Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORADESISTEMAS:
INDICE
1. ADMINISTRACINDELAFUNCINDEAUDITORADESI
1.
2.
3.
4.
OrganizacindelaFuncindeAuditoradeSI
AdministracindelosRecursosdeAuditoradeSI
PlaneacindelaAuditora
EfectodelasLeyesyRegulacionessobrelaPlanificacindeAuditoradeSI
2. ESTNDARESYDIRECTRICESDEISACAPARALAAUDITORADESI
1.
2.
3.
4.
5.
CdigodeticaProfesionaldeISACA
MarcodeestndaresdeISACAparalaAuditoradeSI
DirectricesdeISACAparaAuditoradeSI
ProcedimientosdeISACAparaAuditoradeSI
Relacinentreestndares,directricesyprocedimientos
3. ANLISISDERIESGOS
2
INDICE
4. CONTROLESINTERNOS
1.
2.
3.
4.
5.
ObjetivosdelControlInterno
ObjetivosdelControldeSI
COBIT
ControlesGenerales
ControlesdeSI
5. EJECUCINDEUNAAUDITORADESI
1.
2.
3.
4.
5.
6.
7.
ClasificacindelasAuditoras
ProgramasdeAuditora
MetodologadeAuditora
DeteccindeFraudes
AuditorabasadaenRiesgos
RiesgoymaterialidaddelaAuditora
EvaluacinyTratamientodelRiesgo
3
INDICE
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
TcnicasdeevaluacindeRiesgos
ObjetivosdelaAuditora
PruebasdeCumplimientovrs.PruebasSustantivas
Evidencia
EntrevistasyObservacinalPersonaleneldesempeodesusfunciones
Muestreo
Usodelosserviciosdeotrosauditoresyexpertos
TcnicasdeAuditoraasistidasporComputadora
EvaluacindeFortalezasyDebilidades
ComunicacindelosresultadosdelaAuditora
AccionesdelaGerenciaparaimplementarlasrecomendaciones
DocumentacindelaAuditora
INDICE
6. AUTOEVALUACINDELCONTROL(CONTROLSELFASSESSMENT)
1.
2.
3.
4.
5.
6.
ObjetivosdelCSA
LosbeneficiosdelCSA
DesventajasdelCSA
ElRoldelAuditorenCSA
ImpulsoresdeTecnologaparaelprogramaCSA
EnfoqueTradicionalvrs.EnfoqueCSA
7. CAMBIOSEMERGENTESENELPROCESODEAUDITORADESI
1.
2.
3.
PapelesdeTrabajoautomatizados
AuditoraIntegrada
AuditoraContinua
8. CASODEESTUDIO
Introduccin
El Proceso de Auditora de SI comprende los procedimientos y una exhaustiva
metodologa que permite a un Auditor Tecnolgico realizar su trabajo sobre
cualquier rea dada de TI en una forma profesional
La funcin de auditora debe ser manejada y conducida en una forma que
asegure que las diversas tareas realizadas y logradas por el equipo de auditora
cumplirn los objetivos de la funcin de auditora, mientras se preserva la
independencia y la competencia de la auditora.
Adems, manejar la funcin de auditora debera asegurar las contribuciones de
valor agregado a la alta gerencia respecto a la eficiente administracin de TI y al
logro de los objetivos del negocio.
El objetivo del presente estudio es obtener los conocimientos necesarios para
proporcionar servicios de auditoras de sistemas de informacin de conformidad
a los estndares, directrices y mejores prcticas de auditora de SI que permitan a
la organizacin asegurar que su tecnologa y sistemas de negocio estn
protegidos y controlados.
6
Introduccin
5 TAREAS FUNDAMENTALES
Desarrollar e
Implementar una
estrategia de
auditora de SI
basada en los
riesgos de
conformidad con los
estndares de
auditora de TI, para
garantizar que se
han incluido las
reas clave.
7
Introduccin
Planear auditoras
especficas para
determinar si los
sistemas de
informacin estn
protegidos y
controlados, y si
proporcionan valor
a la organizacin.
