Auditoria de sistemas de Información Temas parcial 1:

Clase 1: Conceptos generales de auditoria

Objetivos:

- Concepto de auditoria y características generales

- Clasificación de los distintos tipos de auditorias
- Rol de la auditoria
- Impacto de las tecnologías de información
- Consultoría
- Control de gestión

¿Qué es la Auditoría? Origen del Término

Deriva del latín “audire” que significa oír. Los primeros auditores ejercían sus funciones
principalmente oyendo, juzgando la verdad o la falsedad de lo que les era sometido a su
verificación

Cada vez que el propietario de la empresa sospechaba de fraudes o apropiación indebida de

fondos, nombraba a un funcionario para verificar las cuentas. Dicha persona se reuniría con los
empleados interesados y escucharía lo que tuviera que decir en relación con las cuentas. La
persona designada para examinar las cuentas se conoció como el "auditor".

“Auditoría es un control selectivo, efectuado por un grupo independiente del sistema a

auditar, con el objetivo de obtener información suficiente para evaluar el funcionamiento del
sistema bajo análisis”

“Auditar es efectuar el control y la revisión de una situación pasada. Es observar lo que pasó en
una entidad y contrastarlo con normas predefinidas.”

..es la actividad consistente en la emisión de una opinión profesional sobre si el objeto

sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las
condiciones que le han sido prescritas”

Se espera que el auditor de SI siga el proceso de auditoría definido, establezca criterios de

auditoría, reúna evidencia significativa y presente una opinión independiente sobre los
controles internos.

La auditoría implica la aplicación de diversas técnicas para recopilar evidencia significativa y

luego realizar una comparación de la evidencia de auditoría con el estándar de referencia.

¿Por qué la necesidad de una auditoría?

Siempre han existido dudas sobre la calidad y credibilidad de los informes que los gerentes
entregan a los propietarios. Este informe puede ser:

- Contener Errores
- No revelar fraudes
- Ser inadvertidamente engañoso
- Ser deliberadamente engañoso
- No divulgar información relevante
- No cumplir con las regulaciones
La solución a este problema de credibilidad en los informes y las cuentas radica en nombrar a
una persona independiente llamada auditor para investigar el informe y presentar sus
conclusiones.

Claves del Éxito de una Auditoría

Si las afirmaciones de la administración y el informe del auditor están de acuerdo, puede

esperar que los resultados sean veraces.

Si las afirmaciones de la gerencia y el informe del auditor no están de acuerdo, eso indicaría
una preocupación que justifica una mayor atención.

Su clave para el éxito en la auditoría es informar con precisión sus hallazgos, ya sean buenos o
malos o indiferentes.

Un buen auditor producirá resultados verificables. Nadie debería venir detrás del auditor con
un resultado diferente de los hallazgos.

El trabajo es informar lo que indica la evidencia.

Objetivos de la Auditoría

Clases de Auditoría

- Según el Campo de Actuación

- Según la Relación de Dependencia del Auditor

Clases de Auditoría – Según el Campo de Actuación

Según la Relación de Dependencia

- Auditoría Interna

• El sistema de auditoría interna se considera parte del sistema de control de gestión y

no simplemente un asistente del mismo.

• La auditoría interna a menudo difiere en su alcance y énfasis. Es más gerencial que

contable.

• La naturaleza y el alcance de la verificación también dependen del tamaño y el tipo de

organización empresarial.

• Abarca no solo la auditoría operativa de diversas actividades operativas en la

organización, sino que también incluye la auditoría de la propia gerencia.

• La función de auditoría interna puede considerarse como una parte integral del
sistema de control interno.

• La auditoría interna es de naturaleza continua. El trabajo del auditor interno comienza

después de que se completan las transacciones.

• En general, la auditoría interna es realizada por el personal permanente de la

organización. En ocasiones, se puede solicitar a agencias externas que realicen
auditorías internas.

• La existencia de auditoría interna es una ayuda para el auditor externo.

-Auditoría Externa

• Es realizada por un auditor externo independiente. Este tipo de auditoría

generalmente se realiza para cumplir con el requisito de las disposiciones de la ley

• El auditor que realiza dicha auditoría es "independiente" de la empresa bajo auditoría.

Es un profesional independiente que no tiene ninguna relación con la empresa que
pueda afectar negativamente su capacidad para formar un juicio objetivo.

• La auditoría externa generalmente es realizada por un auditor calificado

independiente.

• En el curso normal, este tipo de auditoría se realiza periódicamente.

• El auditor externo puede trabajar de forma independiente y disfruta de un mejor

estado.

• En los casos en que se realiza una auditoría externa debido a una obligación legal, el
auditor debe tener una calificación profesional.

• Este tipo de auditoría se realiza principalmente para salvaguardar el interés de los

propietarios, accionistas y otras partes que no tienen conocimiento del
funcionamiento diario de las organizaciones.
Clases de Auditoría – Según la Dependencia del Auditor

Aspecto Auditoría Externa Auditoría Interna

Considerado

Naturaleza Se realiza para informar sobre la Se lleva a cabo con el fin de

fiabilidad y la equidad de los verificar el cumplimiento de las
estados financieros, normas y procedimientos
cumplimiento de una ley, establecidos y proteger los activos
adhesión a un estándar, etc de la organización.

Aptitudes El auditor debe poseer una No se requiere que el auditor

calificación específica según lo interno posea ninguna calificación
prescrito por el estatuto específica.
respectivo.

Alcance de Este tipo de auditoría debe ser El alcance del trabajo de la

trabajo completa en todos los aspectos. auditoría interna está
Su alcance no puede ser determinado por la gerencia.
reducido de ninguna manera por
la gerencia.

Propósito El objetivo de este tipo de El objetivo básico de la auditoría

auditoría es proteger el interés interna es mejorar el
de los propietarios y otras partes rendimiento, la eficiencia y la
relacionadas con la empresa. rentabilidad de la empresa.

Nombramiento Los auditores externos El auditor interno es designado

del auditor generalmente son nombrados por la gerencia.
por los propietarios y, en algunos
casos, por el gobierno.

Estado El auditor es una persona ajena e El auditor interno es un empleado

independiente. No está sujeto a de la organización. Está obligado
ninguna regla ni reglamento de por las normas y reglamentos de
la organización. la organización.

Continuidad La auditoría externa puede ser La auditoría interna es de

periódica o continua. naturaleza continua. Se lleva a
cabo durante todo el año.
Rol del Auditor

Fase de la Auditoría Participación del Auditor de SI

Alcance Apoyo al revisor fiscal en la elaboración de la propuesta,

identificando los procesos de TI y SI relevantes.

Determinar el nivel de complejidad de los sistemas

Identificar y Evaluar el En empresas con sistemas complejos:

Riesgo de TI
•Evaluar y documentar la efectividad de los CGTI

Diseño de la Respuesta •Apoyar la discusión del equipo de auditoría

de Auditoría
•Establecer conjuntamente objetivos, alcances, estrategias y
enfoque de la A. de S.

Obtener Evidencia de Diseñar y ejecutar los procedimientos de auditoría que resulten

Auditoría aplicables. Validar resultados.

Formar una Opinión Evaluar con el equipo de auditoría los resultados de auditoría
(efecto sobre la opinión)

Informe Preparar el Informe

Rol del auditor – Características que debe tener

- Integridad, objetividad e Independencia: El auditor debe ser directo, honesto y sincero

en su enfoque de su trabajo profesional y debe mantener una actitud imparcial.
- Confidencialidad: El auditor debe respetar la confidencialidad de la información
adquirida en el curso de su trabajo de auditoría.
- Habilidades y competencia: La auditoría debe realizarse y el informe debe ser
preparado con el debido cuidado profesional por personas que tengan la capacitación,
experiencia y competencia adecuadas en auditoría.
- Documentación: El auditor debe mantener documentos que son importantes para
proporcionar evidencia de que la auditoría se llevó a cabo de acuerdo con los
principios básicos.
- Planificación: El auditor debe planificar su trabajo para permitirle realizar una auditoría
efectiva de manera eficiente y oportuna.

Cualidades de un Auditor

- Un auditor debe poseer la capacidad técnica y el conocimiento necesarios para la

auditoría que deba realizar.
- Debe estar familiarizado con las mejores prácticas actuales.
- Debe ser objetivo tanto al formular sus opiniones como al expresarlas sin prejuicios.
 - Debe tener integridad. Una vez que ha formado su opinión, debe estar preparado para
expresarla claramente sin temor ni favor.
- Debe ser metódico en su trabajo. Un auditor que deja cabos sueltos se encontrará
abierto a acusaciones de negligencia.
- Debería tener una mente inquisitiva. Un auditor debe reconocer circunstancias
sospechosas, y una vez que se ha despertado su sospecha, tiene el deber de investigar
los asuntos hasta el fondo.
- También debe ser discreto y práctico en sus tratos con sus clientes.
- Un auditor debe ser independiente y debe tener cuidado de no comprometer su
independencia.

