Capitulo 1 CISA SFP PDF

ISACA Reconocida mundialmente como Lder en el gobierno, control y aseguramiento de TI
Introduction - page 1
2005 ISACA All Rights Reserved
Curso CISA 2005
Captulo 1 El proceso de auditora de SI

Contenido
Organizacin de la Funcin de Auditora de SI Administracin de Recursos de Auditora de SI Planeacin de la Auditora
Leyes y regulaciones Estndares y guas de ISACA para la auditora de Sistemas Anlisis de riesgos Controles Internos Realizacin de una auditora de SI Auto - evaluacin del control (CSA) Gobernabilidad corporativa
Objetivo
Asegurar que el candidato CISA El objetivo del rea de proceso es el de asegurar que el candidato CISA tenga el conocimiento necesario para planear y conducir auditoras de SI en conformidad con los estndares (normas) y guas (directrices) de auditora de SI generalmente aceptadas, para proveer una declaracin (reporte de auditora) asegurando que los procesos de negocio de la organizacin soportados por tecnologa de informacin son adecuadamente controlados, monitoreados y evaluados
Resumen
De acuerdo con el Comit de Certificacin CISA, el rea de proceso representar aproximadamente el 10 % del examen CISA
(aproximadamente 20 preguntas)
Misin y Planeacin de la auditora

Organizacin de la Funcin de Auditora de SI Administracin de los Recursos de auditora de SI Planeacin de la Auditora Leyes y regulaciones
Misin y Planeacin de la auditora

Una adecuada planeacin es el primer paso, necesario, para la ejecucin de auditoras de TI efectivas Requiere comprender el ambiente general del negocio as como los riesgos de negocio y de control asociados Evaluar riesgos operacionales y de control e identificar objetivos de control durante la Planeacin de la auditora
Misin y Planeacin de la auditora el auditor de SI Para realizar una Planeacin de auditora,

1. debe Comprender la misin, los objetivos y los procesos del negocio, los requerimientos de informacin y de procesamiento tales como la disponibilidad, la integridad y la seguridad adems de los requerimientos de la arquitectura de la informacin. En trminos generales, los procesos y la tecnologa. Realizar un anlisis de riesgos. Conducir una revisin de control interno. Definir el alcance de la auditora y el (los) objetivo(s) de la auditora. Desarrollar el enfoque o la estrategia de auditora. Asignar recursos para la auditora y encarar la logstica Introduction - page 8 del trabajo.
2. 3. 4. 5. 6.
Leyes y Regulaciones
Requerimientos normativos
Establecimiento Organizacin Responsabilidades Correlacin con las funciones de auditora financiera, operacional y de TI
Leyes y Regulaciones
Pasos para determinar el cumplimiento de requerimientos externos:
Identificar requerimientos externos Documentar leyes y regulaciones pertinentes Determinar si la gerencia y la funcin de SI han considerado los requerimientos externos pertinentes Revisar documentos internos del departamento de SI que muestren adherencia a las leyes aplicables Determinar la adherencia a procedimientos establecidos
Estndares y Guas para la Auditora de SI

Cdigo de tica Profesional de ISACA El cdigo de tica profesional de ISACA provee una gua de conducta profesional y personal para los miembros de la Asociacin y/o poseedores de las certificaciones CISA y CISM

Estndares (normas) de ISACA para la auditora de SI Guas (directrices) de ISACA para la Auditora de SI Procedimientos de ISACA para la Auditora de SI

Objetivos de los estndares de ISACA para la Auditora de SI
Informar a la gerencia y a otras partes interesadas sobre lo que pueden esperar profesionalmente de los trabajos de auditora Informar a los auditores de SI sobre el nivel mnimo de desempeo aceptable requerido para cumplir las responsabilidades profesionales establecidas en el Cdigo de tica Profesional de ISACA

Estructura de los estndares de Auditora de SI de ISACA:
Estndares Guas Procedimientos

Estndares y guas de ISACA para la Auditora de Sistemas
Estatutos de Auditora Independencia tica Profesional y estndares Competencia Planeacin Ejecucin del trabajo de auditora Reportes Actividades de seguimiento

