Scribd
Cargar
122 vistas27 páginas

Procesos de Auditoria Ti

procesos de auditoria ti

Cargado por

Elías Cesar Acuña
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
122 vistas27 páginas

Procesos de Auditoria Ti

procesos de auditoria ti

Cargado por

Elías Cesar Acuña
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

14: Procesos de Auditoría de TI

Prof. Jorge Carreño Escobedo 20/11/2014


TEMARIO
1. Proveer servicios de auditoría de acuerdo con las
normas de auditoría.
2. Directrices y mejores prácticas para ayudar a la
organización.
3. Asegurar que la tecnología de la información y los
sistemas de negocios estén protegidos y controlados.

2 Prof. Jorge Carreño Escobedo 20/11/2014


1. Proveer Servicios de Auditoría y
Normas

3 Prof. Jorge Carreño Escobedo 20/11/2014


Servicios de un Auditor
Los servicios de un auditor, se agrupan en 3 categorías, como son:

Auditoría

Revisión Limitada

Hechos Concretos
(procedimientos acordados)

4 Prof. Jorge Carreño Escobedo 20/11/2014


La Auditoría
Proporciona un nivel alto, pero no absoluto de seguridad en la
eficiencia de los procedimientos de control. No existe seguridad
absoluta, es difícil de conseguir ya que depende de varios factores,
como:
- Necesidad de juicio profesional.
- La realización de pruebas.
- Las limitaciones inherentes al control interno.

5 Prof. Jorge Carreño Escobedo 20/11/2014


La Revisión Limitada
Proporciona un nivel moderado de seguridad sobre la efectividad
de los procedimientos de control.
El nivel de seguridad es menor que el que proporciona una
auditoría debido a que el alcance del trabajo es de menor amplitud
que en la auditoría y que la naturaleza.
El momento y la extensión de los procedimientos que se realizan
no proporcionan evidencia de auditoría suficiente y apropiada para
permitirle al auditor expresar una opinión positiva.

6 Prof. Jorge Carreño Escobedo 20/11/2014


La Auditoría y la Revisión Limitada
Ambas tienen que:
1. Planificar el encargo.
2. Evaluar la efectividad del diseño de los procedimientos de
control.
3. Realizar pruebas sobre la efectividad operativa de los
procedimientos de control (la naturaleza, momento y extensión
de las pruebas variará entre una auditoría y una revisión
limitada).

7 Prof. Jorge Carreño Escobedo 20/11/2014


La Auditoría y la Revisión Limitada
4. Formarse una opinión e informar sobre el diseño y la
efectividad operativa de los procedimientos de control
basándose en los criterios identificados:

a. La conclusión de una auditoría se expresa con una opinión positiva y


proporciona un nivel alto de seguridad.

b. La conclusión de una revisión limitada se expresa con una declaración


de seguridad negativa y sólo proporciona un nivel moderado de
seguridad.

8 Prof. Jorge Carreño Escobedo 20/11/2014


Hechos Concretos o Procedimientos
Acordados
1. El auditor no concluye con ninguna expresión de seguridad.
2. Al auditor se le encarga que realice unos procedimientos
específicos para cubrir las necesidades de información de
aquellas partes que han acordado los procedimientos que hay
que realizar.
3. El auditor emite un informe de esos hechos concretos.
4. Los receptores del informe extraen sus propias conclusiones ya
que el auditor no ha decidido ni la naturaleza, ni el momento,
ni la extensión de los procedimientos.
5. El uso del informe queda restringido a las partes que acordaron
los procedimientos debido a que otras personas no conocerán
las razones de los procedimientos realizados, pudiéndose
malinterpretar los resultados.

9 Prof. Jorge Carreño Escobedo 20/11/2014


Normas Técnicas de Auditoría de
Sistemas de Información

Constituyen los requisitos que el auditor debe cumplir en el


ejercicio de sus funciones para expresar su opinión técnica y
responsable.

10 Prof. Jorge Carreño Escobedo 20/11/2014


Clasificación de la Normas:

Se clasifican según el grado de obligación que el


auditor tenga que cumplirlas, en tres categorías:

 Principios
 Directivas
 Procedimientos

11 Prof. Jorge Carreño Escobedo 20/11/2014


Clasificación de la Normas:
Principios:
Los principios de auditoría están constituidos por aquellos
requisitos de obligado cumplimiento que el auditor de sistemas de
información ha de seguir para hacer las auditorías.

Directivas:
• Son la guía para aplicar los principios de auditoría.
• El auditor debe tener las directivas en cuenta para determinar
cómo implantar los principios antes mencionados.
• Para aplicarlas el auditor debe basarse en su juicio profesional.
• De no seguir las directivas, el auditor deberá justificarlo.

12 Prof. Jorge Carreño Escobedo 20/11/2014


Clasificación de la Normas:
Procedimientos:

• Son ejemplos sobre cómo el auditor puede realizar su trabajo.


• Los documentos de los procedimientos proporcionan
información de cómo cumplir los principios y las directivas a la
hora de realizar el trabajo de auditoría de sistemas de
información.
• No son obligatorio el cumplimiento.