Deficiencias de la Auditoría

- Falta de imagen completa: La auditoría puede no dar una imagen completa. Si las
cuentas se preparan con la intención de defraudar a otros, es posible que el auditor no
pueda detectarlas.
- Problemas de dependencia: Algunas veces el auditor tiene que depender de
explicaciones, aclaraciones e información del personal y del cliente. Puede o no
obtener información correcta o completa.
- Examen post mortem: La auditoría es un examen post mortem. No hay uso de dicho
examen cuando ya se han producido eventos.
- Existencia de errores en las cuentas auditadas: En todos los casos, el auditor no puede
verificar todas y cada una de las transacciones de una organización. Como resultado,
puede haber un error en las cuentas auditadas incluso después de la verificación por
parte del auditor.
- Falta de experiencia: El auditor tiene que buscar la opinión de expertos sobre ciertos
asuntos sobre los cuales puede no tener conocimiento de expertos. El auditor tiene
que depender de dichos informes, que pueden no ser siempre correctos.
- Situaciones diversificadas: La auditoría se considera un trabajo mecánico. Los
auditores pueden no estar en condiciones de enmarcar el programa de auditoría, que
puede seguirse en todas las situaciones.
- Calidad del auditor: El éxito de la auditoría depende de la sinceridad con la que el
auditor haya desempeñado sus funciones. El mismo trabajo de auditoría puede ser
realizado por dos auditores diferentes con diferente sinceridad.
- Existencia de políticas defectuosas: Defectos relacionados con la gestión y el control
pueden no ser cubiertos por el auditor.

Consultoría

Dar asesoramiento o consejo sobre lo que se ha de hacer o cómo llevar adecuadamente una
determinada actividad para obtener los fines deseados.

Posee las siguientes características

Consultoría vs Auditoría

Descripción Breve Objetivo Momento Efectividad del

Trabajo

Revisión de una Controlar el Posterior Mejoras

situación pasada Desempeño a los recomendadas al
observándolo contra Eventos sistema de control
Auditoría
normas predefinidas interno de la
empresa y la
seguridad

Implementar las Optimizar el Previo a Se podrá medir a

recomendaciones Desempeño los medida que
propuestas en una Eventos transcurra el
Consultorí auditoría previa o por tiempo desde la
a un ejecutivo, con el puesta en práctica
objetivo de mejorar la de las soluciones
productividad de la
empresa

Efecto de las Nuevas Tecnologías en la Auditoría

Auditoría de Sistemas – Algunas Definiciones

... “es el conjunto de técnicas, actividades y procedimientos destinados a analizar, evaluar,

verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y
adecuación del servicio informático de la empresa, ... con vistas a mejorar en rentabilidad,
seguridad y eficacia.” (1)

... “conjunto de Procedimientos y Técnicas para evaluar y controlar total o parcialmente un

Sistema Informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se
desarrollan eficientemente y de acuerdo con la normativa informática y general existente en
cada empresa, y para conseguir la eficacia exigida en el marco de la organización
correspondiente.”
Auditoría de Sistemas – Conceptos Claves

Se la puede denominar también “Auditoría de Recursos Informáticos”

No se trata de analizar la corrección de los estados financieros

Se ocupa de verificar la correcta utilización de los recursos informáticos disponibles

En general se controla el departamento de sistemas de la entidad

Incluyen la revisión de los programas y procedimientos que automatizan el procesamiento de

los datos pertenecientes a las aplicaciones bajo análisis

Objetivos Generales

- Evaluar políticas de orden administrativo

- Evaluar políticas de orden técnico
- Evaluar políticas sobre seguridad física y lógica
- Evaluar políticas sobre recursos informáticos
- Asesorar y recomendar a la gerencia y directivas

Auditoría de Sistemas – Planificación

- Objetivos a corto y a largo plazo.

- Las de corto plazo son las que se deberán tener en cuenta dentro del año en curso
- Las de largo plazo tendrán en cuenta los cambios en la organización de acuerdo a la
dirección estratégica de IT
- Deben ser revisados anualmente

Otras consideraciones

- Evaluación periódica de los riesgos

- Cambios en las tecnologías
- Problemas con cambios en la privacidad
- Requerimientos regulatorios
- Implementaciones de sistemas o fechas límite en actualizaciones
- Tecnologías futuras
- Limitaciones de recursos de sistemas de información

Actividades Clase 1

1) La auditoría debe cumplir con los siguientes requisitos para ser exitosa
• Independencia
• Integridad
• Objetividad
• Competencia Profesional
• Confidencialidad
• Responsabilidad
• Conducta profesional
• Normas Técnicas
Indiquen en cada caso qué aspectos podrían influir en el cumplimiento o no de
cada requisito citado anteriormente, haciendo principal énfasis en Independencia,
objetividad y confidencialidad. Pensar en lo posible casos que podrían ser reales (o
 que conozcan de sus experiencias). ¡¡¡Importante!!! No incluir nombres reales de
empresas o personas

2) A principio de los 90s muchas las empresas grandes de auditoría comenzaron a

brindar servicios de consultoría en informática. De acuerdo con lo revisado en los
apuntes de auditoría y control, ¿Qué problemas cree que tenían que en algunos
casos tuvieron que dividir la empresa en dos empresas diferentes para poder
operar? En algunos casos se separaron completamente sus paquetes accionarios

Principalmente uno no puede auditar la empresa de la cual es proveedora por que

habría un conflicto de intereses. Como consultora realiza un servicio que luego el
auditor revisará y tendrá que marcar si hubiera algún problema. De encontrar algo
esto podría afectar la credibilidad o intereses de la consultoría.
Como legalmente no se podía realizar esto, a medida que crecía el negocio de
consultoría, había menos potenciales clientes para la auditoría. Especialmente las
grandes consultoras tienen negocios, aunque sea pequeños, en la organizaciones más
importantes.
Esto provocó la división en más de una organización completamente independientes
entre sí.

3) Auditoría interna y externa

En función de las causas que a continuación se detallan, indicar si se debe iniciar un

proceso de auditoría interna o externa. Justificar la elección en cada caso.
a) Se requiere revisar las aprobaciones realizadas de tratamientos médicos especiales
en una obra social
Interna/Externa. Justificar
Este tipo de auditorías se centran en el día a día operativo. Este tipo de auditoría
es interna. Eventualmente se podría recurrir a una auditoría externa si se requiere
revisar el proceso en sí
b) En la empresa “Y S.A”, un grupo de accionistas solicitan la realización de una
auditoría para verificar que los dividendos se estén liquidando correctamente
Interna/Externa. Justificar
Es externa por que debe ser imparcial y ajena a los intereses del management. El
management es el representante de los accionistas en el manejo de la
organización. Por esta razón no podría ser interna porque sería realizada por
personal dependiente de ese management.

c) En una empresa farmacéutica se detecta capacitación deficiente en los empleados

que operan máquinas de alta precisión. Se decide revisar la lista de cursos por
nivel a realizar que se adapte más a las necesidades organizacionales.
Interna/Externa. Justificar

Dentro de las finalidades del auditor interno es brindar recomendaciones y

asesoramiento a la gerencia de posibles cambios o mejoras en los mismos.
 d) Los empleados de una empresa de tecnología realizan las certificaciones sobre los
servicios de infraestructura y de aplicaciones que brinda su empresa. La forma de
realizarlo es con un examen online que si se es aprobado se recibe un certificado.
Interna/Externa. Justificar
Es externa porque se requiere alguna entidad externa que certifique el
conocimiento de sus empleados. Habría un conflicto de intereses si se certificara
así misma.

e) En una empresa todos los años se realiza la encuesta de clima organizacional. Los
empleados ingresan a una encuesta online con alrededor de 100 preguntas
diferentes que se puntúan de 1 al 5. Permite obtener información sobre la visión
de los empleados acerca de diferentes temas relacionados con la organización. Se
puede obtener la información segmentada por proyecto, departamento, equipo,
etc.
Interna/Externa. Justificar

Las empresas realizan encuestas de clima anualmente. Estas son realizadas por
auditorías externas para asegurar la independencia. Si fuera interna podría tener
un gran conflicto de intereses ya que los auditores dependen del management y
de esa encuesta pueden surgir “descontentos” con ese management. Luego estas
encuestas son compartidas con el directorio y eventualmente los accionistas.
Un ejemplo de este tipo de auditoría es la denominada “Great Place to Work”.

Clase 2: Presentación de Controles.

Objetivos:

- Conceptos de control y características de un sistema de control

- Clasificación de controles
- Control interno: características
- Control interno: etapas
- Dificultad de los sistemas de información
- Controles en los sistemas de información

Conceptos de Control

El proceso de ejercitar una influencia directiva o restrictiva, es decir, las posibilidades de dirigir
actividades hacia objetivos buscados o de evitar que se produzcan resultados no deseados.

Es el conjunto de normas, técnicas, acciones y procedimientos que interrelacionados e

interactuando entre sí con los sistemas y subsistemas organizacionales y administrativos,
permite evaluar, comparar y corregir aquellas actividades que se desarrollan en las
organizaciones, garantizando la ejecución de los objetivos y el logro de las metas
institucionales.

Uno de los aspectos que más interesa en la evaluación (auditoría) de los sistemas de
información es la comprobación de la existencia de “puntos de control interno”. La finalidad es
que éstos sean suficientemente confiables, independientemente de quienes los operen.
Elementos de Control

Un sistema de control se conforma de las siguientes partes:

Ítem Descripción

Elemento Característica o condición a controlar

Sensor Artefacto o método para medir las características o condiciones controladas,

es decir instrumento para medir el rendimiento.

