Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas de Información
Objetivos
Comprender la función de auditoría y su planificación.
Determinar la importancia del análisis de riesgos y los
controles internos.
Conocer la metodología de auditoría y sus fases típicas
con un enfoque basado en riesgos
Diferenciar entre pruebas de cumplimiento y pruebas
sustantivas.
Definición de Auditoría
Técnica moderna de control Proceso de revisión de un
que comprende un examen algo, efectuado por un
o revisión de carácter auditor, con el objeto de
crítico, sistemático, emitir una opinión de la
selectivo de funciones, razonabilidad de ese algo.
operaciones e informes con Proceso: inicio – ejecución –
la finalidad de emitir una finalización
opinión profesional, Algo: objeto de estudios
objetiva, fundamentada e
imparcial del objeto de Auditor: sujeto
estudio. Objeto: Objetivo – opinión
Razonabilidad: real /
estándar
Definición de Auditoria según Isaca
Es un proceso de valuación independiente y objetiva que
asegura que la información ha sido procesada en una
manera segura e íntegra, que las operaciones son
eficientes, efectivas y adecuadas; y si se salvaguarda la
información.
Agenda
Introducción
Estándares y directrices de ISACA
Análisis de riesgos
Ejecución de una auditoria de SI
Autoevaluación del Control (Control Selft Assesment)
Cambios emergentes en el proceso de auditoria de SI
Introducción
Introducción
Organización de la función de auditoria
Administración de los recursos de auditoria de SI
Planeación de la auditoria
Efecto de las leyes y regulaciones sobre la planificación de
auditoria de SI
Organización de la función de auditoria
La función debe establecerse en un estatuto de auditoria.
La auditoria de SI puede ser parte de la auditoria interna.
Los estándares de auditoria de ISACA requieren que la
responsabilidad, autoridad y obligación de rendir cuentas
de la función de auditoria de SI estén debidamente
documentados en un estatuto de auditoria o contrato de
trabajo.
Administración de los recursos de auditoria
de SI
Los auditores deben mantener su competencia por medio
de actualizaciones de sus habilidades actuales y que
obtengan capacitación para realizar el trabajo de auditor.
Los estándares de ISACA requieren que el auditor sea
técnicamente competente, teniendo las habilidades y
conocimientos necesarios para realizar el trabajo del
auditor.
Planeación de la auditoria
Constituida por la planeación a corto y largo plazo.
Corto plazo: espetos relevantes cubiertos durante un
año.
Largo plazo: aspectos relacionados con riesgos debido a
los cambios en la dirección estratégica de TI que
afectarán el ambiente de TI de la organización.
Planeación de la auditoria
Los pasos que un auditor de SI podría tomar para lograr
una comprensión del negocio incluyen:
Recorrer las instalaciones clave de la organización
Leer material de antecedentes incluyendo publicaciones de la
industria, informes anuales e informes de análisis financieros
independientes.
Revisión de los planes estratégicos a largo plazo
Entrevistar a los gerentes claves para entender los problemas
del negocio.
Revisar los informes anteriores.
Planeación de la auditoria
Pasos para la planeación de auditoria:
Lograr un entendimiento de la misión, objetivos, propósito y
procesos el negocio.
Identificar políticas, estándares y directrices, procedimientos y
estructura de la organización.
Realizar un análisis de riesgo
Llevar a cabo una revisión del control interno
Establecer el alcance y los objetivos de la auditoria.
Desarrollar el enfoque o estrategia de auditoria
Asignar recursos humanos y dirigir la logística.
Efecto de las leyes y regulaciones en la
planificación
Toda organización cumple con requerimientos
gubernamentales y externos relacionados con:
Prácticas y controles de sistemas
Manera como se almacenan y usan las Computadoras,
programas y datos.
Ej. La comisión de títulos valores y de bolsa de EEUU ha
ordenado el uso de una estructura de control interno
conocida como sarbanes-Oxley.
Ej. El impacto de la SBS como organismo regulador en las
entidades financieras
ESTANDARES Y DIRECTRICES
ISACA
ESTANDARES Y DIRECTRICES ISACA
Código de ética profesional de ISACA
Estándares de ISACA para la auditoria de SI.
Directrices de ISACA para auditoria de SI
Procedimientos de ISACA para auditoria de SI.
Relación entre estándares, directrices y procedimientos
Código de Ética profesional de ISACA
Los miembros y profesionales certificados de ISACA
deberán:
Implementar y fomentar normas, procedimientos y controles
apropiados a los SI.
Ejecutar sus labores con objetividad, diligencia y cuidado
profesional de acuerdo a normas y mejores prácticas.
Servir al interés de los stakeholders en forma legal y honesta.
Mantener la privacidad y confidencialidad de la información (no
usarla para beneficio personal o de terceros)
Mantener competencia
Revelar los hechos significativos a través de informes.
