Ed Gelbstein, Ph.D.
, ha trabajado en SI /
TI en los sectores público y privado en
varios países desde hace más de 50
años. Lo hizo el desarrollo analógica y
digital en la década de 1960, que se
incorpora computadores digitales en los
sistemas de control de proceso continuo a
finales de los 60 y 70 años, y los
proyectos de aumento de tamaño y
complejidad logrado hasta principios de
1990. En la década de 1990, se convirtió
en un ejecutivo de los ferrocarriles
británicos preprivatized y luego el
proveedor de comunicaciones globales y
de datos informáticos de las Naciones
Unidas. Después de su retiro (semi) de la
ONU, se unió a los equipos de auditoría
de la Junta de las Naciones Unidas de
Cuentas y el Tribunal de Cuentas francés.
También imparte cursos de postgrado en
administración de empresas de sistemas
de información.
¿Tiene algo
que decir
acerca de este
artículo?
Visita el diario
las páginas del sitio web de
ISACA ( www.isaca. org /
diario), encontrar el artículo y
seleccione la ficha
Comentarios para compartir
sus pensamientos.
Ir directamente al artículo:
Los auditados ayudando a prepararse para una auditoría de SI / TI
Después de haber sido auditado muchas veces a lo largo de los años,
habría sido de gran ayuda si los auditores habían tomado el tiempo
para darnos una información sobre lo que iban a hacer, por qué y cómo
esto se haría, y lo que nuestro papel en el proceso haría ser.
Muchos años más tarde, después de haber convertido un auditor, mi
opción era hacer esas sesiones de eventos regulares, y, a través de ellos,
se hizo evidente que muchas entidades auditadas en realidad no saben lo
que hacen y los auditores no estaban familiarizados con la terminología y
los métodos de trabajo de auditoría.
Estos informes han dejado claro que los auditores se ven a menudo
como mirar a criticar cómo se hacen las cosas y hacer que los auditados
quedar mal a los ojos de su alta dirección. Para complicar las cosas, el
plan de auditoría de una organización puede requerir ciertas auditorías
hacerse en un momento particular que puede no ser conveniente para los
auditados, como auditorías interrumpir inevitablemente su trabajo. En
esta columna se sugiere una manera de facilitar la preparación y
realización de una auditoría / es.
se hacen las cosas.
como mirar a criticar cómo
auditores se ven a menudo
Explicando el propósito AUDITORÍA a los auditados
Hay ejemplos de las oficinas de auditoría que han publicado folletos 1 explicando
su función y la forma en que las auditorías se planeó y llevó a cabo, pero
esto puede no ser una práctica común. Es una lástima, porque la falta de
comprensión y claridad conduce a una falta de confianza antes de la
auditoría siquiera ha comenzado y los riesgos de crear confusión acerca de
las funciones y responsabilidades.
Los auditores son responsables de la alta dirección para proporcionar
los estados independientes y objetivos de las medidas adoptadas por los
auditados (cualquiera que sea su papel) para mitigar el riesgo empresarial.
Esto implica que los auditores tienen el propósito de examinar las
actividades de la sonda y el desafío; obtener y evaluar la evidencia; y luego
informar de sus hallazgos y observaciones, incluyendo las
recomendaciones cuando sea necesario.
Los auditores internos (incluyendo especialistas que pueden ser
contratados para una auditoría en particular) y los auditados trabajar para
la misma organización, y, sin tener en cuenta sus puntos de vista, que no
deberían
ser considerado como el enemigo (pero a veces esto es precisamente la
forma en que se consideran).
Hechos y diálogo son componentes vitales de cualquier auditoría,
y la colaboración entre el auditor y el auditado es de gran ayuda para
garantizar que el informe final, cuando se produce, es una
representación razonable de la situación actual. Recuerde que los
auditores y auditados son seres humanos tratando de hacer un buen
trabajo.
NO TODAS LAS AUDITORÍAS SON LOS MISMOS
Una lista de lo podría auditar es largo, y, en la práctica, las
actividades más susceptibles de ser auditados son las que vinculan
a riesgo de negocio significativa.
Es probable que si las auditorías previas planteó cuestiones e
incluyó recomendaciones de los auditores,
estarán interesados ​en lo que ha cambiado desde que éstas
se hicieron y se puede optar por volver a auditoría de algunos
de ellos.
Se puede suponer que analiza el impacto
empresarial documentada y actual, planes de continuidad de
”“
negocio y la evaluación de riesgos será de interés para los
auditores. Las preguntas se plantearán si éstos son
incompletos, desfasados ​o no está disponible. No es un buen
Los
comienzo.
Además, una breve lista de lo que podría ser
auditados incluiría:
• auditorías de los centros de datos -Incluyendo la seguridad
física y lógica, documentación de procesos y métricas. Por
supuesto, hay mucho más a esto, incluyendo, por ejemplo, el
examen de los controles en varios niveles (por ejemplo,
sistemas operativos, aplicaciones, bases de datos, redes,
criptografía).
• IS / IT auditorías de procesos -A menudo un COBIT ® 5
- auditoría basada, que incluye la COBIT ®
Modelo de evaluación de proceso (PAM): Uso de COBIT ® 5 2 ( Que
sustituye el modelo de madurez de capacidad utilizada hasta COBIT ®
4.1.)
• auditorías de seguridad de la información -Focusing en los
controles que se utilizan para gestionar la disponibilidad,
confidencialidad e integridad de la información
• IS / IT auditorías de desarrollo de sistemas -Focusing en la
especificación, desarrollo, prueba inicial
ISACA JOURNAL Volumen 4, 2015 1
 carga de datos, acreditación y, en particular, los controles de seguridad y de Procesos
Figura 1-Las tres dimensiones de Auditoría
de Negocio

