultados, los auditores deben mantener los diseños de los archivos y los proyectos de ACL con fines
de respaldo y para permitir la recreación, si es necesario. Los auditores deben incluir información relacionada con ACL en los papeles de trabajo de
auditoría, que incluyen, entre otros, una copia del programa de ACL, registros de ACL / diseños de archivos y solicitudes de datos para auditorías de
años futuros.
CAAT para auditar controles de aplicaciones
Al auditar los controles de la aplicación, los auditores examinan los controles de entrada, procesamiento y salida específicos de la aplicación. Los
controles de aplicaciones también se denominan "controles automatizados". Los controles de entrada automatizados validan los datos ingresados
en el sistema y minimizan las posibilidades de errores y omisiones. Los ejemplos de controles de entrada incluyen la comprobación de: caracteres en
un campo; signos positivos / negativos apropiados; importes contra valores fijos / limitados; importes contra los límites superior e inferior; tamaño de
datos; e integridad de los datos, entre otros. Los controles de procesamiento son aquellos controles que previenen, detectan y / o corrigen errores
durante el procesamiento. Ejemplos de controles de procesamiento incluyen datos comparativos antes de que se lleven a cabo las acciones (p. Ej.,
Igualar el monto de la factura con la orden de compra y el informe de recepción, etc.), recalcular los totales de los lotes, datos cruzados para verificar
la precisión de los cálculos y garantizar que solo se utilicen los archivos correctos y más actualizados. Los controles de salida detectan errores
después de que se completa el procesamiento. Los ejemplos de controles de salida incluyen realizar conciliaciones de datos de informes (por
ejemplo, libro mayor con libros auxiliares, etc.), revisar informes para verificar su exactitud e integridad (por ejemplo, realizar comparaciones de
campos de datos clave, verificaciones de información faltante, etc.) y proteger la transferencia de datos para garantizar que los datos se transmitan
completa y adecuadamente (por ejemplo, cifrado, etc.).
Los CAAT son muy útiles para el auditor cuando evalúa los controles de aplicación relacionados con el procesamiento de transacciones.
Como se describió anteriormente, los controles relacionados con el procesamiento de transacciones se refieren a la precisión, integridad, validez y
autorización de los datos capturados, ingresados, procesados, almacenados, transmitidos y reportados. Los auditores suelen trabajar con hojas de
cálculo y / o bases de datos proporcionadas por la organización o el cliente cuando realizan sus procedimientos. Los controles de aplicación que
se encuentran en hojas de cálculo y / o bases de datos que los auditores suelen probar incluyen la verificación de la precisión matemática de los
registros, la validación de la entrada de datos y la realización de verificaciones de secuencia numérica, entre otros. Los auditores deben
asegurarse de que estos tipos de controles se implementen de manera efectiva para asegurar resultados precisos.
Controles de hoja de cálculo
Las hojas de cálculo pueden parecer relativamente sencillas debido a su uso generalizado. Sin embargo, los riesgos presentados son
importantes si se confía en los resultados de la hoja de cálculo para la toma de decisiones.
La falta de confiabilidad, la falta de auditabilidad y la falta de modificabilidad son todos riesgos asociados con un diseño deficiente de la hoja de
cálculo. Los auditores utilizan las CAAT para evaluar las hojas de cálculo preparadas por el cliente o la organización para analizar sus datos y, en
última instancia, formar opiniones. Deben implementarse controles para minimizar el riesgo de datos incorrectos y lógica incorrecta, en particular, si
se reutilizan las hojas de cálculo. Algunos de los controles clave que minimizan los riesgos en el desarrollo y uso de hojas de cálculo incluyen:
• Análisis. Comprender los requisitos antes de crear la hoja de cálculo

• Fuente de datos. Garantías de que los datos que se utilizan son válidos, fiables y pueden autenticarse
a la fuente de origen
• Revisión de diseño. Revisiones realizadas por pares o profesionales del sistema
• Documentación. Las fórmulas, los comandos de macro y cualquier cambio en la hoja de cálculo deben ser
documentado externamente y dentro de la hoja de cálculo
• Verificación de lógica. Verificaciones de razonabilidad y comparaciones con resultados conocidos
• Alcance de la formación. Capacitación formal en diseño, prueba e implementación de hojas de cálculo
• Alcance de la auditoría. Revisiones informales de diseño o procedimientos formales de auditoría
• Compromiso de apoyo. Mantenimiento continuo de aplicaciones y soporte del personal de TI
Controles de base de datos
Las bases de datos del departamento deben protegerse con controles que eviten cambios no autorizados en los datos.
Además, una vez que se implementa la base de datos, debe mantenerse en un directorio de programa separado y limitarse a
"ejecutar solo". La base de datos también se puede proteger habilitando capacidades de "solo lectura" para los usuarios para
los datos que permanecen estáticos. Los derechos de acceso deben asignarse a usuarios específicos para tablas
específicas (grupos de acceso). Las pantallas de entrada deben incluir controles de edición que limiten la entrada de datos a
opciones válidas. Esto se puede lograr teniendo una tabla de valores aceptables para los campos de datos. La precisión de
los datos también se puede mejorar limitando el número de campos de forma libre y proporcionando códigos de entrada
clave con valores de búsqueda para la descripción completa.
• Integridad referencial. Evitar eliminar valores clave de tablas relacionadas

• Integridad de la transacción. Restaurar el valor de las transacciones fallidas
• Integridad de la entidad. Cree una identificación de registro única
• Restricciones de valor. Limitar valores a un rango seleccionado
• Protección de actualización concurrente. Evitar la contención de datos
• Protección de respaldo y recuperación. Capacidad para realizar copias de seguridad de información y aplicaciones críticas y
restaurar para continuar
• Prueba de protección. Realizar pruebas a nivel de sistemas, aplicaciones y unidades.
CAAT para revisiones operativas

Anteriormente, cubrimos una serie de técnicas utilizadas para realizar tareas para respaldar la auditoría de aplicaciones. La mayoría de
estas técnicas se pueden utilizar para respaldar las revisiones operativas, así como para recopilar información sobre la eficacia de los
controles generales sobre las operaciones de TI. Sin embargo, el uso de técnicas no necesita limitarse a paquetes especializados. Los
lenguajes informáticos pueden ser útiles en
realizar pruebas operativas y recopilar información sobre la eficacia de los controles generales. Incluso las herramientas básicas como Access en
MS Office se pueden utilizar para tomar un archivo de datos importados de datos operativos (por ejemplo, información de cuentas de usuarios y
accesos a archivos, derechos sobre el número de accesos a archivos, etc.), realizar análisis en el archivo (histogramas, frecuencias, resúmenes), y
luego mueva los datos a MS Excel y muestre visualmente la información para la administración o incluso pronostique las tendencias con respecto a
la carga de trabajo, el crecimiento y otras áreas operativas de TI.
El enfoque de una revisión operativa es la evaluación de la eficacia, la eficiencia y el logro de objetivos relacionados con las operaciones de
gestión de los sistemas de información. Los pasos de auditoría básicos en una revisión operativa son similares a las auditorías de TI o las
auditorías de estados financieros, excepto por el alcance. Las actividades específicas en una revisión operativa incluyen:
• Revisar las políticas operativas y la documentación.

• Confirmar procedimientos con personal gerencial y operativo
• Observar funciones y actividades operativas
• Examinar planes e informes financieros y operativos
• Prueba de precisión de la información operativa
• Probar controles operativos
Auditoría en la computadora versus auditoría a través de la

