Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2016 Proceso de Auditoria de Sistemas de PDF
2016 Proceso de Auditoria de Sistemas de PDF
de Auditoría
de Sistemas
de Información
2016
agosto de 2016 2
Tareas del proceso de auditoría de SI
agosto de 2016 3
Tareas del proceso de auditoría de SI
agosto de 2016 4
Tareas del proceso de auditoría de SI
agosto de 2016 5
Tareas del proceso de auditoría de SI
agosto de 2016 6
Tareas del proceso de auditoría de SI
agosto de 2016 7
Conocimientos
agosto de 2016 8
Conocimientos
agosto de 2016 9
Conocimientos
agosto de 2016 10
Misión de Auditoría Interna
agosto de 2016 11
Definición de Auditoría Interna
agosto de 2016 12
Gestión de la función de auditoría de SI
agosto de 2016 13
……
…….
agosto de 2016 14
Proceso de Auditoría Interna
Dirigir Evaluar
agosto de 2016 15
Proceso de Auditoría Interna
Dirigir
• Escribir los estatutos de auditoría
Dirigir Evaluar
• Establecer la organización
• Implementar mejora continua
agosto de 2016 16
Organización de Auditoría de SI
Estatutos de Auditoría
Establece responsabilidades generales de la función de Auditoría
Define objetivos
Delega autoridad para la función de Auditoría de SI
Describe el alcance
agosto de 2016 17
Pregunta
agosto de 2016 18
Respuesta
La respuesta correcta es C
Los estatutos de auditoría aprobados describen la responsabilidad,
autoridad y línea de rendición de cuentas del auditor
El alcance de la auditoría es específico de una auditoría y no otorga
autoridad para realizar una auditoría
Una solicitud por parte de la gerencia para realizar una auditoría no es
suficiente porque está se relacionada con una auditoría específica
El cronograma de auditoría aprobado no otorga autoridad para realizar
una auditoría
agosto de 2016 19
Proceso de Auditoría Interna
Dirigir Evaluar
agosto de 2016 20
Proceso de Auditoría Interna
Dirigir Evaluar
Desarrollar planes de
auditoría
Desarrollar Monitorear
• Identificar áreas clave
• Análisis de riesgo recurso humano
• Asignación de recursos
• Calendarización
agosto de 2016 21
• En un enfoque de auditoría basada en riesgos, el auditor
identifica el riesgo para la organización basado en la
naturaleza del negocio.
• Los tipo de riesgo se deben clasificar con el fin de planificar
un ciclo anual de auditoría.
Dirigirclasificar los tipos de riesgo, el auditor
• Para Evaluar
debe primero
definir el universo de las auditorías teniendo en cuenta el
plan estratégico de TI, la estructura organizacional y la matriz
de autorizaciones.
Desarrollar planes de
auditoría
Desarrollar Monitorear
• Identificar áreas clave
• Análisis de riesgo recurso humano
• Asignación de recursos
• Calendarización
agosto de 2016 22
Proceso de Auditoría Interna
Dirigir Evaluar
Desarrollar planes de
auditoría
Desarrollar Monitorear
• Identificar áreas clave
• Análisis de riesgo recurso humano
• Asignación de recursos
• Calendarización
agosto de 2016 23
Pregunta
agosto de 2016 24
Respuesta
La respuesta correcta es B
En un enfoque de auditoría basado en riesgos, el auditor identifica el
riesgo para la organización basado en la naturaleza del negocio.
Los tipos de riesgo se deben clasificar con el fin de planificar un ciclo anual
de auditoría.
Para clasificar los tipo de riesgo, el auditor debe primero definir el
universo de las auditorías teniendo en cuenta el plan estratégico de TI, la
estructura organizacional y la matriz de autorizaciones.
agosto de 2016 25
Proceso de Auditoría Interna
Dirigir Evaluar
Desarrollar
recurso humano
Desarrollar planes • Definir marco de referencia Monitorear
de auditoría • Desarrollar competencias
agosto de 2016 26
Proceso de Auditoría Interna
Dirigir Evaluar
agosto de 2016 27
Proceso de Auditoría Interna
Dirigir Evaluar
• Una vez que el proceso de negocio es identificado, el auditor
de SI debe identificar los objetivos de control y las
actividades que deben ser validadas en la auditoría.
agosto de 2016 28
Proceso de Auditoría Interna
Dirigir Evaluar
agosto de 2016 29
Pregunta
agosto de 2016 30
Respuesta
La respuesta correcta es C
Para realizar una auditoría exitosa es importante comprender los procesos
del negocio y conocer los riesgos inherentes que pueden ocurrir debido a
la naturaleza del negocio.