2
8
Introduccin
Realizar auditoras
de conformidad
con los estndares
de auditora de TI,
para lograr los
objetivos
planteados de
auditora
planificados.
Introduccin
4
10
Introduccin
5
Realizar seguimientos o preparar informes de
estado, para garantizar que la Gerencia ha
llevado a cabo las acciones apropiadas de
forma oportuna.
11
ADMINISTRACIN DE LA
FUNCIN DE AUDITORA DE SI
12
DebeserindependienteyreportarseaunComitdeAuditoraoalmas
altoniveldeDireccin(JuntaDirectiva)
Independiente
Interna
(Estatutode
Auditora)
Auditora
Externa
(ContratoFormal)
PartedeAuditora
Operativa
Especializada
13
14
Plananualde
capacitacindelPersonal
Actualizacinde
Habilidades
Capacitacinde
nuevastcnicasde
Auditoriayreas
tecnolgicas
Educacin
profesional
continua
Basadoenladireccinde
laOrganizacin
Entrminosdetecnologa
Yaspectosrelacionados
deriesgo
Revisarsesemestralmenteparaasegurarquelasnecesidadesestndeacuerdoconla
direccinqueesttomandolaorganizacindeauditoria.AstambinlaDireccinde
Auditoriadebeproveerrecursosnecesariosparaefectuarauditoriasdenaturaleza
especializada.
RevisadosporlaAltaDirecciny
aprobadosporComitdeAuditorao
JuntaDirectiva.
Corto
Plazo
Aspectosrelevantes
cubiertosenelao
Largo
Plazo
Planesrelacionados
conriesgos
Cambiosenla
direccin
estratgica
Planeacin
Anual
Debehacersecadaao,considerando:
Nuevosaspectosdecontrol,cambiosenelentornoderiesgo,cambiantetecnologa,
procesosdenegocioenconstantecambio,tcnicasmejoradasdeevaluacin.
Entendimiento
delambiente
arevisar
Prcticasdel
negocio
Funciones
relativasal
sujetode
auditora
Auditor
de
Sistemas
Sistemasde
Informacin
Tecnologa
quesoportala
entidad
Alcanzarlos
objetivosde
Auditora
Cumplirconlos
estndares
profesionales
Lograr
correspondencia
Recursos Tareas
Lograrunentendimientodelamisin,objetivos,propsitoyprocesosdel
negocio,losrequerimientosdeinformacinyprocesamiento(talescomo
disponibilidad,integridad,seguridad)
Identificarcontenidosespecficostalescomopolticas,estndaresy
directricesrequeridos,procedimientosyestructuradelaorganizacin.
Realizarunanlisisderiesgosparaayudaradisearelplandeauditora.
LlevaracabounarevisindeloscontrolesinternosrelacionadosconTI.
Establecerelalcanceylosobjetivosdelaauditora.
Desarrollarelenfoqueolaestrategiadeauditora.
Asignarrecursoshumanosalaauditora.
Dirigirlalogsticadeltrabajodeauditora.
Planeacinde
Auditora
Lograr
Entendimiento
RecorridodelasinstalacionesclavedelaOrganizacin
Lecturadeantecedentesincluyendopublicacionesdela
industria,informesanualeseinformesdeanlisisfinancieros
RevisindelnegocioydelosplanesestratgicosTIalargoplazo
Entrevistasalosgerentesclaveparaentenderpormenoresdel
negocio
RevisindeinformesanterioresoinformesrelacionadosconTI
IdentificarlasregulacionesespecficasaplicablesaTI
IdentificarlasfuncionesdeTIolasactividadesrelacionadasque
hansidocontratadasexternamente.
Pregunta
22
Pregunta
23
reas
deInters
Impacto en el
alcance y los
objetivos de
auditora.
Requerimientos
aplicablesalaAuditora
Requerimientos
aplicablesalauditado.
