Integrantes

- Gómez Bobadilla, Julio Fernando

-
-
-
Herencia Castro, Nicolás
Chalco Choquehuanca, Elber Diego
Sarmiento Tico, Miguel Ángel
AUDITORIA ÁGIL
- Quispe Ramírez, Christian Jesús
1. DEFINICION DE ÁGIL Y
MODELOS ÁGILES
1.1 DEFINICIÓN DE ÁGIL
Método de gestión de proyectos, utilizado
especialmente para el desarrollo de software

Se caracteriza por la división de tareas en breves

fases de trabajo y frecuentes reevaluaciones y
adaptaciones de planes.
1.2. MANUAL DE REFERENCIA
En la documentación es primordial, tener el Manual de Referencia
del “Auditor de Sistemas de Información Certificado (CISA)”.
El cual puede contener lo siguiente:

Fuentes estadísticas
Normas técnicas
Informes anuales
Publicaciones oficiales o gubernamentales
Herramientas bibliográficas (catálogos, repertorios bibliográficos
comerciales, etc.)
1.3. MODELOS ÁGILES
La auditoría, por otra parte, ha utilizado estándares y marcos de trabajo estrictos,
resultando en restricciones rígidas en los acuerdos de auditoría que, esencialmente,
representaron proyectos.

Los proyectos de TI tienen similarmente modelos inflexibles. Sin embargo, han

evolucionado desde el modelo formal de cascada, que tiene pasos estrictos, a
modelos menos formales, pero a menudo más eficientes.

Estos modelos más eficientes son usualmente conocidos como Ágiles.

 1.3. MODELOS ÁGILES
En modelos Ágiles, la documentación de diseño y
especificación se mantiene al mínimo requerido, y
la mayor parte de la documentación es creada en
las operaciones y niveles de soporte,
Por ejemplo, manuales de usuario, que ocurren en
forma posterior en el ciclo de vida del sistema.
1.4. COMPARACIÓN ENTRE MODELO CASCADA Y
MODELOS ÁGILES
Un nuevo sistema de TI típicamente lidiaría primero con (Modelo Cascada):

Las Especificaciones o Requisitos

Diseño o Arquitectura,
Desarrollo/Implementación.
Verificación
Mantenimiento.

Un acercamiento Ágil sería bastante diferente—una distinción que puede ser vista
incluso en un proyecto muy diferente, como una auditoría.
1.4. COMPARACIÓN ENTRE MODELO CASCADA Y
MODELOS ÁGILES
En una auditoría Ágil, uno se enfocaría en identificar y rápidamente comenzar en:

Probar los asuntos que acarrean el mayor riesgo, al igual que el desarrollo Ágil de
software

Enfocándose en crear un prototipo funcional que sería subsecuentemente mejorado.

Este principio es a menudo designado como la regla de Thompson para fabricantes

primerizos de telescopios, que declara que “Es más fácil hacer un espejo de cuatro
pulgadas y luego uno de seis pulgadas, que hacer un espejo de seis pulgadas
1.5. EN CONCLUSIÓN AUDITORIA ÁGIL …
Se enfocaría en identificar y rápidamente comenzar
probando los asuntos que acarrean el mayor riesgo.
2. ¿QUÉ HAY DE MALO CON
LAS AUDITORIAS NO AGILES?
2.1. ¿QUÉ HAY DE MALO CON LAS AUDITORIAS NO AGILES?

El programa de auditoría es bosquejado—por ejemplo, para lidiar con los datos—

por gente que nunca ha visto ni siquiera una línea de los datos
2.1. ¿QUÉ HAY DE MALO CON LAS AUDITORIAS NO AGILES?

Incluso si los datos, sistemas, procesos, personas y funciones son bien entendidas,
esto aún no significa que un programa de auditoría rígido, escrito en piedra vaya a
ser obtenido.

Basado en lo que el auditor encuentre, puede haber indicaciones que más trabajo
es necesario para cubrir el riesgo que inicialmente era desconocido o subestimado.

Por ejemplo, durante el curso de la auditoría, puede hacerse evidente la falta

de controles resultantes en un alto riesgo de fraude
2.1. ¿QUÉ HAY DE MALO CON LAS AUDITORIAS NO AGILES?

Obtener toda la información antes de comenzar cualquier trabajo en terreno, incluso

si uno tuvo suficiente información desde el primer día, crea un cuello de botella
temporal.

Adicionalmente, cuando los datos son finalmente solicitados, obtener los datos incluye
retrasos posteriores porque los auditados que deben proveer los datos pueden tener
otros, tareas de mayor prioridad o simplemente porque la extracción de los datos
necesarios de la manera solicitada por los auditores puede tomar tiempo.
2.1. ¿QUÉ HAY DE MALO CON LAS AUDITORIAS NO AGILES?

Porque la planificación incluye información limitada, el riesgo puede ser sobre o

subestimado o pasado por alto o todas ellas.

Especialmente para auditorías complejas, es típicamente mucho más fácil evaluar el

riesgo con información detallada que con información en borrador.

Por ejemplo, examinar los datos, su estructura, y notar tendencias y excepciones

puede proveer pistas útiles.
3. Malentendidos, Riesgos y
Trampas Ocultas
Auditoría Ágil no es un substituto para la
identificación de riesgo y la planificación racional.