computadora
Puede haber situaciones en el entorno de TI en las que auditando alrededor de la computadora o "enfoque de auditoría de caja
negra" puede ser más adecuado que auditando a través de la computadora cuando las aplicaciones automatizadas son
relativamente simples y directas. Cuando actua auditando alrededor de la computadora, el auditor obtiene los documentos fuente que
están asociados con transacciones de entrada particulares y los reconcilia con los resultados de salida. Por lo tanto, se extrae la
documentación de respaldo de la auditoría y se llegan a conclusiones sin considerar cómo se procesan las entradas para
proporcionar resultados. Desafortunadamente, SAS No. 94 no elimina el uso de esta técnica. La mayor debilidad del auditando
alrededor de la computadora El enfoque es que no verifica ni valida si la lógica del programa de la aplicación que se está probando
es correcta. Esto es característico del auditando a través de la computadora enfoque (o el "enfoque de auditoría de caja blanca").
los auditando a través de la computadora El enfoque incluye una variedad de técnicas para evaluar cómo la aplicación y sus
controles integrados responden a varios tipos de transacciones (anomalías) que pueden contener errores. Cuando las auditorías
implican el uso de tecnologías avanzadas o aplicaciones complejas, el auditor de TI debe recurrir a técnicas combinadas con
herramientas para probar y evaluar con éxito la aplicación. Este enfoque de auditoría es relevante dado el aumento significativo de la
tecnología y su impacto en el proceso de auditoría. Las técnicas más comúnmente utilizadas incluyen instalación de prueba
integrada, datos de prueba, simulación en paralelo, módulo de auditoría integrado, archivo de revisión de auditoría de control de
sistemas (bufanda) y etiquetado de transacciones. Nuevamente, muchas de estas técnicas deben integrarse en la aplicación para
que las utilicen los auditores y el personal de seguridad de la información. Estas técnicas proporcionan auditoría y evaluación
continuas de la aplicación o los sistemas y brindan a la gerencia y al personal de auditoría o seguridad garantías de que los controles
están funcionando según lo planeado, diseñado e implementado. Estos se describen, con sus ventajas y desventajas, en el cuadro
4.10.
h st m sa mi mi
h ie re
e fr mi
bs fi norte
mi
le es eso
re
fe
rs, acco discos compactos
.C
B t ym sistema s ap sa
o ve ol oa norte T
rr t o io ee un comopags lo tu ech
nortery Rhode Island th n xt se
soy un se ea s es h th licatio catioeb re
mi C California mc du
nortegramooe rvicets va a a
en d ialp
o es
l
mi norte
o
neumáticofi yo tu a . Pi vale
iq
o norte tapa te gs tu co nortert
re ns
Nueva Hampshire gramo yoen
m - tu
ts Delaware ao mi h nortemetros
ly
a tp el ,
eo artescomo
th sde bellas pf Rio
itw un pags
w a tio es
fo real academia rb j
Nuevo Testamento
páginas re
o m ce ath tu ro e d th re o con il s norte fo
r ls es d ch icl ro re se yt
mi te o
es
Carolina del decir
Norte AV
norte
, como
fi re norte yo nosotros r
xtre a
norte
Cra tran e ti vp ti au le es v C
nn ov Arkansas carné
o yode identidad re un o th h ir
su tt p ue lo o
id eC nn ito stru fa mi metro
metropagser sa s es sg actu lo
segundo
tr t tr s .t rs co ar n pags
mi pagsentonces mi
ti g Te fi gm tu
co o nr
mi tc ao como es ctu
ctitio metromi
rtth norteio nortet s St
nordeste poderalo ter
g am su nortese Sierra tt real academia de bellas artes re
pags-sn
e
norte
re es , s como
ConnecticutC tyo un
re
su pags
un Connecticut
como PAGS
itio es ea sp metroti h th
yo yo sa de reserva
ejército mi
a tu y le w ro
mi sí oo
s
te sp acceco o ,oyoth
segundo
ratin
sp norte noroeste nn ordenador personal metro r gramo
norte
ch el re segundoen th S t rt ni
te n ic mi mi sh o io eso metro en
norteti a Educaciónélfísica vn gramo en un
stin
iq a
re
tu o id s pags pags
li. o o a un mi s
tu norter
t. tu ea
gramo ld r y
mi , Automóvil club británico
.
R METRO S aa (b Ex re
yo pPa mi te im es o re
exbae re es kei st ph r enccn mi mis
o rs p pagsnorte h norte C
ce tu dup v
th tc d estoy
mentir t al a lt riee ig
iv ic yo
mesfn tl gramo
o, yo re onl iq a r
aei mh -t lo norte
dh fitf en ea ti anuncio l Nueva Hampshire ns mi
ta auedeii mi pagsre
norte
. e cu s ld yo
su ee X se. n C un
det reserva
metro
(rl
re clo actio d tr ejército
sei
o fr n tu eres sp a pags usar en nortea
) et bt correos s mi pags . mi en pd.
yo y mi a ti (r li (D
ic t rt re ee q t t
rd tu n / A) ti s nao l h
mi mi fh ts
o
tg s s soy) t hnu. (
dt h mi . o AV yo ri A ) e re
ue tee
h re eo r rmi ( yo dm tio re tre ap isad UN
re tod re
cr eo. ( F q monja tu en
estoy ag ) e l sm a pags Virginia
norte ar A
pg un )
ct nun tu ts,
yo
t mi t licatio camioneta
Ginebra ira f tb h mi yo te
norte
re pn ti y s Dakota bellas artes etiqueta
mi deldeNorte
real academia
mi li yo hz re ae se
liSi cz Automóvil club británico na ri n ts s etiqueta
mi
a Automóvil clubtbritánico
ti t ddsek t sa) ig
bh tt
ii ao norte o tu en
norte
norte
mi
s
es decir oo co o ru re qo pags
cti
tt re s (UN
lity co nn
mu fd o Oh tu (RE )
,o pr norte yo
norte rin
hora yc o en yo n el ) /
op te
ve th s
fy pagswh Antiguo Testamento
o li St ey ruls de au
gramo
th fe th dp
mi
oa pd sistema
ee Tennesse
ht re o
e ro vc un eet r norteplo
televisión el ed un tun si gramo olmyo
(C ei huevoen
Dakota del
Rhode Island
, eSur t
un ffe n
un t catioo metro
o te re tt en norte un re
norte es e th yo
z F tu
estaño es
metro ct de un
F
en le
sí triste t
yo
C s
tu en un o t
mi fd ta norte
re
)
t como urnrsgaio yo, e oul
te s
re
tu p tr u ss esegehs th zt
le s. ea. Fo og su th d au m dtel s. r
mi ri enos cu h itv
oencso mi asistió
d en
Carolina del Sur ro llamada de socorro
tu
t
h es tu r lt ea quinta re
a saa lt perro tc cp mi
g A ee mi
tl) u mi pos r vale
yo
s
h re hn su rid in oo to ifi auyge UN
aw yo mi
rs cll
un nene neolr atio urp tu
re taza ta -ltt hsnmavd tio re
re alu tebs am ar mi eso
mi nd rp te io ve fr roha io rs e dsa te
re bu mi
o nlwm sa kni o . norte T
mi sna en T ech
t
o e ti se co hm
c li la A
th onz sfl oaa ye ta ta
kh rw
en sesiónIa norte
mi yo , Iniciar eeeap syeo en te iq
sb un fhnsm s ap r yo G
un pags o s p am ap mi norte tu
pags aaomtwuscHola ng d la cu pi n/A es
pags re es gerestt Ho la CEE
licatio d in o th (V eftp ft C ute reclc
li an fo
mi sobredosis mi
ouw ebap , pags
udtid at se o r
va tarsdo paur sahnb io t C
en te e a ynof tw o
norte iig un uf
lsr
iaeoc o metro
tu dn c, a ra mg th a
Naciones Unidas
norte anuncio e SQ r dd pags
re te s a se th es e tu
mi s L o ter
r th , mi rs
mi yo
r PAGS
ro
gramo
R Le ra T Ext ( UN R
sp sc al yo h pagstu en tu m isk
lsmph iv es nordeste ro pagse A te re en
er mi o
ee mi tko ro g
ra odgh ce n) rve ti s
dn , lkde
oscm nortea o soy ofd
nortefu ssin th r
o sdlrafao le fto norteo Alabama. yo
f en aieasenlb un xd mi tio segundo
pg cs. metroD mup e ce d tain S s
ro a tiorup) en d gramoco
ir
segundo w norte mu pags
c lg g a ieftd
Nuevo Testamento rfdete mi
metroh
para
eo pecado en pagsich s Utahliun
sr t
os serictien
amd o
si wg vf gramole metrotu tg re
eso jefe re io o
Nueva Hampshire e re eoo sim xity mi o tp nr isad UN
gm ul q qnrd xp re
. (, li sig uueau rg tu Virginia
Delaware
norte tu o mi
dg un
D eso bt n ir isn le un estaño norte
o camioneta
norte
rtise
tardequinto
ed ers e. Automóvil club británico ei etiqueta
) lata an kd (A ly l sl izatiofo sz
sa etiqueta
re ni) io
t
ua SO re mi rm n en mi
sig
segundo o s
una s . o es o io s
yo
mw C mi
jm
nortemi un o (UN rg re
Tennesse
norteatio af o s (UN
y pl d au
si yo Connecticut o un q o fe r (RE )
len td r
podereb eds oi tu r norte
cc ) /
mg id re izatioira
ao t
Delaware clie
re tl
ah eee ss r ) ira tarta
tly nar mi
es t
re
norte rn
tS.S
ig Tennessere ss o nortere
Antiguo Testamento
tp ctly discos compactos
cariño Dakota del Sur
(C e. th sm o mi ea
mB cm r pags mi ss ta
o ctth suplirIllinois o
las deficiencias mi rso w
norte oficina ls iure No clie norte
con
en yo
estaño da Tennesse
ro ito
re
norte gs
uu En m nortes norteo .
tu mi ls
ee lr es mi tu (UN
mi es
a l. t )
re
)
mi w te u te o eso
re re sactio lR
pagspagsnorte un r rit s um r le e
una visa licatioro liab gramo f, yp C asistió
th o , re o
ro r si
ce representante en tv
un
re ilidadre norte mi et w re
ss xam nortecoepe
rts re mi
norte tu mi th sic .) F
. gramo segundo sto ce
C yo ile vale
metroo h tu o
F ro o UN
en sfoo
o h th r quinto
gramo trapo tu pags fdc n fi ( tu
re fu gramo atio UE tio re
tu un mi nortemi mi h cn tw uait tr S C eso
ia s re o an Ayo
le re ap ctio ap a th norte ns R
norte T
(2012). En lista tu ech
s lin pags . th sa F
fo pagssus mi Alabama
un licatio
rm gramo nortelicatio ap s aoc)r ti es
re tu ,w o pags cti cuento en
California norte
atio tu un n/A
correos iq
co norte sn
tu h tp licatio nortevi
tu
re su norteich nortetu co ty rt te oo es
norte mi . T . r t
T . Altranh poderS tt lle osrph mi fo
mi o norte rdn mi s ro r
ch es mesv ctd yo
ts. r
mamá ee
para mi T cr mi C
norte mi un
m igNueva Hampshire
o sactioAlabama
rificar
metro un o
lo y lo ta sa es ss l- metro
w
segundo en s
gramo mi
th totme
o ue tim pags
y pags tu
C norteao norte mi tu lo otd ay el un ter
s mi t, segundo
o es
novia et
norte PAGS
tro ro
gramo
lan R mi A UN
mi sp soy h es thachas llo ag ti
hm CR es dn xp unaaE
Virginia yo pn o r ap l l
mi pagsG k gramo mi o
re
lucl h
un
w tr s eepo w
UN mineral
a epnkna s
ial mi
comió fd tp
es s s m le tr o California
tu m. C au
un
tu
re
re mi o sr o bmofop rt o ei en norte
re
eso. C re
mi norteni el ehmi re t re
sactio eeldtp es f li
filca es eoiti
. dns m si r fa mi
sig te tr tu ito
(RE pags
t qo F dt pti Connecticut
oees rrn a
R hacerls tr tu un rs
una ira eeuu re s broncearse qsy trs
C ) norte
yo Connecticut
norte re ic
Tennesse
un tom norte tu ts
saco a s a transmisión exterior ott eo
egu ys ts
PAGS tio gramo
re id u d iv para tu ryo yo re
C lo di dao un mi
h
norte s
mi tittile io dt es un
ss / T
un
o corbata
gramo mtedrl te
yo eam anuncio
re tuberculosis nortenortecomo rneg mnb mi dv
re si e t d. allo segundootqadm a t, Virginia
aylo
y adr mi d (A mi tu si una un ae. re ( co a
re un
mi
re un re ata co s) gramo ty a iz norte m A Nuevo Testamento
quinto en ata. ejército de reserva
r a dq nordeste pags en
io D d eb) lu ld ag
Y mi norte enet y ) Dakota mi mi ge
um rd ciald mi sdl
. (rdn
ci
del Norte es
Fran th re
un sí
. en su tt s(
mi m te (RE tran gramo D emeo un Dr o (D)
UN
a rojo tu au
tr o ly b) ) osr yo ta t )/
mi
cis, B un v mi
sig sactiomi vgc tt
h
yo yo
ed en li mi en mi
mi metro norte o o
sacoth se
norte re diez
hdt se u
nortes
o e ig re atio . ea ei norte
California ti iu norte(UN ata r
t
yo v t
o Tennesseem s ) fin o norte mi
ag
norte fd ue No
R norte re o fe
ts ejército de reserva
ato o un a
segundo (o r Connecticut
es
en en sn
mi rn h t
h
en re r s yo G
et o
norte o s un
, gramo F h t
.
FL.
Herramientas de informática forense
La informática forense es el examen, análisis, prueba y evaluación de material informático que se lleva a cabo para proporcionar información
relevante y válida a un tribunal de justicia. Las herramientas informáticas forenses se utilizan cada vez más para respaldar la aplicación de la
ley, la seguridad informática y las investigaciones de auditoría informática.
Una buena fuente para evaluar las herramientas informáticas forenses es el sitio web del proyecto Computer Forensics Tool Testing
(CFTT) en www.cftt.nist.gov/. CFTT es un proyecto conjunto del NIST, el Instituto Nacional de Justicia (NIJ) del Departamento de Justicia
de EE. UU., La Oficina Federal de Investigaciones (FBI), el Laboratorio de Informática Forense de Defensa (DCFL), el Servicio de
Aduanas de EE. UU. Y otros Desarrollar programas para probar herramientas informáticas forenses utilizadas en la investigación de
delitos que involucran computadoras.
Una herramienta recientemente revisada por CFTT fue EnCase Forensics de Guidance Software, Inc. EnCase habilita
investigaciones forenses informáticas “no invasivas”, lo que permite a los examinadores ver archivos relevantes, incluidos archivos
“eliminados”, archivos sueltos y espacio no asignado. Otros recursos valiosos para la experiencia en el uso de herramientas
informáticas forenses serían aquellas asociaciones u organizaciones profesionales que apoyan esta área. Algunos de ellos serían la
Asociación Internacional de Investigadores de Crímenes de Alta Tecnología, la Asociación de Examinadores de Fraude Certificados, el
Instituto de Auditores Internos, el Grupo de Trabajo sobre Delitos Electrónicos del Gobierno Federal, el Laboratorio Regional de
Informática Forense del FBI y el Coloquio para la Educación en Seguridad de Sistemas de Información. Tenga en cuenta que al aplicar
herramientas informáticas forenses, se debe conocer la metodología, procesos, y procedimientos que deben seguirse para asegurar
que la evidencia se pueda recopilar con éxito, documentar y no contaminar como material probatorio que podría utilizarse en la corte.
Un recurso excelente aquí es la publicación del Departamento de Justicia de EE. UU., Procesamiento de delitos informáticos
(2ª edición) publicada en 2010, así como información proporcionada por la Asociación de Investigación Criminal de Alta
Tecnología (www.htcia.org).
Conclusión
La continua evolución de la TI ha puesto las funciones avanzadas (software) en manos de los auditores de TI para que las apliquen en
apoyo de la conducción, documentación y ejecución del proceso de auditoría. Estas herramientas y técnicas de software permiten al
auditor aplicar enfoques innovadores para validar procesos a nivel de aplicaciones.
Las herramientas de productividad del auditor, por ejemplo, incluyen software para automatizar la función de auditoría e integrar la información
recopilada como parte del proceso de auditoría. Estas herramientas permiten a los auditores reducir la cantidad de tiempo dedicado a tareas
administrativas. Las técnicas de documentación de sistemas también son muy comunes y se utilizan principalmente para documentar y probar
sistemas de aplicaciones, procesos de TI y su integración en el entorno de TI. Los diagramas de flujo, el diagrama de flujo de datos y los diagramas
de procesos comerciales son buenos ejemplos de técnicas de documentación del sistema. Por último, los CAAT ayudan a los auditores a evaluar
los controles de la aplicación y a seleccionar y analizar datos computarizados para pruebas de auditoría sustantivas.
Los CAAT pueden ser utilizados por auditores de TI y / o financieros, de diversas formas, para definir el tamaño de la muestra y
seleccionar muestras, determinar el cumplimiento de los procedimientos y monitorear continuamente los resultados del procesamiento. Los
auditores de TI, por ejemplo, utilizan los CAAT para revisar las aplicaciones con el fin de comprender los controles establecidos para garantizar
la precisión y la integridad de la información generada.