CSSO
SARLAFT
Prevencin de
Fraude
Comercio
Electrnico
ISO 9000
FDA
HACCP
C
O
S
O
Organizacin privada, establecida en los Estados Unidos, dedicada a proporcionar orientacin para la gestin
ejecutiva y el gobierno de las empresas en aspectos crticos de gobierno corporativo, tica empresarial, control
interno, gestin de riesgo empresarial (ERM), fraude e informacin financiera.
Identificarrequerimientosgubernamentales
Documentarleyesyregulacionespertinentes
DeterminarsilagerenciaylafuncindeSIhanconsideradolos
requerimientosexternos.
RevisarlosdocumentosinternosdeldepartamentodeSI
Determinarelcumplimientoconlosprocedimientos
establecidos.
Determinarsihayprocedimientosqueasegurenelcumplimiento
deregulacionesconserviciostercerizados.
CmodeterminaelAuditor
elNiveldeCumplimiento?
ESTNDARES Y DIRECTRICES DE
ISACA PARA LA AUDITORA DE SI
30
Competencia
Profesional
Informe
Ejecucindel
Trabajode
Auditora
Planeacin
Irregularidades
GobiernodeTI
Usode
evaluacinde
riesgos
Materialidad
deAuditora
Comercio
electrnico
ControlesdeTI
Evidenciade
Auditora
Usartrabajode
expertos
Estatutode
Auditora
Independencia
Profesional y Organizacional
Actividadesde
Seguimiento
Generales
(100)
EstatutodeAuditora
Independencia
Organizacional
IndependenciaProfesional
De desempeo
(120)
De reportes
(140)
PlanificacindelaAsignacin
EvaluacindeRiesgoen
Planificacin
DesempeoySupervisin
Reportes
Expectativarazonable
Materialidad
Debidocuidoprofesional
Competencia
Evidencia
Afirmaciones
Usodeltrabajodeotros
expertos
Criterios
IrregularidadesyActos
Ilcitos
ActividadesdeSeguimiento
Directrices
G1
Usodeltrabajodeotrosauditores
G2
Requisitodeevidenciadeauditora
G3
Usode tcnicasdeauditoraasistidasporcomputadora(CAATs)
G4
Servicio externodeactividadesdeSIparaotrasorganizaciones
G5
Estatuto deAuditora
G6
Conceptosdematerialidad paralaauditoradesistemasdeInformacin
G7
Debidocuidadoprofesional
G8
DocumentacindelaAuditora
G9
Consideracionesdeauditora encasodeirregularidades
G10
MuestreodeAuditora
G11
Efectosdeloscontrolesgenerales deSI
G12
Relacineindependenciaorganizacional
G13
Usodelaevaluacinderiesgosenlaplaneacindelaauditora
Directrices
G14
Revisin delosSistemasdeAplicacin
G15
Planeacinrevisada
G16
EfectodetercerosenloscontrolesdeTIdeunaorganizacin
G17
Efectodefuncionesajenasalaauditorasobrelaindependenciadelauditorde
SI
G18
Gobierno deTI
G19
Irregularidadesyactosilegales
G20
Informes
G21
Revisin desistemasdeplaneacindeRecursosEmpresariales(ERP)
G22
RevisindelComercioElectrnico Negocioaconsumidor(B2C)
G23
RevisindelCiclodevidadeDesarrollodesistemas(SDLC)
G24
BancaporInternet
G25
RevisindeRedesPrivadasVirtuales
G26
Revisin deProyectosdeReingenieradeProcesosdeNegocio(BRP)
Directrices
G27
ComputacinMovil
G28
AnlisisForense Computacional
G29
RevisinPostImplementacin
G30
Competencia
G31
Privacidad
G32
Revisin delPlandeContinuidaddeNegociodesdeunaperspectivadeTI
G33
Consideraciones GeneralessobreelusodeInternet
G34
Responsabilidad,Autoridad eImputabilidad
G35
ActividadesdeSeguimiento
G36
Controles Biomtricos
ndice
Procedimientos
P1
Evaluacin deRiesgosdeSI
P2
FirmasDigitales
P3
Deteccin deIntrusos
P4
Virusyotroscdigosmaliciosos
P5
Autoevaluacin deControldeRiesgos
P6
Firewalls
P7
IrregularidadesyActosIlegales
P8
Evaluacin delaSeguridad
P9
EvaluacindelosControles delaDireccinsobrelasMetodologasde
Encripcin
P10
ControldeCambiosdeAplicacindelNegocio
Procedimientos
Directrices
Proveen una gua sobre como puede el auditor
implementar los estndares en las diversas tareas de
auditora.
