Proceso de

Auditoria de
Sistemas
 Objetivo

• Los alumnos serán capaces de efectuar auditorías

de TI para asegurar que las TI y los sistemas de
negocio se controlan, monitorean y evalúan.
Silabo del curso
1. Proceso de
Auditoria SI

8. Informe de 2. Gobierno y
Auditoria Gestion de TI

7. Marcos de
referencia Curso 3. Continuidad
de Negocio

6. Protección 4. Desarrollo y
de Activos de Mantenimiento
Información de Sistemas

5. Operaciones,
mnto y soporte
de Sistemas
Evaluación
Diagnóstica
Proceso de Auditoria
de Sistemas
 Visión General

•Planeamiento de la auditoría
• Leyes y regulaciones
• ISACA
• Análisis de riesgo
• Controles
• Ejecución de una auditoría de SI
• Observaciones de Auditoria
• Informe de Auditoria
Auditoria
•Proceso sistemático de
evaluación post-mortem y
de formación de opinión
sobre una materia.
 Tipos de Auditoria

•Auditoria Interna
•Auditoria Externa

8
Auditoria Externa – Big Four

9
Tipos de Auditoria

•Financieras
•Operacionales
•Integradas
•Administrativas
•Sistemas
•Especializadas

10
 Auditoria
de
Sistemas
• Revisión (completa o
parcial) de las TI.
 Planeamiento

• El planeamiento adecuado es el primer paso

para efectuar auditorías de TI eficaces.

• Planeamiento Anual

• Planeamiento individual
 Pasos del planeamiento

• Conocimiento del negocio (Objetivos, misión,

procesos)
• Identificar la estructura organizacional, políticas, procedimientos,
estándares
• Ejecutar un análisis de riesgo
• Definir el alcance y los objetivos
• Desarrollar el programa de auditoria
• Asigna personal
• Temas logísticos
 Efecto de Leyes y regulaciones

• Toda organización esta sujeta a leyes

• La Banca y las Telcos están mas controladas
 Requerimientos externos

• Identificar los requerimientos externos

• Documentar las leyes y regulaciones aplicables
• Evaluar si se han tomado en cuenta los requerimientos externos
correspondientes
• Revisar la documentación referentes al cumplimiento de los
dispositivos aplicables
• Determinar si se han cumplido los procedimientos establecidos
 Regulaciones externas

• Sarbanes Oxley (SOX)

• COSO ERM
• Basilea III
• HIPAA
• PCI
• SBS
• CGR
• LPDP
http://www.isaca.org
Certificaciones
 Estándares de ISACA

• Independencia
• Ética y Normas Profesionales
• Competencia
• Planeamiento
• Ejecución de la auditoría
• Informe
• Seguimiento
 Estándares de ISACA

• Irregularidades y Actos Ilegales

• Uso de evaluación de riesgo en la
Planificación de Auditoria
• Materialidad de la Auditoria
• Usando el trabajo de otros expertos
• Evidencia de Auditoria
 Análisis de Riesgo

•Es parte de la planificación de la

Auditoria.
• Identifica riesgos y vulnerabilidades
para determinar los controles a
recomendar.
 Riesgo

Es el potencial de que una amenaza

explote las vulnerabilidades de un
activo(s), y cause pérdida.
ISO 13335
 Tipos de Controles

• Cualquier cosa que minimiza un riesgo.

• Preventivos
• Detectivos
• Correctivos
• Disuasivos

23
 Programa de Auditoria

•El programa es el conjunto de

actividades a realizar por el Auditor.

24
 Procedimiento general

• Conocimiento del área / tema de la auditoría

• Evaluación del riesgo
• Cronograma
• Planeamiento detallado de la auditoría
• Revisión preliminar del área a auditar

25
 Procedimiento general

• Evaluación del área / tema de la auditoría

• Verificación de los controles
• Pruebas de cumplimiento
• Pruebas sustantivas
• Informe (comunicación de resultados)
•Seguimiento

26
 Metodología

• Identificación del tema a ser auditado

• Identificación de los objetivos
• Identificación del alcance
• Planificación de pre-auditoria
• Procedimientos de auditoria
• Pruebas de Evaluación
• Comunicación a la Gerencia
• Preparación del informe
27
 Riesgo de auditoria

•Se aplica un enfoque de auditoría basado en el

riesgo, para evaluar y ayudar al auditor de SI a
decidir si realiza pruebas de cumplimiento o
pruebas sustantivas

28
 Materialidad

•La materialidad es un punto clave

•La evaluación requiere la aplicación de

criterio profesional, para determinar el efecto
potencial del hallazgo, si no se toma una
acción correctiva

29
 Evidencia

Es un requisito que las conclusiones del

auditor estén basadas en evidencia suficiente
y competente

• Independencia de quien provee la evidencia

• Calidad de quien provee la información o
evidencia
• Objetividad de la evidencia
• Oportunidad de la evidencia

30
 Técnicas para recopilar evidencia

•Revisión del organigrama de SI

•Revisión de las políticas, las normas y los
procedimientos de SI
•Revisión de la documentación de SI
•Entrevistas a personal clave
•Observación de los procesos y el desempeño
del personal

31
Trabajo Grupal