Los auditores utilizan software de auditoría generalizado (un tipo de CAAT) para evaluar la integridad de las aplicaciones. El
software de auditoría generalizada permite a los auditores analizar y comparar archivos, seleccionar registros específicos para su
examen, realizar muestras aleatorias, validar cálculos, preparar cartas de confirmación y analizar la antigüedad de los archivos de
transacciones, entre otros. Algunos de los software de auditoría generalizados más populares incluyen Audit Analytics de Arbutus
Software, TopCAATs, CaseWare Analytics IDEA Data Analysis, Easy2Analyse, TeamMate y ACL. Todos estos son prácticamente
similares en cuanto a funcionalidad.
El paquete de software ACL, descrito en este capítulo, es una herramienta de interrogación de archivos diseñada para leer datos de la mayoría
de los formatos (por ejemplo, bases de datos, archivos delimitados, archivos de texto, archivos de Excel, etc.) y para proporcionar selección, análisis
e informes de datos. ACL maneja y procesa grandes cantidades de datos para identificar saldos negativos, mínimos y máximos; realizar muestreos
estadísticos y análisis de envejecimiento; identificar duplicados o lagunas en la secuencia de pruebas; y realizar uniones y combinaciones
comparativas.
Los CAAT también se utilizan al realizar revisiones operativas y como herramienta forense informática. Una revisión operativa se centra
en la evaluación de la eficacia, la eficiencia y el logro de objetivos relacionados con las operaciones de gestión de sistemas de información.
Como herramienta informática forense, los auditores examinan, analizan, prueban y evalúan el material informático para proporcionar
información relevante y válida a un tribunal de justicia. Las herramientas informáticas forenses se utilizan cada vez más para respaldar la
aplicación de la ley, la seguridad informática y las investigaciones de auditoría informática.
1. ¿Qué son las herramientas de productividad de auditoría? ¿Cómo ayudan a los auditores?
2. ¿Qué son los CAAT y qué beneficios brindan a los auditores de TI?
3. Describa las siguientes técnicas de documentación del sistema que se utilizan comúnmente para comprender los sistemas de aplicaciones
financieras:
a. Diagramas de flujo de datos
segundo. Diagramas de procesos comerciales
C. Diagramas de flujo
4. Enumere los pasos necesarios en el desarrollo de diagramas de flujo.
5. Se sabe que los CAAT ayudan a los auditores a definir el tamaño de la muestra y seleccionar una muestra con fines de prueba. Describa dos
técnicas utilizadas por los CAAT para definir el tamaño de la muestra y seleccionar la muestra.
6. ¿Qué es el software de auditoría del lenguaje de comandos de auditoría (ACL)? Enumere los beneficios que brinda.
7. Explique los cuatro pasos a seguir al planificar un proyecto de análisis de datos de ACL.
8. Los controles de hoja de cálculo son un tipo de controles de aplicación que utilizan los auditores. Enumere y describa cinco controles clave de
la hoja de cálculo.
9. ¿Cuál es el énfasis o el enfoque de una revisión operativa? Enumere las actividades específicas al realizar una revisión
operativa.
10. ¿Qué es la informática forense? ¿Qué admiten las herramientas forenses informáticas? ¿Cómo cree que las herramientas forenses
informáticas pueden ayudar al auditor de TI?
Ejercicios
1. Enumere y describa tres categorías amplias de funciones de auditoría de computadoras que utilizan los profesionales de TI para respaldar la
auditoría de una aplicación. Explique su aplicación.

2. Usted es un auditor senior de TI y tiene una reunión de planificación con sus dos miembros del personal. La tarea en cuestión es un
proyecto de análisis de datos de ACL para el cliente. Enumere y describa los pasos que usted y su equipo deben seguir para
entregar un proyecto exitoso.
3. Diferenciar entre "auditar alrededor de la computadora" y "auditar a través de la computadora".
CASO: PROCESO DE GESTIÓN DEL CONTROL DE CAMBIOS
VISIÓN GENERAL: Un proceso de gestión de control de cambios es un método que define, evalúa y aprueba formalmente los
cambios de la aplicación antes de su implementación en entornos de producción o en vivo. El proceso incluye varios
procedimientos de control para asegurar que los cambios implementados causarán un impacto mínimo en los objetivos de la
organización. Estos procedimientos implican la presentación de solicitudes de cambio, la determinación de viabilidad,
aprobación e implementación. A continuación se describen los roles y procedimientos típicos que se llevan a cabo en un
proceso de gestión de control de cambios.
ROL: SOLICITUD DE CAMBIO

El Solicitante de cambios identifica un requisito de cambio en la aplicación (por ejemplo, actualizaciones a nuevas ediciones, etc.).
El Solicitante luego prepara un Formulario de Solicitud de Cambio (CRF), que incluye una descripción del cambio, análisis de
costos y beneficios, impacto, aprobaciones y cualquier otra documentación de respaldo que se considere necesaria. Luego, envía
el CRF al gerente del proyecto para que lo revise más a fondo.
ROL: GERENTE DE PROYECTO
Al recibirlo, el Gerente de Proyecto revisa el CRF y determina si se requiere información adicional para que la
Junta de Control de Cambios evalúe el impacto total del cambio en términos de tiempo, alcance y costo (es
decir, factibilidad). La decisión se basa, entre otros, en factores como:
• Número de opciones de cambio presentadas
• Viabilidad y beneficios del cambio

• Riesgos e impacto para la organización
• Complejidad y / o dificultad de las opciones de cambio solicitadas
• Escala de las soluciones de cambio propuestas
Si el Gerente de Proyecto determina que el cambio es factible, registrará el CRF en el registro de cambios por número
y hará un seguimiento de su estado. Luego, el Gerente de Proyecto envía el CRF a la Junta de Control de Cambios.
Por otro lado, si el CRF no se considera factible, el Gerente de Proyecto cerrará el CRF.
PAPEL: CAMBIAR TABLERO DE CONTROL
Una vez recibido, la Junta de Control de Cambios revisa el CRF y cualquier documentación de respaldo proporcionada por el
Gerente de Proyecto. La Junta de Control de Cambios representa un organismo autorizado que es en última instancia responsable
de aprobar o rechazar los CRF con base en análisis relevantes (es decir, viabilidad).
Después de una revisión formal, la Junta de Control de Cambios puede:
• Rechazar el cambio (las razones del rechazo se notifican al Cambio

Solicitante)
• Solicite más información relacionada con el cambio
• Aprobar el cambio según lo solicitado o sujeto a condiciones específicas
Una vez aprobado, la Junta de Control de Cambios envía el cambio y cualquier documentación de respaldo relacionada al
Equipo de Implementación.
PAPEL: EQUIPO DE IMPLEMENTACIÓN
El equipo de implementación programa y prueba el cambio aprobado. Si los resultados de la prueba no son satisfactorios, el
cambio y toda la documentación de respaldo relacionada se devuelven para volver a probar. Si los resultados son exitosos, el
equipo de implementación implementa formalmente el cambio y notifica al solicitante del cambio.
TAREA: Prepare un diagrama de flujo que describa el proceso de gestión del control de cambios que se acaba de describir.
Asegúrese de separar los roles (es decir, Solicitante de cambios, Gerente de proyecto, Junta de control de cambios y Equipo de
implementación) en columnas verticales al crear el diagrama de flujo para ilustrar los procedimientos realizados en el proceso. Esta
representación es útil para que los auditores evalúen la segregación de funciones e identifiquen funciones incompatibles dentro del
proceso.
Otras lecturas
1. AICPA. Análisis de auditoría y auditoría continua: mirando hacia el futuro, www.aicpa.org/ InterestAreas / FRC /
AssuranceAdvisoryServices / DownloadableDocuments / AuditAnalytics_ LookingTowardFuture.pdf (consultado en agosto
de 2017).
2. AICPA. (2007). Consideraciones de tecnología de la información en la auditoría basada en riesgos: una descripción estratégica,
Principales iniciativas tecnológicas. Nueva York: Instituto Americano de Contadores Públicos Certificados (AICPA).
3. Barbin, D. y Patzakis, J. (2002). Ciberdelincuencia y medicina forense. IS Control J., 3, 25-27.
4. Bates, TJ (2000). Pruebas informáticas: problemas recientes. Inf. Segundo. Tech. Reps., 5 (2), 15-22.
5. Braun, RL y Davis, HE (2003). Herramientas y técnicas de auditoría asistida por ordenador: análisis y perspectivas. Gestionar.Auditar.J., 18
(9), 725–731.www.emeraldinsight.com / doi / full / 10.1108 / 02686900310500488
6. Cerullo, VM y Cerullo, MJ (2003). Impacto de SAS No. 94 en técnicas de auditoría informática. ES
Control J., 1, 53–57.
7. Sitio web del proyecto Computer Forensic Tool Testing (CFTT), Instituto Nacional de Estándares y Tecnología, www.cftt.nist.gov/
(consultado en marzo de 2017).
8. Deloitte, LLP (2014). ACL para auditores. Documento interno inédito.
9. Deloitte, LLP (2014). Documentos de trabajo de planificación de auditoría de TI. Documento interno inédito.
10. Diez consideraciones de TI clave de EY para la auditoría interna: evaluación de riesgos de TI y planificación de auditoría efectivas.
(Febrero de 2013). Insights on Governance, Risk and Compliance, www.ey.com/Publication/ vwLUAssets /
Ten_key_IT_considerations_for_internal_audit / $ FILE / Ten_key_IT_considerations_ for_internal_audit.pdf
11. Gallegos, F. (2001). WebMetrics: herramientas de auditoría asistidas por computadora, Serie de auditoría EDP, # 73-20-50,
Editores Auerbach, Boca Raton, FL, págs. 1-16.

12. Gallegos, F. (2002). Computadoras personales en auditoría de TI, Auditoría de EDP, # 73-20-05, Auerbach
Publishers, Boca Raton, FL, págs. 1-7.
13. Guidance Software, Inc., EnCase Enterprise, Pasadena, CA, www.guidancesoftware.com (consultado en septiembre de 2016).
14. Heiser, J. y Kruse, W. (2002). Informática forense: aspectos básicos de la respuesta a incidentes, Addison-Wesley,
Reading, MA.
15. Conceptos básicos de auditoría de SI. El proceso de auditoría de los sistemas de información, www.isaca.org/knowledge-center/
itaf-is-assurance-audit- / pages / is-audit-basics.aspx (consultado en julio de 2017).

16. James, H. (2011). Auditoría de tecnología de la información, 3.a edición, South-Western Cengage Learning,
Nashville, TN.
17. Kaplin, J. (junio de 2007). Aproveche Internet. Auditor interno. Instituto de Auditores Internos, Lake
Mary, FL.
18. Kneer, DC (2003). Garantía continua: estamos muy atrasados. IS Control J., 1, 30–34.
19. Laudon, KC y Laudon, JP (2014). Sistemas de información de gestión: gestión de lo digital
Firma, 13ª edición, Pearson, Upper Saddle River, Nueva Jersey.
20. McCafferty, J. (2016). Cinco pasos para planificar un programa de auditoría de TI eficaz. Instituto de Formación MIS,
http://misti.com/internal-audit-insights/five-steps-to-planning-an-effective-it-audit-program
21. Otero, AR (2015). Una metodología de evaluación del control de la seguridad de la información para la información financiera de las organizaciones. En
t. J. Acc. Informar. Syst., 18 (1), 26–45.
6 (3), 841–849.
23. Otero, AR, Tejay, G., Otero, LD y Ruiz, A. (2012). Una evaluación de control de seguridad de la información basada en lógica difusa
para organizaciones, IEEE Conference on Open Systems, Kuala Lumpur, Malasia.
24. Otero, AR, Otero, CE y Qureshi, A. (2010). Evaluación de múltiples criterios de controles de seguridad de la información utilizando características
booleanas. En t. J. Network Secur. Appl., 2 (4), 1–11.
25. Richardson, VJ, Chang, CJ y Smith, R. (2014). Sistemas de información contable, McGraw Hill,
Nueva York.
26. Romney, MB y Steinbart, PJ (2015). Sistemas de información contable, 13a edición, Pearson
Educación, Upper Saddle River, Nueva Jersey.
27. Sarva, S. (2006). Auditoría continua mediante tecnología de apalancamiento. Inf. Syst. Assoc de Control de Auditoría.
J., 2, 1–20.
28. Sayana, SA (2003). Uso de CAAT para respaldar la auditoría de SI. IS Control J., 1, 21-23.
30. Singleton, T. (2006). Software de auditoría generalizada: herramienta eficaz y eficiente para las auditorías de TI actuales.
Inf. Syst. Assoc de Control de Auditoría. J., 2, 1-3.
31. Oficina de contabilidad general de EE. UU., Evaluación de la confiabilidad de los datos procesados por computadora, https: //
digital.library.unt.edu/ark:/67531/metadc302511/ (consultado en noviembre de 2016).

Capítulo 5
Gobierno y estrategia de TI
1. Describa el gobierno de TI y explique la importancia de alinear la TI con los objetivos comerciales.

2. Describa los marcos de gobierno de TI relevantes.
3. Explique la importancia de implementar métricas de desempeño de TI dentro de la organización, en particular, el Cuadro
de Mando Integral de TI. Describa los pasos para crear un Cuadro de Mando Integral de TI e ilustre un ejemplo de apoyo.
4. Discutir la importancia del cumplimiento normativo y los controles internos en las organizaciones.
5. Definir la estrategia de TI y discutir el plan estratégico de TI y su importancia para alinear los objetivos comerciales con TI.
6. Explique qué es un Comité Directivo de TI y describa sus tareas en una organización.