13 Prof. Jorge Carreño Escobedo 20/11/2014


2. Directrices y mejores prácticas para
ayudar a la organización

14 Prof. Jorge Carreño Escobedo 20/11/2014


Para un Sistema de Información
La auditoría de TI es:

- Un proceso de recoger, agrupar y evaluar evidencias para


determinar si un sistema informatizado salvaguarda los activos,
mantiene la integridad de los datos, lleva a cabo los fines de la
organización y utiliza eficientemente los recursos.

- Es el mecanismo/proceso metodológico para valorar y evaluar la


confianza que se puede depositar en TI.

15 Prof. Jorge Carreño Escobedo 20/11/2014


La Auditoría de SI
Distingue de dos grandes controles en un entorno de TI:

• Los controles sobre las infraestructuras de tecnologías.

• Los controles imbuidos en las propias aplicaciones o software


para la gestión de la actividad del negocio.

16 Prof. Jorge Carreño Escobedo 20/11/2014


COBIT 5
• Incluye directivas de administración de la seguridad en TI

• Administración de Seguridad.

• Administración de Servicios de Seguridad.

• Evaluar y evaluar el desempeño y Conformidad.

• Evaluar y valorar el sistema de control interno.

• Evaluar y evaluar el cumplimiento de Requisitos Externa.

17 Prof. Jorge Carreño Escobedo 20/11/2014


3. Asegurar que la tecnología de la información y
los sistemas de negocios estén protegidos y
controlados

18 Prof. Jorge Carreño Escobedo 20/11/2014


COBIT 5 for (Information) Security:

la novedad …

19 Prof. Jorge Carreño Escobedo 20/11/2014


Familia de Productos COBIT 5 – un
nuevo miembro

20 Prof. Jorge Carreño


© 2012 ISACA.Escobedo
All rights reserved. 20/11/2014
COBIT 5 – Integra los componentes
del BMIS
COBIT 5 toma como base el modelo relacional que utiliza
BMIS (Business Model for Information Security),
incorporando su visión integral y sus componentes a la
nueva versión

21 Prof. Jorge Carreño


© 2012 ISACA.Escobedo
All rights reserved. 20/11/2014
Introducción al BMIS

Modelo de negocios para la Seguridad de la Información

⁻ Presenta un enfoque integral y orientado al negocio para la


gestión de la seguridad de la información
⁻ Establece un lenguaje común para referirse a la protección de la
información
⁻ Desafía la visión convencional de la inversión en seguridad de la
información
⁻ Explica en forma detallada el modelo de negocio para gestionar
la seguridad de la información, invitando a utilizar una
perspectiva sistémica
⁻ Información (en inglés) disponible en: www.isaca.org/bmis

22 Prof. Jorge Carreño


© 2012 ISACA.Escobedo
All rights reserved. 20/11/2014
COBIT 5 – Integra los componentes
del BMIS
Varios de los componentes del BMIS han sido integrados al COBIT
5, como habilitadores que interactúan y respaldan la gestión en la
organización para alcanzar sus objetivos de negocio y crear valor.

⁻ Estos componentes son:


• Organización
• Procesos • Gobierno
• Personas
• Factores Humanos • Arquitectura
• Tecnología
• Cultura • “Emergence”
• Habilitación y soporte
23 Prof. Jorge Carreño
© 2012 ISACA.Escobedo
All rights reserved. 20/11/2014
COBIT 5 y la Seguridad de la Información

24 Prof. Jorge Carreño


© 2012 Escobedo
ISACA. All rights reserved. 20/11/2014
COBIT 5 for (Information) Security …

1. Se proyecta como una guía específica para los profesionales de la


Seguridad de la Información y otros interesados

2. Se construye sobre el marco del COBIT 5, un enfoque robusto para


el gobierno y la gestión de la seguridad de la información, sobre la
base de los procesos de negocios de la organización

3. Presentará una visión extendida del COBIT 5 , que explica cada uno
de sus componentes desde la perspectiva de la seguridad

25 Prof. Jorge Carreño Escobedo 20/11/2014


COBIT 5 for (Information) Security

4. Creará valor para todos los interesados a través de


explicaciones, actividades, procesos y recomendaciones

5. Propondrá una visión del gobierno y la gestión de la seguridad


de la información mediante una guía detallada para
establecerla, implementarla y mantenerla, como parte de las
políticas, procesos y estructuras de la organización.

26 Prof. Jorge Carreño Escobedo 20/11/2014


COBIT 5 for (Information) Security

Principales contenidos:
1. Directrices sobre los principales drivers y beneficios de la
seguridad de la información para la organización
2. Aplicación de los principios de COBIT 5 por parte de los
profesionales de la seguridad de la información
3. Mecanismos e instrumentos para respaldar el gobierno y la
gestión de la seguridad de la información en la organización
4. Alineamiento con otros estándares de seguridad de la
información.

27 Prof. Jorge Carreño Escobedo 20/11/2014

También podría gustarte