PROCESO DE AUDITORÍA DE SISTEMAS DE

INFORMACIÓN

INTEGRANTES:
● Apaza Bolivar Miguel Angel
● Huaylla Diaz Rosmery Lilian
● Mamani Solorzano Efrain Alex
● Quilla Gutierrez Estefani
 PLANIFICACIÓN
La auditoría se lleva a cabo por diversas razones, entre ellas garantizar operaciones efectivas, ver el cumplimiento
de diversas normativas, confirmar que el negocio funcione bien y ver si esta preparado para afrontar diversos
desafíos. La auditoría de SI es el examen formal y/o prueba de los SI para determinar si:

1. Los SI cumplen con las leyes, regulaciones, contratos y/o directrices de la industria.
2. Los SI y los procesos relacionados cumplen con los criterios de gobernanza y relacionados.
3. Los datos y la información de SI tiene niveles adecuados de confidencialidad, integridad y disponibilidad.
4. Las operaciones de SI se están logrando de manera eficiente y se está cumpliendo los objetivos de eficacia.
 PLANIFICACIÓN
El proceso de auditoría típico consta de tres fases principales.

1. Planificación
2. Trabajo de campo / Documentación
3. Informes / Seguimiento
 La credibilidad de cualquier actividad
de auditoría de SI está determinada
Estándares de en gran medida por su adherencia a
las normas aceptadas. los elementos
auditoría , fundamentales de la auditoría de SI se
definen y proporcionan dentro de
normas y directrices de
directrices y aseguramiento y auditoría de SI de
ISACA.
códigos de ética
AUDITOR DE SISTEMAS DE INFORMACIÓN
 ISACA ESTÁNDARES DE AUDITORÍA
Y GARANTIA
Define los requisitos obligatorios para la auditoría de SI, así como reporta e informa a una
variedad de audiencias de información crítica, como lo siguiente:
➢ Para los auditores de SI, el nivel mínimo de desempeño aceptable requerido para
cumplir responsabilidades profesionales establecidas en el Código de Ética
Profesional de ISACA
➢ Para la dirección y otras partes interesadas, las expectativas de la profesión con
respecto al trabajo de los practicantes.
➢ Para los titulares de la designación CISA, sus requisitos de desempeño
profesional.
 ISACA ESTÁNDARES DE AUDITORÍA
Y GARANTIA
El marco para los Estándares de aseguramiento y auditoría de SI de ISACA
proporciona múltiples niveles de documentos:
➢ Los estándares definen los requisitos obligatorios para la auditoría y aseguramiento y
presentación de informes de SI.
➢ Las pautas brindan orientación en la aplicación de los estándares de aseguramiento
y auditoría de SI. El auditor de SI debe considerarlos al determinar cómo lograr la
implementación de lo anterior, utilice el juicio profesional en su aplicación y esté
preparado para justificar cualquier desviación de los estándares.
➢ Las herramientas y técnicas proporcionan ejemplos de procesos que un auditor de SI
podría seguir en una auditoría.
 ISACA ESTÁNDARES DE AUDITORÍA
Y GARANTIA
Los Estándares de aseguramiento y auditoría de SI de ISACA se dividen e 3
categorias:
➢ General: proporcione los principios rectores bajo los cuales opera la profesión de
aseguramiento de SI. Se aplican a la realización de todas las asignaciones y se ocupan
de la ética de un auditor de SI, independencia, objetividad y el debido cuidado, así
como conocimientos, competencia y habilidad.
➢ Desempeño: se ocupa de la realización de la tarea, como la planificación y la supervisión,
alcance, riesgo e importancia relativa, movilización de recursos, supervisión y
asignación evidencia de gestión, auditoría y aseguramiento, y el ejercicio del juicio
profesional y el debido cuidado.
➢ Informes: aborda los tipos de informes, los medios de comunicación y la información
comunicada.
ISACA Directrices de Auditoria y Garantia
Las directrices de aseguramiento y auditoría de SI de ISACA brinda
orientación e información adicional sobre cómo cumplir con los Estándares de
Aseguramiento y Auditoría de SI de ISACA.

Un Auditor de SI debería hacer el seguimiento:

➢ Para determinar cómo implementar los Estándares de aseguramiento y

auditoría de ISACA.
➢ Utilice su juicio profesional para aplicarlos a auditorías específicas.
➢ Poder justificar cualquier desviación de los Estándares de
aseguramiento y auditoría de ISACA.
CODIGO DE ETICA PROFESIONAL DE ISACA
El Codigo de Etica Profesional de ISACA guía la conducta profesional y personal
de ISACA miembros y titulares de certificaciones. Por lo tanto los
miembros de ISACA y los titulares de certificaciones deberán:
1. Apoyar la implementación y fomentar el cumplimiento de los
estándares y procedimientos para la gobernanza y la gestión eficaces
de la información empresarial sistemas y tecnología, incluida la
auditoría, el control, la seguridad y la gestión de riesgos.
2. Desempeñar sus funciones con objetividad, debida diligencia y cuidado
profesional, de acuerdo con con estándares profesionales.
3. Servir en interés de las partes interesadas de manera legal,
manteniendo altos estándares de conducta y carácter, y no
desacreditar su profesión ni a la Asociación.
CODIGO DE ETICA PROFESIONAL DE ISACA
4. Mantener la privacidad y confidencialidad de la información obtenida en el curso
de su actividades a menos que la divulgación sea requerida por la autoridad legal.
Dicha información no se utilizado para beneficio personal o entregado a partes
inapropiadas.
5. Mantener la competencia en sus respectivos campos y aceptar realizar solo esas
actividades pueden esperar razonablemente completar con las habilidades,
conocimientos y competencia.
6. Informar a las partes apropiadas de los resultados del trabajo realizado, incluida
la divulgación de todos hechos significativos que conozcan que, si no se revelan,
pueden distorsionar la información resultados.
7. Apoyar la educación profesional de las partes interesadas para mejorar su
comprensión de la gobernanza y gestión de la tecnología y los sistemas de
información empresarial, incluyendo auditoría, control, seguridad y gestión de
riesgos.
 ITAF es un modelo de referencia integral y de
establecimiento de buenas prácticas que hace lo
siguiente:
➢ Establece estándares que abordan las funciones y
responsabilidades del auditor de SI; conocimiento y
ITAF habilidades; y requisitos de diligencia, conducta y
presentación de informes
➢ Define términos y conceptos específicos para la
garantía de SI.
➢ Proporciona orientación, herramientas y técnicas
sobre la planificación, el diseño, la realización y la
presentación de informes, de las asignaciones de
aseguramiento y auditoría de SI.
 Función de auditoría interna de SI
Carta de auditoría

Gestión de la función de auditoría de

SI

Gestión de recursos de auditoría de SI

Planificación de auditorías

Efecto de las leyes y regulaciones en la

Procesos planificación de la auditoría de SI

Empresariales Controles y aplicaciones de procesos

de negocio
 FUNCIÓN DE AUDITORÍA INTERNA
El papel de la función de auditoría interna de SI debe establecerse
mediante un estatuto de auditoría aprobada por el Consejo de
Administración y el Comité de Auditoría. Debe estar indicado en la
carta de auditoría (de manera clara).

CARTA DE AUDITORIA
La carta debe establecer claramente la
responsabilidad y los objetivos de la
gerencia y la delegación de autoridad a
la función de auditoría de SI. El más alto
nivel de gestión y el comité de auditoría
deberá aprobar la carta. Una vez
establecida, esta carta solo debe de
cambiarse si el cambio puede estar y está
completamente justificado.
 Gestión de la Función de Auditoría de SI
La función de auditoría de SI debe ser administrada y dirigida de una
manera que asegure que las diversas tareas realizado y logrado por el
equipo de auditoría cumplirá los objetivos de la función de auditoría,
mientras preservar la independencia y la competencia de la auditoría.
Además, la gestión de la función de auditoría de SI debe garantizar
contribuciones de valor agregado a la alta dirección en la gestión
eficiente de TI y consecución de objetivos empresariales.

Los auditores de SI deben mantener su

competencia a través de actualizaciones de
habilidades existentes y obtener
capacitación dirigida hacia una nueva
auditoría técnica y áreas tecnológicas.
 Planificación de Auditorías
La planificación de la auditoría se lleva a cabo al comienzo del
proceso de auditoría para establecer la auditoría general,
estrategia y detallar los procedimientos específicos que se llevarán a
cabo para implementar la estrategia y completar la auditoría.
➢ Planificación a corto plazo considera cuestiones de auditoría que
se cubrirán durante el año.
➢ Planificación a largo plazo se relaciona para auditar planes que
considerarán cuestiones relacionadas con el riesgo con respecto
a los cambios en la TI de la organización dirección estratégica que
afectará el entorno de TI de la organización.
El análisis de los problemas a corto y largo plazo debe realizarse al menos
una vez al año.
 Planificación de Auditorías
Todos los procesos relevantes que representan el plano del negocio de la empresa deben
ser incluido en el universo de auditoría.
Los factores de riesgo son aquellos factores que influyen en la frecuencia y / o impacto
empresarial de los escenarios de riesgo.
Evaluación del riesgo factores deben basarse en criterios objetivos, aunque la subjetividad no
puede ser completamente evitado.
Por ejemplo, con respecto al factor de reputación, los criterios (basados en qué insumos puede solicitarse
a la empresa) puede clasificarse como:
➢ Alto: un problema de proceso puede resultar en daño a la reputación de la organización que tarda
más de seis meses en recuperarse.
➢ Medio: un problema de proceso puede dañar la reputación de la organización que tardará menos de
seis meses pero más de tres en recuperarse.
➢ Bajo: un problema de proceso puede resultar en daño a la reputación de la organización que tarda
menos de tres meses en recuperarse.
El aspecto subjetivo de los criterios se puede encontrar en la determinación de los propietarios del
proceso empresarial de el marco de tiempo, ya sea más de seis meses o menos de tres meses
 Pasos Planificación de Auditorías
➢ Obtener una comprensión de la misión, los objetivos, el propósito y los procesos de la
organización que incluyen información y requisitos de procesamiento tales como
disponibilidad, integridad, seguridad, tecnología empresarial y confidencialidad de la
información.
➢ Obtener una comprensión de la estructura de gobierno de la organización y las prácticas
relacionadas con los objetivos de la auditoría.
➢ Comprender los cambios en el entorno empresarial del auditado.
➢ Revise los documentos de trabajo anteriores.
➢ Identificar contenidos declarados tales como políticas, estándares y pautas, procedimientos y
estructura de organización.
➢ Realizar un análisis de riesgos para ayudar a diseñar el plan de auditoría.
➢ Establecer el alcance de la auditoría y los objetivos de la auditoría.
➢ Desarrollar el enfoque de auditoría o la estrategia de auditoría.
➢ Asignar recursos de personal a la auditoría.
➢ Abordar la logística del compromiso.
EFECTOS DE LAS LEYES Y REGLAMENTOS
Cada organización, independientemente de su tamaño o de la industria en la que
opera, deberá cumplir con una serie de requisitos gubernamentales y externos
relacionados con las prácticas de SI y controles y la manera en que se utilizan,
almacenan y protegen los datos. El contenido de estas regulaciones legales se
refieren a:
➢ Establecimiento de requisitos regulatorios
➢ Responsabilidades asignadas a las entidades correspondientes
➢ Funciones de auditoría financiera, operativa y de SI
Conlleva a la preocupacion de dos areas:
➢ Requisitos legales (es decir, leyes, acuerdos regulatorios y contractuales) impuestos a
la auditoría o Auditoría de SI
➢ Requisitos legales impuestos al auditado y sus sistemas, gestión de datos, informes,
etc.
 EFECTOS DE LAS LEYES Y REGLAMENTOS
Un auditor de SI debería realizar los siguientes pasos para determinar el nivel de
cumplimiento de requisitos externos:
➢ Identificar los requisitos gubernamentales u otros requisitos externos relevantes
relacionados con:
- Datos electrónicos, datos personales, derechos de autor, comercio electrónico,
firmas electrónicas, etc.
- Prácticas y controles del sistema de información
- La forma en que se almacenan las computadoras, los programas y los datos
- La organización o las actividades de los servicios de tecnología de la
información
- Auditorías de IS
• Documentar las leyes y regulaciones aplicables.
• Evaluar si la dirección de la organización y la función de TI han considerado
EFECTOS DE LAS LEYES Y REGLAMENTOS
➢ Documentar las leyes y regulaciones aplicables.
➢ Evaluar si la dirección de la organización y la función de TI han considerado los
requisitos externos relevantes en la elaboración de planes y en el establecimiento
de políticas, estándares y procedimientos, así como funciones de aplicaciones
comerciales.
➢ Revisar los documentos internos del departamento / función / actividad de TI que
abordan el cumplimiento de las leyes aplicable a la industria.
➢ Determinar el cumplimiento de los procedimientos establecidos que abordan estos
requisitos.
➢ Determinar si existen procedimientos para asegurar contratos o acuerdos con
externos.