7. Analice la importancia de una comunicación eficaz de la estrategia de TI a los miembros de la organización.
8. Describa los procesos de gobierno operativo y cómo controlan la entrega de proyectos de TI, mientras se alinean con los
objetivos comerciales.
El gobierno de TI ha adquirido mayor importancia en muchas organizaciones. Basado en la quinta versión de los Objetivos de
Control para la Información y Tecnologías Relacionadas (COBIT), la gobernanza “asegura que las necesidades, condiciones y
opciones de las partes interesadas se evalúen para determinar los objetivos empresariales equilibrados y acordados que se deben
lograr; establecer la dirección mediante la priorización y la toma de decisiones; y monitorear el desempeño y el cumplimiento con
la dirección y los objetivos acordados ”. * Con la globalización de muchas industrias y mercados financieros, las economías
desarrolladas y en desarrollo están reconociendo la importancia de una gobernanza y controles efectivos para el éxito de las
organizaciones. La Ley Sarbanes-Oxley de 2002 (SOX) y el Comité de Organizaciones Patrocinadoras de la Comisión Treadway
(COSO) (ambos de los Estados Unidos), así como el Código Combinado de Gobernanza en el Reino Unido y los Principios de
Gobierno Corporativo de la Organización para la Cooperación y el Desarrollo Económicos en Europa, todos han establecido el
estándar para el gobierno corporativo. Para TI, COBIT se ha convertido en el estándar global de gobernanza y controles. COBIT
proporciona un marco para implementar controles de TI para cumplir con SOX
*
www.isaca.org/cobit/pages/default.aspx.
133
y otros estándares de gobernanza global. Las organizaciones de todo el mundo están utilizando los principios definidos en COBIT
para mejorar el rendimiento de TI. Una estrategia es una visión formal para guiar en la adquisición, asignación y administración de
recursos para cumplir con los objetivos de la organización. Una estrategia de TI, por ejemplo, es parte de la estrategia corporativa
general para TI e incluye la dirección futura de la tecnología en el cumplimiento de los objetivos de la organización. El gobierno de TI
proporciona la estructura y la dirección para lograr la alineación de la estrategia de TI con la estrategia comercial. La estrecha
alineación de la estrategia de TI con la estrategia empresarial es esencial para el éxito de una asociación que funcione bien.
Gobierno de TI: alineación de TI con objetivos comerciales

En una encuesta realizada por el IT Governance Institute, el 94% de las organizaciones participantes consideraba que la TI era
muy importante para la estrategia general de la organización. La misma encuesta señaló que cuanto mayor es el nivel de madurez
del gobierno de TI, mayor es el retorno de la inversión en TI. Para lograr la madurez de la gobernanza de TI y un mayor retorno de
la inversión en TI, se requiere una estrecha asociación entre TI y la gestión empresarial. La estrecha alineación de la estrategia de
TI con la estrategia comercial es esencial para el éxito de una asociación que funcione bien. Es importante que la organización
comprenda el negocio que respalda y que el negocio comprenda la tecnología que utiliza. Para que esto suceda, la organización
debe tener un asiento en la mesa con el Director Ejecutivo (CEO) y otros líderes empresariales.
Comunicarse con la alta dirección no es una tarea fácil, ya que la TI es solo una pequeña parte de los problemas que enfrentan las
organizaciones en la actualidad. Los líderes de TI deben ser vistos como miembros valiosos del equipo y no solo como proveedores de
servicios. Para que esto suceda, el Director de Información (CIO) y la administración de TI deben primero buscar comprender los
problemas comerciales y ofrecer soluciones proactivas a las necesidades de la organización. La administración de TI también debe tener
una comprensión clara de sus fortalezas y debilidades actuales y ser capaz de comunicar esta información a la administración comercial.
El gobierno de TI proporciona la estructura para lograr la alineación de las actividades y procesos de TI con los objetivos
comerciales, incorporar TI en el programa de gestión de riesgos empresariales, administrar el desempeño de TI, garantizar la
entrega de valor de TI y asegurarse del cumplimiento normativo y la implementación adecuada de controles internos.
La gestión eficaz de una organización requiere una base sólida de gobierno y control sobre los recursos de TI. La gobernanza guía
los derechos de decisión, la responsabilidad y los comportamientos de una organización. Esto se controla mediante una serie de
procesos y procedimientos que identifican quién puede tomar decisiones, qué decisiones se pueden tomar, cómo se toman las
decisiones, cómo se administran las inversiones y cómo se miden los resultados. Implementado de manera efectiva, el gobierno de TI
permite que las actividades y procesos de TI estén alineados con la dirección establecida por el órgano de gobierno para lograr los
objetivos empresariales.
La entrega de valor de TI es un esfuerzo conjunto entre las empresas y TI para desarrollar los requisitos correctos y trabajar juntos
para lograr la entrega exitosa de los beneficios prometidos. Para ser eficaz, el Consejo de Administración (Consejo), el órgano de
gobierno de una organización, incluido el comité de auditoría al que el director ejecutivo de auditoría puede informar funcionalmente,
debe comprender el estado actual de TI y participar activamente en el establecimiento de la dirección futura de TI.
Comunicarse eficazmente con la Junta sobre TI no siempre es fácil. La TI es un entorno muy complejo, que es difícil de
explicar a los profesionales que no son de TI. Además, muchos miembros de la Junta o de la alta dirección tendrán sus propios
problemas y un interés personal en ciertos aspectos de TI.
Gobierno y estrategia de TI • 135
proyectos y servicios que puedan influir en el proceso de toma de decisiones. Conseguir un acuerdo por adelantado sobre las medidas del
rendimiento de TI contribuirá en gran medida a centrar la alta dirección en los problemas clave de la gestión de TI. La medición del
desempeño empresarial y de TI también ayudará a responsabilizar a ambas partes por el éxito de los proyectos de TI y la prestación de
servicios.
Marcos de gobierno de TI
Tres marcos relacionados con las mejores prácticas y ampliamente reconocidos incluyen: Biblioteca de infraestructura de TI (ITIL),
COBIT y la Organización Internacional de Normalización Británica para la Estandarización (ISO) / Comisión Electrotécnica
Internacional 27002 (ISO / IEC 27002). Estos tres marcos brindan a las organizaciones los medios para abordar diferentes ángulos
dentro del campo de la TI.
ITIL
ITIL fue desarrollado por la Oficina del Gabinete de Comercio Gubernamental (OGC) del Reino Unido como una biblioteca de procesos de
mejores prácticas para la gestión de servicios de TI. Ampliamente adoptado en todo el mundo, ITIL proporciona directrices para las mejores
prácticas en el campo de la gestión de servicios de TI. Específicamente, un entorno de administración de servicios de ITIL brinda servicios
comerciales de manera efectiva y eficiente a los usuarios finales y clientes al adherirse a cinco pautas básicas relacionadas con:
• Estrategia : Directrices o procesos de mejores prácticas para mapear la estrategia de TI con las metas y objetivos comerciales generales.
• Diseño —Procesos (o requisitos) de mejores prácticas implementados para orientar hacia una solución diseñada para satisfacer las
necesidades comerciales.
• Transición : Tiene como objetivo gestionar el cambio, el riesgo y la garantía de calidad durante la implementación de un servicio de TI.
• Operación —Pautas o procesos de mejores prácticas establecidos para mantener los servicios de TI adecuados y efectivos
una vez implementados en el entorno de producción.
• Mejora continua —Busca constantemente formas de mejorar el proceso general y la prestación de servicios.
El marco de ITIL debe elegirse cuando el objetivo de la organización es mejorar la calidad de los servicios de gestión de TI. El
marco de ITIL ayuda a las organizaciones a crear servicios de TI que pueden ayudar de manera efectiva a administrar las tareas
diarias, particularmente cuando el enfoque está en el cliente o el usuario final.
COBIT
COBIT es un marco de gobierno de TI que ayuda a las organizaciones a enfrentar los desafíos comerciales actuales en las áreas de
cumplimiento normativo, gestión de riesgos y alineación de la estrategia de TI con los objetivos organizacionales. COBIT es un conjunto
internacional autorizado de prácticas u objetivos de control de TI generalmente aceptados, diseñado para ayudar a los empleados,
gerentes, ejecutivos y auditores a: comprender los sistemas de TI, cumplir con las responsabilidades fiduciarias y decidir los niveles
adecuados de seguridad y controles.
COBIT respalda la necesidad de investigar, desarrollar, publicitar y promover objetivos de control de TI actualizados y
aceptados internacionalmente. El énfasis principal del marco COBIT es asegurar
que la tecnología proporciona a las empresas información relevante, oportuna y de calidad para la toma de decisiones.
El marco COBIT, ahora en su quinta edición (COBIT 5), permite a la gerencia evaluar su entorno y compararlo con
otras organizaciones. Los auditores de TI también pueden utilizar COBIT para fundamentar sus evaluaciones y opiniones
de control interno. Debido a que el marco es completo, proporciona garantías de que existen controles y seguridad de TI.
COBIT 5 ayuda a las organizaciones a crear un valor óptimo de TI al mantener un equilibrio entre obtener
beneficios y optimizar los niveles de riesgo y el uso de recursos. COBIT 5 se basa en cinco principios (vea el
Cuadro 3.2). COBIT 5 considera las necesidades de TI de las partes interesadas internas y externas (Principio 1),
al tiempo que cubre completamente el gobierno y la gestión de la información y la tecnología relacionada de la
organización (Principio 2). COBIT 5 proporciona un marco integrado que se alinea e integra fácilmente con otros
marcos (por ejemplo, Comité de Organizaciones Patrocinadoras de la Comisión Treadway-Gestión de Riesgos
Empresariales (COSO-ERM), etc.), estándares y mejores prácticas utilizadas (Principio 3). COBIT 5 permite que la
TI sea gobernada y administrada de una manera holística para toda la organización (Principio 4). Por último,
El marco es valioso para organizaciones de todo tipo, incluidas las comerciales, sin fines de lucro o del sector público. El
marco integral proporciona un conjunto de objetivos de control que no solo ayuda a los profesionales de gestión y gobierno de
TI a administrar sus operaciones de TI, sino también a los auditores de TI en su búsqueda por examinar esos objetivos.
La selección de COBIT puede ser apropiada cuando el objetivo de la organización no es solo comprender y alinear los
objetivos comerciales y de TI, sino también abordar las áreas de cumplimiento normativo y gestión de riesgos.
ISO / IEC 27002
El marco ISO / IEC 27002 es un estándar global (utilizado junto con el ISO / IEC 27001
framework) que proporciona recomendaciones de mejores prácticas relacionadas con la gestión de la seguridad de la información.
La norma se aplica a los encargados de iniciar, implementar y / o mantener los sistemas de gestión de seguridad de la información.
Este marco también ayuda a implementar controles y procedimientos de seguridad de la información comúnmente aceptados.
La familia de normas ISO / IEC 27000 incluye técnicas que ayudan a las organizaciones a proteger sus activos de información.
Algunos estándares, además del mencionado anteriormente, involucran técnicas de seguridad de TI relacionadas con:
• Requisitos para establecer, implementar, mantener, evaluar y continuamente

mejorar un sistema de gestión de seguridad de la información dentro del contexto de la organización. Estos requisitos son
genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.
(ISO / IEC 27001: 2013)
• Orientación para la implementación del sistema de gestión de seguridad de la información. (ISO / IEC DIS
27003)
• Directrices para implementar la gestión de la seguridad de la información (es decir, iniciar, implementar
mejorar, mantener y mejorar la seguridad de la información) para las comunicaciones intersectoriales e
interorganizacionales. (ISO / IEC 27010: 2015)
• ISO / IEC 27013: 2015. Orientación sobre la implementación integrada de un sistema de seguridad de la información
sistema de gestión de la propiedad, como se especifica en ISO / IEC 27001, y un sistema de gestión de servicios, como se especifica en
ISO / IEC 20000-1.

El uso de la familia de estándares anterior ayudará a las organizaciones a administrar la seguridad de los activos, que incluyen,
entre otros, información financiera, propiedad intelectual, detalles de empleados o información confiada por terceros.
El propósito del marco ISO / IEC 27002 es ayudar a las organizaciones a seleccionar las medidas de seguridad adecuadas mediante la
utilización de los dominios disponibles de los controles de seguridad. Cada dominio especifica los objetivos de control que proporcionan más
orientación sobre cómo las organizaciones pueden intentar implementar el marco.
El marco ISO / IEC 27002 debe elegirse cuando la alta gerencia de TI (es decir, el CIO) apunta a una arquitectura de seguridad
de la información que proporcione medidas de seguridad genéricas para cumplir con las leyes y regulaciones federales.
Un marco conjunto
Como se ve, ITIL, COBIT e ISO / IEC 27002 son marcos de mejores prácticas relacionados con TI para el cumplimiento
normativo y de gobierno corporativo. Sin embargo, un desafío para muchas organizaciones es implementar un marco
integrado que se base en estos tres estándares. El Marco Conjunto, elaborado por el Instituto de Gobernanza de TI (ITGI) y el
OGC, es un paso significativo que lleva en esa dirección.
La alineación de ITIL, COBIT e ISO / IEC 27002 no solo formaliza la relación entre ellos, sino que, lo más importante,
permite a las organizaciones:
• implementar un método de cumplimiento único e integrado que proporcione