Estatutos de auditora
Responsabilidad, autoridad y sujecin a rendicin de cuentas
Independencia
Independencia profesional Relacin organizacional

tica profesional y Estndares
Cdigo de tica profesional Debido cuidado profesional

Competencia
Habilidades y conocimiento Educacin profesional continua

Planeacin Planeacin de Auditora

Ejecucin del trabajo de auditora
Supervisin Evidencia

Reportes
Contenido y forma del reporte

Actividades de Seguimiento
Revisar conclusiones y recomendaciones anteriores Revisar hallazgos previos relevantes Determinar si han sido implementadas oportunamente acciones apropiadas

Utilizacin de las Guas de ISACA
Considerar las guas en la determinacin de cmo implementar los estndares Hacer uso del juicio profesional al aplicar estas guas Ser capaz de justificar cualquier desviacin

Utilizacin de los Procedimientos de ISACA Ejemplos provistos para los procedimientos desarrollados por el Consejo de Estndares de ISACA. El auditor de SI debe aplicar su propio juicio profesional a las circunstancias especficas.
Anlisis de Riesgos
Definicin de anlisis de riesgos
El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando prdida o dao a los mismos. El impacto o severidad relativa del riesgo es proporcional al valor para el negocio, de las prdidas o daos y a la frecuencia estimada de la amenaza
Anlisis de Riesgos
Componentes del anlisis de riesgos
Amenazas para, y vulnerabilidades de, procesos y/o activos (incluyendo activos fsicos e informacin) Impacto sobre los activos basado en amenazas y vulnerabilidades Probabilidades de las amenazas (combinacin de la posibilidad y frecuencia de su ocurrencia)
Controles
Definicin de control interno
Es un proceso establecido por la Junta Directiva, la alta gerencia y todos los niveles de personal para proveer una seguridad razonable de que los objetivos de la organizacin sern alcanzados
Controles
Clasificacin de los controles
Preventivo Detectivo Correctivo
Controles
Objetivos de Control de los Sistemas de Informacin
Los objetivos de control en un ambiente de SI permanecen invariable en relacin a los de un ambiente manual. Sin embargo, las caractersticas de los controles pueden ser diferentes Los objetivos de control interno, por lo tanto necesitan, ser dirigidos en una manera especfica a procesos relacionados con SI
Controles
Objetivos de control de SI
COBIT
Objetivos de control en TI y estndares de buenas prcticas 34 objetivos de control de alto nivel
Ejemplos
Controles
Procedimientos de control de SI
Los procedimientos de control incluyen polticas y prcticas establecidas por la gerencia para proveer seguridad razonable de que los objetivos especficos sern alcanzados
Controles
Controles Generales de SI
Tambin llamados Controles Penetrantes dirigidos a los controles del Ambiente computacional y de Sistemas Operativos
Controles de Aplicacin
Dirigidos a las aplicaciones computacionales tales como GL, Nminas, RMP Planeacin de materia prima, etc
Controles
Procedimientos de Control de SI
Ejemplos de Controles Generales
Estrategia y direccin Gerencia y organizacin general Acceso a datos y programas Desarrollo de sistemas y control de cambios Operaciones de procesamiento de datos Programacin de sistemas y funciones de soporte tcnico Procedimientos de aseguramiento de calidad del procesamiento de datos Controles de acceso fsico Planeacin de continuidad del negocio / Recuperacin de desastres Redes y comunicaciones Administracin de bases de datos
Controles
Ejemplos de Controles de Aplicacin
Los procesos de las aplicaciones satisfacen las necesidades Corporativas y de los Usuarios Acceso a las funciones de las aplicaciones Ediciones y Validaciones (entrada) Nivel de autorizacin Exactitud de los procesos de las funciones Oportunidad del Procesamiento Reportes Pistas de auditora Etc
Ejecucin de una Auditora

Definicin de Auditora
Proceso sistemtico por el cual una persona competente e independiente, obtiene y evala objetivamente evidencia relativa a aseveraciones sobre una entidad o evento econmico, con el propsito de formarse una opinin y reportar el grado en que la aseveracin est acorde con un conjunto de estndares identificados

Clasificacin de auditoras:
Auditoras financieras Auditoras operacionales Auditoras integrales Auditoras administrativas Auditoras de sistemas de informacin Auditoras Especializadas Auditoras Forenses