Estndares
Requerimientos que deben ser
cumplidos por el auditor de SI.
ANLISIS DE RIESGOS
41
3. Anlisis de Riesgos
Elanlisisderiesgosespartedelaplaneacindeauditorayayudaaidentificarlos
riesgosylasvulnerabilidadesparaqueelauditorpuedadeterminarloscontroles
necesariosparamitigarlos.
CONCEPTO DE RIESGO
3. Anlisis de Riesgos
Personas
Crdito
Procesos
Tipode
Riesgo
Operativo
Sistemas
Mercado
Liquidez
Eventos
Externos
Impacto
Legal o
Reputacional
3. Anlisis de Riesgos
Identificacin
Clasificacin
Mitigacin
Monitoreo
3. Anlisis de Riesgos
Identificacin
Tipodeevento
(Nivel1)
Fraudeinterno
Tipodeevento
(Nivel2)
Prdidas derivadas de algn tipo Actividades no autorizadas
de actuacin encaminada a
defraudar, apropiarse de bienes
indebidamente
o
eludir
regulaciones, leyes o polticas
empresariales en las que se
encuentra implicado, al menos,
un miembro de la entidad.
Definicin
Robo y fraude
Ejemplos
Operaciones
no
reveladas
(intencionalmente)
, operaciones no
autorizadas (con
prdidas
econmicas),
valoracin errnea
de
posiciones
(intencional).
Robo,
malversacin,
falsificacin,
soborno,
apropiacin
de
cuentas,
contrabando,
evasin
de
impuestos
(intencional).
3. Anlisis de Riesgos
Tipodeevento
(Nivel1)
Fraudeexterno
Definicin
Tipodeevento
(Nivel2)
Relacioneslaboralesy
Prdidas
derivadas
de Relaciones laborales
seguridadenelpuestode actuaciones incompatibles con la
legislacin o acuerdos laborales,
trabajo
sobre higiene o seguridad en el
trabajo, sobre el pago de
reclamaciones
por
daos
personales, o sobre casos Higiene y seguridad en el trabajo
relacionados con la diversidad o
discriminacin.
Diversidad y discriminacin
Ejemplos
Robo, falsificacin.
Daos por ataques
informticos, robo
de informacin.
Cuestiones
relativas
a
remuneracin,
prestaciones
sociales, extincin
de contratos.
Casos relacionados
con las normas de
higiene
y
seguridad en el
trabajo;
indemnizacin
a
los trabajadores.
Todo
tipo
de
discriminacin.
3. Anlisis de Riesgos
Tipode
evento
Definicin
(Nivel1)
Clientes,
Prdidas derivadas
productosy del incumplimiento
o
prcticasde involuntario
negligente de una
negocios
obligacin
empresarial frente a
clientes concretos
(incluidos requisitos
fiduciarios y de
adecuacin), o de la
naturaleza o diseo
de un producto.