objetivos generales de control;
• cumplir con los requisitos reglamentarios de la normativa relacionada con los datos y la privacidad; y
• prepárese para la certificación externa según ISO 27001 e ISO 20000, las cuales demuestran
cumplimiento de las normas.
La implementación de un marco conjunto lleva a las organizaciones hacia un cumplimiento normativo efectivo y mejora su competitividad. La
implementación de los marcos que se acaban de discutir es primordial para abordar áreas relevantes dentro del campo de TI. De igual
importancia es el establecimiento de métricas para medir el desempeño de TI. Estas métricas no solo deben estar implementadas, sino que
también deben evaluarse periódicamente para verificar su coherencia con las metas y objetivos de la organización.
Métricas de rendimiento de TI
Desarrollar un proceso de medición requiere tiempo y recursos para implementarlo. Para tener éxito, tanto la
organización como la administración de TI deben contar con el apoyo total. También se les debe consultar sobre los
tipos de medidas que creen que serán más beneficiosas. Las áreas a medir deben estar estrechamente alineadas con
los objetivos de la organización. No tiene sentido medir algo que a nadie le importa. La gerencia brindará más apoyo
cuando vea las métricas aplicadas a las áreas que más necesitan mejorar. Normalmente, las áreas que se miden
tienden a atraer el enfoque y mejorar con el tiempo. Un conjunto de métricas críticas, las pocas métricas clave que son
críticas para la gestión exitosa de la función, debe identificarse y aplicarse al entorno.
Una vez que se ha identificado el conjunto de métricas críticas, se debe consultar al personal de las áreas que se van a medir, y se
debe establecer un conjunto de mediciones que proporcionarán datos significativos.
ideado. El personal responsable de realizar el trabajo debe seleccionar los mejores medios para medir la calidad y productividad
de su trabajo. Las métricas que se desarrollan solo deben aplicarse a datos que sean medibles y significativos. Es inútil perder
tiempo en desarrollar medidas en áreas que no se encuentran dentro del conjunto de métricas críticas, ya que estas medidas no
satisfarán las necesidades de gestión.
Después de la implementación inicial de las primeras mediciones, es importante mostrar los resultados. Los datos deben compilarse
durante un período predefinido y los resultados deben proporcionarse a la dirección de forma regular. A medida que crece la base de datos
de métricas, aumentará la confiabilidad de los datos y también aumentará la utilidad de los informes para la administración.
Si bien es bastante fácil lograr que la administración apoye las métricas (si están informados sobre qué son las métricas y el
impacto que pueden tener), también es difícil obtener apoyo de la administración si son escépticos o no han sido educados al
respecto. En esta situación, se debe realizar una tarea diferente. Primero, se debe hacer que la administración se dé cuenta de que
es casi imposible administrar lo que no se puede o no se mide. La forma más fácil de fortalecer este argumento es respaldarlo con
algunas métricas de muestra.
En segundo lugar, los datos de encuestas de otras organizaciones pueden compilarse y presentarse para fomentar la adopción de un estado
de ánimo de métricas. Para obtener métricas de muestra, identifique varias áreas que se pueden medir y proporcione informes sobre estas áreas.
Nuevamente, es importante proporcionar una recuperación de la inversión a corto plazo para mostrar resultados y continuar produciendo informes
que muestren el progreso en esas áreas.
Una vez que se recopilan todos los datos métricos, se deben presentar en un formato que sea fácil de entender para el lector. Una
combinación de gráficos y texto es importante para ilustrar el contexto y las tendencias de desempeño. Los informes deben enfatizar el
progreso en las áreas seleccionadas para la medición. Este es un punto clave en el sentido de que muestra resultados a corto plazo en el
proceso de medición a largo plazo. Se deben enfatizar las áreas de mejora para mostrar que el proceso está funcionando.
Cuando la administración ha aceptado el concepto de métricas, es hora de comenzar a implementar algunas

mediciones en áreas críticas. Durante este paso del proceso de medición, es importante ser sensible a la resistencia al
cambio. La implementación de métricas provoca malestar y miedo en las filas.
La regla más importante a recordar en el diseño e implementación de una métrica es que en todos los casos, el área que se
va a medir debe ayudar en el desarrollo de las métricas. Esto creará un sentido de propiedad sobre las mediciones y aliviará la
resistencia a su implementación. El grupo debe estar informado sobre las necesidades de la administración y debe estar
facultado para desarrollar las métricas para satisfacer la necesidad. Esto dará como resultado la producción de datos más
relevantes y un aumento de la calidad en esa área.
La segunda regla importante a recordar en el diseño e implementación de una métrica es que es absolutamente vital que
las medidas se apliquen a eventos y procesos, y nunca a individuos. Si las personas tienen la idea de que se está midiendo su
desempeño, será menos probable que cumplan con el proceso de métricas. Debe establecerse explícitamente que los
resultados de las métricas no se utilizarán para medir la productividad o la eficacia de las personas, sino de los procesos
utilizados por las personas para crear sus productos o servicios.
Teniendo en cuenta estas dos reglas, el siguiente paso es identificar los atributos de una medida eficaz. Una
medida eficaz debe poder pasar pruebas de fiabilidad y validez. La confiabilidad define la coherencia de una medida y la
validez determina el grado en que realmente mide lo que se pretendía medir. La medida debe ser significativa y
proporcionar datos útiles a la dirección. Un ejemplo para medir el desempeño de TI es mediante la implementación de
un cuadro de mando balanceado.
Cuadro de mando integral de TI
A medida que la implementación de sistemas de TI continúa creciendo rápidamente en las organizaciones, preguntas como las
siguientes se formulan (y evalúan) con más frecuencia que nunca: ¿Nuestro plan actual de inversión en TI es consistente con las
metas y objetivos estratégicos de la organización? ¿La aplicación de TI acaba de ser un éxito? ¿Se implementó de manera efectiva
y eficiente? ¿Nuestro departamento de TI está agregando valor a la organización? ¿Deben subcontratarse nuestros servicios de TI
actuales a terceros?
Este tipo de preguntas no son infrecuentes y respaldan las necesidades continuas que tienen las organizaciones para medir el valor de la
TI y evaluar su desempeño. Esto es esencialmente lo que hace un Cuadro de Mando Integral de TI (IBS). Un IBS proporciona una imagen
general del desempeño de TI alineado con los objetivos de la organización. Mide y evalúa específicamente las actividades relacionadas con la
TI (por ejemplo, proyectos de aplicaciones de TI, funciones realizadas por el departamento de TI, etc.) desde varias perspectivas, como el valor
comercial generado por TI, la orientación futura, la eficiencia operativa y la eficacia, y satisfacción del servicio del usuario final. Estas
perspectivas luego se traducen en métricas correspondientes que se reconcilian con la misión y los objetivos estratégicos de la organización.
Los resultados de las métricas se evalúan para determinar su adecuación con respecto a los valores objetivo y / o las iniciativas de la
organización. Las cuatro perspectivas, que se describen a continuación, deben ser revisadas periódicamente por el personal de administración
para verificar su adecuación.
Valor empresarial generado por TI
La medición del desempeño de TI depende de la estrategia y los objetivos de la organización. Sin embargo, todo se reduce al valor
comercial que TI está brindando a la organización. En general, la TI proporciona valor mediante la entrega de proyectos exitosos y el
mantenimiento de las operaciones. Si una organización está buscando costos reducidos, puede medir el costo de TI y el costo de la
función comercial antes y después de la automatización. Si una organización se centra en el crecimiento de nuevos mercados, puede
medir el tiempo de comercialización de nuevos productos. TI agrega valor a una organización a través de la entrega de proyectos y
servicios.
Los proyectos de TI brindan valor comercial al automatizar los procesos comerciales. Como estos proyectos están habilitados por la
tecnología, TI está agregando valor a la organización. Medir la cantidad de beneficios generados por estos proyectos es una forma de
representar el valor de la TI. La automatización de los procesos comerciales suele generar mayores costos de TI y menores costos
comerciales (o mayores ingresos). El caso de negocio de un proyecto de desarrollo de aplicación original hizo ciertas suposiciones sobre
el costo y el beneficio de la nueva aplicación. Aunque el caso de negocio del proyecto se validará como parte de la revisión posterior a la
implementación, es importante seguir midiendo los costos continuos a lo largo del tiempo. Puede existir la percepción de que los costos
de TI están creciendo sin el reconocimiento de que los costos comerciales deberían estar disminuyendo o que los ingresos deben
aumentar en una mayor proporción. margen. Es importante mantener esta información frente a la Junta y la alta dirección como un
recordatorio del valor de TI. La entrega del valor prometido es responsabilidad tanto de TI como de las funciones comerciales. Informar
sobre los resultados reales responsabiliza a ambas partes por los resultados esperados. Otra medida de valor es la rapidez con la que la
organización puede responder a nuevas oportunidades comerciales. Si TI ha tenido éxito en la implementación de infraestructura,
aplicaciones y procesos flexibles, podrá responder a las necesidades comerciales.
Los servicios de TI brindan valor al estar disponibles para la organización según sea necesario. Las organizaciones dependen en gran medida
de los sistemas automatizados para funcionar en el día a día. La falla de estos sistemas da como resultado una pérdida de ingresos o un aumento
de los gastos para la organización. Una perspectiva más positiva es

la cantidad de ingresos o productividad generada por estos sistemas. Como parte del proceso de planificación estratégica y operativa, una
organización debe decidir el nivel de servicio requerido de TI. Los niveles de servicio dependerán del tipo de organización, cartera de
aplicaciones, servicios proporcionados por TI y los objetivos de la organización. Una casa de subastas en línea que depende de la
disponibilidad del servicio las 24 horas del día, los 7 días de la semana para su existencia tendrá una necesidad diferente a la de una tienda
de abarrotes.
Las métricas para medir el valor comercial pueden abordar las funciones del departamento de TI, el valor generado por los proyectos
de TI, la gestión de las inversiones de TI y las ventas realizadas a personas externas o terceros. Estas métricas pueden incluir: porcentajes
de recursos dedicados a proyectos estratégicos; relación percibida entre la administración de TI y la administración de nivel superior; cálculo
de métodos tradicionales de evaluación financiera, como retorno de la inversión (ROI) y periodo de recuperación; gastos reales versus
presupuestados; porcentajes por encima o por debajo del presupuesto total de TI; e ingresos por servicios y / o productos relacionados con
las TI; entre otros.
Orientación hacia el futuro
La orientación futura se ocupa de posicionar la TI para el futuro centrándose en los siguientes objetivos: (1) capacitar y
educar al personal de TI para los desafíos futuros de TI; (2) mejorar las capacidades del servicio; (3) eficacia de la gestión
del personal; (4) mejorar la arquitectura empresarial; y (5) investigación de tecnologías emergentes y su valor potencial
para la organización.
Una misión de muestra para esta perspectiva sería ofrecer una mejora continua y prepararse para los desafíos futuros.
Las métricas de muestra dentro de esta perspectiva abordarían lo siguiente:
• Mejorar continuamente las habilidades de TI a través de la educación, la formación y el desarrollo.
• Entrega de proyectos internos coherentes con el plan.

• Métricas de dotación de personal por función (p. Ej., Utilizando ratios de utilización / facturables, rotación voluntaria por
nivel de rendimiento, etc.).

• Desarrollar y aprobar un plan de arquitectura empresarial y cumplimiento de sus estándares.
• Realizar investigaciones relevantes sobre tecnologías emergentes y su idoneidad para el
organización.
Eficiencia y efectividad operativa
La perspectiva de la eficiencia y efectividad operativa se centra en los procesos internos establecidos para ofrecer productos
y servicios de TI de manera eficiente y eficaz. Las operaciones internas pueden evaluarse midiendo y evaluando los
procesos de TI en áreas como calidad, capacidad de respuesta, seguridad y protección, entre otras. Otros procesos a
considerar pueden incluir el suministro y soporte de hardware y software, la gestión de problemas, la gestión del personal de
TI y la efectividad y eficiencia de los canales de comunicación actuales.
Las mediciones de la perspectiva de eficacia y eficiencia operativa pueden dar como resultado datos útiles sobre la
productividad de los diferentes procesos internos y los recursos. Las métricas aquí pueden producir información de productividad
sobre el desempeño de las tecnologías y del personal específico.
Satisfacción del servicio del usuario final
La satisfacción del usuario final debe desempeñar un papel importante en la evaluación general del departamento o función de TI. El
usuario final, para fines de TI, puede ser personal interno o externo (por ejemplo, usuarios que acceden a sistemas o servicios de TI entre
organizaciones, etc.). Desde la perspectiva del usuario final, el
El valor de la TI se basará en si sus trabajos se completan de manera oportuna y precisa. Por ejemplo, los gerentes confían en los
informes generados por TI para tomar decisiones críticas relacionadas con su organización. Estos informes no solo deben hacerse a
tiempo, sino que deben ser precisos e incluir información relevante para que puedan tomar decisiones comerciales bien informadas y
necesarias.
Una misión para esta perspectiva sería ofrecer productos y servicios de valor agregado a los usuarios finales. Los objetivos
relacionados incluirían mantener niveles aceptables de satisfacción del cliente, asociaciones entre TI y el negocio, desempeño del
desarrollo de aplicaciones y desempeño del nivel de servicio. Las métricas utilizadas para medir los objetivos antes mencionados
deben centrarse en tres áreas:
• siendo el proveedor preferido para aplicaciones y operaciones