Definicin de Auditora de SI
Proceso de recoleccin y evaluacin de evidencia para determinar si los SI y los recursos relacionados:
salvaguardan adecuadamente los activos, mantienen la integridad de los datos y del sistema, proveen informacin relevante y confiable, alcanzan efectivamente los objetivos organizacionales, consumen los recursos eficientemente, y cuentan con controles internos que provean una seguridad razonable de que los objetivos operacionales y de control sern satisfechos y de que los eventos no deseados sern prevenidos o detectados y corregidos de manera oportuna

Procedimientos generales de auditora
Entendimiento del rea u objeto a auditar Valoracin de riesgos y plan general de auditora Planeacin detallada de la auditora Revisin preliminar del rea u objeto a auditar Evaluacin del rea u objeto a auditar Pruebas de cumplimiento Pruebas sustantivas Reporte (comunicacin de resultados) Seguimiento

Metodologa/estrategia de auditora
Definicin del alcance Definicin de los objetivos de auditora Definicin del programa de trabajo

Fases tpicas de una auditora
Identificar El rea a auditar El propsito de la auditora Los sistemas especficos, funciones o unidades de la organization a ser includas en la revisin. Las habilidades tcnicas y recursos necesarios Las fuentes de informacin para pruebas o revisin tales como diagramas de flujo funcionales, polticas, estndares, procedimientos y papeles de trabajo de auditoras anteriores. Ubicacin de las instaiaciones a auditar. Seleccin del enfoque de auditora para verificar y probar los controles Lista de personas a entrevistar Obtener polticas departamentales, estndares y guas para revisin
Desarrollar Herramientas y metodologa de auditora para probar y verificar el control Procedimientos para evaluar los resultados de las pruebas o revisiones Procedimientos de comunicacin con la gerencia Identificar Procedimientos para revisiones de seguimiento Procedimientos para evaluar/probar la eficiencia y efectividad operacional Procedimientos para probar controles
Revisar y evaluar la solidez de los documentos, polticas y procedimientos

Objetivos de Control Objetivos de Auditora Diferencia entre objetivos de control y objetivos de auditora

Riesgo de auditora y materialidad
Un enfoque de auditora basado en riesgos es utilizado para valorar los riesgos y apoyar la decisin de un auditor de SI de realizar ya sean pruebas de cumplimiento o pruebas sustantivas

Enfoque basado en riesgos
nfasis en el conocimiento del negocio y la tecnologa Concentracin en la valoracin de la efectividad de una combinacin de controles Relacin entre la valoracin de riesgos y las pruebas enfocadas en los objetivos de control Enfoque en el negocio desde una perspectiva gerencial

Tipos de riesgos
Riesgo inherente Riesgo de control Riesgo de deteccin Riesgo total de auditora

Tcnicas de valoracin de riesgos
Permite a la gerencia asignar efectivamente los recursos limitados de auditora Asegura que informacin relevante ha sido obtenida Establece una base para administrar efectivamente el departamento de auditora Provee un resumen de como el objeto individual a auditar se relaciona con toda la organizacin y con los planes de negocio

Objetivos de control y controles relacionados Relacin entre pruebas sustantivas y de cumplimiento Relacin entre el nivel de los controles internos y las pruebas sustantivas requeridas

Evidencia
Es un requerimiento que las conclusiones del auditor deben basarse en evidencia suficiente y competente
Independencia del proveedor de la evidencia Calificacin de la persona que provee la informacin o evidencia Objetividad de la evidencia Oportunidad de la evidencia

Tcnicas para obtener evidencia:
Revisar las estructuras organizacionales de SI Revisar las polticas, procedimientos y estndares de SI Revisar documentacin de SI Entrevistar al personal apropiado Observar el desempeo de los procesos y de los empleados

Muestreo
Enfoques generales de muestreo en auditora:
Muestreo estadstico Muestreo no-estadstico
Mtodos de muestreo utilizados por los auditores:

Muestreo de atributos Muestreo de variables

Muestreo

(Continuacin)
Muestreo de atributos
Muestreo parar-o-seguir Muestreo por descubrimiento Media estratificada por unidad Media no-estratificada por unidad Estimacin de diferencias
Muestreo de variables
Ejecucin de una Auditora de T.I.