Numerosas funciones financieras y
operativas están informatizadas con el fin
de mejorar
eficiencia y aumento de la fiabilidad de la
información. Estas aplicaciones van desde
tradicional (incluido el libro mayor, cuentas
por pagar y nómina) a específico de la
industria (como préstamos bancarios,
compensación comercial y planificación
de necesidades de material).
APLICACIONES Y
CONTROLES DE PROCESOS
COMERCIALES
La garantía del control de procesos de negocio implica
evaluar controles a nivel de proceso y actividad. Estos
controles pueden ser una combinación de gestión,
controles programados y manuales.
Dada su singularidad características, los sistemas de
aplicación computarizados añaden complejidad a los
esfuerzos de auditoría. Las características pueden
incluir pistas de auditoría limitadas, actualización
instantánea e información.
 COMERCIO El comercio electrónico es la compra y
venta de productos en línea. Normalmente,
ELECTRONICO un comprador compra bienes y servicios de
un sitio web y proporciona detalles de
entrega y pago, incluidas transferencias o
ordenes de pago. El sitio web puede
recopilar detalles sobre los clientes y
ofrecer otros elementos que pueden ser de
interés. El término e-business incluye la
compra y venta en línea, así como el apoyo
o relaciones entre empresas.
 TIPOS DE COMERCIO ELECTRÓNICO
➢ Business-to-business (B-to-B): negocios realizados entre organizaciones
➢ Business-to-consumer (B-to-C): negocio realizado entre una organización y su clientes
➢ Consumidor a consumidor (C-to-C): negocios realizados entre clientes, principalmente
utilizando una plataforma de terceros
➢ Consumidor a empresa (C-to-B): empresa realizada entre un consumidor y un negocio.
Esto es cuando los consumidores venden sus productos o servicios a una empresa.
➢ Empresa a gobierno (B-to-G): empresa realizada entre una organización y un
administración pública (por ejemplo, organizaciones gubernamentales) donde el
gobierno organización promueve la conciencia y el crecimiento del comercio
electrónico. Además de público adquisiciones, las administraciones también pueden
ofrecer la opción de intercambio electrónico para tales transacciones como
declaraciones de IVA y pago de impuestos corporativos.
➢ Consumer-to-Government (C-to-G): negocio realizado entre un consumidor y un
administración pública o gobierno. Un ejemplo es la declaración de impuestos
electrónica.
 LAS ARQUITECTURAS DE COMERCIO
ELECTRÓNICO
➢ La arquitectura de un solo nivel es una aplicación basada en el cliente que se ejecuta
en una sola computadora.
➢ La arquitectura de dos niveles está compuesta por el cliente y el servidor.
➢ La arquitectura de tres niveles se compone de lo siguiente:
–El nivel de presentación muestra información a la que los usuarios pueden acceder
directamente, como un sitio web. página o la interfaz gráfica de usuario de un sistema
operativo (SO).
–El nivel de aplicación (aplicaciones / lógica empresarial) controla la funcionalidad de una
aplicación realizando un procesamiento detallado.
–El nivel de datos generalmente está compuesto por servidores de bases de datos,
recursos compartidos de archivos, etc. y los datos capa de acceso que encapsula los
mecanismos de persistencia y expone los datos.
 TECNOLOGÍAS DENTRO Y FUERA DEL NEGOCIO
Construir sistemas a partir de componentes de calidad y catalogados, al igual que
se construye el hardware.
➢ Microsoft Component Object Model (COM) y Oracle Enterprise JavaBeans: se utilizan ampliamente y caen
bajo la agrupación de "código móvil".
El código móvil es software transferido entre sistemas (es decir, transferido a través de una red) y ejecutado
en un sistema local utilizando código multiplataforma sin instalación explícita por parte de la
computadora receptora (por ejemplo, Adobe® Flash®, Shockwave®, Subprogramas Java, VBScripts,
ActiveX).
Los componentes electrónicos que se ven a menudo en un sistema B-to-C incluyen marketing, ventas y servicio al
cliente, componentes (por ejemplo, personalización, membresía, catálogo de productos, pedidos de clientes,
facturación, envío, reemplazo de inventario, capacitación en línea y notificación de problemas).
Los servidores de aplicaciones junto con otros productos de middleware proporcionan sistemas (una
transacción comercial puede abarcar múltiples plataformas y capas de software).
El servidor web se utilizará para gestionar el contenido y las conexiones web, la lógica empresarial y otros.
 TECNOLOGÍAS DENTRO Y FUERA DEL NEGOCIO
Los servicios serán proporcionados por el servidor de aplicaciones y se utilizarán una o más bases de datos, para
el almacenamiento de datos.
Por razones de seguridad, los datos persistentes del cliente no deben almacenarse en servidores web que estén
expuestos directamente a Internet.
También es probable que el lenguaje de marcado extensible (XML) forme un parte importante de la
arquitectura general de comercio electrónico de una organización.