Grupo de Unidad o equipo de control para comparar los datos medidos con el
Control rendimiento planeado. Determina la necesidad de corrección y envía la
información a los mecanismos que deben normalizar o corregir la
producción del sistema.

Grupo Mecanismo activador que es capaz de producir un cambio en el sistema

Activante operante, es decir, realizar la acción correctiva correspondiente.

Elementos de Control – Algunos Ejemplos

Un sistema de control se conforma de las siguientes partes:

Nro Elemento Sensor Grupo de Control Grupo Activante

1 Temperatura Termómetro Controlador que Ventilador

compara Temperatura
deseada y temperatura
actual

2 Necesidad de Medidor de Gerencia que debe Reclutamiento

mano de obra productos o solicitar más personal realizando una
servicios nueva búsqueda
completados

3 Disponibilidad Monitor de Software que compara Mecanismo de

de un servidor disponibilidad parámetros de redirección del
del servidor rendimiento del tráfico
sistema y detecta la
necesidad de utilizar el
sistema alternativo

4 Gastos Reporte de Equipo revisor de Reversión de un

Incurridos gastos gastos de la compañía gasto por
inapropiado

Clasificación de los Controles

Se puede clasificar en tres grandes grupos:

Categoría Descripción

Preventivos Controles que buscan detener (prevenir) que ocurra el problema. Un

ejemplo simple es la preselección de los solicitantes de empleo para la
elegibilidad laboral. Los sinónimos de controles preventivos incluyen
palabras como actividades proactivas o disuasivas diseñadas para desalentar
o detener un problema.

Detectivos Controles destinados a encontrar un problema y llamar su atención. La

auditoría es un control de detección para descubrir información.

Controles que buscan reparar el problema después de la detección.

Correctivos Restaurar datos de una cinta de respaldo después de una falla de la unidad
de disco es un control correctivo. El control reactivo es sinónimo de control
correctivo.

Métodos de Implementación

Se implementan mediante tres grandes métodos:

Controles – Algunos Ejemplos

Se implementan mediante tres grandes métodos:

Tipo Método Ejemplo

Implementado

Administrativo Política de Uso Aceptable

Preventivo Técnico Copia de Seguridad de los Datos

Físico Monitoreo en vivo por TV

Administrativo Auditoría

Detectivo Técnico Biometría para Identificación

Físico Alarma Antirrobo

Correctivo Administrativo implementación de recomendaciones de auditorías

 previas

Técnico Restauración de datos desde la copia de seguridad

Físico Rociadores contra incendios

Tipos de Acciones

El control produce dos tipos de acciones

Controles Fuertes

El secreto para lograr controles fuertes es implementar capas

- Lo mínimo para un control efectivo es tener al menos un punto en cada una de las tres
áreas: preventivo, detective y correctivo.
- Por ejemplo, una política sin un mecanismo de detección o un mecanismo correctivo
no es exigible.
- Los controles más fuertes implementan las nueve capas (preventiva, detective,
correctiva implementada utilizando métodos administrativos, métodos físicos y
métodos técnicos).

Controles Fuertes – Profundidad de Controles

Ejemplo

- Existe un control preventivo que incluye una política administrativa junto protección
técnica y barreras físicas.
- Se implementa además un control de detección para autorizar que se audite que la
descripción de los puestos y sus procedimientos sean adecuados las descripciones de
los trabajos y los procedimientos de trabajo adecuados.
- El control detectivesco incluye métodos técnicos, como intrusión, detección e
indicadores físicos, como una grabación de video de la actividad de las personas en
áreas seguras
- El control se combinaría con acciones correctivas, como procedimientos manuales
para el aislamiento y recuperación técnica utilizando datos restaurados de cintas de
respaldo o reemplazo físico.

Control fuerte = múltiples controles preventivos + múltiples controles de detección + múltiples

controles correctivos

Control débil = control mínimo desnudo superficial + implementación o ninguna

implementación
Características Controles Efectivos

El control debe cumplir con lo siguiente para poder ser efectivo

- Debe ser ejecutado frecuentemente (identificar desviaciones a tiempo y ejecutar

acciones correctivas a tiempo)
- Debe ser económico (principio economicidad del control)  No puede costar más que
el perjuicio que provocaría la ocurrencia de lo que se quiere controlar
- Fundamentarse en datos verídicos (evitar apreciaciones subjetivas)
- Planeación de la acción correctiva
- Debe ser sencillo, comprensible y adaptativo
- Es preventivo y no para detectar
- Contrasta lo proyectado con lo real
- No es esporádico sino continuo

Control Interno como función de Control

La auditoría es una función de Control con las siguientes características:

- Es del tipo retroalimentado (se refiere a hechos sucedidos.)

- Es correctiva (orientada a la medición e información de los desvíos.)
- Es de secuencia abierta (ya que el grupo de control es independiente sea interno o
externo a la empresa)
- Es selectiva.

Control Interno: Elementos sobre los que trabaja

Control Interno: Etapas del Control

Actividades Sobre Control
1) Como se ven afectados los sistemas de control en entornos informáticos

Ejemplificar casos en donde se hayan visto afectados los sistemas de control interno
por la introducción de la informática

 Los sistemas informatizados de hoy permiten manejar mucha más cantidad de

transacciones
 Se pueden controlar mejor los Ingresos y egresos a un edificio. Con las tarjetas y
los sistemas informatizados se puede bloquear un acceso de una persona a un
edificio solo actualizando el sistema. Antes de que exista esta informatización, o
que, aun existiendo, la información no sea online, tiene un retraso.

Es evidente que la introducción de la informática en una empresa afecto a procesos de

control manuales directamente tendiendo a desaparecerlos ya que ahora esos controles que
antes se hacían sobre papeles ahora se hacen con consultas automáticas sobre las bases de
datos, un ejemplo de esto es el uso de la factura electrónica que está reemplazando a las
facturas físicas que antes debían guardarse por 10 años, además la afip tiene un control
inmediato de las ventas y movimientos del negocio. Otro ejemple es el uso de la firma digital
dentro del poder judicial que deben firmar digitalmente todos los documentos que se envían
con carácter Jurídico.

Contras

 Costos/beneficios de algunas implementaciones, es decir economicidad.

Beneficios

 Es un beneficio en cuanto al registro que queda.

 Veracidad y velocidad de los controles

2) De tres ejemplos de pistas de auditoría informáticas

Algunos Ejemplos:
 Conexiones a la base de datos.
 Modificaciones al modelo de datos.
 Modificaciones a los datos.
o Creado por
o Modificado por
o Fecha de modificación, etc.
 Workflows de Aprobaciones
 Transacciones

3) Dar tres ejemplos donde hayan visto controles preventivos en los entornos informáticos.
Uno directamente relacionado con algún tipo de sistema informático, otro relacionado
con el ciclo de vida de desarrollo de los sistemas, y para finalizar uno relacionado con la
infraestructura de los equipamientos

Controles Preventivos en entornos informáticos:

  Plan de Back Up o copia de seguridad
 Capacitación del personal para uso de nuevos sistemas
 Versionado

Relacionado con el ciclo de vida del desarrollo de los sistemas:

 Todo lo relacionado con QA testing.

Relacionado con la infraestructura de los equipamientos:

 Pueden ser controles de acceso a la sala de servidores como por ejemplo sistemas
biométricos o sistema de monitoreo para conocer el estado del hardware y del
software y/o controles sobre estado de servicios de software específicos. También
puede ser el sistema de antivirus corporativo.

4) Clasificar los siguientes controles en

A – Preventivo – Administrativo
B – Preventivo – Técnico
C – Preventivo – Físico
D – Detectivo – Administrativo
E – Detectivo – Técnico
F – Detectivo – Físico
G – Correctivo – Administrativo
H – Correctivo – Técnico
I – Correctivo – Físico