Trminos de muestreo estadstico:
Coeficiente de confianza Nivel de riesgo Precisin Tasa de error esperada Media de la muestra Desviacin estndar de la muestra Tasa de error tolerable Desviacin estndar de la poblacin

Pasos claves en la seleccin de la muestra
Determinar los objetivos de la prueba Definir la poblacin a ser muestreada Determinar el mtodo de muestreo, tales como el muestreo de atributos versus el muestreo de variables. Calcular el tamao de la muestra Seleccionar la muestra Evaluar la muestra desde una perspectiva de auditora.

Tcnicas de auditora asistidas por
computador
Las herramientas CAAT son muy importantes para los auditores de SI en la recoleccin independiente de informacin CAATs incluyen:
SW generalizado de auditora (ACL, IDEA, etc.) SW utilitario Datos de prueba SW de aplicacin para auditoras continuas en lnea Sistemas expertos de auditora


computador
Necesidad de CAATs Recoleccin de evidencia Capacidades funcionales Funciones soportadas reas de inters

computador
Ejemplos de CAATs utilizados para recolectar evidencia Enfoque de auditora continua en lnea

computador
Ventajas de CAATs Costo/beneficio de CAATs

computador
Desarrollo de CAATs
Retencin de documentacin Acceso a datos de produccin Manipulacin de datos

Evaluacin de fortalezas y debilidades
Evaluar la evidencia Evaluar la estructura de control global Evaluar los procedimientos de control Evaluar las fortalezas y debilidades de control

Juzgar la materialidad de los hallazgos
La materialidad es un aspecto clave La evaluacin requiere un juicio sobre el efecto potencial del hallazgo si no se toman acciones correctivas

Comunicacin de los resultados de la auditora
Estructura y contenido del reporte de auditora Entrevista final
Tcnicas de presentacin
Resumen ejecutivo Presentacin visual Presentacin oral

Acciones de la gerencia para implementar recomendaciones
La auditora es un proceso continuo Oportunidad del seguimiento
Documentacin de la auditora

Administracin de los recursos de auditora
Los auditores de SI son un recurso limitado Habilidades y conocimientos apropiados Restricciones en la conduccin de la auditora Tcnicas de administracin de proyectos