Tipodeevento
(Nivel2)
Ejemplos
Adecuacin,
Abusos de confianza / incumplimiento de pautas, aspectos
divulgacin
de de adecuacin / divulgacin de informacin (conocimiento
informacin y confianza del cliente, etc.), infringir la privacidad de informacin
sobre clientes minoristas, infringir la privacidad, ventas
agresivas, abuso de informacin confidencial.
de Litigios sobre
asesoramiento.
resultados
de
las
actividades
de
3. Anlisis de Riesgos
Tipode
evento
(Nivel1)
Ejecucin,
entregay
gestinde
procesos
Definicin
Prdidas
derivadas
de
errores en el
procesamiento de
operaciones o en
la gestin de
procesos,
as
como
de
relaciones
con
contrapartes
comerciales
y
proveedores
Tipodeevento
(Nivel2)
Ejemplos
3. Anlisis de Riesgos
Tipode
evento
(Nivel1)
Daosa
activos
materiales
Definicin
Tipodeevento
(Nivel2)
y
Prdidas derivadas de Desastres
daos o perjuicios a acontecimientos
activos materiales como
consecuencia
de
desastres naturales u
otros acontecimientos.
Interrupcin Prdidas derivadas de Sistemas
delnegocioy interrupciones en el
fallosenlos negocio y de fallos en los
sistemas
sistemas
Ejemplos
otros Desastres naturales, prdidas causadas por
personas externas (terrorismo, vandalismo).
3. Anlisis de Riesgos
Probabilidad
Clasificacin
Dao
Impacto
Ocurrencia
3. Anlisis de Riesgos
3. Anlisis de Riesgos
3. Anlisis de Riesgos
Mitigacin
Riesgo
Inherente
Controles
Riesgo
Residual
3. Anlisis de Riesgos
Mitigar
Aceptar
Riesgo
Evitar
Transferir
3. Anlisis de Riesgos
Elanlisisderiesgotienelossiguientespropsitos:
Apoyaralauditorenlaidentificacinderiesgosyamenazasparaunambiente
deTIylossistemasdeSIquenecesitansertratadosporladireccinascomo
loscontrolesinternosespecficosdelsistema.
Dependiendodelnivelderiesgo,esteanlisisapoyaalauditorenlaseleccin
deciertasreasparaexaminar.
Ayudaalauditorensuevaluacindeloscontrolesdurantelaplaneacindela
auditora.
Apoyaalauditoradeterminarlosobjetivosdelaauditora.
Soportadecisionesdelaauditorabasadaenriesgos.
CONTROLES INTERNOS
56
Pregunta
57
4. Controles Internos
4. Controles Internos
4. Controles Internos
4. Controles Internos
Son declaraciones del resultado deseado o del propsito a ser alcanzado con la
implementacin de actividades de control (procedimientos).
Ejemplos:
Salvaguarda de los activos de TI
Cumplimientos con las polticas corporativas y requerimientos legales
Autorizacin y autenticacin
Confidencialidad
Exactitud e integridad de datos
Confiabilidad de los procesos.
Disponibilidad de los servicios de TI
Eficiencia y economa de las operaciones.
Proceso de Administracin de cambio s para TI y los sistemas relacionados.
Tipos de controles.
ControlesdeContabilidadinterna
Primariamentedirigidosalasoperacionescontables,como
proejemplolasalvaguardadelosactivosylaconfiabilidadde
losregistrosfinancieros.
Controlesoperacionales
Dirigidosalasoperaciones,funcionesyactividadescotidianas
paraasegurarquelaoperacinestcumpliendolosobjetivos
delnegocio.
Controlesadministrativos
Seocupadelaeficienciaoperacionalenunreafuncionalyel
acatamientodelaspolticasdeadministracinqueincluyen
loscontrolesoperacionales.
4.3 COBIT
4.3 COBIT
4.3 COBIT
4.5. Controles de SI
Procedimientos de control general traducidos en procedimientos de control especficos.
Puede que un procedimiento general para asegurar la custodia del acceso a los activos e
instalaciones puede traducirse en un conjunto de procedimientos de control de SI, que
abarquen controles de acceso a los programas de computacin, datos y equipos de
cmputo.