XML se utilizó rápidamente como un medio que podría almacenar y encerrar cualquier tipo de información estructurada,
por lo que podría pasar entre diferentes sistemas informáticos.
Además del XML básico, una variedad de estándares asociados ha sido y sigue desarrollándose. Algunos
de estos incluyen:
➢ Lenguaje de hoja de estilo extensible (XSL): define cómo se debe convertir un documento XML
presentado (por ejemplo, en una página web)
➢ Consulta XML (XQuery): se ocupa de la consulta de datos en formato XML.
➢ Cifrado XML: se ocupa del cifrado, descifrado y firma digital de XML
 RIESGOS
DE COMERCIO
ELECTRÓNICO
➢ Confidencialidad: Los servicios de
alojamiento en la nube expanden el
perímetro de riesgo más allá de los límites ➢ Cambio de poder hacia los clientes: Esto
del entidad que realiza la transacción.
➢ Integridad: los datos, tanto en tránsito
como en almacenamiento, podrían ser
susceptibles de alteración o eliminación.
➢ Disponibilidad: Internet permite a los
clientes hacer negocios las 24 horas del
día, los siete días de la semana.
➢ Autenticación y no repudio: las partes de
una transacción electrónica deben en una
relación comercial conocida y de confianza,
que requiere que demuestren su identidades
respectivas antes de ejecutar la transacción
para evitar ataques man-in-the-middle (es
decir, evitar que el vendedor sea un
impostor).
explica el impulso para personalizar sitios
web al orientar la publicidad a contenido
sobre el comportamiento analizado del
cliente y permitiendo el contacto directo con
el personal a través de tecnología de
mensajería y otros medios.
 REQUISITOS ➢ Compromiso de alto nivel: debido a la amplitud del
cambio requerido, el comercio electrónico no
DE COMERCIO puede tener éxito sin una visión clara y un fuerte
compromiso desde la parte superior de una
organización.
ELECTRÓNICO ➢ Reconfiguración del proceso empresarial: mirar fuera
➢ Creación de un caso de negocio (TI como de la organización y comprensión de lo que están
haciendo los clientes y cómo cambia en general
facilitador)
proceso puede crear un nuevo valor para ellos.
➢ Desarrollar un propósito comercial claro ➢ Vínculos a sistemas heredados: las organizaciones
➢ Usar la tecnología para mejorar primero los deben tomar en serio el requisito de acelerar
costos tiempos de respuesta, proporcionar una
➢ Construir un caso de negocios en torno a las cuatro C: interacción real a los clientes y personalizar las
respuestas a clientes individuales.
clientes, costos, competidores y
capacidades.

Papel Del AUDITOR de SI en el
Proceso Empresarial de
COMERCIO ELECTRÓNICO
➢ Acuerdos de interconexión preparados
antes de participar en un acuerdo de
comercio electrónico.
➢ Mecanismos y procedimientos de
seguridad que, en conjunto, constituyen
una arquitectura de seguridad. para
comercio electrónico
➢ Mecanismos de cortafuegos que existen
para mediar entre la red pública
(Internet) y la red privada de una
organización
➢ Un proceso mediante el cual los
participantes en una transacción de
comercio electrónico pueden identificarse
de manera única y positivamente (por
ejemplo, un proceso de uso de alguna
combinación de cifrado de clave pública y
privada y certificando pares de claves)
➢ Procedimientos establecidos para
controlar los cambios en una presencia de
comercio electrónico
➢ Registros de aplicaciones de comercio
electrónico, que son monitoreados por
personal responsable. Esto incluye
Registros del sistema operativo y mensajes
de la consola, mensajes de administración
de red, registros y alertas del firewall, etc.

