Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2da Sesion - Proceso de Auditoría PDF
2da Sesion - Proceso de Auditoría PDF
2da Sesion - Proceso de Auditoría PDF
Proceso de Auditoría
de Sistemas de Información
2. Organización de la auditoría
4. Planeación de la auditoría
5.1 Generalidades
5.2 Fases de una auditoría
5.3 Auditoría basada en riesgos
5.4 Objetivos de la auditoria
5.5 Pruebas de cumplimiento vs. Pruebas sustantivas
5.6 Evidencia de auditoría
5.7 Evaluación de fortalezas y debilidades
5.8 Comunicación de los resultados de auditoría
5.9 Documentación de la auditoría
6. Bibliografía
- La función de la auditoría debe ser gestionada y conducida en una forma que asegure
que las diversas tareas realizadas y logradas por el equipo de auditoría cumplirán los
objetivos de la función de auditoría, mientras se preserva la independencia y
competencia de la auditoría.
- Los servicios de auditoría de SI pueden ser provistos externamente o internamente, puede ser
parte de la auditoría interna, funcionar como un grupo independiente o estar integrada dentro
de una auditoría financiera y operacional para proveer garantía de control relacionado con TI a
los auditores financieros o de la Gerencia.
- Si los servicios son provistos por una Firma externa, el alcance y los objetivos del servicio
deben estar documentados en un contrato formal.
- La función de auditoría debe ser independiente y reportar al comité de auditoría o al nivel más
alto de la gerencia.
- Existe la necesidad de contratar externos expertos para llevar a cabo auditorías altamente
especializadas, a pesar de que una parte del trabajo se delegue a un proveedor externo de
servicios, la responsabilidad profesional relacionada no es necesariamente delegada.
Auditorías operativas Diseñada para evaluar la estructura de control interno en un proceso o área determinada (ej:
auditoría de SI sobre controles de aplicaciones o de sistemas de seguridad lógica)
Auditorías integradas Combina pasos de auditoría financiera y operativa, incluye pruebas de cumplimiento a los controles
internos y pruebas sustantivas
Auditoría de SI Determina si los sistemas de información y los recursos relacionados protegen adecuadamente los
activos, mantienen la integridad y disponibilidad de los datos y del sistema. Logran de forma
efectiva las metas organizacionales, usan eficientemente los recursos y que los eventos no
deseados evitados o detectados y corregidos de forma oportuna
Auditorías Forenses Auditoría especializada en descubrir, revelar y hacer seguimiento a fraudes y crímenes. El propósito
principal es el desarrollo de evidencia para autoridades competentes (establecer cadena de
custodia para cumplir con requerimientos legales). Relacionado con fraude corporativo y crimen
cibernético
Revisión
Lectura de Revisión del
reportes informes relacionados
antecedentes publicaciones de la negocio
anteriores con TI (auditoría
industria, reportes planes estratégicos de
interna, externa,
anuales y reportes de TI a mediano y largo
consultorías,
análisis financieros plazo
revisiones específicas
independientes
regulatorias)
Servicios
Entrevistas Normatividad identificar las
tercerizados
a los gerentes clave identificar funciones de TI o las
para emprender regulaciones actividades
pormenores del específicas aplicables a relacionadas que han
negocio TI sido contratadas
externamente
Conocimiento
Entendimiento
TI Comprensión de las
diversas prácticas,
Recorrido a las
funciones de negocio,
instalaciones clave de la
sistemas de información
organización
y tecnología que
soportan la actividad.
Plan a
corto
plazo (1)
Consideraciones
Plan a
largo
plazo (2)
(1) Toma en cuenta aspectos relevantes de auditoría que serán cubiertos durante el año. Análisis de aspectos relevantes se
(2) Toma en cuenta aspectos relacionados con riesgos debidos a los cambios en la dirección debe realizar por lo menos una vez
estratégica de TI de la organización que afectarán el ambiente de TI. al año. Los resultados deben ser
revisados por la alta dirección y
La planificación debe lograr correspondencia entre los recursos de auditoría disponibles y las aprobados por el comité de
tareas definidas en el plan de auditoría deben considerar requerimientos del proyecto auditoría o nivel gerencial
(contrato), recursos de personal (especialistas) y otras limitaciones. encargado.