Otros ejemplos:
Acceso a los recursos de TI, incluyendo datos y programas
Metodologas de desarrollo de sistemas y control de cambios
Procedimientos de operacin
Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de calidad
Controles de acceso fsico
Planeacin de continuidad del negocio/recuperacin de desastres
Redes y comunicaciones
Administracin de bases de datos
Proteccin y mecanismos de deteccin contra ataques internos y externos
71
Financieras
Forenses
Especializadas
Fiscales
Auditoras
De
Sistemas
Operativas
Integradas
Administrativas
EJEMPLODEMETODOLOGADEAUDITORADESI
Planes
Programas
Actividades
Debenser:
Relevantes
Completos
Claros
Autoexplicatorios
Archivados
Mantenidosencustodia
Papeles
detrabajo
Pruebas
Hallazgos
Debenestar:
Fechados
Inicializados
Conpginasnumeradas
Debidamenteetiquetados
Incidentes
Objetivos
Interfaz
Papeles
de
Trabajo
Informe
Final
ElauditordeSIdebe
considerarcomo
mantenerevidenciade
pruebadeauditorapara
preservarsuvalorde
pruebaenrespaldode
losresultadosde
auditora.
ElusodelaTecnologahabeneficiadoinmensamentealasempresasentrminosdecalidad
deentregadelainformacin.Sinembargo,elusodelatecnologaeInternethanpropiciado
elriesgoqueseperpetrenerroresyfraudes.
Unsistemadecontrolinternobiendiseado,proveebuenasoportunidadesparadisuadiry
detectaroportunamentelosfraudes.Noobstante,loscontrolesinternospuedenfallar,
cuandoestossonburladosexplotandovulnerabilidadesoconlacomplicidaddepersonas
claves.
Losauditoresdesistemasdebenejercereldebidocuidadoprofesionalentodoslosaspectos
desutrabajo,yaquedebenopinarsobrelarazonabilidaddeloscontrolesinternos,ascomo
estaralertasalasposiblesoportunidadesquepermitenqueunfraudesematerialice.
Cuandounauditordesistemasseencuentraconunindicadordefraude,debecomunicarla
necesidaddeunainvestigacindetalladaalasautoridadescompetentes,encasoquese
identifiqueunfraudemayor,ladireccindeauditoradebeconsiderarinformar
oportunamentealComitdeAuditora.
Pregunta
83
Riesgode
Muestreo
Riesgo
inherente
Riesgo
generalde
Auditora
Riesgode
Control
Riesgode
deteccin
Pregunta
85
Serefiereaunerrorquedeberaserconsideradosignificativoporcualquier
partealaqueleconciernaelpuntoencuestin
Pregunta
A. Riesgo de control
B. Riesgo de deteccin
C. Riesgo inherente
D. Riesgo de muestreo
87
Pregunta
Mientras realiza la revisin de los controles de una
aplicacin, un auditor de SI encuentra una debilidad
en el software de sistema que puede afectar
considerablemente la aplicacin. El auditor de SI
debera:
A. Ignorar estas debilidades de control, ya que una revisin de
software de sistema est ms all del alcance de la revisin
B. Realizar una revisin detallada del software del sistema y
reportar las debilidades de control.
C. Incluir en el reporte una declaracin de que la auditora se
limit a una revisin de los controles de la aplicacin
D. Revisar los controles de software del sistema que son relevantes
y recomendar una revisin detallada del software del sistema
88
Los objetivos de auditora se refieren a las metas especficas que deben cumplirse
por parte de la auditora. Se pueden incorporar varios objetivos de auditora.
Los objetivos de auditora se enfocan a menudo en validar que existen controles
internos para minimizar los riesgos del negocio y que estos funcionan como se
espera. Estos objetivos de auditora incluyen el aseguramiento del cumplimento con
los requerimientos legales y regulatorios, as como tambin la confidencialidad,
integridad, confiabilidad y disponibilidad de recursos de informacin de TI.
Aspectos a tomar en cuenta para la definicin de un objetivo.
Prueba de Cumplimiento.
Es la recoleccin de evidencia con el fin de comprobar el cumplimiento de una
organizacin con los procedimientos de control.
Ejemplos:
Controles de biblioteca de programas en produccin funcionando.
Proveer certeza que solo se realizan modificaciones autorizadas a los programas
en produccin.