agosto de 2016 31
Aspectos a considerar
agosto de 2016 32
Pasos de la planeación de auditoría
agosto de 2016 33
Leyes y regulaciones
agosto de 2016 34
Código de Ética Profesional de ISACA
agosto de 2016 35
Código de Ética Profesional de ISACA
http://www.isaca.org/Certification/Code-of-Professional-Ethics/Pages/default.aspx
agosto de 2016 36
Código de Ética Profesional de ISACA
agosto de 2016 37
Estándares, directrices y procedimientos
• Estándares
Deben ser cumplidos por los Auditores de SI
• Directrices
Proveen una guía sobre cómo implementar los estándares
• Procedimientos
Proveen ejemplos para la implementación de los estándares
agosto de 2016 38
Estándares
agosto de 2016 39
Objetivos de los estándares
agosto de 2016 40
Estándares de auditoría y aseguramiento de SI
Estándares generales
Estándares de desempeño
Estándares de reportes
agosto de 2016 41
Estándares generales (serie 1000)
agosto de 2016 42
Estándares de desempeño (serie 1200)
agosto de 2016 43
Estándares de reportes (serie 1400)
agosto de 2016 44
Estándares generales (serie 1000)
agosto de 2016 45
1001 Estatuto de la función de auditoría
Declaraciones
1001.1 La función de auditoría y aseguramiento de SI documentará la
función de la auditoría de manera adecuada en un estatuto de la función
de auditoría, que indique propósito, responsabilidad, autoridad y
rendición de cuentas.
1001.2 La función de auditoría y aseguramiento de SI debe tener el
estatuto de la función de auditoría acordado y aprobado en el nivel
adecuado dentro de la empresa.
agosto de 2016 46
1002 Independencia organizacional
Declaraciones
1002.1 La función de auditoría y aseguramiento de SI será independiente
del área o actividad que se revise para permitir la ejecución objetiva de la
asignación de auditoría y aseguramiento.
agosto de 2016 47
1003 Independencia profesional
Declaraciones
1003.1 Los profesionales de auditoría y aseguramiento de SI deben ser
independientes y objetivos, tanto en actitud como en apariencia, en todos
los asuntos relacionados con las asignaciones de auditoría y aseguramiento.
agosto de 2016 48
Pregunta
agosto de 2016 49
Respuesta
La respuesta correcta es A
Un enfoque de auditoría basado en riesgos se concentra en la
comprensión de la naturaleza del negocio y en ser capaz de identificar y
categorizar el riesgo.
Los riesgos del negocio tienen impacto en la viabilidad a largo plazo de un
negocio específico. Por lo tanto, un auditor de SI que use un enfoque de
auditoría basado en riesgos debe ser capaz de comprender los procesos
del negocio.
agosto de 2016 50
1004 Expectativa razonable
Declaraciones
1004.1 Los profesionales de auditoría y aseguramiento de SI deben tener
una expectativa razonable de que la asignación puede ser realizada de
conformidad con los estándares de auditoría y aseguramiento de SI y,
cuando se requiera, otros estándares industriales o profesionales adecuados
o regulaciones aplicables, y brindar una conclusión u opinión profesional.
agosto de 2016 51
1004 Expectativa razonable
Declaraciones
1004.2 Los profesionales de auditoría y aseguramiento de SI deben tener
una expectativa razonable de que el alcance de la asignación permite la
conclusión sobre el tema y abordar cualesquiera restricciones.
agosto de 2016 52
1004 Expectativa razonable
Declaraciones
1004.3 Los profesionales de auditoría y aseguramiento de SI deben tener
una expectativa razonable de que la dirección entiende sus obligaciones y
responsabilidades en relación a la provisión de información apropiada,
relevante y oportuna requerida para realizar la asignación.
agosto de 2016 53
1005 Debido cuidado profesional
Declaraciones
1005.1 Los profesionales de aseguramiento y auditoría de SI deben ejercer
el debido cuidado profesional, que incluye la observancia de los estándares
de auditoría profesional, al planificar, realizar y presentar los reportes sobre
los resultados de las asignaciones.
agosto de 2016 54
1005 Debido cuidado profesional
Declaraciones
1005.1 Los profesionales de aseguramiento y auditoría de SI deben ejercer
el debido cuidado profesional, que incluye la observancia de los estándares
de auditoría profesional, al planificar, realizar y presentar los reportes sobre
los resultados de las asignaciones.