Auditoría puede definirse como un proceso sistemático por el cual un equipo calificado,
competente e independiente, obtiene y evalúa objetivamente la evidencia respecto a las
afirmaciones acerca de un proceso con el fin de formarse una opinión sobre el particular e
informar sobre el grado de cumplimiento.
La auditoría de SI puede definirse como cualquier auditoría que abarca la revisión y evaluación
(parcial o total) de los sistemas automatizados de procesamiento de información, procesos
relacionados no automatizados y las interfaces entre ellos.
4. Planificación
de preauditoría
3. Alcance de la • Identificar
Auditoría habilidades y
recursos técnicos
2. Objetivo de • Identificar los necesarios
Auditoría sistemas, funciones • Identificar fuentes
o unidades de información para
1. Sujeto de la • Identificar el específicos de la las pruebas
auditoría propósito de la organización que
auditoria • Identificar ubicación
• Identificar el área serán incluidos en la
de áreas o
que será auditada revisión
instalaciones que
serán auditadas
8. Preparación
del informe de
7. Procedimiento auditoría
para las • Identificar objetivo,
6. Procedimiento comunicaciones alcance,
procedimientos
para evaluar los • Específico de la • Elaboración de
5. Procedimiento resultados organización (definir conclusiones y
protocolo de opiniones
de Auditoría • Específico de la comunicación)
organización • Identificar
• Identificar enfoque deficiencias de
(herramientas para
para verificar los control y
verificar el control)
controles recomendaciones
• Identificar personal a • Discusión con los
entrevistar dueños clave del
• Identificar y proceso
Recolectar • Reporte a la gerencia
información
• Desarrollar
metodología para
probar el control
Concluir la auditoría
Identificar riesgos, debilidad en el control, crear recomendaciones,
emitir el informe
- Se refiere a las metas específicas que deben cumplirse por parte de la auditoría.
- Por lo general se centra en validar que existen controles internos para minimizar los
riesgos del negocio, y que estos funcionen como se espera.
- El auditor debe tener comprensión de cómo se puede traducir los objetivos generales de
auditoría en objetivos específicos de control de los sistemas de información
Existe una correlación directa entre el nivel de los controles internos y la cantidad de pruebas
sustantivas requeridas.
Los procedimientos para recopilar evidencia de auditoría incluyen: indagación, observación, inspección,
confirmación, desempeño y monitoreo.
Muestreo
Es usado cuando las consideraciones de tiempo y de costo impiden una verificación total de todas las
transacciones o eventos en una población definida previamente. El muestreo se usa para inferir características
de una población, con base en las características de una muestra.
EL auditor debe evaluar las fortalezas y debilidades de los controles evaluados y luego
determinar si son efectivos para cumplir los objetivos de control establecidos, teniendo en
cuenta:
- Un control fuerte puede compensar un control débil en otra área
- Existen controles compensatorios en áreas donde los controles han sido identificados
como débiles
- Un grupo de controles cuando se acumulan, pueden actuar como controles
compensatorios y de esta manera minimizar el riesgo
Es la evaluación de que sería significativo para los diferentes niveles de la gerencia, requiere
determinar el efecto potencial del hallazgo si no se realizan acciones correctivas.
Antes de comunicar los resultados de la auditoría a la alta dirección, se debería discutir los hallazgos con el
personal directivo del área o proceso auditado, con el propósito de llegar a un acuerdo sobre los hallazgos y
desarrollar un curso de acción correctiva, en caso de desacuerdo se debe profundizar sobre la importancia
del hallazgo, riesgos y efectos de no corregir la debilidad de control.
Es apropiado que el auditor reporte a la alta dirección sobre el progreso de la implementación de las acciones
correctivas acordadas.
Introducción
objetivos, limitaciones, alcance, periodo cubierto de auditoría, declaración general sobre el carácter y
la extensión de los procedimientos realizados, metodología y directrices aplicadas
Hallazgos
una buena práctica es agrupar por secciones y nivel de importancia
Conclusión y opinión
respecto a si los controles y procedimientos examinados son adecuados y los riesgos existentes como
consecuencia de las debilidades detectadas
ISACA