• IS / IT grandes proyectos de software auditorías -Relacionado con el punto anterior, pero

Certificación

centrándose en los procesos de gestión de proyectos, gestión del cambio y presentación de

informes (Una serie de columnas sobre este tema está prevista para los próximos números detallada

de la
Profundidad
ISACA ® Diario.)
• Posterior a la implementación beneficia auditorías -Occur vez que un proyecto se ha
Rápido
cum
completado y ha estado en funcionamiento durante algún tiempo. Estas auditorías plim
ien
GC
P
to En raras ocasiones Después de una crisis
CO
BIT
están destinadas para validar si se han alcanzado los beneficios identificados en el caso PI
pro
yec
to Para cada proyecto de gran envergadura
be
n efic
ia e Regularmente
de negocio original para invertir en el proyecto.
l an
ális
is d
ed
ato
.
etc .. sd
e
Cada punto define costo de la Frecuencia
Tipo auditoría y la duración.

• auditorías de continuidad de negocio -Para revisar la capacidad de recuperación,

recuperación y otros planes de contingencia preparados para restaurar un nivel apropiado de la

Fuente: Ed Gelbstein. Reproducido con permiso.
normalidad después de una situación que altera en gran medida las instalaciones / Es de la

organización
¿QUÉ los auditados deben saber sobre las PROCESO DE AUDITORÍA
• SI / TI de gestión / auditorías de gobierno -En particular importancia cuando se depende de
Se espera que los auditores para saber exactamente cómo se planifica y ejecuta una
los proveedores de servicios externos (es decir, los proveedores de servicios de
auditoría, pero los auditados puede no estar en condiciones de compartir este
externalización y deslocalización). Estas auditorías examinan recuperación de costos o
conocimiento y puede encontrarse mal preparada. Una presentación o folleto sobre el
sistemas de carga, el presupuesto y control de costes, y la estructura organizativa.
proceso de auditoría deben tener descripciones concisas de cada etapa:

• La gestión del cambio auditorías -Revisión los procedimientos y sistemas utilizados