• establecer y mantener relaciones con la comunidad de usuarios
• satisfaciendo las necesidades del usuario final
Sería necesario que el personal de TI estableciera y mantuviera relaciones positivas con la comunidad de usuarios para
comprender y anticipar sus necesidades. Esta relación es fundamental para construir y / o mejorar la credibilidad del
departamento de TI entre los usuarios finales.
Pasos para crear un cuadro de mando integral de TI
Tener una comprensión de las estrategias de TI y de nivel corporativo, así como los objetivos específicos relacionados con cada tipo
de estrategia, es crucial antes de desarrollar un IBS. Se recomiendan los siguientes pasos al crear un IBS específico de la empresa:
1. Tener a bordo tanto a la alta dirección como a la dirección de TI desde el principio; concienciarlos con el
concepto de IBS.
2. Coordinar la recopilación y análisis de datos relacionados con:
• estrategia y objetivos corporativos (por ejemplo, estrategia comercial, estrategia de TI, misión de la empresa,
objetivos específicos de la empresa, etc.);
• métricas y métodos tradicionales de evaluación comercial (por ejemplo, ROI, período de recuperación, etc.)
implementado actualmente para la medición del desempeño de TI; y

• métricas potenciales aplicables a las cuatro perspectivas IBS.
3. Definir los objetivos específicos de la empresa y las metas del departamento de TI o área funcional desde cada una de las cuatro
perspectivas.
4. Desarrolle un IBS preliminar basado en los objetivos y metas definidos de la organización y los datos descritos en los
pasos anteriores.
5. Solicite revisiones, comentarios y retroalimentación de la gerencia después de revisar el IBS.
6. Tener el IBS aprobado formalmente y listo para ser utilizado por la organización.
7. Comunicar el proceso de desarrollo de IBS y su razón fundamental a todas las partes interesadas.
El IBS proporciona valor a la empresa cuando aborda los procesos de gestión de TI, que incluyen el establecimiento de objetivos de TI
individuales y de equipo, la evaluación del desempeño y las recompensas para el personal de TI, la asignación de recursos y el aprendizaje
basado en comentarios, entre otros. Tener un marco sistemático como el IBS que se basa en objetivos y medidas que se han acordado de
antemano probablemente beneficiará a la gestión tanto del personal como de los proyectos de TI.
Todas las métricas incluidas en el IBS deben ser cuantificables, fáciles de entender y aquellas para las que los datos se
puedan recopilar y analizar de manera rentable. Un ejemplo de IBS se ilustra en el Cuadro 5.1.
Figura 5.1 Ejemplo de un cuadro de mando integral de TI
Valores objetivo /
Misión Objetivos Métrica a medir Iniciativas
Contribuir al valor del

VALOR EMPRESARIAL GENERADO POR TI
negocio
Valor comercial y - Finalización de estratégico

estratégico iniciativas
contribución de TI - Porcentaje de recursos
Departamento dedicado a estratégico
proyectos
- Relación percibida
entre la gestión de TI
y nivel superior
administración
Valor comercial de - Evaluación empresarial basada

Proyectos de TI sobre medidas financieras (ROI, período de
recuperación, etc.)
Gestión de TI - Real versus presupuestado

inversión gastos
- Porcentaje por encima / por debajo
presupuesto total de TI
Ventas a terceros - Ingresos relacionados con TI

o terceros servicios y / o productos
Para entregar continuo

mejora y
ORIENTACIÓN HACIA EL FUTURO
prepararse para el futuro
retos
Conocimiento - Finalización de la educación,

administración formación y desarrollo
cursos
- Porcentaje de puestos
con respaldo calificado
personal
- Experiencia con específicos
tecnologias
Capacidad de servicio Entregue proyectos internos para planificar:
mejora
- Proceso interno
mejora
- Desarrollo organizacional
- Renovación tecnológica
- Desarrollo profesional
( Continuado)
Figura 5.1 ( Continuado) Ejemplo de un cuadro de mando integral de TI
Valores objetivo /
Administración de personal Métricas de personal por función:
eficacia - Tasas de utilización / facturables
- Rotación voluntaria por

nivel de desempeño
- Porcentaje del personal con
profesional completo
planes de desempeño
Empresa - Desarrollo / aprobación de

arquitectura plan de arquitectura empresarial
evolución (EAP)
- Adherencia de los sistemas a los estándares
de EAP y TI
Emergente - Porcentaje del presupuesto de TI
tecnologias destinado a la investigación de tecnologías

investigación nuevas y actualizadas
Ofrecer productos y
servicios de TI que sean
EFICIENCIA Y EFECTIVIDAD OPERACIONAL
eficientes y
eficaz
Excelencia de proceso - Calificación de madurez y desempeño del

proceso (es decir, calidad,
costo y velocidad)
Sensibilidad - Tiempo de ciclo de proceso y tiempo de ciclo de

comercialización
Reserva - Días de personal de trabajo presupuestado en

estado de acumulación
administración y
envejecimiento - Días pendientes de obra presupuestada
más antigua
Costo interno de - Tiempo / costo del proceso
calidad mejora y calidad

iniciativas de aseguramiento por empleado
de TI
Seguridad y protección - Ausencia de problemas importantes en los

informes de auditoría y
fallas irrecuperables o
brechas de seguridad
( Continuado)
Figura 5.1 ( Continuado) Ejemplo de un cuadro de mando integral de TI
Valores objetivo /
Para entregar productos

y servicios que agregan valor a SATISFACCIÓN DEL SERVICIO DEL USUARIO FINAL
los usuarios finales
Usuario final - Puntuación en el usuario final
satisfacción encuesta de satisfacción
TI / negocios - Frecuencia de las reuniones del grupo

empresarial de TI
camaradería
- Índice de participación tanto del usuario
como de TI en la generación
nueva aplicación estratégica

sistemas
Solicitud - Entrega a usuarios finales

desarrollo expectativas: calidad (usuario
actuación aceptación); presupuesto de gastos);
y velocidad (horario)
Nivel de servicio - Porcentaje ponderado de

actuación aplicaciones y operaciones
servicios servicio de reuniones
objetivos de nivel de disponibilidad y
rendimiento
Fuente: Adaptado de: Senft, S., Gallegos, F. y Davis, A. (2012). Tecnologías de la información
Control y Auditoría. CRC Press / Taylor & Francis, Boca Raton, FL; Adaptado de: Martinsons, M., Davison, R. y
Tse, D. (1999). El cuadro de mando integral: una base para la gestión estratégica de los sistemas de
información, Decis. Soporte Syst., 25 (1), 71–88.
Medir y evaluar las actividades de TI desde múltiples puntos de vista o perspectivas, digamos a través de un IBS, por ejemplo, ayuda
a evaluar la eficiencia, la eficacia y el potencial de esas actividades. Dicho cuadro de mando permite a los gerentes evaluar el impacto de
los sistemas, aplicaciones y actividades de TI sobre los factores que se consideran importantes para la organización.
Cumplimiento normativo y controles internos

Uno de los procesos clave que las organizaciones deben gestionar es el cumplimiento de las leyes y regulaciones. La gran cantidad de
leyes y regulaciones aplicables a una organización global puede ser abrumadora (consulte el Capítulo 2). Puede ser necesario un equipo
dedicado para examinar todos los requisitos normativos financieros, de seguridad, de privacidad y específicos de la industria para
determinar el impacto en los procesos y los sistemas de información. Afortunadamente, muchos de los requisitos de TI se satisfacen con la
implementación de los controles descritos en COBIT.
Hay herramientas que pueden ayudar a una organización a identificar leyes y regulaciones y hacer un seguimiento de los procesos de control
implementados para abordarlas. * También hay herramientas que pueden ayudar a mapear los controles a los requisitos reglamentarios (por
ejemplo, SOX de 2002, etc.). Estas herramientas brindan información clave para que los auditores, reguladores y grupos de usuarios determinen
dónde los controles son efectivos para las pruebas y cuáles son los vacíos que deberán llenarse. TI debe trabajar junto con el oficial de cumplimiento
de la organización para asegurarse de que conoce los nuevos requisitos e informar sobre la resolución de los requisitos existentes.
Como se mencionó anteriormente, la implementación de SOX creó una mayor conciencia y un enfoque en los controles de TI.
Aunque existe cierto debate sobre el valor de SOX para las empresas, no hay duda de que ha aumentado la inversión en controles
generales de TI y controles de aplicaciones en muchas organizaciones. El cumplimiento de SOX ha obligado a muchas organizaciones a
revisar las aplicaciones existentes que procesan transacciones financieras con miras a controlar estos procesos. Los profesionales de TI y
de negocios ahora necesitan trabajar juntos en el desarrollo de requisitos de control que se pueden incorporar en el desarrollo de
aplicaciones. Tener más controles de TI implementados en los sistemas de aplicaciones se traduce en más oportunidades para que los
auditores de TI realicen el trabajo de evaluación de controles.
Casos como los anteriores han llevado a las organizaciones a revisar y revisar su plan de juego o estrategia de TI existente
para que no solo cumplan con los organismos reguladores como SOX, sino que también cumplan con los requisitos en constante
cambio de sus entornos comerciales.
Estrategia de TI
La TI se ha convertido en el ingrediente fundamental de las estrategias comerciales como habilitador y potenciador de las metas y
objetivos de la organización. Las organizaciones deben estar posicionadas para aprovechar al máximo las oportunidades emergentes y al
mismo tiempo responder a los requisitos globales del siglo XXI.
Una estrategia es un primer paso importante para afrontar el desafiante y cambiante entorno empresarial. Una estrategia es una
visión formal para guiar en la adquisición, asignación y administración de recursos para cumplir con los objetivos de la organización. Una
estrategia de TI, por ejemplo, debe desarrollarse con la participación de los usuarios comerciales para abordar la dirección futura de la
tecnología. La estrategia de TI o el plan estratégico de TI guía formalmente la adquisición, asignación y gestión de los recursos de TI de
forma coherente con las metas y los objetivos de la organización. Debe ser parte de una estrategia corporativa general para TI y debe
alinearse con la estrategia comercial que respalda. La estrategia tecnológica debe estar en sintonía con la estrategia comercial para
garantizar que los recursos no se desperdicien en proyectos o procesos que no contribuyan al logro de los objetivos generales de la
organización. Esta alineación debe ocurrir en todos los niveles del proceso de planificación para brindar una garantía continua de que los
planes operativos continúan respaldando los objetivos comerciales. Apoyar la estrategia, los estándares arquitectónicos y la planificación
tecnológica garantizan que las inversiones en TI conduzcan a un mantenimiento eficiente y un entorno seguro.
La gobernanza de TI (discutida al principio del capítulo) proporciona la estructura y la dirección para lograr la alineación de la
estrategia de TI con la estrategia comercial. La estrecha alineación de la estrategia de TI con la estrategia comercial es esencial para
el éxito de una asociación que funcione bien.
La estrategia más eficaz vendrá determinada por la combinación del entorno, la cultura y la tecnología utilizada por una
organización. La gestión de TI implica combinar tecnología, personas y procesos para brindar soluciones a los problemas
organizacionales. Debe tomar la iniciativa en la recopilación de información para incorporar las necesidades organizacionales con la
viabilidad tecnológica para crear una estrategia general.
Un plan estratégico de TI proporciona una hoja de ruta para los planes operativos y un marco para evaluar las inversiones en tecnología.
La estrategia de TI respalda la estrategia comercial para garantizar que la tecnología
*
Filipek, R., Automatización del cumplimiento, Auditor interno, febrero de 2007, págs. 27–29.
Los recursos se aplican para cumplir con los objetivos comerciales mientras se minimizan los costos de soporte continuo. Esta tarea parece
bastante simple, pero según un informe de Gartner Group, "el 95% de las empresas carecen de una estrategia comercial bien definida". En la
mayoría de los casos, la estrategia empresarial debe asumirse a partir de conversaciones con ejecutivos de empresas. El primer paso para definir
un plan estratégico de TI es comprender los objetivos comerciales, ya sean establecidos o implícitos. Estos objetivos guían a la administración en
la evaluación de inversiones, la valoración de riesgos y la implementación de controles.
Entonces, ¿por qué debería tener TI un plan estratégico si la organización no lo tiene? El principal riesgo de no tener un plan
estratégico de TI es el aumento del costo de la tecnología. Si no hay una hoja de ruta, las organizaciones corren el riesgo de invertir en
tecnología que aumenta los costos pero no agrega valor comercial. Según el IT Governance Institute, alinear las inversiones en TI con las
estrategias comerciales es el principal problema que enfrentan las organizaciones.
Dado que la TI existe para respaldar y habilitar el negocio, la responsabilidad final de establecer e implementar la estrategia de TI debe recaer
en la alta dirección de la organización. Sin embargo, los líderes empresariales necesitan que la administración de TI tome la iniciativa en la
identificación de formas en las que TI puede respaldar la transformación de una organización para cumplir sus objetivos a largo plazo. Una sólida
asociación empresarial y de TI en el proceso de planificación estratégica proporciona la mejor base para el éxito. Una forma de lograr la alineación
es involucrar a los líderes empresariales en el desarrollo de la estrategia de TI mediante el establecimiento de un Comité Directivo de TI.
Comité Directivo de TI
Un Comité Directivo de TI está compuesto por tomadores de decisiones de los distintos sectores de la organización para resolver
prioridades en conflicto. Incluso cuando los objetivos comerciales están claramente establecidos, surgirán conflictos con la interpretación de
las acciones necesarias para cumplir con esos objetivos. El Comité Directivo de TI es responsable de determinar la estrategia general de
inversión en TI, asegurándose de que las inversiones en TI estén alineadas con las prioridades comerciales y que los recursos de TI y
comerciales estén disponibles para permitir que TI cumpla con sus expectativas.
Un comité directivo de TI puede ayudar a garantizar la integración del negocio y el plan estratégico de TI. Este comité
facilita la integración de estrategias, planes y operaciones comerciales y tecnológicas al emplear los principios de
propiedad conjunta, trabajo en equipo, responsabilidad y comprensión de los proyectos importantes. El comité debe estar
compuesto por miembros de la alta dirección y el CIO. El CIO, según Gartner, “supervisa a las personas, los procesos y
las tecnologías dentro de la organización de TI de una empresa para garantizar que brinden resultados que respalden los
objetivos de la empresa”. * En otras palabras, el CIO es clave al identificar estrategias críticas, iniciativas técnicas y de
gestión que se pueden implementar para mitigar riesgos y amenazas, así como impulsar el crecimiento empresarial.
Funciones esenciales del rol de CIO, † incluir:
1. Crear, mantener e implementar políticas y procedimientos escritos con respecto a todas las operaciones informáticas en el
Departamento de Sistemas de Información de Gestión o TI y en toda la organización.
2. Comunicar formalmente las políticas y procedimientos de sistemas de información nuevos o revisados a todos los usuarios dentro de la
organización.
3. Revisar y evaluar la productividad del departamento, incluida la calidad de la producción y el costo del servicio. Implementar
métodos y procedimientos para mejorar continuamente los resultados.
*
www.gartner.com/it-glossary/cio-chief-information-officer/.
† https://www.shrm.org/resourcesandtools/tools-and-samples/job-descriptions/pages/default.aspx.
4. Emplear las funciones necesarias para administrar el personal del departamento.
5. Desarrollar los presupuestos anuales del departamento, segregando por actividad / personal, y administrar los fondos de acuerdo con la
aprobación del presupuesto.
6. Mantener la seguridad de todos los datos de propiedad de la organización y proporcionar una copia de seguridad completa de todos los
sistemas informáticos en caso de falla o desastre del sistema.
7. Adquirir, instalar y mantener todo el equipo informático (hardware y software) y todos los demás productos y suministros
necesarios para mantener operativos los sistemas informáticos y cumplir con las solicitudes de administración de soporte
informático.
8. Actuar como enlace entre los proveedores de hardware / software y la gerencia de la organización para actualizaciones de información y
resolución de problemas.
9. Proporcionar a los empleados un servicio informático de máxima calidad y disponibilidad constante, apoyar la formación y el
mantenimiento de todos los sistemas informáticos utilizados en la organización.
10. Evaluar continuamente nuevos equipos, software y procesos, recomendar cambios según corresponda y supervisar
su instalación.
Como parte del Comité Directivo de TI, el CIO supervisa la estrategia de TI y los sistemas informáticos necesarios para respaldar los
objetivos y metas de la organización. El Comité Directivo de TI ayuda a garantizar la integración de los objetivos y metas
comerciales con la estrategia de TI. Para lograr esto, las tareas del Comité Directivo de TI pueden incluir:
• Revisión de planes y estrategias comerciales y tecnológicas.