Descripción Tipo Método Implementado

Documentación del Sistema Preventivo Administrativo
Números de Chequeo Detectivo Administrativo
sistema de alarma (antirrobo, humo, agua, temperatura, Detectivo Físico
fuego)
lecciones aprendidas Correctivo Administrativo
Cifrado Preventivo Técnicos
Evaluación de Riesgos Detectivo Administrativo
Sistemas de Alta Disponibilidad listos para Conmutación Preventivo Técnicos
por Error
Verificación de Antecedentes Preventivo Administrativo
Cierre de Puertas Preventivo Físico
Biometría para Identificación Detectivo Técnicos
Sitios calientes-cálidos-fríos para la recuperación ante Correctivo Físico
desastres
Proceso de Control de Cambios Preventivo Administrativo
Guardias de Seguridad Preventivo Físico
Testimonio Oral Detectivo Administrativo
Escáneres de Red Detectivo Técnicos
recibos y facturas Detectivo Físico
Enrutamiento de Red redundante Correctivo Técnico
Gestión de Riesgos Preventivo Administrativo
Utilidades de Reparación de Archivos Correctivo Técnico
 Descripción Tipo Método Implementado
huellas digitales Detectivo Físico
Señales de Advertencia Preventivo Físico
Descripciones de trabajo Preventivo Administrativo
Lectores de Registro Automatizados Detectivo Técnicos
Control de Acceso Preventivo Físico
Conmutación por error del sistema de alta disponibilidad a Correctivo Técnico
sistema redundante (se produce una conmutación por
error de alta disponibilidad)
Verificación de Firmas Digitales Detectivo Técnicos
Segregación de Funciones Preventivo Administrativo
Registros del Sistema Detectivo Administrativo
Contratos Comerciales Preventivo Administrativo
Informes de Excepción Detectivo Administrativo
Etiquetas de Propiedad Preventivo Físico
Sistemas de alta disponibilidad que detectan o señalizan la Detectivo Técnicos
condición de conmutación por error del sistema
Capacitación Preventivo Administrativo
Recuento de Inventario Físico Detectivo Físico
seguro de propiedad y accidente Correctivo Administrativo
Restauración de datos desde la copia de seguridad Correctivo Técnico
Políticas de Uso Aceptable Preventivo Administrativo
Sumas de Verificación (Checksums) Detectivo Técnicos
Autoevaluación de Control Detectivo Administrativo
Organigramas Preventivo Administrativo
CCTV utilizado para el registro Detectivo Técnicos
Copias de Seguridad de los Datos Preventivo Técnicos
Sistemas de Detección de Intrusos Detectivo Técnicos
Procedimientos escritos Preventivo Administrativo
Utilidades de Diagnóstico Detectivo Técnicos
Calefacción y aire acondicionado, Correctivo Físico
continuidad del negocio y tercerización de planes de Correctivo Administrativo
recuperación ante desastres
Monitoreo en Vivo por TV Preventivo Físico
Leyes y Reglamentos Preventivo Administrativo
Períodos vacacionales obligatorios Detectivo Administrativo
Gestión de Proyectos Preventivo Administrativo
Totales de Ejecución Detectivo Administrativo
Informática Forense Detectivo Técnicos
implementación de recomendaciones de auditorías Correctivo Administrativo
previas
rociadores contra incendios Correctivo Físico
Procedimientos de terminación (amigable / hostil) Correctivo Administrativo
Listas de Control de Acceso Preventivo Técnicos
Auditoría Detectivo Administrativo
Antivirus Preventivo Técnicos
Proceso de Certificación del Sistema Preventivo Técnicos
Etiquetas Legibles por Humanos Preventivo Físico
 Descripción Tipo Método Implementado
Cercas Preventivo Físico
Procedimientos de contratación Preventivo Administrativo
sellos de manipulación Detectivo Físico
Acuerdos de Nivel de Servicio (SLA) Preventivo Administrativo
Vidrios Rotos Detectivo Físico

5) Pensar en un ejemplo de la vida real donde se combine al menos tres métodos de

controles internos diferentes con al menos uno de cada tipo (preventivo, correctivo y
detectivo) y utilizando al menos uno de cada metodología (administrativo, técnico y
físico) el uso de diferentes preventivo, correctivo y detectivo. Tratar en lo posible
acercarse a la implementación de las 9 capas

Lista de control de acceso a un sistema

Biometría para su identificación

Cifrado de los datos

Política de Uso Aceptable

Copia de seguridad de los datos diaria

Restauración de copia de seguridad ante una eventual falla de todos los anteriores

Control Interno – Dificultad en los Sistemas de Información

• Pérdida de la pista de generación de la información

• Las transacciones se encuentran en forma magnética por lo que la información puede

ser alterada o copiada sin ninguna pista de que ha ocurrido (principio de volatilidad)

• La información no es accesible por el ojo humano. Implica involucrar a un experto en

informática para su acceso

• Gran parte de los controles se delegan al propio sistema (controles programados)

• Se ve afectado el control interno de la organización

Control Interno en los sistemas de información

El ordenador afecta el control interno y las técnicas de comprobación y rastreo

Para poder comprender los datos económico financieros se requiere comprender el origen de
la información, sus transformaciones hasta el registro como información de salida

Se vieron afectadas las tareas más elementales

- Cálculo, resumen, almacenamiento y clasificación de datos

- Transmisión de datos
- Integridad de los sistemas
- Generación de documentos fuentes
Se recomienda conocer

- Las fuentes de la información elemental

- Las distintas combinaciones de esta información elementan a lo largo del
procesamiento
- Las pistas de auditoría
- Los controles tanto manuales como informáticos

Control Interno en los sistemas de información – Jerarquía de Controles

• Clases

Generales:

• Controles que rigen todas las áreas de negocio. Ejemplo: Separación de tareas,
estructura organizativa, políticas de RRHH, seguimiento de trabajadores, etc

Controles Generales de Tecnología:

• Define la dirección y el comportamiento requeridos para que la tecnología

funcione correctamente.
• Son un subconjunto de controles generales con una definición adicional
centrada en la gestión y el monitoreo de una tecnología específica. Por
ejemplo, los controles generalizados de SI gobiernan la operación de los
deberes del sistema de información

Una correcta implementación permite mejorar la confiabilidad de:

• Service Delivery
• Desarrollo de Software
• Implementación de sistemas
• Administración de la seguridad
• Disaster Recovery y Business continuity planning
• La falta de controles generalizados de SI, o controles débiles, indica la
posibilidad de una situación de alto riesgo que debería llamar la
atención del auditor

Controles detallados de SI (tareas):

 Garantizar que los trabajadores hagan bien sus tareas específicas

 Se refieren a pasos específicos o tareas a realizar
 especifican cómo manejará el departamento las adquisiciones, la seguridad, la
implementación, la entrega y el soporte de los servicios de IS.
 Ejemplo: Parámetros de seguridad del sistema, cómo se verifican los datos de entrada
en una aplicación

Controles de Aplicaciones (integrados en la app)

 El subconjunto más bajo en la familia de controles

  El objetivo es proporcionar una certificación técnica de que cada sistema cumple con
los requisitos

Clase 3: Proceso de auditoria

Objetivos:

- Etapas de auditoria
- Pre planificación de una auditoria
- Determinar si es posible realizar una auditoria
- Ejecución de la auditoria
- Documentación y análisis de resultado
- Al terminar la auditoria

Etapas de una Auditoría

- Aprobación de la carta de auditoría o carta compromiso (Audit

charter)
- Preplanificación de la auditoría
- Realización de la evaluación de riesgos
- Determinar si la auditoría es posible
- Realización de la auditoría
- Obtención de Evidencia
- Realización de pruebas de auditoría
- Análisis de Resultados
- Informe de resultados
- Realización de actividades de seguimiento

Aprobación de la Carta de Auditoría – Objetivos

• Objetivos:

• Da la autoridad de ejecutar la auditoría y el derecho a obtener acceso a la

información relevante para la auditoría

• Enuncia el alcance junto con las metas y objetivos

• Define acciones mutuamente acordadas entre el comité de auditoría y el

auditor,
 • Completa con los requisitos de presentación de informes.

• Responsabilidad: Management o “Board of Directors”

• Tipos de auditorías

• Producto o servicio: Eficiencia, efectividad, controles y costos a lo largo del

ciclo de vida)

• Procesos: Métodos o resultados

• Sistema: Diseño o configuración

• Controles Generales: Preventivos, detectivos y correctivos

• Planes de organización: Objetivos presentes y futuros.

Aprobación de la Carta de Auditoría – Comité de Auditoría

• Objetivos

• Brindar asesoramiento al nivel ejecutivo sobre las estrategias, prioridades y

garantías de control interno.

• Planificar las auditorías tanto internas como externas. Puede contratar

expertos externos

• Responsabilidad

• No sustituyen a los ejecutivos que deben supervisar, controlar y administrar su

organización

• Se le delega la autoridad para revisar y cuestionar las garantías de los

controles internos realizados por la gerencia ejecutiva.

• Integrantes

• Compuesto por ejecutivos del negocio

• Los miembros deben tener conocimientos financieros y comprender los

estados financieros, incluidos los balances, los ingresos y los estados de flujos
de efectivo

Preplanificación de la Auditoría – Aspectos a Evaluar del Negocio

Al menos una vez al año se deben revisar los proyectos de auditoría

El auditor debe considerar el trabajo de auditoría sobre los objetivos de negocio

(conocimiento, propósito, restricciones)
Preplanificación de la Auditoría – Restricciones de Alcance

• La administración coloca restricciones indebidas en el uso de evidencia o

procedimientos de auditoría que podrían socavar seriamente el objetivo de la
auditoría.

• Incapacidad para obtener evidencia suficiente por cualquier motivo

• Falta de recursos o falta de tiempo suficiente

• Procedimientos de auditoria ineficaces

Preplanificación de la Auditoría – Deberes del Cliente

• Establece el alcance, otorga autoridad y acepta pagar el proyecto. Los deberes del
cliente incluyen lo siguiente:

• Establecer el alcance y objetivos de la auditoría.

• Conceder acceso al auditado y a los recursos.

• Definir la estructura de informes y los requisitos de confidencialidad.