PAPEL DEL AUDITOR DE SI EN
EL PROCESO EMPRESARIAL DE
COMERCIO ELECTRÓNICO
➢ Métodos y procedimientos para reconocer las
brechas de seguridad cuando ocurren
(sistemas de detección de intrusos
basados en la red y en el host [IDS])
➢ Funciones en aplicaciones de comercio
electrónico para reconstruir la actividad
realizada por la aplicación.
➢ Protecciones establecidas para garantizar
que los datos recopilados sobre las personas
no se divulguen sin el consentimiento de las
personas ni se utiliza para fines distintos de
aquellos para los que se recopilan
➢ Medios para garantizar la confidencialidad
de los datos comunicados entre clientes y
proveedores (salvaguardar recursos como,
por ejemplo, mediante Secure Sockets Layer
[SSL] cifrado)
➢ Mecanismos para proteger la presencia de
comercio electrónico y redes privadas de
apoyo de virus informáticos y para evitar
que propaguen virus a clientes y
proveedores
➢ Funciones dentro de la arquitectura de
comercio electrónico para evitar que todos
los componentes fallen y permitir que se
reparen a sí mismos, si fallan
➢ Planes y procedimientos para continuar las
actividades de comercio electrónico en caso
de una interrupción prolongada de los
recursos necesarios para el procesamiento
normal
 PAPEL DEL AUDITOR DE SI EN ➢ Prácticas y procedimientos comúnmente
entendidos para definir las intenciones de la
EL PROCESO EMPRESARIAL DE gerencia para el seguridad del comercio
electrónico
COMERCIO ELECTRÓNICO ➢ Responsabilidades compartidas dentro de
una organización para la seguridad del
comercio electrónico
➢ Comunicaciones de proveedores a clientes
sobre el nivel de seguridad en un comercio
electrónico arquitectura
➢ Programas regulares de auditoría y
evaluación de la seguridad de los entornos de
comercio electrónico y aplicaciones para
garantizar que los controles estén presentes y
sean efectivos.
 INTERCAMBIO ELECTRÓNICO DE
DATOS(EDI)
Significa intercambio electrónico de datos, es la
comunicación entre empresas de documentos
comerciales en un formato estándar que sustituye
documentos en papel, como pedidos de compra o
facturas. Al automatizar transacciones en papel, las
organizaciones pueden ahorrar tiempo y eliminar
errores costosos causados por el procesamiento manual.
 REQUERIMIENTOS GENERALES
Un sistema EDI requiere software de comunicaciones, software de traducción y acceso a
estándares.

➢ El software de comunicaciones mueve datos de un punto a otro, marca el inicio y el final de

una transmisión EDI y determina cómo se transmiten y concilian los reconocimientos.
➢ El software de traducción ayuda a construir un mapa y muestra cómo los campos de datos
de la aplicación se corresponden con los elementos de un estándar EDI. Posteriormente,
utiliza este mapa para convertir datos entre la aplicación y los formatos EDI.

El software del sistema EDI incluye la transmisión, traducción y almacenamiento de transacciones

iniciadas o destinadas al procesamiento de la aplicación.

Al revisar el EDI, un auditor de SI debe conocer los dos enfoques relacionados con el EDI: la
versión patentada tradicional de EDI utilizada por grandes empresas y partes gubernamentales, y
el desarrollo de EDI a través de la infraestructura comercial disponible públicamente que se
ofrece a través de Internet.
 EDI TRADICIONAL
Mover datos en un proceso de transmisión por lotes a través del proceso tradicional de EDI generalmente implica
tres funciones dentro del sistema informático de cada socio comercial:

1. Responsable de comunicaciones: Proceso para transmitir y recibir documentos electrónicos entre socios
comerciales a través de líneas de acceso telefónico, red pública conmutada, múltiples líneas dedicadas o
una red de valor agregado (VAN).
2. Interfaz EDI: Función de interfaz que manipula y enruta datos entre el sistema de aplicación y el controlador
de comunicaciones. La interfaz consta de dos componentes:
● Traductor EDI
● Interfaz de la aplicación

3. Sistema de aplicación: Los programas que procesan los datos enviados o recibidos del socio comercial.
 EDI BASADO EN LA WEB
El EDI basado en la web ha cobrado importancia porque:

● El acceso a través de proveedores de servicios de Internet (ISP) ofrece acceso de red genérico (es decir, no
específico de EDI) para todas las computadoras conectadas, mientras que los servicios VAN generalmente han
utilizado una red propietaria o una puerta de enlace de red vinculada con un conjunto específico de redes
propietarias.
● Puede atraer nuevos socios a través de sitios web para intercambiar información, recibir pedidos y vincular el
sitio web al procesamiento de pedidos de fondo y los sistemas financieros a través de EDI.
● Hay nuevos productos de seguridad disponibles para abordar problemas de confidencialidad, autenticación,
integridad de datos y no repudio de origen y devolución.
● Las mejoras en las técnicas comerciales estándar de formato EDI X12 basadas en la web tienen como objetivo
mejorar el intercambio de información entre socios comerciales, proveedores y clientes al derribar los límites
que restringen la forma en que interactúan y hacen negocios entre sí.
 RIESGOS Y CONTROLES EDI
Riesgos:
● Autorización de transacciones
● Pérdida de continuidad empresarial
Los tipos de riesgo de seguridad adicionales incluyen:
● Acceso no autorizado a transacciones electrónicas
● Eliminación o manipulación de transacciones antes o después del establecimiento
de controles de aplicación.
● Pérdida o duplicación de transmisiones EDI
● Pérdida de confidencialidad y distribución inadecuada de transacciones EDI
mientras están en posesión de terceros.
 CONTROLES DE PROCESO EDI
● Deben establecerse estándares para indicar que el formato y el contenido del mensaje son
válidos para evitar errores de transmisión.
● Deben existir controles para garantizar que la aplicación de traducción convierta correctamente
las transmisiones estándar para el software de la aplicación.
● La organización receptora debe tener controles para probar la razonabilidad de los mensajes
recibidos.
● Deben establecerse controles para proteger contra la manipulación de datos en transacciones,
archivos y archivos activos.
● Deben establecerse procedimientos para determinar que los mensajes provienen únicamente de
partes autorizadas y que las transmisiones estén debidamente autorizadas.
● Deben existir canales de transmisión directos o dedicados entre las partes para reducir el riesgo
de intervenir en las líneas de transmisión.
● Los datos deben estar encriptados utilizando algoritmos acordados por las partes involucradas.
● Las firmas electrónicas deben estar en las transmisiones para identificar el origen y el destino.
● Deben existir códigos de autenticación de mensajes para garantizar que se reciba lo que se
envía.
 PAPEL DEL AUDITOR DE SI EN EL
PROCESO COMERCIAL EDI
Un auditor de SI debe revisar:
● Implementación de procesos de cifrado de Internet
● Verificación computarizada adicional para evaluar la
razonabilidad y validez de la transacción
● Cada transacción entrante para asegurarse de que se registre
en el recibo
● El uso de totales de control al recibir transacciones
● Totales de recuento de conjuntos de transacciones integrados
en los encabezados del grupo funcional por el remitente
● Totales de control de lotes integrados en los encabezados de
los grupos funcionales por el remitente
● La validez del remitente frente a los datos del socio comercial
 EMAIL

El correo electrónico puede ser la característica más

utilizada de Internet o de las redes de área local en
una organización. En el nivel más básico, el proceso
de correo electrónico se puede dividir en dos
componentes principales:
● Servidores de correo
● Clientes
Los siguientes protocolos son los protocolos principales con los que un auditor de SI deberá
estar familiarizado durante la revisión de los servicios de correo electrónico:

● Correo electrónico saliente

○ Protocolo de transporte de correo simple
(SMTP)
● Correo electrónico entrante
○ Protocolo de oficina postal (POP)
○ Protocolo de acceso a mensajes de Internet
(IMAP)
○ Protocolo de transferencia de hipertexto
(HTTP)
○ Interfaz de programación de aplicaciones de
mensajería (MAPI)
 SISTEMAS DE PUNTO DE VENTA

Los sistemas de punto de venta (POS) permiten la

captura de datos en el momento y lugar en que
ocurren las transacciones de venta. Los instrumentos
de pago más comunes para operar con POS son las
tarjetas de crédito y débito.
Es muy importante para un auditor de SI determinar
si los datos del titular de la tarjeta, como los números
de cuenta principal (PAN) o los números de
identificación personal (PIN), se almacenan en el
sistema POS local.
 BANCA ELECTRONICA
Es la banca a la que se puede acceder mediante
internet .El riesgo asociado a las actividades de
banca electrónica (ebanking) incluye riesgos
estratégicos, de reputación, operativos (incluidos
los riesgos de seguridad a veces llamados
transaccionales y legales), de crédito, de
precios, de cambio de divisas, de tipos de interés
y de liquidez.
A un auditor de SI le preocupan sobre todo los
riesgos estratégicos, operativos y de reputación.
TRANSFERENCIA ELECTRÓNICA DE
FONDOS
● Es la transferencia electrónica de fondos entre un
comprador, un vendedor y sus respectivas instituciones
financieras
● Funcionan a través de una transferencia bancaria interna
de la cuenta de una parte a otra o mediante una red de
cámaras de compensación.
● La seguridad del acceso y la autorización del
procesamiento son controles importantes.
● El papel que cumple el auditor de sistemas es de revisar la
seguridad física de las tarjetas plásticas no emitidas, los
procedimientos usados para generar PIN, los
procedimientos usados para emitir tarjetas y PIN, y las
condiciones bajo las cuales el consumidor usa los
dispositivos de acceso
La seguridad en un entorno de EFT garantiza que:
● Todos los equipos y enlaces de comunicación se prueban para transmitir y recibir datos de manera
efectiva y confiable.
● Cada parte utiliza procedimientos de seguridad que son razonablemente suficientes para afectar la
transmisión autorizada de datos y para proteger los registros y datos comerciales del acceso indebido.