• Etapa de Auditoría 1 -Notificación al auditado se indique el objeto de
para controlar los cambios en la infraestructura, el software y los cambios en las la auditoría, que llevará a cabo y el tiempo objetivo
relaciones que surgen de cambios en la organización y / o la introducción de nuevas

tecnologías (tales como traer su propio dispositivo [BYOD]) y hay más áreas de
• etapa de Auditoría 2 -Scoping la auditoría, la definición de las áreas a ser cubiertas y que
auditorías general llevada a cabo por otros, a menudo externos, los auditores, como las
incluye una primera lista de la documentación que debe proporcionarse a los auditores
de los certificados de cumplimiento (por ejemplo, ISO 27001 o la Tarjeta de Pago datos

de la Industria de Seguridad Estándar [PCI DSS]) e IS / IT auditorías estrategia. Esta lista

• etapa de Auditoría 3 -Fieldwork que consiste en entrevistas, visitas de campo,
no incluye las investigaciones ya que estos requieren un conjunto de habilidades
revisión de documentación y pruebas
diferentes y un buen conocimiento de los requisitos legales para la recolección y
• etapa de Auditoría 4 -Reporting, que van desde discusiones, un proyecto de informe, la
preservación de pruebas en caso de que la investigación conduce a un litigio.
obtención de los comentarios de los auditados, y conferencia de salida y la emisión de un

informe final

• etapa de auditoría 5 -Después de control en una fecha posterior para evaluar los

progresos realizados en las cuestiones identificadas en los informes auditados deben

Figura 1 ilustra las tres dimensiones de todas las auditorías: el tipo de auditoría, considerar las siguientes actividades 3
la profundidad de detalle para el que se pretende y la frecuencia a la que se realizan
inmediatamente después de recibir la notificación de una auditoría:
las auditorías.
• Revisar el historial de auditoría y el estado de recomendaciones
Cada punto de selección tiene requisitos de identificación de recursos, así como el
anteriores.
costo y la duración, todos los cuales apoyan el proceso de planificación de la auditoría.
• Revisar la documentación relevante para el alcance de la auditoría para la
integridad.

• Instrucciones para el equipo a ser auditado. El mensaje: Los auditores no son el enemigo
y que pueden ayudar a la función de SI / TI plantean problemas con la dirección.

2 ISACA JOURNAL Volumen 4, 2015

• Preparar para el tratamiento de los auditores como miembros del equipo: nombres de
cambio, acompañarlos, se rompe la cuota de café y almuerzos (al menos de vez en

cuando), y dotarlos de instalaciones de oficinas y el apoyo necesario.

• Más información sobre, discutir y colaborar en las herramientas y

• Solicitar aclaraciones siempre que haya dudas o ambigüedad en una pregunta, técnicas de auditoría en el Centro del Conocimiento.

solicitud o la declaración.
www.isaca.org/
• Solicitar tiempo para estudiar los hallazgos proyecto de informe y las observaciones, y

señalar los elementos que pueden no ser una descripción exacta de la situación (que
tema-Audit-tools-y-técnicas
proporciona hechos, no opiniones, para hacer el punto).

NOTAS
• Participan en la conferencia de salida y asegurar que los puntos que deben 1 Oficina de Auditoría Interna, “Prevención, detección y manejo de fraude”,

hacerse son, de hecho, hecho. Universidad de Carolina del Sur, sin fecha
2 ISACA, COBIT ® Modelo de evaluación de proceso (PAM): Uso de COBIT ® 5, EE.UU.,

CONCLUSIONES 2013, www.isaca.org/COBIT/Pages/ COBIT-5-PAM.aspx

Los temas tratados aquí se considera que son necesarias, pero no suficientes para
Gelbstein, Ed; “Las auditorías exitosas no ocurren por casualidad,”
asegurar que la auditoría será un ejercicio de colaboración y que los auditados se 3

acercará el proceso de una manera positiva. Por otro lado, haciendo caso omiso de ISACA Journal, vol. 2, 2015, EE.UU., www.isaca.org/archives
estos puntos probablemente resultará en una auditoría difícil.

ISACA JOURNAL Volumen 4, 2015 3