Preplanificación de la Auditoría – Deberes del Auditado

El auditado es responsable de trabajar con el auditor para hacer lo siguiente:

• Confirmar propósito y alcance

• Identificar factores críticos de éxito (CSF) y medidas de desempeño
• Identificar los roles y responsabilidades del personal.
• Proporcionar acceso a información, personal, ubicaciones y sistemas relevantes para la
auditoría.
• Cooperar con la recopilación de evidencia de auditoría.
• Proporcionar acceso a los resultados de auditorías previas o a la comunicación con
auditores previos si es necesario.
• Especificar líneas de reporte a la alta gerencia
 • Hacer su afirmación de controles y efectividad independiente del auditor

Preplanificación de la Auditoría – Deberes del Auditor

• Planificar cada auditoría para lograr los objetivos específicos necesarios para el
cumplimiento anual.
• Identificar estándares específicos utilizados para la auditoría
• Usar una estrategia de auditoría basada en el riesgo. Se busca auditar los puntos
donde haya alguna clase de riesgo sobre los activos de la organización
• Identificar requisitos especiales de confidencialidad, seguridad y protección. La
información encontrada por el auditor puede ser sensible debido al valor competitivo
o posibles repercusiones legales.
• Identificar procedimientos específicos que se utilizarán para la auditoría. Todos los
procedimientos deben ser por escrito.
• Documentar cómo los procedimientos de auditoría están vinculados con objetivos
específicos de auditoría.
• Crear una lista de la evidencia necesaria para revisar a fin de preparar los resultados de
la auditoría.
• Crear un plan de proyecto escrito.
• Identificar los recursos necesarios, incluidas las personas, las áreas de acceso, el
hardware y el software.
• Desarrollar la planificación de eventos con horario y tiempos estimados de inicio y
finalización.
• Proporcionar estimaciones de costos de auditoría.
• Especificar una fecha en la que el auditado y el cliente puedan esperar recibir un
informe final.

Preplanificación de la Auditoría – Proceso Cíclico de Planificación

• Objetivos de auditoría de nivel básico:

• Probar la implementación del control para ver si el auditado ha implementado

salvaguardas adecuadas

• Para cumplir con los requisitos legales que especifican los procedimientos
necesarios para permanecer legal

• Es muy común la ausencia de requisitos legales formalmente documentados. Los

controles deben asegurar el cumplimiento de estas normativas

• Para esto se puede utilizar un método llamado “la técnica de proceso” inventado por
Walter Shewhart.

• Consiste en guiar un ciclo repetitivo de mejora constante para un proceso o

sistema.

• Se puede utilizar para identificar elementos de acción específicos necesarios

para cumplir requisitos vagos, como "mantener la seguridad adecuada".

Preplanificación de la Auditoría – PDCA

• Medio para incorporar la cultura de mejora continua en las organizaciones.

 • Proceso iterativo de resolución de problemas basado en el método científico
Hipótesis-Experimento-Evaluación

• Permite ayudar al nivel gerencial a identificar y modificar las partes de un proceso que
deben mejorarse

• Es un enfoque sistemático que enfatiza que cualquier cambio en un sistema o proceso,

no importa cuán grande o pequeño sea, debe pasar por cuatro etapas.

Preplanificación de la Auditoría – Planificar (Plan)

• Se establece la posición actual, se analice el problema y finalmente se decide qué debe

hacerse.

• Es importante la correcta definición de los objetivos y los procesos necesarios para

entregar los resultados esperados.

• Se debe diseñar un plan de implementación.

• ¿Quién? ¿Qué? ¿Dónde? ¿Cuando?

• Determine los datos que necesitará recopilar para medir el éxito del plan.

• IMPORTANTE: Involucrar al personal en acordar en qué es lo que hay que hacer:

Reducir la resistencia al cambio.

Preplanificación de la Auditoría – Hacer (do)

• Se implementan los cambios planificados en el paso anterior.  Se implementa el

nuevo proceso

• Se deben recopilar datos para medir el éxito de su desempeño. (comparar con lo

definido en el paso anterior)

• Idealmente, debe probar el cambio a pequeña escala al principio.

• Se debe realizar un seguimiento detallado del plan definido

Preplanificación de la Auditoría – Verificar (Check)

• Se evalúa en qué medida el cambio ha mejorado la situación. ¿la decisión ha logrado lo

que quería? ¡¡Puede haber empeorado las cosas!!
 • Se mide el nuevo proceso y compara los resultados con el resultado esperado para
encontrar discrepancias.

• Si se comienza con un cambio a pequeña escala y este es exitoso puede avanzarse con
el “Hacer” a gran escala. En cambio si no lo fuera, puede volver a “Do” o incluso a
“Plan”

Preplanificación de la Auditoría – Actuar (Act)

• Se realiza el análisis de las diferencias

• Si los resultados no son los esperados, se deberán identificar las razones,

tomar medidas y repetir nuevamente el ciclo PDCA.

• Se debe comenzar revisando las decisiones realizadas desde la planificación 

Comprender la causa raíz de las discrepancias

• Puede ser que se detecte que los objetivos inicialmente propuestos no sean
posibles

Evaluación de Riesgos

• Realización de la Evaluación de Riesgos

• Elegir la estrategia de manejo de riesgos adecuada
• Se identifican los riesgos de la auditoría
• Se identifican los riesgos que atraviesa la organización

Determinar si la Auditoría es Posible

Se deberá evaluar el riesgo de la auditoría: Si no se pudieran realizar las funciones de auditoría

necesarias, es esencial que los problemas se comuniquen adecuadamente a la gerencia y al
comité de auditoría.

¡¡Una auditoría sin evidencia significativa sería inútil!!

El auditor necesitará trabajar con el auditado para definir requisitos específicos e identificar
proveedores externos. Deberá revisar la estructura organizativa del auditado e identificar
personas en áreas de interés que sean importantes para su auditoría.

La administración tiene la responsabilidad final de los controles internos y tiene la autoridad

para la delegación. La gerencia puede elegir delegar tareas a un tercero (subcontratar). La
organización subcontratada debe realizar las tareas diarias según lo designado, pero
desafortunadamente la gerencia aún conservará responsabilidades que no se pueden delegar

Realización de la Auditoría – Conformación del Equipo

Definir la estructura de la organización de auditoría

Se genera un plan de recursos donde se identifican las funciones y las habilidades necesarios

El equipo generalmente estará conformado por auditores, subcontratados y personal del

cliente

Identificar requerimientos de entrenamiento

Matriz de Habilidades:
 • Indica áreas de conocimiento, competencia y capacitación especializada requerida
para cumplir con la auditoría.  Gente correcta con las correctas habilidades
• Mostrar los “gaps” de entrenamiento necesarios

Columnas:

• Persona
• Training o Certificación
• Experiencia requerida
• Tarea de Auditoría

Realización de la Auditoría – Aseguramiento de la Calidad

El control de calidad es necesario en toda auditoría.

Se requiere una metodología. ¡¡¡No aparece mágicamente!!!

Se requerirá métricas de control para asegurar la calidad

Al diseñar un proceso de control de calidad se debe considerar lo siguiente

• Tener una buena comprensión de las necesidades del auditado

• Llevar un checklist con todas las tareas a realizar
• Respetar los ciclos de negocio y tiempos límites
• Entrevistas y Workshops con el cliente
• Encuestas de satisfacción del cliente
• Utilización de terminología del cliente
• Establecer métricas de rendimiento
• Comparativa de avance del plan con el avance real
• Responder a las quejas del cliente

Realización de la Auditoría – Definición de las Comunicaciones con el Auditado

Es responsabilidad del auditor comunicar correctamente lo encontrado al management de la

organización

Debe ser trabajado entre el auditor y el auditado

Puntos a considerar para una comunicación efectiva

• Describir el propósito, el servicio y el alcance de la auditoría.

• Manejo de problemas, limitaciones y retrasos.
• Responder a las preguntas y quejas de los clientes.
• Tratar asuntos fuera del alcance de esta auditoría particular
• Comprender el tiempo y la programación: saber cuándo esperan que ocurra el trabajo
• Seguir el proceso de informes: saber cuándo y cómo el cliente quiere saber de usted
• Obtener un acuerdo de sus hallazgos con su cliente
• Implementación de la confidencialidad, implementación del principio del mínimo
privilegio (necesidad de saber)
• Proporcionar un manejo especial para evidencia de irregularidades o posiblemente
actos ilegales.

Realización de la Auditoría – Utilización de Técnicas de Recolección de Datos

Como obtener la información

 • Observación del Personal: Ver cómo hacen su trabajo
• Revisión de documentación: Incluye información legal (contratos y regulaciones
legales. ¡¡¡Validar si se está utilizando!!!
• Entrevistas: Se realiza sobre determinados empleados. Debe estructurarse bien y las
preguntas deben ser consistentes. Tener en cuenta tiempo extra para discutir sobre
temas que surjan
• Workshops: Se utiliza para generar conocimiento y entendimiento. Generalmente se
utilizan con el comité de auditoría
• Herramientas de auditoría asistidas por computadoras: Chequear parámetros de
configuración, parámetros de cuentas de usuario, logs y otras actividades de alto
consumo de tiempo
• Encuestas: Obtener respuestas de forma barata y rápida. Tiene como problema que las
respuestas pueden no ser consistentes por falta de criterio

Realización de la Auditoría – Utilización de Evidencia

Se debe obtener evidencia tangible y confiable para una buena auditoría

La evidencia probará o rechazará un punto. La ausencia de evidencia es la ausencia de pruebas

Un auditor no debe dar crédito a las reclamaciones o afirmaciones positivas que no pueden
documentarse con evidencia.

Se pueden utilizar herramientas de auditoría asistidas por computador (CAATS) para juntar
evidencia de IS

Preparación de la Documentación

• Se debe incluir toda la documentación desde el comienzo de la auditoría incluyendo

las notas de trabajo y la evidencia necesaria para poder re ejecutar la auditoría

• Los registros que se realicen de la auditoría deben poder responder a las siguientes
preguntas:

• ¿Quién estaba involucrado?