Apoyar la educación profesional de los accionistas para
mejorar la comprensión sobre la seguridad y control de SI.
Estándares de ISACA para auditoria de SI
Los estándares definen los requerimientos obligatorios
para la auditoria y para los informes de auditoria de SI.
Las directrices brindan una guía para aplicar los
estándares de auditoria de SI, permiten determinar como
implementar los estándares.
Los procedimientos, que brindan información sobre como
se debe cumplir los estándares cuando se realiza un
trabajo de auditoria de SI.
Estándares de ISACA para auditoria de SI
Los estándares de auditoria de SI son:
S1. Estatuto de auditoria
El propósito, responsabilidad, autoridad y obligación de rendir cuentas
deben estar debidamente documentados.
S2. Independencia
Profesional: Independencia del auditado, tanto en actitud como en
apariencia.
Organizacional: Independencia del área o actividad que se realiza.
Estándares de ISACA para auditoria de SI
S3. Ética y estándares profesionales
Acatar un código de ética profesional
Ejercer cuidado profesional usando estándares.
S4. Competencia profesional
Profesional competente, con conocimientos y habilidades para
realizar un trabajo.
Educación y capacitación profesional continua.
S5. Planeación
Planear el alcance de auditoria
Desarrollar y documentar el enfoque de auditoria basada en riesgos.
Desarrollar y documentar el plan de auditoria, detallando la
naturaleza, objetivos, tiempo, alcance y recursos requeridos.
Desarrollar el programa y los procedimientos de auditoria
Estándares de ISACA para auditoria de SI
S6. Ejecución del trabajo de auditoria
Supervisión, para proveer certeza razonable que los objetivos serán
alcanzados
Evidencia, obtener evidencia suficiente, confiable y relevante. Los
hallazgos y conclusiones se respaldan en el análisis e interpretación de
las evidencias.
Documentación, del proceso de auditoria, describiendo el trabajo y
evidencia de auditoria que respalde los hallazgos y conclusiones.
S7. Informe
Proveer un informe en un formato apropiado. Debería identificar la
organización, los destinatarios y restricciones sobre su publicación.
Debe establecer el alcance, objetivos, periodo cubierto y naturaleza,
tiempo y extensión del trabajo de auditoria.
Debe establecer hallazgos, conclusiones y recomendaciones; y cualquier
reserva, restricción o limitación en el alcance.
Tener evidencia suficiente y apropiada para respaldar los resultados.
Debe estar firmado, fechado y distribuido
Estándares de ISACA para auditoria de SI
S8. Actividades de seguimiento
Luego de informar, solicitar y evaluar la información relevante para
determinar si la dirección se ha tomado acciones apropiadas de manera
oportuna.
S9. Irregularidades y actos ilícitos
Mantener una actitud de escepticismo profesional durante la auditoria.
El auditor debe tener un conocimiento claro de la organización,
ambiente y controles internos.
Obtener evidencia suficiente y relevante para determinar si la dirección
o alguien mas en la organización tiene conocimiento de alguna
irregularidad o acto ilícito real, sospechoso o presunto.
Comunicar oportunamente de detectarse irregularidades o actos ilícitos
Tomar conocimiento de cualquier presunción o sospecha informados
por empleados, ex-empleados, reguladores u otros.
Documentar comunicaciones, planeación, resultados, evaluaciones y
conclusiones relacionadas con irregularidades materiales y actos ilícitos
reportados.
Estándares de ISACA para auditoria de SI
S10. Gobierno de TI
Evaluar si la función de SI esta alineada a la visión, misión, valores,
objetivos y estrategias de la organización.
Revisar y evaluar la efectividad en los procesos de administración de
recursos de SI y de desempeño.
Revisar y evaluar el cumplimiento de requerimientos legales, ambientales,
de calidad de información, fiduciarios y de seguridad.
Usar un enfoque basado en riesgos.
Revisar y evaluar el ambiente de control de la organización.
Revisar y evaluar los riesgos que puedan impactar negativamente en el
ambiente de SI.
S11. Uso de la evaluación de riesgos en la planeación de auditoria
Usar una técnica o enfoque apropiado de evaluación de riesgos al
desarrollar el plan de auditoria y determinar las prioridades para la
asignación efectiva de recursos de auditoria.
Identificar y evaluar los riesgos relevantes para el área bajo revisión.
Directrices de ISACA para auditoria de SI
El objetivo de las directrices es proveer información
adicional sobre como cumplir con los estándares para la
auditoria de SI.
El auditor:
Debe considerarlos para determinar como implementar los
estándares citados.
Usar el juicio profesional para aplicarlos y
Poder justificar cualquier desviación o diferencia.
Ver índice de directrices.
Directrices de ISACA para auditoria de SI
Índice de directrices
G1. Uso del trabajo de otros auditores.