Probar la efectividad de un proceso definido.
Probar si la disponibilidad del servicio de Internet se encuentra de conformidad al
porcentaje fijado en el Contrato de servicios.
Verificar si los requerimientos de cambios a sistemas cuentan con su respectivo
formulario.
Pruebas Sustantivas
Es la recoleccin de evidencia para evaluar la integridad de las transacciones
individuales, datos u otra informacin. Provee evidencia de la validez e integridad de
los saldos financieros y de las transacciones que respaldan dichos saldos.
Ejemplos:
Determinar si los registros del inventario de la librera de cintas son correctos.
Verificar si el cambio solicitado en el formulario de administracin de cambios se
encuentra de conformidad a lo que est en produccin.
Verificar que el reporte provea los resultados esperados.
Verificar que se cuenten con medidas de seguridad adecuadas y razonables para
no permitir el acceso a intrusos.
Revisin de totales (nmero de transacciones, cantidades acumuladas).
5.11 Evidencia
5.11 Evidencia
Ciclo de Vida de la
Evidencia
Cadenade
custodia
Recoleccin
Proteccin
5.11 Evidencia
Las determinantes para evaluar la confiabilidad de la evidencia de auditora
incluyen:
Validez
Competencia
(Calidad)
Evidencia
Relevante
Suficiencia
(Cantidad)
5.11 Evidencia
Tcnicas de Recopilacin de evidencia:
Funciones reales
Procesos / procedimientos reales
Concientizacin sobre seguridad
Lneas de reporte
5.13 Muestreo
5.13 Muestreo
5.13 Muestreo
Existen dos mtodos principales de muestreo usados por los auditores de SI:
1. Muestreo de Atributos. Se aplica a las pruebas de cumplimiento,
ocupndose de la ausencia o ausencia del atributo y provee conclusiones
que se expresan en tasas de incidencia. Puede ser:
Muestreo de estimacin de frecuencia
Muestreo parar / seguir
Muestreo de Descubrimiento
2. Muestreo de Variables. Tambin conocido como muestreo de estimacin
monetaria o de estimacin media, es una tcnica usada para estimar el
valor monetario de una poblacin a partir de la muestra de la misma.
Puede ser:
Promedio Estratificado por Unidad
Promedio no Estratificado por Unidad
Estimacin de Diferencia
5.13 Muestreo
Para realizar un muestreo de atributos o de variables, es necesario entener los
siguientes trminos de muestreo estadstico:
5.13 Muestreo
Acceso a archivos
Reorganizacin de archivos
Seleccin de datos
Funciones estadsticas
Funciones aritmticas
Pregunta
de
dar
comprobantes
para
las
113
Fortalezas
Debilidades
Solapados
Fuertes
Controles
Compensatorios
Dbiles
Materialidad de
los Hallazgos
1.
2.
3.
4.
5.
6.
7.
Introduccin
Objetivos (General y Especficos)
Alcance
Perodo cubierto por la auditora
Directrices seguidas
Resultados de la Auditora
Hallazgos determinados
Condicin
Criterio
Recomendacin
Comentarios de los Auditores
Conclusin de Auditora
Grado de cumplimento.
Laplaneacinypreparacindelalcanceyobjetivosde
auditora
Ladescripciny/orecorridosenelreadeauditoravista
Elprogramadeauditora
Lospasosdeauditorarealizadosylaevidenciarecopilada
Elusodeserviciosdeotrosauditoresyexpertos
Loshallazgos,conclusionesyrecomendacionesdeauditora
Ladocumentacindeauditorarelacionadaconla
identificacinyfechasdedocumentos
Unacopiadelinformeemitidocomoresultadodeltrabajo
deauditora
Evidenciaderevisinsupervisoria deauditora
Documentacin
deAuditora
Debenproveer
Rastreabilidad
Cargabilidad
PolticasdeCustodia,requisitosde
retencinyliberacindela
documentacindeauditora
AUTOEVALUACIN DEL
CONTROL (CONTROL SELF
ASSESSMENT)
119
Es una tcnica de la
direccin que asegura a
los accionistas, clientes y
otros que el sistema de
control
interno
del
negocio es confiable. En
la prctica, CSA es una
serie de herramientas
que abarcan:
Simples cuestionarios
Talleres de facilitacin
diseados
para
recopilar informacin
sobre la organizacin.