• ¿Cuándo y dónde se realizó? ¿Cómo fue ejecutada la auditoría?

• ¿Qué se estaba auditando, cómo se obtuvo la evidencia y que procedimiento

de testeo se utilizó? Propósito de la auditoría

• El auditor debe registrar todos lo hallazgos de conformidad y no conformidad

• Los hallazgos pueden clasificarse en:

• Logros dignos de mención: Habla sobre partes del proceso que se hayan hecho
muy bien. Reconocen

• Conformidad: La evidencia demuestra que el auditado está logrando los

objetivos propuestos. Se cumplen los requisitos mínimos

• Oportunidad de Mejora: Un elemento encontrado no está en violación, pero

es mejorable
 • Preocupación: la evidencia y las observaciones del auditor indican la
posibilidad de problemas futuros que la gerencia debe comprender.

• No Conformidad: Existen pruebas que no se cumple

Preparación de la Documentación – Detección de actos Ilegales

Deben incluirse procedimientos en el caso que se encuentre un acto ilegal

Ejemplos:

• Fraude: Engaño para obtener alguna ventaja

• Robo: Tomar recursos no propios
• Supresión: Suprimir registros de datos que afectan las transacciones comerciales
• Crimen organizado:
• Violaciones en regulaciones: Intencional o no

Preparación de la Documentación – Presentación de la Documentación

Debe incluir

• Alcance
• Objetivos
• Métodos y criterios utilizados
• Naturaleza de la situación encontrada
• Descripción del trabajo realizado
• Opinión

Se debe tener una reunión de entrega para obtener compromiso sobre los hallazgos con el
management

Actividades de Seguimiento

• Es responsabilidad del comité de auditoría del seguimiento posterior

• No es responsabilidad del auditor detectar actos posteriores

Actividades clase 3

Especificar la Opción Correcta

1. ¿Cuál es el propósito de la carta de auditoría?

A. Contratar auditores externos. --> Lo hace el comité

B. Conceder responsabilidad, autoridad y responsabilidad.

C. Autorizar la creación del comité de auditoría. -->Se crea antes por el alto mgmt

D. Proporcionar una planificación detallada de la auditoría.

B. El propósito de la carta de auditoría es otorgar el derecho de auditar y delegar

responsabilidad, autoridad, y responsabilidad.
2. ¿Cuál de las siguientes sería una preocupación del auditor que debería explicarse en el
informe de auditoría junto con sus hallazgos?

A. Lista detallada de objetivos de auditoría.-->Se hace en la aprobación de la carta de auditoria

B. La necesidad del auditor actual de comunicarse con el auditor anterior --> Podría querer
comunicarse con el auditor anterior. Lo importante es tener el informe

C. Comunicar los resultados directamente al presidente del comité de auditoría.-->Durante el

informe de auditoria

D. Restricciones indebidas impuestas por la gerencia al uso de evidencia o procedimientos de

auditoría

D. Las restricciones indebidas en el alcance serían una preocupación importante, al igual que la
falta de tiempo o la imposibilidad de obtener evidencia confiable suficiente.

3. ¿Cuál es el propósito del comité de auditoría?

A. Ayudar a los gerentes con capacitación en habilidades de auditoría.

B. Gobernar, controlar y administrar la organización.-->Esto lo hace el mgmt

C. Para desafiar y revisar las garantías

D. Proporcionar coordinación diaria de todas las actividades de auditoría.--> Eso lo hace el

equipo de auditoría, no el comite

C. El propósito del comité de auditoría es revisar y cuestionar las garantías hechas, y mantener
una relación positiva de trabajo con la gerencia y los auditores.

4. Un auditor de SI está realizando una revisión de una aplicación y encuentra algo que
podría ser ilegal.

El auditor de SI debe:

A. Ignorar o ignorar porque esto está más allá del alcance de esta revisión

B. Realizar una investigación detallada para ayudar a las autoridades a atrapar el culpable

C. Notificar inmediatamente al auditado sobre el hallazgo

D. Busque asesoría legal antes de terminar la auditoría.

D. Buscar asesoría legal competente. El trabajo del auditor no es detectar actos

potencialmente ilegales; sin embargo, el auditor debe buscar la ayuda de un abogado con
respecto a la responsabilidad y los requisitos de información.

5. ¿Las auditorías están destinadas a realizarse de acuerdo con cuál de los siguientes ideales?
A. Directivas específicas de la gerencia sobre evidencia y procedimiento

B. Informes y comunicación.

C. Evaluación de los controles organizacionales.

D. Cumplimiento de normas, directrices y mejores prácticas.

D. Las auditorías deben cumplir con los estándares, pautas y mejores prácticas. La respuesta A
representa una restricción en el alcance. B y C son componentes de la respuesta D.

6. ¿Quién tiene la responsabilidad de establecer el alcance de la auditoría?

A. Auditor

B. cliente

C. Gerente de auditoría

D. Auditado

B. Cada auditoría es pagada y solicitada por un cliente, quien es responsable de establecer el

alcance, otorgar autoridad y proporcionar acceso al auditado

7. ¿Cuál es el mayor problema con la decisión de transferir el riesgo o responsabilidad a un

contratista externo?

A. Existe la posibilidad de un aumento incontrolable en el costo operativo con el tiempo.

B. La subcontratación transfiere todo el riesgo al contratista.--> Transmitir el riesgo no es lo

mismo que perder responsabilidad

C. La compañía aún conserva la responsabilidad por lo que suceda.

D. La subcontratación protege a la empresa de los riesgos intrínsecos.

C. El trabajo puede ser subcontratado; sin embargo, la responsabilidad por el fracaso

permanece con la compañía.

8. ISACA se refiere a la prueba de controles fuertes. ¿Cuál es la mejor descripción de un

control fuerte?

A. Implementación efectiva de múltiples controles dirigidos al mismo objetivo

B. Controles preventivos que evitan que el problema ocurra.

C. Usar al menos un control en cada una de las tres categorías de prevención, detective,
corrección --> Este es lo minimo para un control aunque eso no indica que sea un control
fuerte. Se necesita mucho mas

D. Implementación de controles integrales integrales dentro de una aplicación ERP

A. Los controles fuertes implementarán múltiples tipos de controles preventivos, detectives y

correctivos utilizando un enfoque combinado de métodos administrativos, métodos físicos y
métodos técnicos. Esto se conoce como profundidad de control, con suerte utilizando las
nueve capas. Usar el mínimo básico sería un control débil.

9. ¿Dónde puedo ubicar la gestión de auditoría que necesita recursos adicionales con
competencias que no se pueden cubrir con los recursos actuales?

A. Matriz de Entrenamiento

B. Matriz de Habilidades

C. Organigrama del proyecto de auditoría

B - Matriz de Habilidades

2) Especificar a qué etapa del método creado por Walter Shewart corresponde cada uno de
los siguientes ítems

Ítem Descripción Etapa

1 No se mezclarán materias primas de distintos Plan

proveedores en un mismo producto final. Así se podrá
asociar la calidad de los productos finales con la
materia prima

2 Se selecciona el proceso de selección y compras de Plan

materias primas para analizar. Se ha observado una
baja en la calidad de los productos finales

3 Se define la metodología a utilizar para encarar el Plan

proceso

4 Por la imposibilidad de combinar materias primas Check

hemos tenido casos que no logramos finalizar los lotes
aumentando los desperdicios

5 Luego de haber realizado varios ciclos de producción Act

con la modalidad fijada haremos algunos cambios al
proceso adicionales. La materia prima adquirida a
través de un proveedor luego de corroborada su
calidad por algunos meses se puede utilizar en lotes de
producción incluso combinada con productos de otros
 proveedores.

6 Se comparará el índice de calidad para evaluar el éxito Plan

7 Para subsanar los desperdicios provocados por la nueva Act

modalidad se decidió realizar lotes de menor tamaño

8 Se observa una mejora en la calidad de los productos Check

finales. Hemos tenido menos devoluciones de los
clientes

9 Por cada lote recibido de materia prima se separará Plan

una parte y se harán pruebas pre-chequeando la
calidad.