G2. Requisito de evidencia de auditoria
G3. Uso de CAATs
G4. Servicio externo de actividades de SI para otras organizaciones
G5. Estatuto de auditoria
G6 Conceptos de materialidad para la auditoria de SI
G7. Debido cuidado profesional
G8. Documentación de la auditoria
G9. Consideraciones de auditoria en casos de irregularidades
G10. Muestreo de auditoria
G11. Efecto de los controles generales de SI
G12. Relación e independencia organizacional
G13. Uso de la evaluación de riesgos en la planeación de la auditoria.
G14 Revisión de sistemas de aplicación
G15. Planeación revisada
Directrices de ISACA para auditoria de SI
G16. Efecto de terceros en los controles de TI.
G17. Efecto de funciones ajenas a la auditoria sobre la independencia del auditor
G18. Gobierno de TI
G19. Irregularidades y actos ilegales
G20. Informes
G21. Revisión de sistemas de planeación de recursos empresariales
G22. Revisión del comercio electrónico
G23. Revisión del ciclo de vida de desarrollo de sistemas.
G24. Banca por internet
G25. Revisión de VPNs
G26. Revisión de proyectos de Reingeniería de procesos de negocio
G27 Computación móvil
G28. Análisis forense computacional
G29. Revisión post- implementación
G30 Competencia
G31 Privacidad
G32. Revisión del Plan de continuidad de negocio
Procedimientos de ISACA para auditoria de
SI
Los procedimientos proveen ejemplos de procesos que
un auditor puede seguir en su trabajo.
Los documentos de procedimientos proveen información
sobre como satisfacer los estándares al realizar un trabajo
de auditoria. No establecen requerimientos.
No es obligatorio seguir estos procedimientos, pero al
seguirlos se tiene la certeza de seguir estándares
Procedimientos de ISACA para auditoria de
SI
Índice de procedimientos
P1. Evaluación de riesgos de SI
P2. Firmas digitales
P3. Detección de intrusos
P4.Virus y otros códigos maliciosos
P5. Autoevaluación de control de riesgos
P6. Firewalls
P7. Irregularidades y actos ilegales
P8. Evaluación de la seguridad
P9. Evaluación de los controles de la dirección sobre las
metodologías de encripción
Relación entre estándares, directrices y
procedimientos
Los estándares deben ser cumplidos por el auditor de SI.
Las directrices proveen una guía sobre como implementar
los estándares.
Los procedimientos proveen ejemplos de pasos que
puede realizar el auditor para implementar los
estándares.
El auditor debe usar su juicio profesional cuando use las
directrices y procedimientos.
ANALISIS DE RIESGOS
ANALISIS DE RIESGOS
El análisis del riesgo es parte de la planificación de auditoria y
ayuda a identificar los riesgos y vulnerabilidades para que el
auditor pueda determinar los controles que se necesitan para
mitigar esos riesgos.
DEFINICION: Un riesgo es cualquier evento que
afecte de manera negativa el logro de los objetivos del
negocio.
Según las directrices para la Administración de la Seguridad de
TI publicados por la ISO, la definición de análisis de riesgo es:
“El potencial de que una amenaza determinada explote
las vulnerabilidades de un activo o grupo de activos y
ocasione pérdida o daño a los activos. El impacto o
severidad relativos del riesgo es proporcional al valor de
la perdida/daño y la frecuencia estimada de la amenaza
para el negocio”
ELEMENTOS DEL RIESGO
0. Identificar proceso y
objetivos
1. Identificar y evaluar
riesgos
6. Acción e informe
5. concientización
2. Identificar y evaluar
controles
3. Desarrollar
questionario
4. Recolectar y analizar
cuestionario
LECCION: AUTOEVALUACION DEL CONTROL
(Control Self Assessment)
Desventajas
Confusión con la función de auditoria.
Es una carga de trabajo adicional
No implementar las mejoras sugeridas puede dañar la moral
del empleado.
La falta de motivación puede limitar la efectividad en la
dirección de controles débiles.
LECCION: CAMBIOS EMERGENTES EN EL
PROCESO DE AUDITORIA DE SI
El proceso de auditoria debe cambiar constantemente para
mantenerse al paso de las innovaciones en la tecnología.
Papeles de trabajo automatizados: Los equipos de auditoria
están creando sus papeles de trabajo (análisis de riesgos,
programas de auditoria, resultados, evidencia de pruebas,
conclusiones, informes entre otros) en formato automatizado,
usando SW especializado.
Auditoria Integrada: El enfoque integrado se concentra en el
riesgo. Exige un enfoque sobre el riesgo del negocio y una
motivación por lograr soluciones creativas de control.
Auditoria continua: Implica evaluación constante, a través del
uso de procedimientos automatizados de auditoria.