● Existen pautas establecidas para la recepción de datos y para

garantizar que la fecha y la hora de recepción de los datos
transmitidos sean la fecha y la hora en que se recibieron.
● Al recibir los datos, la parte receptora transmitirá
inmediatamente un acuse de recibo o una notificación para
comunicar al remitente que se produjo una transmisión
exitosa.
● Se establecen estándares de encriptación de datos.
● Se establecen estándares para transmisiones ininteligibles.
● Los requisitos reglamentarios para la exigibilidad de los datos
electrónicos transmitidos y recibidos se establecen
explícitamente.
Otras funciones del auditor de SI son:
● Un auditor de SI debe asegurarse de que se requieran métodos de autenticación
razonables para acceder a los sistemas EFT.
● En el nivel de procesamiento de la solicitud, un auditor de SI debe revisar la interfaz
entre el sistema EFT y los sistemas de solicitud que procesan las cuentas desde las
que se transfieren los fondo.
● Un auditor de SI debe revisar los arreglos de respaldo u otros métodos utilizados para
asegurar la continuidad de las operaciones.
 CAJERO AUTOMATICO

Un cajero automático es una forma

especializada de terminal POS (terminal punto de
venta) que está diseñado para el uso
desatendido por un cliente de una institución
financiera.

Debe proporcionar altos niveles de seguridad

lógica y física tanto para el cliente como para la
maquinaria
Pautas de control interno recomendadas para los cajeros automáticos

● Políticas y procedimientos escritos.

● Conciliación de todas las cuentas del libro mayor relacionadas con EFT (transferencia
electrónica de fondos) minoristas y revisión de elementos de excepción y cuentas transitorias.
● Procedimientos para la emisión de PIN y la protección durante el almacenamiento.
● Procedimientos para la seguridad de los PIN durante la entrega y la restricción del acceso a la
cuenta de un cliente después de una pequeña cantidad de intentos fallidos.
● Sistemas diseñados, probados y controlados para evitar la recuperación de PIN almacenados
en cualquier forma no cifrada.
● Controles sobre la adquisición de tarjetas de plástico, que deben ser adecuados e incluir un
acuerdo escrito entre el fabricante de la tarjeta y el banco que detalla los procedimientos de
control y los métodos de resolución que se seguirán si surgen problemas.
● Controles y pistas de auditoría de las transacciones que se han realizado en el cajero
automático.
Papel del auditor de SI en el uso de cajeros automáticos

● Revise la seguridad física para evitar la introducción de malware.

● Revisar las medidas para establecer una identificación adecuada del cliente y mantener
su confidencialidad.
● Revisar el sistema de retención y mantenimiento de archivos para rastrear transacciones.
● Revise los informes de excepción para proporcionar una pista de auditoría.
● Revisar la conciliación diaria de las transacciones en cajeros automáticos, que incluyen:
○ Revisión de SoD en la apertura del cajero automático y recuento de depósito.
○ Revisar los procedimientos realizados para las tarjetas retenidas.
● Revisar los procedimientos de gestión de cambios de claves de cifrado.
○ Revisar las medidas de seguridad física para garantizar la seguridad del cajero
automático y el dinero contenido en el cajero automático.
● Revise la ranura de la tarjeta del cajero automático, el teclado y el gabinete para evitar el
roce de los datos de la tarjeta y la captura del PIN durante la entrada.
 Respuesta de Voz Interactiva
● La respuesta de voz interactiva (IVR) es una tecnología
telefónica que permite que una computadora detecte la
voz y los tonos táctiles mediante una llamada telefónica
normal.
● Los sistemas IVR se pueden utilizar para controlar casi
cualquier función en la que la interfaz se pueda dividir en
una serie de opciones de menú simples y generalmente
escalan bien para manejar grandes volúmenes de
llamadas.
● Un auditor de SI debe asegurarse de que existan controles
sobre dichos sistemas para evitar que personas no
autorizadas ingresen comandos a nivel del sistema que
puedan permitirles cambiar o volver a grabar las opciones
del menú.
 Sistema de Contabilidad de Compras
Los sistemas de contabilidad de compras procesan los datos para
compras y pagos. Debido a que las compras conducen
automáticamente a pagos, si las compras se contratan
adecuadamente, existe un control parcial sobre los pagos. También
se requieren controles adicionales sobre los pagos para
garantizar que cada pago se realizó por los bienes y servicios
recibidos, que la misma compra no se pagó dos veces y que, de
hecho, se pagaron. La mayoría de los sistemas de contabilidad de
compras realizan tres funciones contables básicas:

1. Procesamiento de cuentas por pagar: registro de

transacciones en los registros de cuentas por pagar.
2. Procesamiento de mercancías recibidas: registro de los
detalles de las mercancías recibidas pero aún no
facturadas.
3. Procesamiento de pedidos: registro de bienes pedidos pero
aún no recibidos.
 Procesamiento de Imágenes
Las áreas de riesgo que la gerencia debe abordar al instalar sistemas de imágenes y que
un auditor de SI debe conocer al revisar los controles de una institución sobre los
sistemas de imágenes incluyen:

1. Planificación: La falta de una planificación en la selección y conversión de

sistemas de papel a Los sistemas de imágenes de documentos.
2. Auditoria: Los sistemas de imágenes pueden cambiar o eliminar los controles
tradicionales, así como los controles y equilibrios inherentes a los sistemas
basados en papel.
3. Rediseño del flujo de trabajo: Las instituciones generalmente rediseñan o
rediseñan los procesos del flujo de trabajo para beneficiarse de la tecnología de
imágenes
4. Dispositivos de escaneo: Son el punto de entrada para los documentos con imágenes
y un área de riesgo importante en los sistemas de imágenes
5. Seguridad del software: Los controles de seguridad sobre los documentos del
sistema de imágenes.
6. Capacitación:la capacitación adecuada del personal que escanea los documentos, ,
La instalación y el uso de sistemas de imágenes para garantizar el control de
calidad.
 Sistema de Control de Industrias
Es un término general que abarca varios tipos de sistemas de control como:

● Los sistemas de control de supervisión y adquisición de datos (SCADA)

● Los sistemas de control distribuido (DCS)
● Controladores lógicos programables (PLC
 Factores de Riesgo
Se basa en la criticidad que tienen los ICS en la fabricación, los procesos químicos y la
infraestructura crítica (generación, transmisión y control de energía, tratamiento de
agua, etc.), existen factores de riesgo clave que un auditor de SI debe considerar:

● Flujo de información bloqueado o retrasado a través de las redes ICS.