Clase 4: Riesgos
Objetivos:

- Objetivo de la gestión de riesgos

- Términos principales
- Analisis de riesgo
- Proceso de gestión del riesgo
- Auditoria basada en el riesgo
- Tratamiento de riesgos

Análisis de Riesgos – Definiciones

- El análisis de riesgos tiene como objetivo determinar los riesgo y vulnerabilidades para
luego planificar adecuadamente los controles que se necesitan para disminuir esos
riesgos.
- El proceso de auditoría necesita comprender las relaciones entre riesgos y controles
para evaluar si son adecuados.
- Cada uno de los riesgos debe mapear a uno o más controles. Los controles
implementados buscan mitigar los riesgos
- El desafío para la mayoría de las organizaciones es hacer el mejor uso de los recursos
centrándose en los riesgos correctos (costo / beneficio)
- Esto significa que el auditor debe tener un buen conocimiento de los riesgos
comerciales y tecnológicos y su relación con el proceso de auditoría

Análisis de Riesgos – Términos Principales

• Activo: Cualquier cosa de valor, incluidas marcas comerciales, patentes, fórmulas

secretas, bienes duraderos, archivos de datos, personal competente, clientes,
reputación, valor de la marca

• Amenaza: Evento negativo que causaría una pérdida si ocurriera

• Vulnerabilidad: Debilidad, ausencia de un control de protección que hace que las

amenazas sean más probables
 • Probabilidad: Evento potencial no deseado que se necesita prevenir por resultar
perjudicial para el organismo, el procesamiento de datos, los sistemas informáticos,
etc. Varía desde un poco más del 0% hasta un poco menos del 100%

• Riesgo: Un evento o condición incierta que, si ocurre, tiene un efecto positivo o

negativo en uno o más objetivos. Es provocada por la ocurrencia de uno o más
amenazas que actúan sobre una o más vulnerabilidades provocando un impacto

• Riesgo Total: Probabilidad x Impacto Promedio

Análisis de Riesgos – Relaciones

Análisis de Riesgos – Contexto

Análisis de Riesgos – Apetito de Riesgo

 • Es el grado de incertidumbre que una organización está dispuesto a aceptar antes de
recibir una recompensa.

• Define la cantidad y el tipo de riesgo que la organización está dispuesta a asumir para
cumplir sus objetivos estratégicos.

• Guía la gestión del riesgo y los parámetros que la organización utiliza para decidir si
asume o no un riesgo. De esta manera, se sabrá qué tantos recursos y esfuerzos se
requieren para manejarlo y mitigar un posible impacto

• Ejemplo: Inversiones: Tienen más o menos riesgo asociado y por consecuencia mayor
o menor ganancia. Dependerá de la organización determinar cuál es mejor

• Tolerancia al riesgo: Desviación sobre el apetito de riesgo

¡¡CADA ORGANIZACIÓN TOMA DISTINTOS NIVELES DE RIESGO Y CAMBIA CON EL TIEMPO!!

Análisis de Riesgos – Impacto de ocurrencia de un Riesgo (Cualitativo)

- Es un examen en profundidad de los activos dentro del alcance con un estudio

detallado de las amenazas (y su probabilidad de ocurrencia), vulnerabilidades (y su
gravedad) y declaraciones de impacto.
- Evalúa la importancia de cada riesgo para categorizar y priorizar los riesgos
individuales para una mayor atención
- Las amenazas, las vulnerabilidades y el impacto se expresan en términos cualitativos,
como Alto-Medio-Bajo o en términos cuasi-numéricos, como una escala numérica de 1
a 5.
- El propósito del análisis cualitativo de riesgos es identificar los riesgos más críticos en
la organización, en base a estas clasificaciones.
- El valor en un análisis de riesgo cualitativo es la capacidad de identificar rápidamente
los riesgos más críticos sin la carga adicional de identificar impactos financieros
precisos.
- Las organizaciones que necesitan realizar análisis de riesgos cuantitativos a menudo
comienzan con análisis de riesgos cualitativos, para determinar los riesgos mejor
clasificados que justifican el esfuerzo adicional del análisis cuantitativo.

Análisis de Riesgos – Impacto de ocurrencia de un Riesgo (Cuantitativo)

• Para calcular el impacto de ocurrencia de un riesgo anualmente se comienza

calculando inicialmente el costo de una ocurrencia

$Pérdida de una Ocurrencia = $Valor del Activo x Factor de Exposición%

 • Luego para calcular el costo anual se lo debe multiplicar por la cantidad promedio de
ocurrencias anuales

$Costo Anual = $Pérdida de una Ocurrencia x Promedio de Ocurrencia Anual

Análisis de Riesgos – Puntos iniciales a conocer de la organización

• Algunos de los puntos de importancia que el auditor debe tener conocimiento sobre la
organización a auditar son los siguientes:

• El propósito y la naturaleza del negocio y el entorno en el cual opera

• Cuánta dependencia tiene el negocio de la tecnología ¿Qué activos son

esenciales para la operación?

• Qué otros riesgos asociados a TI en cualquier dependencia de la organización y

cómo podría impactar en los objetivos de negocio

¡¡EL COSTO DE OCURRIENCIA DE UN RIESGO NO SOLO ES EL VALOR MONETARIO DE LOS

ACTIVOS EN SI SINO TAMBIÉN EL IMPACTO ASOCIADO!!

POR EJEMPLO PÉRDIDAS DE VENTAS POR EL SERVIDOR DEL SITIO CAIDO

Análisis de Riesgos – Enfoque

• Al analizar los servicios de TI, el auditor se enfoca específicamente en los riesgos

asociados para el negocio al usar los servicios de IT dentro de la organización

• Uno de los objetivos principales del análisis de riesgo es poder mitigarlo llevándolo a
un punto manejable.  Debe buscarse un punto de equilibrio costo/beneficio

• El riesgo de que se ataque una vulnerabilidad podría tener un impacto negativo en:

• Los activos de la organización.

• Procesos u objetivos del negocio
• Daño financiero
• Violaciones regulatorias
• Interrupciones operacionales
• Imagen

Análisis de Riesgos – Ciclo de Vida

Análisis de Riesgos – Cómo empezar

• El proceso de evaluación de riesgos se caracteriza por tener un ciclo de vida

• Se identifican inicialmente los objetivos del negocio

• Se identifican los activos de información

• Se identifican los Sistemas que generan o almacenan información

• Se identifican los sistemas que manipulan los activos

• El proceso de evaluación de riesgos debe centrarse primero en los activos más

importantes que podrían afectar negativamente a la organización

• Debe evaluarse el riesgo de una auditoría y asegurar que tenga una buena prioridad
para la organización. Si no se pueden llevarse a cabo las funciones de auditoría es
necesario que sea comunicado apropiadamente a la dirección.

• Se debe tener cuidado cuando se imponen muchas restricciones al alcance de la

auditoría

Análisis de Riesgos – Enfoque

• El proceso de mitigación de riesgos implica la identificación de controles que pueden

reducir las potenciales pérdidas

• ¿Qué activos deben ser protegidos?

• ¿Cuán expuestos están estos activos?

• ¿Cuáles son las amenazas a estos activos? ¿Cuáles son internas y cuáles
externas?
 • ¿Cuáles son los problemas de seguridad que deben ser controlados?

• Es usual que un control deba analizarse a través del análisis de costo beneficio

• ¿Cuál es el costo del control?

• Cómo el control minimizará el riesgo

• ¿Qué nivel de riesgo aceptará la organización?

• ¿Cuál es el método de reducción de riesgo preferido, es decir, terminar el

riesgo, minimizar la probabilidad del riesgo o quizás minimizar el impacto?

Análisis de Riesgos – Estrategias de Tratamiento

Parte de la documentación de riesgos es identificar como serán las respuestas a esos riesgos

Tipo de Descripción
Acción

Aceptar Luego de identificar un riesgo se decide ignorarlo. Esto nunca debiera ocurrir
con situaciones de alto riesgo

Mitigar Realizar algún control para reducir las pérdidas. Es decir, reducir los efectos
de un daño potencial. La mayoría de los controles internos se ubican en esta
clasificación

Transferir El riesgo de pérdida queda a cargo de un tercero (un subcontratado o una

aseguradora). Se transfiere el riesgo pero no la responsabilidad del
problema. Se debe hacer un cuidadoso análisis de las cláusulas del contrato.

Evitar Implica cambiar la situación para evitar el riesgo

Análisis de Riesgos – Iterando

Análisis de Riesgos – Puntos clave para un buen Manejo de riesgos

Análisis de Riesgos – Proceso
 Hardware, Software,
1. Identificación de activos y Funciones, sistemas y datos
inidividuos,misión, datos e
servicios críticos críticos, Sensibilidad de negocio
información

Historia de ataques
Datos sobre orígenes de 2. Identificar Amenazas Lista de Amenazas
inteligencia

Reportes de auditorías pasadas

Listado de Vulnerabilidades
Requerimientos de Seguridad 3. Identificar Vulnerabilidades
potenciales
Resultado de Tests de seguridad

Determinar los Controles

Listado de controles actuales
Actuales 4. Determinar los controles
Lista de problemas de control
Determinar los controles actuales
Listado de controles planificados
planificados

Listado de que procedimientos

Lista de expertos internos en el
pueden ser manejado por staff
área 5. Determinar Capacidades
interno
Lista de expertos en temas no Internas
Probable ayuda externa
comerciales
requerida

Riesgos probables
Posibles motivaciones 6. Documentar riesgos y Listado de riesgos
Capacidad de amenaza probabilidades Probabilidad de riesgo
Zonas vulnerables

Lista de riesgos y sus

probabilidades. Lista de posibles impactos
7. Cálcular Impacto
Fórmulas para calificación de financieros y de negocio
impacto

Lista de controles actuales 8. Determinar los Controles a

Controles Recomendados
Lista de posibles controles Utilizar

9. Documentar Resultados Reporte de Evaluación de Riesgo

Auditoría de Riesgos y Materialización – Clasificación

• Riesgos inherentes: Son riesgos naturales o incorporados que siempre existen

• Riesgos de control: Son los riesgos de que ocurra un error material y que el sistema de
control no lo detecte. Se incluye también la introducción de nuevos errores

• Riesgos de detección: son los riesgos que un auditor no podrá detectar lo que está
buscando encontrar. Incluye errores de muestreo y no muestreo

• Riesgo de muestreo: Estos son los riesgos que un auditor aceptará falsamente
o rechazará erróneamente una muestra de auditoría (evidencia)

• son los riesgos de que un auditor no detecte una condición por no aplicar el
procedimiento apropiado o usar procedimientos inconsistentes con el objetivo
de la auditoría (falla de detección)

• Riesgos comerciales: Son riesgos inherentes al negocio o la industria misma. Pueden

ser regulatorios, contractuales o financieros

• Riesgos tecnológicos: son riesgos inherentes al uso de tecnología automatizada. Los

sistemas fallan.