agosto de 2016 55
1006 Competencia
Declaraciones
1006.1 Los profesionales de auditoría y aseguramiento de SI, junto con otras
personas que ayudan en la asignación, deben poseer las habilidades y la
competencia adecuadas para realizar las asignaciones de auditoría y
aseguramiento de SI y ser profesionalmente aptos para realizar el trabajo
requerido.
agosto de 2016 56
1006 Competencia
Declaraciones
1006.2 Los profesionales de auditoría y aseguramiento de SI, junto con otras
personas que ayudan en la asignación, deben poseer el conocimiento
adecuado sobre el tema.
agosto de 2016 57
1006 Competencia
Declaraciones
1006.3 Los profesionales de auditoría y aseguramiento de SI deben
mantener la aptitud profesional mediante la capacitación y el
entrenamiento profesional continuo y adecuado.
agosto de 2016 58
1007 Afirmaciones
Declaraciones
1007.1 Los profesionales de auditoría y aseguramiento de SI deben revisar
las afirmaciones con las que el tema será evaluado para determinar que
dichas afirmaciones sean capaces de ser auditadas y que las afirmaciones
sean suficientes, válidas y relevantes.
Por ejemplo “Todos los cambios al sistema que se promueven a Producción
se registran en el control de cambios.
agosto de 2016 59
1008 Criterios
Declaraciones
1008.1 Los profesionales de auditoría y aseguramiento de SI deben
seleccionar criterios con los que será evaluado el tema, que sean objetivos,
completos, relevantes, medibles, comprensibles, ampliamente reconocidos,
autorizados y comprendidos por, o disponibles para, todos los lectores y
usuarios del reporte.
agosto de 2016 60
1008 Criterios
Declaraciones
1008.2 Los profesionales de auditoría y aseguramiento de SI deben
considerar la fuente de los criterios y centrarse en aquellos emitidos por
organismos autorizados relevantes antes de aceptar criterios menos
reconocidos.
agosto de 2016 61
Estándares de desempeño (serie 1200)
agosto de 2016 62
1201 Planificación de la asignación
Declaraciones
1201.1 Los profesionales de auditoría y aseguramiento de SI deben
planificar cada asignación de auditoría y aseguramiento de SI para abordar:
Objetivo(s), alcance, cronograma y productos
Cumplimiento con los estándares de auditoría profesional y leyes
aplicables
Uso de un enfoque basado en riesgo, cuando sea apropiado
Problemas específicos a la asignación
Requerimientos de reportes y documentación
agosto de 2016 63
1201 Planificación de la asignación
Declaraciones
1201.2 Los profesionales de auditoría y aseguramiento de SI deben
desarrollar y documentar un plan de proyecto de la asignación de auditoría
o aseguramiento de SI, que describa:
La naturaleza de la asignación, los objetivos, el cronograma y los
requerimientos de los recursos
Los plazos y el alcance de los procedimientos de auditoría para finalizar
la asignación
agosto de 2016 64
1202 Evaluación de riesgo en planificación
Declaraciones
1202.1 La función de auditoría y aseguramiento de SI debe utilizar un
enfoque de evaluación de riesgo adecuado y metodología de respaldo para
desarrollar el plan completo de auditoría de SI y determinar las prioridades
para la asignación efectiva de los recursos de auditoría de SI.
agosto de 2016 65
1202 Evaluación de riesgo en planificación
Declaraciones
1202.2 Los profesionales de auditoría y aseguramiento de SI deben
identificar y evaluar el riesgo relevante al área de revisión, cuando planifican
asignaciones individuales.
agosto de 2016 66
1202 Evaluación de riesgo en planificación
Declaraciones
1202.3 Los profesionales de auditoría y aseguramiento de SI deben
considerar el riesgo del tema, el riesgo de la auditoría y la exposición relativa
de la empresa.
agosto de 2016 67
1203 Desempeño y supervisión
Declaraciones
1203.1 Los profesionales de auditoría y aseguramiento de SI deben llevar a
cabo el trabajo en conformidad con el plan de auditoría de SI aprobado para
cubrir el riesgo identificado y dentro del cronograma acordado.
agosto de 2016 68
1203 Desempeño y supervisión
Declaraciones
1203.2 Los profesionales de auditoría y aseguramiento de SI deben
proporcionar supervisión al personal de auditoría de SI sobre quienes tienen
responsabilidad de supervisión, para lograr los objetivos de la auditoría y
cumplir con los estándares de auditoría profesional aplicables.
agosto de 2016 69
1203 Desempeño y supervisión
Declaraciones
1203.3 Los profesionales de auditoría y aseguramiento de SI deben aceptar
sólo tareas que estén dentro de su conocimiento y habilidades o para las
que tengan una expectativa razonable de adquirir las habilidades durante la
asignación o lograr la tarea bajo supervisión.