El administrador del proyecto o auditor líder, debe

presentar una estructura básica del programa de
auditoría, el cual puede ser mejorado por el equipo.

Se establece lo más rápido posible un marco de

trabajo para la discusión y el equipo tiene una base
concreta sobre la cual construir.
Los pasos no necesita ser tan detallados y
definitivamente no necesitan estar formalmente
documentados.

Los programas estándares de auditoria tienden

a ser rígidos y escrito de tal manera que un
auditor con mínimas calificaciones pueda
seguirlo.

La auditoria ágil necesita y hace un uso

extensivo de las calificaciones y experiencia de
cada miembro del grupo.
La auditoría Ágil no documenta formalmente en detalle lo que está destinada a
hacer y cómo lo hará, pero si lo que hizo y cómo.
3.1 CONTRAEJEMPLO
Un contraejemplo útil puede ser una auditoría realizada sobre una nueva oferta de
negocios. En este caso, la planificación incluía preguntas sobre temas como:
• Asuntos del mercado
• Medioambiente legal/regulatorio
• Procesos y sistemas
• Soporte TI
• Asuntos de continuidad del negocio
 3.1 CONTRAEJEMPLO
En este contraejemplo, típicamente se necesitaría construir
un cuestionario llenado por los auditados.

El programa de auditoría es, esencialmente, este cuestionario.

Por lo tanto, planificar sobre qué preguntar y qué evidencia será
requerida para verificar las respuestas es crucial y será, además,
el entregable final.
La identificación y priorización de áreas de riesgo,
son componentes claves en el programa de auditoría.

Puede ser que, en una auditoría particular, se obtenga una

pequeña ventaja por utilizar métodos Ágiles.

Es decisión del equipo de auditoría y del líder de equipo decidir si la paralelización de
tareas agrega eficiencia o beneficia a la auditoría de algún modo.

Por ejemplo, si toda la información necesaria está disponible y cualquier reunión solicitada
es concedida en forma inmediata, luego la importancia de la auditoría Ágil disminuye.
3.2. NO ELIMINA …
No eliminan la planificación.
No elimina el control de calidad
ni la documentación del trabajo
hecho ni, especialmente, los
hallazgos.
No elimina o disminuye la
importancia del liderazgo.
Si las auditorías Ágiles resultan en entregables o resultados más materiales y
oportunos, ellos probablemente no solo serán aceptados, sino también preferidos.

Como se discutió antes, el potencial está allí porque las auditorías Ágiles pueden
ahorrar tiempo y, por lo tanto, invertir más tiempo en asuntos materiales.
4. EMPLOS EN EL MUNDO
REAL
EJEMPLOS EN EL MUNDO REAL (CASO)
Una Auditoria consideraba registros de facturación producidos por dispositivos de
SI.
Estos registros son usados para facturar por conexiones y volúmenes y, como
resultado, pueden ser revisados en forma cruzada con la información recolectada en
la red donde se instalan sondas.
Registro de sondas(no muy utilizadas para la facturación debido a su complejidad)
DETALLES
PROBLEMA MAS COMUN: tráfico utilizando diferentes segmentos de red (por
ejemplo, no ser tomados en cuenta por la misma sonda).

Persona(Auditor)
revisaren forma cruzada los registros de facturación.
DETALLES DEL AUDITOR
creó software para desarrollar la revisión cruzada y documentó la funcionalidad en
su código de alto nivel.
el auditor solicitó una muestra pequeña de datos simultáneamente con la liberación
del anuncio de auditoría.
DETALLES DEL PROYECTO
Desarrollo Periodo del proyecto altamente complejo fue muy corto.
(pruebas)El proyecto fue asignado a una compañía externa que demoró tres veces el
mismo tiempo y concluyó que los datos no eran adecuados para su código.
Un caso similar consideró una prueba de penetración en los sistemas de la compañía
por un auditor de SI .resultados
auditoría lidiando con la interfaz de seguridad de los sistemas. Resultados
cada interfaz tenía sus propios asuntos de seguridad que pudieron
ser determinados sólo tras recolectar información detallada
5. LINEAMIENTO DE
AUDITORIAS ÁGILES
 5.1. LINEAMIENTOS DE AUDITORIAS ÁGILES
Luchar por obtener un temprano entendimiento de los
asuntos claves de la auditoria y diseminar esta
información dentro del equipo de auditoria.
Solicitar datos sabidamente necesarios
inmediatamente sin esperar a las reuniones del
equipo.
 5.1. LINEAMIENTOS DE AUDITORIAS ÁGILES
Sostener reuniones informales con el equipo y auditados para discutir los asuntos, asegurar
que las áreas importantes no sean dejadas fuera, verificar datos y asignar tareas.
Discutir los hallazgos a medida que son recolectados. Una vez aceptados documentarlos y, si
es posible, verificar con los auditados.
Mover los recursos si es necesario
5.2. CONCLUSIONES
Las auditorias puede emplear métodos altamente eficientes de desarrollo Ágil
(menos auditorias de cumplimiento).
Son apropiados para auditorias complejas y requieren un equipo de auditores
competentes y experimentados.
Los auditores deben recordar que la línea de fondo es aumentar valor al negocio.
Si una metodología sirve, debe ser adoptada; y si es un obstáculo abandonada.
Con los requerimientos internos en auditoria interna para proveer aseguramiento
oportuno en asuntos materiales, los métodos Ágiles pueden ser de gran ayuda.