Auditoría de Riesgos y Materialización – Clasificación

• Riesgos Operativos: son los riesgos de que un proceso o procedimiento no funcione

correctamente.

• Riesgos Residuales: Estos son los riesgos que quedan después de realizar todos los
esfuerzos de mitigación.
 • El riesgo de auditoría describe el nivel de riesgo que un auditor está preparado para
aceptar durante una auditoría

• El auditor puede establecer un nivel objetivo de riesgo y ajustar la cantidad de

trabajo (muestreo) detallado para minimizar este riesgo

• Materialización: se refiere a un error que debe considerarse significativo para

cualquier parte interesada en la auditoría

• La materialidad es una cuestión de juicio profesional que debe incluir una

consideración del efecto sobre la organización que se audita

Auditoría de Riesgos y Materialización – Combinación de Errores

• Un error menor por sí solo puede no ser suficiente, pero cuando se combina con
muchos otros errores menores, puede convertirse en un problema mayor

• La materialización debe considerarse en términos del impacto potencial total para una
organización que podría realizarse a través de una serie de errores menores

• La evaluación de riesgos es un proceso sistemático donde se realiza el análisis de los

riesgos y se los compara contra los riesgos estimados para determinar la importancia
de estos.

• Se debe realizar una evaluación de riesgos cuando hay cambios en el entorno, los
requisitos de seguridad y la situación de riesgo

Evaluación de Riesgos y Tratamiento

• Tratamiento de riesgos

• Antes de decidir el tratamiento de un riesgo, debe haber criterios que

determinen si los riesgos pueden aceptarse

• Las posibles opciones para el tratamiento de riesgos incluyen:

• Reducir el riesgo mediante el uso de controles apropiados

• Aceptar riesgos, siempre que cumplan con los criterios de política de

aceptación de la organización

• Evitar riesgos deteniendo las acciones que podrían causar que ocurran los
riesgos

• O transferir el riesgo, p. a aseguradoras o proveedores

• Los controles deben seleccionarse en función de su capacidad para reducir el riesgo a

un nivel aceptable

• Se deben observar los requisitos y limitaciones de las regulaciones

relacionadas

• Comprender los objetivos organizacionales

• Requisitos operacionales y limitaciones existentes

• Rentabilidad
 • Es importante tener en cuenta que algunos controles no aplican a todos los entornos
de sistemas de información para todas las organizaciones

• Finalmente, es importante recordar que ningún conjunto de controles puede lograr

una seguridad completa

• Eso significa que la gerencia debe implementar lo siguiente:

• Monitoreo continuo

• Evaluación

• Mejoras en la eficiencia y eficacia de los controles de seguridad.

Diferencias entre Evaluación de Riesgos y Auditoría

Evaluación de Riesgos Auditoría

• La evaluación de riesgos es una • Si bien la planificación y preparación

actividad para identificar y de la auditoría también
caracterizar los riesgos inherentes normalmente implica evaluar los
y / o residuales dentro de un riesgos inherentes en un sistema,
determinado sistema, situación, situación, proceso, unidad de
etc. (de acuerdo con el alcance de negocios, etc. (nuevamente según el
la evaluación). alcance), los auditores continúan
verificando y validando los controles
• Tiende a ser un ejercicio de
que realmente están dentro y
intervención algo teórico, por
respaldan el proceso, sistema ,
ejemplo, una o más sesiones de
unidad organizativa o lo que sea para
taller que involucran al personal y
determinar si los riesgos residuales
a los gerentes dentro y
están suficientemente mitigados o
familiarizados con el área de
contenidos.
alcance, además de otros expertos
en riesgo y control, tales como
Gerentes de Riesgos, Gerentes de
Seguridad de la Información y (a
veces) Auditores, discutiendo y
teorizando sobre los riesgos

Diferentes Metodologías de Registro de Riesgos

• Existen varios modelos y metodologías de registro y tratamiento de riesgos. Acá unos

ejemplos:

• ISO27k ISMS Information risk register

• ISO27k FMEA spreadsheet

Actividades Clase 4 Riesgos

1) Marcar la respuesta correcta en cada caso

1. ¿Cómo se beneficia el proceso de auditoría de sistemas al usar un enfoque basado en el

riesgo para la planificación de la auditoría?

A. La prueba de controles comienza antes

B. Los recursos de auditoría se asignan a las áreas de mayor preocupación.

C. El riesgo de auditoría se reduce

D. La prueba de controles es más exhaustiva

B: La asignación de recursos de auditoría a las áreas de mayor preocupación es un beneficio de

un enfoque basado en el riesgo para la planificación de la auditoría.

2. ¿Qué tipo de riesgo resulta cuando un auditor de SI usa un procedimiento de prueba

inadecuado y concluye que los errores materiales no existen cuando los errores realmente
existen?

A. Riesgo comercial

B. Riesgo de detección.

C. Riesgo residual

D. Riesgo inherente

B: Los resultados del riesgo de detección cuando un auditor de SI utiliza un procedimiento de

prueba inadecuado y concluye que los errores materiales no existen cuando los errores
realmente existen

3. ¿Cuál no es un propósito del análisis de riesgos?

A. Apoyar decisiones de auditoría basadas en riesgos

B. Ayudar al auditor a determinar los objetivos de la auditoría.

C. Asistir al auditor en la identificación de riesgos y amenazas.

D. Garantizar la seguridad absoluta durante la auditoría

D. El análisis de riesgos no garantiza la seguridad absoluta. El propósito de usar una auditoría

basada en riesgos. La estrategia es garantizar que la auditoría agregue valor con información
significativa.

4. ¿Cuáles son los nombres propios de los cuatro métodos de respuesta al riesgo?

A. Evitar, aceptar, transferir y mitigar

B. Mitigar, aceptar, transferir y reducir

C. Ignorar, aceptar, asignar y mitigar

D. Analizar, mitigar, reducir y asignar.

A. La respuesta correcta es evitar, aceptar, transferir a otra parte y mitigar para reducir la
exposición. (slide 4)

5. Cuando aumentan las vulnerabilidades, aumenta el riesgo

Verdadero

False

6. Los controles protegen de:

A - Vulnerabilidades

B - Amenazas

C - Requerimientos de Seguridad

D - Riesgos

B-Amenazas

7 – Una organización que asume un apetito de riesgo mayor estará mejor posicionada que
una que asume un apetito de riesgo menor

Verdadero

Falso

falso: Cada organización asumirá el riesgo que quiera asumir para obtener el nivel de
ganancias que desea

8. De las siguientes etapas del proceso de análisis de riesgos, poner en orden de ocurrencia
(slide 17)

Identificación de activos y servicios críticos(1)

Identificar Amenazas(2)

Identificar Vulnerabilidades(3)

Determinar los controles a implementar(4)

Determinar Capacidades Internas(5)

Documentar Riesgos y probabilidades(6)

Calcular Impacto(7)
Determinar los Controles a Utilizar(8)

Documentar Resultados(9)

9. ¿Cuáles de estos no son riesgos naturales o incorporados que siempre ocurren?

A - Riesgos Comerciales

B - Riesgos operativos

C - Riesgos Tecnológicos

B: Los riesgos comerciales y tecnológicos son riesgos inherentes.(slide 22)

10. Es vital comenzar implementando los controles que actúen sobre los riesgos más
probables.

Verdadero

Falso

Falso: Se deben controlar los riesgos que tengan mayor incidencia anualizada. Si un riesgo se
presenta muchas veces, pero no causa mucha pérdida se puede llegar a elegir controlar con
menos prioridad que uno que tiene menor probabilidad, pero el daño es mayor

2) Obtener el riesgo anualizado de los siguientes riesgos y señalar el ranking de

acuerdo con su prioridad de mitigación

Riesgo Valor del Factor de Cantidad de Costo Total para

Activo Exposición Ocurrencias Anuales Controlarlo
Riesgo 5000 20% 10 200
1
Riesgo 7000 40% 4 50000
2
Riesgo 100000 2% 100 6000
3
Riesgo 5500 50% 5 4000
4
Riesgo 1000 70% 8 100
5

Cálculo de riesgo anualizado

 Cantidad Costo Costo Riesgo
Valor Factor de de Total por Total para Total Mitigación
del Exposició Ocurrencia ocurrenci Controlarl Anualizad Acumulad Rankin
Riesgo Activo n s Anuales a o o a g
Riesgo 1 5000 20% 10 1000 200 10000 9800 2
Riesgo 2 7000 40% 4 2800 50000 11200 -38800 N/A
Riesgo 3 100000 2% 100 2000 6000 200000 194000 1
Riesgo 4 5500 50% 5 2750 4000 13750 9750 3
Riesgo 5 1000 70% 8 700 100 5600 5500 4