agosto de 2016 70
1203 Desempeño y supervisión
Declaraciones
1203.4 Los profesionales de auditoría y aseguramiento de SI deben obtener
evidencia suficiente y apropiada para lograr los objetivos de la auditoría. Los
hallazgos y las conclusiones de la auditoría deben ser respaldados por un
análisis e interpretación apropiados de esta evidencia.
agosto de 2016 71
1203 Desempeño y supervisión
Declaraciones
1203.5 Los profesionales de auditoría y aseguramiento de SI deben
documentar el proceso de auditoría, describiendo el trabajo de auditoría y la
evidencia de auditoría que respalda los hallazgos y las conclusiones.
agosto de 2016 72
1203 Desempeño y supervisión
Declaraciones
1203.6 Los profesionales de auditoría y aseguramiento de SI deben
identificar y concluir acerca de los hallazgos.
agosto de 2016 73
1204 Materialidad
Declaraciones
1204.1 Los profesionales de auditoría y aseguramiento de SI deben
considerar las debilidades potenciales o ausencias de controles mientras
planifican una asignación y si esas debilidades o ausencias de controles
pudieran resultar en una deficiencia significativa o una debilidad material.
agosto de 2016 74
1204 Materialidad
Declaraciones
1204.2 Los profesionales de auditoría y aseguramiento de SI deben
considerar la materialidad de la auditoría y su relación con el riesgo de la
auditoría, determinando, a su vez, la naturaleza, los plazos y el alcance de
los procedimientos de la auditoría.
agosto de 2016 75
1204 Materialidad
Declaraciones
1204.3 Los profesionales de auditoría y aseguramiento de SI deben
considerar el efecto acumulativo de las deficiencias o debilidades menores
de control y si la ausencia de controles se traduce en una deficiencia
significativa o debilidad material.
agosto de 2016 76
1204 Materialidad
Declaraciones
1204.4 Los profesionales de auditoría y aseguramiento de SI deben divulgar
la siguiente información en el reporte:
Ausencia de controles o controles ineficaces
Importancia de las deficiencias de control
Probabilidad de que estas debilidades ocasionen una deficiencia
significativa o debilidad material
agosto de 2016 77
1205 Evidencia
Declaraciones
1205.1 Los profesionales de auditoría y aseguramiento de SI deben obtener
evidencias suficientes y apropiadas para llegar a conclusiones razonables
sobre las cuales basar los resultados de la asignación.
agosto de 2016 78
1205 Evidencia
Declaraciones
1205.2 Los profesionales de auditoría y aseguramiento de SI deben evaluar
la suficiencia de la evidencia obtenida para respaldar las conclusiones y
lograr los objetivos de la asignación.
agosto de 2016 79
1206 Uso del trabajo de otros expertos
Declaraciones
1206.1 Los profesionales de auditoría y aseguramiento de SI deben
considerar el uso del trabajo de otros expertos para la asignación, cuando
sea apropiado.
agosto de 2016 80
1206 Uso del trabajo de otros expertos
Declaraciones
1206.2 Los profesionales de auditoría y aseguramiento de SI deben evaluar
y aprobar la idoneidad de las calificaciones profesionales, competencias,
experiencia relevante, recursos, independencia y procesos de control de
calidad de otros expertos antes de la asignación.
agosto de 2016 81
1206 Uso del trabajo de otros expertos
Declaraciones
1206.3 Los profesionales de auditoría y aseguramiento de SI deben evaluar,
revisar y valorar el trabajo de otros expertos como parte de la asignación, y
documentar la conclusión sobre el uso y la confianza en su trabajo.
agosto de 2016 82
1206 Uso del trabajo de otros expertos
Declaraciones
1206.4 Los profesionales de auditoría y aseguramiento de SI deben
determinar si el trabajo de otros expertos, que no forman parte del equipo
de asignación, es adecuado y completo para concluir acerca de los objetivos
de la asignación actual, y documentar con claridad la conclusión.
agosto de 2016 83
1206 Uso del trabajo de otros expertos
Declaraciones
1206.5 Los profesionales de auditoría y aseguramiento de SI deben
determinar si se podrá depender del trabajo de otros expertos y se
incorporará directamente o se hará referencia al mismo de manera separada
en el reporte.
agosto de 2016 84
1206 Uso del trabajo de otros expertos
Declaraciones
1206.6 Los profesionales de auditoría y aseguramiento de SI deben aplicar
procedimientos adicionales de prueba para obtener evidencia suficiente y
apropiada en los casos en que el trabajo de otros expertos no brinde
evidencia suficiente y apropiada.