Tcnicas de administracin de proyectos
Desarrollar un plan detallado Reportar el progreso del proyecto contra el plan Ajustar el plan y tomar acciones correctivas, cuando se requiera
Auto-evaluacin de Control
Objetivos de un programa de Autoevaluacin de Control (CSA):
Realce de las responsabilidades de la auditora (no un reemplazo) Educacin para la gerencia media sobre responsabilidad y monitoreo del control Concentracin en reas de alto riesgo
Rol del auditor de SI en CSAs Facilitadores tecnolgicos Enfoque tradicional vs. CSA
Gobernabilidad Corporativa
Gobernabilidad Corporativa
Comportamiento tico corporativo por directivos y otros encargados de la gobernabilidad en la creacin y presentacin de riqueza para todas las personas con intereses en la organizacin Establecimiento de reglas para la administracin y reporte de riesgos del negocio Gobernabilidad de TI
Gobernabilidad de TI
Gobernabilidad de TI
Un conjunto de responsabilidades y prcticas utilizadas por la gerencia de una organizacin para proveer direccin estratgica Asegurar que las metas son alcanzables Los riesgos se manejan apropiadamente Los recursos organizacionales se utilizan apropiadamente
Captulo 1: Glosario
Controles administrativos Muestreo de atributos Riesgo de auditora Pruebas de cumplimiento CAATs Riesgo de control Mdulos de auditora integrados Materialidad
Captulo 1: Recapitulacin
Discusin en grupo Preguntas
Captulo 1: Preguntas
1.
Al realizar una revisin de los controles de una aplicacin, el auditor de SI descubre una debilidad en el SW de sistema, que podra impactar materialmente a la aplicacin. El auditor de SI debe:
No prestar atencin a esta debilidad de control ya que la revisin del software de sistema est fuera del alcance de esta revisin B. Conducir una revisin detallada del SW de sistema y reportar la debilidad de control C. Incluir en el reporte una declaracin de que la auditora estuvo limitada a la revisin de los controles de la aplicacin D. Revisar los controles del SW de sistema relevantes y recomendar una revisin detallada del SW de sistema
A.
2. La razn para tener controles en un ambiente de SI:
A. Permanece invariable con relacin a un ambiente manual, pero las caractersticas de los controles implementados pueden ser diferentes B. Cambia con relacin a un ambiente manual, por lo tanto las caractersticas de los controles implementados pueden ser diferentes C. Cambia con relacin a un ambiente manual, pero las caractersticas de los controles implementados sern las mismas D. Permanece invariable con relacin a un ambiente manual y las caractersticas de los controles implementados sern tambin las mismas
3. Cul de los siguientes tipos de riesgo asume una ausencia de controles compensatorios en el rea bajo revisin?
A. Riesgo de control B. Riesgo de deteccin C. Riesgo inherente D. Riesgo de muestreo
Captulo 1: preguntas
4. Un auditor de SI est realizando pruebas de auditora sustantivas a un nuevo mdulo de cuentas por cobrar. l tiene un cronograma ajustado y una experiencia limitada con el computador. Cul sera la MEJOR tcnica de auditora a utilizar en esta situacin?
A. B. C. D. Datos de prueba Simulacin en paralelo Facilidad de prueba integrada Mdulo de auditora integrado
5. El objetivo PRIMARIO de un programa de autoevaluacin o auto-aseguramiento del control (CSA) es:
A. B. C. D. reemplazar algunas responsabilidades de auditora interna. remover la responsabilidad sobre los controles de la gerencia media. traspasar algunas de las responsabilidades de supervisin de los controles a reas funcionales. Mejorar la supervisin del control global en la organizacin.
6. Cul de los siguientes describe MEJOR las etapas
iniciales de una auditora de SI? A. Observacin de las instalaciones organizacionales claves
B. Evaluacin del ambiente de SI C. Comprensin de los procesos de negocio y del ambiente aplicable a la revisin D. Revisin de reportes de auditora de SI anteriores
7. El MAYOR inconveniente en el uso de una facilidad de prueba integrada es la necesidad de:
A. aislar los datos de prueba de los de produccin. B. notificar al personal usuario para que puedan hacer ajustes a las salidas. C. segregar registros especficos de archivos maestros. D. reunir registros de archivos maestros y de transaccin en un archivo separado.
8. Antes de reportar los resultados de una auditora a la alta gerencia, un auditor de SI debe:
A. Confirmar los hallazgos con los auditados B. Preparar un resumen ejecutivo y enviarlo al gerente del rea auditada C. Definir recomendaciones y presentar los hallazgos al comit de auditora D. Obtener conformidad del auditado sobre los hallazgos y las acciones a ser tomadas
9. Al desarrollar un programa de auditora basado en riesgos, en cul de los siguientes se enfocara un auditor de SI con MAYOR posibilidad?
A. B. C. D. Procesos de negocio Aplicaciones de TI crticas Objetivos corporativos Estrategias de negocio
10. El uso PRIMARIO del software de auditora generalizado es:
A. B. C. D. probar los controles integrados en los programas. probar los accesos no autorizados a los datos. extraer datos relevantes con la auditora. reducir la necesidad de tener recibos de las transacciones.

Capitulo 1 CISA SFP PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capitulo 1 CISA SFP PDF

Cargado por

Copyright:

Formatos disponibles

ISACA Reconocida mundialmente como Lder en el gobierno, control y aseguramiento de TI

Curso CISA 2005

Captulo 1 El proceso de auditora de SI

2005 ISACA All Rights Reserved

Misin y Planeacin de la auditora

Misin y Planeacin de la auditora

Misin y Planeacin de la auditora el auditor de SI Para realizar una Planeacin de auditora,

2005 ISACA All Rights Reserved

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares Guas Procedimientos

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Estndares y Guas para la Auditora de SI

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Mtodos de muestreo utilizados por los auditores:

Ejecucin de una Auditora

Ejecucin de una Auditora de T.I.

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

Ejecucin de una Auditora

2005 ISACA All Rights Reserved

También podría gustarte