Pregunta
121
CAMBIOS EMERGENTES EN EL
PROCESO DE AUDITORA DE SI
128
PAPELESDETRABAJO
ANALISISDERIESGOS
PROGRAMASDEAUDITORIA
RESULTADOS
EVIDENCIADEPRUEBAS
CONCLUSIONES
INFORMES
INFORMACIONCOMPLEMENTARIA
Pts automatizados
(hojasdeclculo,procesadortexto,otro)
INTEGRIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
Controles:
Acceso(perfilesyderechos)
Pistasdeauditora(btacoras)
Funcionesautomatizadas(autorizaciones)
Seguridad
Procedimientosestablecidos
Auditora
Integrada
financiera
operativa
Audi SI
PROCESO INTEGRADO
Identificacin de los
riesgos y controles clave
relevantes
Revisin y comprensin
del diseo de los
controles
Comprobacin de los
controles
Informe y opinin
combinada sobre riesgos
Monitoreo Continuo
Herramientas de administracin de SI, se basa tpicamente en
procedimientos automatizados, para cumplir con las responsabilidades
fiduciarias. Ejm: Antivirus en tiempo real, IDS, etc.
Auditora Continua
Una metodologa que permite a auditores independientes proveer
certeza escrita sobre un asunto usando una serie de informes de
auditora emitidos simultneamente en un perodo corto de tiempo,
despus de que han ocurrido los eventos subyacentes al asunto.
Pregunta
133
Pregunta
A. Riesgo
B. Importancia
C. Escepticismo profesional
D. Suficiencia de la evidencia de auditora
134
Pregunta
Una compaa realiza una copia de respaldo diaria de los
datos crticos y de los archivos de software y almacena
las cintas de respaldo en un lugar fuera del
establecimiento. Las cintas de respaldo se usan para
recuperar los archivos en caso de interrupcin. Esto es:
A. Control Preventivo
B. Control gerencial
C. Control correctivo
D. Control de deteccin
135
CASO DE ESTUDIO
136
8. Caso de Estudio
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluar el
alistamiento de la organizacin para que una revisin mida el cumplimiento de los nuevos
requisitos regulatorios. Estos requisitos estn diseados para asegurar que la gerencia
est asumiendo un papel activo en establecer y mantener un entorno bien controlado y,
en consecuencia, evaluar la revisin de la gerencia y las pruebas del entorno general de
control de TI. Las rea a ser evaluadas incluyen seguridad lgica y fsica, administracin
de cambios, control de produccin y administracin de redes, gobierno de TI, y
computacin de usuario final. Al auditor de SI se le han dado seis meses para realizar este
trabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe seal
que en aos anteriores, se han identificado reiterados problemas en las reas de
seguridad lgica y administracin de cambios, de modo que estas reas muy
probablemente requerirn algn grado de rectificacin. Las deficiencias de seguridad
lgica notadas incluyeron compartir las cuentas de administrador y no ejecutar los
controles adecuados sobre las contraseas. Las deficiencias de administracin de
cambios incluyeron indebida segregacin de funciones incompatibles y no documentar
todos los cambios.
8. Caso de Estudio
Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a los
servidores se encontr que era solo parcialmente efectivo. En anticipacin del trabajo a
ser realizado por el auditor de SI, el director de informacin (CIO) solicit reportes
directos para desarrollar narrativas y flujos de proceso que describieran las principales
actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados por
los diferentes dueos de proceso y por el CIO y luego fueron enviados al auditor de SI
para examen.
Pregunta
139
Pregunta
Cuando se prueba la administracin de cambios
programas Cmo se debe seleccionar la muestra?
de