• Priorizar grandes proyectos de desarrollo.
• Desarrollar estrategias de comunicación.
• Revisión de planes de desarrollo e implementación para todos los proyectos importantes.
• Proporcionar decisiones comerciales sobre los principales problemas de diseño para todos los proyectos importantes.
• Monitoreo del estado, cronograma e hitos de todos los proyectos importantes.

• Revisar y aprobar solicitudes de cambios importantes para todos los proyectos importantes.
• Revisión de presupuestos de proyectos y ROI.
• Resolución de conflictos entre grupos empresariales y tecnológicos.

• Monitoreo de los beneficios comerciales durante y después de la implementación de proyectos importantes.
Una vez que el Comité Directivo de TI ha establecido una estrategia de TI, debe comunicarse a todos los niveles de administración y
a los usuarios para garantizar la alineación y reducir los conflictos.
Comunicación
La comunicación eficaz es fundamental para coordinar los esfuerzos de los recursos internos y externos para lograr los objetivos de la
organización. La comunicación debe ocurrir en múltiples niveles, comenzando por tener reuniones internas semanales de personal. Esto
debería cubrir a los empleados dentro del departamento. La comunicación también debe tener lugar a través de reuniones públicas, a las
que generalmente asisten (y están dirigidas a) todos los empleados de la organización. La comunicación entre TI y la organización,
particularmente de asuntos como la estrategia de TI, los objetivos, etc., debe ser oportuna y consistente. La comunicación también debe
incluir a todos los socios comerciales (externos) y clientes relacionados con la organización.
Una vez finalizado el proceso de planificación estratégica, los objetivos comerciales y de TI deben traducirse en objetivos
viables para el próximo año. Esto se realiza mediante un proceso denominado planificación operativa.
Planificación operativa
Una vez que se comprenden los objetivos de la organización y la estrategia de TI, esa estrategia debe traducirse en planes operativos
(también denominada operacionalización). El proceso de planificación operativa anual incluye establecer las principales prioridades para la
función general de TI, así como para los departamentos de TI individuales, incluido el desarrollo de su presupuesto anual, la creación de
planes de recursos y capacidad y la preparación de planes de desempeño individuales para todo el personal de TI.
Los planes operativos también identificarán y programarán los proyectos de TI que se iniciarán y los niveles de servicio de TI esperados.
La entrega de estos planes debe estar controlada por una serie de procesos de gobernanza. Estos procesos de gobernanza, que se enumeran
en el Cuadro 5.2, son necesarios para garantizar el uso eficaz de los recursos y la entrega de proyectos de TI, así como la alineación
adecuada con los objetivos comerciales. Esto incluye procesos para: administrar las demandas del proyecto, iniciar proyectos, realizar
revisiones técnicas, adquirir productos y administrar proveedores, y controlar las inversiones financieras. Estos procesos se explican a
continuación.
• Requisitos y caso comercial aprobados por la gerencia
• Costos de tecnología aprobados por TI

1. Demanda
administración
• Capacidad y niveles de servicio aprobados por la gerencia
• Recursos tecnológicos aprobados por TI

2. Proyecto
iniciación
• Diseño de solución aprobado por la gerencia
3. Técnico • Diseño técnico aprobado por TI

revisión
• Requisitos y solución aprobados por la gerencia

4. Adquisiciones • Proveedores de tecnología aprobados por TI
y
administrador del proveedor.
• Alcance, cronograma y presupuesto aprobados por la gerencia y TI
5. Financiero • El progreso es monitoreado por la gerencia y el departamento de TI

administración
Figura 5.2 Procesos de gobierno.

Gestión de la demanda
Los proyectos deben revisarse al comienzo de sus ciclos de vida para asegurarse de que tengan un caso de negocio
sólido, así como el apoyo de la alta dirección. La investigación de soluciones tecnológicas lleva tiempo y consume
recursos que podrían dedicarse a proporcionar valor comercial. Un proceso de gestión de la demanda puede ayudar a
garantizar que los recursos se dediquen a proyectos que tengan un caso de negocio sólido y también estén aprobados
por la alta dirección. El proceso de gestión de la demanda ayuda a garantizar que la alta dirección esté a bordo y haya
proporcionado la aprobación conceptual del proyecto para continuar con la definición de los requisitos iniciales y las
fases de diseño conceptual del ciclo de vida del desarrollo. Todos los proyectos deben tener un patrocinador apropiado
de la alta dirección antes de evaluar los costos de implementar una solución.
Un proceso de gestión de la demanda garantiza que un proyecto tenga una justificación comercial, un patrocinador comercial y de TI, y un
enfoque coherente para aprobar proyectos. Un proceso de gestión de la demanda también asegura la alineación de los grupos de aplicaciones e
infraestructura; que se identifiquen todos los costos del proyecto para mejorar la toma de decisiones; que existen medios para "eliminar" los
proyectos no esenciales; y que se identifiquen los medios para controlar la capacidad y el gasto de TI.
Iniciación del proyecto
Una vez que se ha aprobado un proyecto con un sólido argumento comercial, debe someterse a un proceso de iniciación que determine su costo y
beneficio total. Esto generalmente se hace mediante la definición de requisitos comerciales de alto nivel y una solución conceptual. La elaboración
de una estimación del proyecto requiere tiempo y recursos. A los usuarios comerciales les lleva tiempo desarrollar requisitos y un caso comercial.
Los desarrolladores de software también necesitan tiempo para desarrollar una solución y estimaciones de costos. Una vez que un proyecto tiene la
aprobación conceptual, los usuarios comerciales y los programadores de software pueden trabajar juntos para desarrollar requisitos detallados y
estimaciones del proyecto que se utilizarán en el caso comercial final y formarán la base para el presupuesto del proyecto.
Revisión técnica
La solución técnica debe evaluarse antes de seguir adelante para garantizar el cumplimiento de los estándares tecnológicos. Un
proceso de revisión técnica ayuda a garantizar que se seleccione la solución correcta, que se integre eficazmente con otros
componentes de la tecnología (por ejemplo, red, etc.) y que pueda ser respaldada con inversiones mínimas en infraestructura.
Una forma de controlar las soluciones tecnológicas es implementar un Comité Directivo Técnico (que no debe confundirse con un
Comité Directivo de TI) con representantes de las diversas disciplinas técnicas y arquitectos empresariales. Un Comité Directivo
Técnico proporciona un mecanismo de control para evaluar y aprobar nuevas soluciones tecnológicas. Un proceso formal de
evaluación de soluciones tecnológicas incluye las evaluaciones de:
• Viabilidad técnica
• Tecnologías alternativas
• Arquitectura
• Compatibilidad de habilidades internas
• Entornos / reemplazos existentes

• Consideraciones de implementación, licencias y costos
• Vistas de investigación y analistas
• Perfil de la empresa proveedora y viabilidad financiera

Gestión de compras y proveedores

Deben existir procesos y procedimientos para definir cómo se realizará la adquisición de recursos de TI, incluidas personas,
hardware, software y otros servicios. La adquisición de TI implica tareas estratégicas y administrativas, como la definición de
requisitos y especificaciones; realizar el servicio de TI real o la adquisición de recursos (solo después de evaluar y seleccionar
el proveedor apropiado); y cumplimiento de los requisitos del contrato. La selección de proveedores generalmente implica la
evaluación de tres a cinco proveedores. El Comité Directivo de TI evalúa periódicamente a los proveedores y proveedores de
TI y toma la decisión final sobre qué proveedores incorporar.
Gestión financiera
En el proceso de gobernanza de la gestión financiera, se evalúan las posibles inversiones, servicios y carteras de activos para
que se incorporen en los análisis de costo / beneficio y, en última instancia, dentro del presupuesto. El presupuesto de TI, por
ejemplo, considera los productos, recursos y servicios de TI existentes para ayudar a planificar las operaciones de TI. El
presupuesto es una herramienta de planificación estratégica (normalmente expresada en términos cuantitativos) que ayuda en el
seguimiento de actividades y eventos específicos. La elaboración de presupuestos también proporciona pronósticos y
proyecciones de ingresos y gastos que se utilizan estratégicamente para medir actividades y eventos financieros. Los
presupuestos son útiles para la administración a la hora de determinar si se están controlando actividades específicas de
ingresos / costos (es decir, los ingresos son más altos que las estimaciones presupuestarias o los costos son más bajos que los
montos presupuestados estimados).
Conclusión
El gobierno de TI establece una base fundamental para la gestión de TI a fin de brindar valor a la organización. Un gobierno
eficaz alinea la TI con la organización y establece controles para medir el cumplimiento de este objetivo. ITIL, COBIT e ISO /
IEC 27002 son tres marcos eficaces y de mejores prácticas relacionados con TI que suelen utilizar las organizaciones. Estos
tres marcos brindan a las organizaciones valor y los medios para abordar diferentes ángulos dentro del ámbito de las TI.
Darse cuenta del valor de la TI requiere una asociación entre la administración y la TI. Esta asociación debe incluir la gestión
del riesgo empresarial, así como el establecimiento de evaluaciones de desempeño de medición consistentes con las
estrategias y metas existentes. Estas medidas de desempeño deben estar alineadas con los objetivos de la organización,
resultar en datos precisos y oportunos,
Un ejemplo de una herramienta común para medir el desempeño de TI es el IBS. Un IBS proporciona una imagen general del
desempeño de TI alineado con los objetivos de la organización. Mide y evalúa específicamente las actividades relacionadas con TI,
como los proyectos de TI y las funciones realizadas por el departamento de TI desde perspectivas como el valor comercial generado
por TI, la orientación futura, la eficiencia y eficacia operativa y la satisfacción del servicio del usuario final.
Establecer controles efectivos en TI y asegurar el cumplimiento normativo también es un esfuerzo conjunto. La tecnología bien
controlada es el resultado de una organización que considera los controles una prioridad. Las organizaciones deben incluir controles en los
requisitos del sistema para que esto suceda. Los auditores internos y externos pueden agregar un valor tremendo a una organización al
brindar una garantía independiente de que los controles funcionan según lo previsto. Con la implementación de SOX, el conocimiento y las
habilidades de los auditores es un recurso valioso para cualquier organización. Los auditores de TI pueden ayudar a la organización a
documentar y evaluar las estructuras de control interno para cumplir con SOX u otros modelos de gobierno.
Una estrategia es un primer paso importante para enfrentar el desafiante y cambiante entorno empresarial. Un plan estratégico de
TI es una visión formal para guiar en la adquisición, asignación y administración de recursos de TI para cumplir con los objetivos de la
organización. Una forma de lograr la alineación es involucrar a los líderes empresariales en el desarrollo del plan estratégico de TI
mediante el establecimiento de un Comité Directivo de TI. El comité ayuda a garantizar la integración del plan estratégico comercial y
de TI.
Para garantizar el uso eficaz de los recursos y la entrega de proyectos de TI, así como la alineación adecuada con los objetivos
comerciales, las organizaciones emplean procesos de gobierno dentro de su plan operativo anual. Estos procesos abordan cómo gestionar
las demandas de los proyectos, iniciar proyectos, realizar revisiones técnicas, adquirir productos y gestionar proveedores, y controlar las
inversiones financieras.
1. ¿Cómo define COBIT la gobernanza?