agosto de 2016 85
1206 Uso del trabajo de otros expertos
Declaraciones
1206.7 Los profesionales de auditoría y aseguramiento de SI deben brindar
una opinión o conclusión de la auditoría apropiada e incluir cualquier
limitación del alcance cuando no se obtenga la evidencia requerida
mediante los procedimientos de prueba adicionales.
agosto de 2016 86
1207 Irregularidades y actos ilegales
Declaraciones
1207.1 Los profesionales de auditoría y aseguramiento de SI deben
considerar el riesgo de irregularidades y actos ilegales durante la asignación.
1207.2 Los profesionales de auditoría y aseguramiento de SI deben
mantener una actitud de escepticismo profesional durante la asignación.
1207.3 Los profesionales de auditoría y aseguramiento de SI deben
documentar y comunicar, de manera oportuna, cualquier acto ilegal o
irregularidad material a la parte apropiada.
agosto de 2016 87
Estándares de reportes (serie 1400)
1401 Reportes
1402 Actividades de seguimiento
agosto de 2016 88
1401 Reportes
Declaraciones
1401.1 Los profesionales de auditoría y aseguramiento de SI deben
proporcionar un reporte para comunicar los resultados al concluir la
asignación, que incluye:
Identificación de la empresa, los destinatarios previstos y cualquier restricción sobre el
contenido y la circulación
Alcance, objetivos de la asignación, período de cobertura y la naturaleza, los plazos y el
alcance del trabajo realizado
Hallazgos, conclusiones y recomendaciones de la auditoría
Cualquier calificación o limitación dentro del alcance que el profesional de auditoría y
aseguramiento de SI tenga con respecto a la asignación
Firma, fecha y distribución según los términos del estatuto de la función de auditoría o
carta de asignación de auditoría.
agosto de 2016 89
1402 Actividades de seguimiento
Declaraciones
1402.1 Los profesionales de auditoría y aseguramiento de SI deben
monitorear información relevante para concluir si la dirección ha
planeado/tomado la acción oportuna y apropiada para abordar los hallazgos
y las recomendaciones de la auditoría reportados.
agosto de 2016 90
Estándares de ISACA para auditorías de SI
http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Pages/default.aspx
agosto de 2016 91
Análisis de Riesgos (Desde la perspectiva del auditor de SI)
agosto de 2016 92
Objetivo de Control
agosto de 2016 93
Controles Generales
agosto de 2016 94
Controles Generales
agosto de 2016 95
Controles de SI
• Estrategia y dirección
• Plan Operacional
• Plan de seguridad
• Organización general y administración
• Acceso a los recursos de TI, incluyendo datos y programas
• Metodologías de desarrollo de sistemas y control de cambios
• Procedimientos de operación
• Programación de sistemas y funciones de soporte técnico
agosto de 2016 96
Controles de SI
agosto de 2016 97
Pregunta
agosto de 2016 98
Respuesta
• La respuesta correcta es D
• No se espera que el auditor de SI ignore las debilidades de control sólo porque
están fuera del alcance de una revisión en curso. Además, la ejecución de una
revisión detallada de software de sistemas puede perjudicar el cronograma de
la auditoría y el auditor de SI puede no ser técnicamente competente para
realizar dicha revisión en este momento. Si existen debilidades de control que
el auditor de SI ha descubierto, estas deberían ser informadas. Haciendo una
declaración de limitación de responsabilidad, esta podría ser evitada. De ahí
que, la opción apropiada sería revisar la parte relevante a la revisión del
software de sistema y recomendar una revisión detallada del software de
sistema para el cual se puedan recomendar recursos adicionales.
agosto de 2016 99
Pregunta
• La respuesta correcta es A
El Estándar S5, Planeación, establece estándares y provee orientación
sobre la planeación de una auditoría. Requiere un enfoque basado en el
riesgo.
La respuesta correcta es A
El informe de auditoría contiene los resultados de la auditoría. El
contenido y la estructura del informe se definen de acuerdo al tipo de
auditoría. El auditor debe asegurarse de que se recogió suficiente
evidencia antes de concluir sobre los resultados
B. El auditor debe discutir el informe de proyecto con la gerencia del
auditado. Durante los debates, el auditor puede necesitar proporcionar
detalles de las evidencia en las conclusiones
C. El auditor debe distribuir el informe a las respectivas partes de acuerdo
a los estatutos
D. Todos los resultados deben ser incluidos en el informe de auditoría