2. En cuanto a la entrega de valor de TI, ¿por qué es tan importante que la empresa y su departamento de TI unan esfuerzos?
3. Describa los tres marcos relacionados con las mejores prácticas de TI ampliamente reconocidos e indique cuándo debe utilizarse
cada marco.
4. Analice por qué las organizaciones deberían considerar la implementación de un marco conjunto entre ITIL, COBIT e ISO / IEC
27002.
5. Explique qué es un cuadro de mando integral de TI.
6. El capítulo mencionó tres formas en las que TI puede aportar valor a la organización, a través de:
a. Implementar proyectos exitosos y mantener las operaciones en funcionamiento
segundo. Automatizar los procesos comerciales
C. Estar disponible para la organización según sea necesario
Explique con sus propias palabras cómo estos tres realmente aportan valor a las organizaciones. Proporcione ejemplos que
respalden cada uno.
7. ¿Qué es una estrategia? ¿Qué es un plan estratégico de TI y por qué es importante para alinear los objetivos comerciales con TI?
8. ¿Qué es un Comité Directivo de TI? Resumir las diversas actividades incluidas como parte de su alcance.
9. La operacionalización traduce la comprensión de los objetivos de la organización y de TI en planes operativos. Los planes
operativos identifican y programan los proyectos de TI que se iniciarán y los niveles de servicio de TI que se esperan. La
entrega de estos planes operativos debe estar controlada por una serie de procesos de gobierno. Enumere y describa
estos procesos.
10. ¿Qué es un Comité Directivo Técnico y qué evalúa en relación con una solución tecnológica?
Ejercicios
1. Elija uno de los tres marcos relacionados con las tecnologías de la información ampliamente reconocidos y de mejores prácticas que se
analizan en el capítulo. Realice una investigación, fuera del capítulo, y proporcione lo siguiente:
a. Resumen del marco, incluyendo ventajas, desventajas y bajo qué circunstancias debe ser adoptado
por las organizaciones.
segundo. Proporcione dos o tres ejemplos del marco que se está utilizando, según corresponda. Esté preparado para
presentar su trabajo a la clase.

2. Resuma los pasos para crear un Cuadro de Mando Integral de TI.

3. Describir las funciones esenciales de los directores de información en las organizaciones.
CASO — SIGNIFICADO DE TI
INSTRUCCIONES: Lea el artículo de Harvard Business Review “IT Doesn't Matter” de Nicholas G. Carr.
TAREA: Resume el artículo. Luego, indique si TI debería importar o no, y por qué. Respalde sus razones y
justificaciones con literatura de TI y / o cualquier otra fuente externa válida. Incluya ejemplos según corresponda
para evidenciar su caso. Envíe un archivo de Word con una portada, respuestas a las tareas anteriores y una
sección de referencia al final. El archivo enviado debe tener entre 8 y 10 páginas (interlineado doble), incluida la
portada y las referencias. Esté preparado para presentar su trabajo a la clase.
Otras lecturas
1. Anzola, L. (2005). Regulación de la gobernanza de TI: una perspectiva latinoamericana. Inf. Syst. Control J., 2, 21.
2. Bagranoff, N. y Hendry, L. (2005). Elección y uso del software Sarbanes – Oxley. Inf. Syst. Controlar
J., 2, 49–51.
3. Comité de Supervisión Bancaria de Basilea. (2010). Buenas prácticas para la gestión y supervisión del riesgo operacional,
Documento Consultivo, www.bis.org/publ/bcbs183.pdf
4. Brancheau, J., Janz, B. y Wetherbe, J. (1996). Aspectos clave en la gestión de sistemas de información: resultados de SIM delphi
1994–95. MIS Q., 20 (2), 225–242.
5. Burg, W. y Singleton, T. (2005). Evaluación del valor de la TI: comprender y medir el vínculo entre la TI y la estrategia. Inf.
Syst. Control J., 3, 44.
6. Carr, N. (2003). No importa, Harvard Business Review, Publicaciones de Harvard Business School,
Boston, MA.
7. Dietrich, R. (2005). Después del primer año: automatización de los controles de TI para el cumplimiento de Sarbanes-Oxley. Inf.
Syst. Control J., 3, 53–55.

8. Guía de auditoría de tecnología global (GTAG) 17 Auditoría del gobierno de TI. (Julio de 2012). https: //na.theiia. org / standards-guide
/ recommended-guide / practice-guides / Pages / GTAG17.aspx
9. Ho Chi, J. (2005). Regulación de la gobernanza de TI: una perspectiva asiática. Inf. Syst. Control J., 2, 21-22.
10. Fundación de Auditoría y Control de Sistemas de Información. COBIT, Quinta edición, Sistemas de información
en junio de 2017).
11. ISACA. (2012) COBIT 5: Un marco empresarial para el gobierno y la gestión de la TI empresarial, 94.
12. ISO / IEC. 27001-Information Security Management, https://www.iso.org/isoiec-27001-information-security.html (enero de

2017).
13. Definición de gobernanza de TI, www.itgovernance.co.uk/it_governance (consultado en 2017).
14. Instituto de Gobernanza de TI. (2008). Mapeo COBIT de ITIL V3 con COBIT 4.1, ISACA, Laminación
Meadows, IL. Digital.
15. ITGovernance Institute. (2006). COBITMapping de ISO / IEC 17799–2005 con COBIT 4.0, ISACA,
Rolling Meadows, IL. Digital.
16. Instituto de Gobernanza de TI. (2007). COBITMapping de NIST SP800–53 Rev 1 con COBIT 4.1, ISACA,
Rolling Meadows, IL. Digital.
17. Instituto de Gobernanza de TI. Informe de situación global sobre la gobernanza de la TI empresarial (GEIT) —2011,
http://www.isaca.org/Knowledge-Center/Research/Documents/Global-Status-Report-GEIT-2011_ res_Eng_0111.pdf
18. Schroeder, J. (6 de septiembre de 2015). Comparación de marco, NeverSys, http://neversys.com/wp-

content / uploads / 2015/09 / Framework-Comparison.pdf
19. Jones, W. (2005). Regulación de la gobernanza de TI: una perspectiva australiana. Inf. Syst. Control J., 2, 20.
20. Kendall, K. (2007). Optimización del cumplimiento de Sarbanes-Oxley. Auditor interno, págs. 39–44.
21. KPMG. (2006). Aprovechar la TI para reducir costos y mejorar la capacidad de respuesta, KPMG Internacional,
Nueva York.
22. Leung, L. (2007). ISACA introduce la certificación de gobernanza de TI. NetworkWorld. www.networkworld.
com / newsletters / edu / 2007 / 0910ed1.html
23. Mack, R. y Frey, N. (11 de diciembre de 2002). Seis pilares para crear estrategias de TI reales,
R-17-63607, Gartner Group, Stamford, CT.
24. Martinsons, M., Davison, R. y Tse, D. (1999). El cuadro de mando integral: una base para la gestión estratégica de los
sistemas de información. Decis. Soporte Syst., 25 (1), 71–88.
25. Parkinson, M. y Baker, N. (2005). Gobernanza empresarial y de TI. Inf. Syst. Control J., 3.
26. Pohlman, MB (2008). Marcos de cumplimiento. Oracle Identity Management: gobernanza, riesgo y
Arquitectura de cumplimiento, Tercera edición, Auerbach Publications, Nueva York. www.infosectoday.com/ Articles /
Compliance_Frameworks.htm
28. Van Grembergen, W. y De Haes, S. (2005). Medir y mejorar la gobernanza de TI a través del cuadro de mando integral. Inf.
Syst. Control J., 2, 35.
29. Van Grembergen, W. (2000). El cuadro de mando integral y el gobierno de TI. Desafíos de la gestión de la tecnología de la información en
el siglo XXI, Conferencia Internacional de la Asociación de Gestión de Recursos de Información de 2000, Anchorage, AL, 21-24 de mayo,
https://www.isaca.org/Certification/CGEIT- Certified-in-the-Governance-of -Informática-empresarial / Preparación-para-el-examen /
Materiales-de-estudio / Documentos / The-Balanced-Scorecard-and-IT-Governance.pdf
30. Williams, P. (2005). Alineación de TI: ¿Quién está a cargo? Instituto de Gobernanza de TI, Rolling Meadows, IL.

Auditoria Primer Parcial

Cargado por

Copyright:

Formatos disponibles

Auditoria Primer Parcial

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Primer Parcial

Cargado por

Copyright:

Formatos disponibles

FUNDACIÓN yo

2. Analice la profesión de auditor y defina la auditoría financiera.

4. Explique qué es la auditoría de TI y resuma sus dos grandes grupos.

6. Explique las distintas funciones del auditor de TI.

8. Describa el perfil de un auditor de TI en términos de experiencia y habilidades requeridas.

• La tecnología ha mejorado la capacidad de capturar, almacenar, analizar y procesar enormes

Planificación de recursos empresariales (ERP)

y exactitud de datos de una sola fuente. Además, los ERP:

Figura 1.1 Sistema modular de planificación de recursos empresariales.

que la disponibilidad es promovida significativamente por este modelo particular (nube).

para las organizaciones empresariales. No obstante, las organizaciones aún no se sienten

Gestión de dispositivos móviles (MDM)

según PC Magazine, MDM asegura estos dispositivos móviles:

• integrarse bien dentro de la organización y se implementan para cumplir con la organización

configuración para todos los dispositivos móviles dentro de la organización

Otros sistemas tecnológicos que afectan el entorno de TI

Entorno de TI como parte de la estrategia de la organización

Asociaciones y organizaciones profesionales como ISACA, la Instituto Americano de Contadores Públicos

equipos y procedimientos utilizados en el procesamiento de datos importantes.

• Normas generales se relacionan con la competencia técnica y profesional, independencia, y debido

Un tercer grupo de estándares, llamado Normas Internacionales de Información Financiera (NIIF),

Funciones de auditoría interna versus externa

Función de auditoría interna

Función de auditoría externa

¿Qué es la auditoría de TI?

Estos involucran estratégicos,

Ingresando Almacenamiento Procesando Transmitiendo Salida

Figura 1.2 Sistemas de información versus tecnología de la información.

datos; y supervisión, seguridad y gestión de cambios de la infraestructura de red.

• Auditoría de controles de aplicaciones. Examina los controles de procesamiento específicos de la aplicación.

Terminal de acceso Pérdida / robo de

proceso de nación información

Figura 1.3 Relación entre controles informáticos generales y controles de aplicaciones.

• Integridad de procesamiento: El procesamiento del sistema es completo, preciso, oportuno y autorizado.

• Confidencialidad: La información designada como confidencial se protege según se comprometió o acordó.

• Intimidad: La información personal se recopila, utiliza, conserva, divulga y destruye en

para los futuros profesionales necesarios en este campo.

• Las asociaciones y organizaciones profesionales y las entidades gubernamentales reconocieron la necesidad de

implementación) y auditorías de cumplimiento de TI que involucran estándares nacionales o internacionales.

• Aplicación de enfoques de auditoría orientados al riesgo

• Uso de herramientas y técnicas de auditoría asistidas por computadora

• Aplicación de estándares (nacionales o internacionales) como la ISO * para mejorar e implementar

• Comprensión de los roles y expectativas comerciales en la auditoría de sistemas en desarrollo.

puede poner en riesgo a la organización

Problemas que pueden poner en peligro o poner en riesgo a la organización.

• Evaluación de ciclos de vida de desarrollo de sistemas complejos (SDLC) o nuevos desarrollos

Apoyar el funcionamiento eficaz de

Para controlar y monitorear el crecimiento significativo de los

Para evaluar la integridad y precisión de

Evaluar la integridad de la información y

Para identificar controles que pueden abordar

Para controlar el fácil acceso a las redes de la organización

Figura 1.4 Principales razones para realizar una auditoría de TI.

• Mayor dependencia de la información y los sistemas que la entregan

crear nuevas oportunidades y reducir costos

Papel del auditor de TI

Auditor de TI como consejero

• Especificar las características de seguridad necesarias

• Definir "expectativas razonables" de privacidad con respecto a cuestiones como la supervisión de

• Proporcionar pautas para comunicaciones externas (redes)