● Cambios no autorizados a las instrucciones, comandos o umbrales de alarma, que
podrían dañar, inhabilitar o apagar el equipo.
● Información inexacta enviada a los operadores del sistema.
● Software ICS o ajustes de configuración modificados, o software ICS infectado con
malware, que podría tener varios efectos negativos
● Interferencia con el funcionamiento de los sistemas de seguridad
 Controles Típicos
Se deben considerar los siguientes controles dentro de la implementación
administrativa, operativa y técnica de ICS:

● Restringir el acceso lógico a la red ICS y la actividad de la red

● Restringir el acceso físico a la red y los dispositivos de ICS
● Proteger los componentes individuales de ICS de la explotación.
● Mantener la funcionalidad durante condiciones adversas.

● Restaurar el sistema después de un incidente.

 Inteligencia Artificial
se refiere a los sistemas o las máquinas que imitan la inteligencia
humana para realizar tareas y tienen la capacidad de mejorar
iterativamente a partir de la información que recopilan.

Es el estudio y la aplicación de los principios mediante los cuales:

Inteligencia 1
●
●
Se
Se
adquieren y utilizan conocimientos.
generan y alcanzan metas.
● Se comunica información.
● Se logra la colaboración.
Artificial y ●
●
Se
Se
forman conceptos.
desarrollan los lenguajes.

Los campos de IA incluyen

Sistemas ● Sistemas expertos
● Lenguajes naturales y artificiales (como programación)

Expertos 2 ●
●
●
Redes neuronales
Gestión de texto inteligente
Demostración de teoremas
● Razonamiento abstracto
● Reconocimiento de patrones
● Reconocimiento de voz
● Resolución de problemas
● Traducción automática de idiomas extranjeros.
 Sistemas Expertos

Son un área de la IA y realizan una función específica o

prevalecen en ciertas Industrias.
1
Inteligencia Un sistema experto permite al usuario especificar ciertas
suposiciones o fórmulas básicas y luego usa estos supuestos o
fórmulas para analizar eventos arbitrarios.

Artificial y Beneficios potenciales dentro de una organización

Sistemas 2
●
●
●
Capturar el conocimiento y la experiencia de las personas.
Compartir conocimientos y experiencias.
Mejorar la productividad y el desempeño del personal.
● Automatizar tareas altamente (estadísticamente). repetitivas
Expertos (mesa de ayuda, puntaje de créditos, etc.)
● Operar en entornos donde no se dispone de un experto humano
(p. Ej., Asistencia médica a bordo de un barco, satélites).
 Sistemas Expertos (Componentes)
Componentes principales son los llamados shells cuando no están llenos de
datos particulares, y los shells están diseñados para albergar nuevos
expertos sistemas.

Inteligencia
Artificial y
Sistemas
Expertos La clave del sistema es la base de conocimientos (KB), que contiene
información o datos específicos.Y La información de la KB se puede expresar
de varias formas:
● Árboles de decisión.
● Reglas.
● Redes semánticas.
● Interfaz de conocimientos:
● Interfaz de datos
 El Papel del Auditor de SI en los
Sistemas Expertos
Un auditor de SI debe conocer las diversas aplicaciones de sistemas expertos y de inteligencia artificial
utilizado dentro de la organización. Un auditor de SI necesita preocuparse por los controles relevantes para
Estos sistemas cuando se utilizan como parte integral del proceso de negocio de una organización o funciones
críticas para la misión, y el nivel de experiencia o inteligencia utilizado como base para desarrollar el
software.

Un auditor de SI debe realizar las siguientes actividades:

● Comprender el propósito y la funcionalidad del sistema.
● Evaluar la importancia del sistema para la organización y los procesos comerciales relacionados así como
el riesgo potencial asociado.
● Revisar la adherencia del sistema a las políticas y procedimientos corporativos.
● Revise la lógica de decisión incorporada en el sistema para asegurarse de que el conocimiento experto o
la inteligencia en el sistema sea sólido y preciso.
● Revise los procedimientos para actualizar la información en la base de conocimientos
● Revise el acceso de seguridad sobre el sistema, específicamente la KB.
● Revise los procedimientos para asegurarse de que haya recursos calificados disponibles para mantenimiento
y actualización.
 Gestión de la Cadena de
Suministros
● La gestión de la cadena de suministro (SCM) vincula los
procesos comerciales entre las entidades
relacionadas.como el comprador y el vendedor. El enlace
se proporciona a todas las áreas conectadas.
● SCM se ha convertido en un punto focal y es visto como un
área nueva en la gestión estratégica.
● SCM incluye la gestión del flujo de bienes, servicios e
información entre proveedores, fabricantes, mayoristas,
distribuidores, tiendas, consumidores y usuarios finales.
● El concepto se vuelve posible y el tiempo de ciclo se
reduce con el objetivo de reducir el inventario
innecesario. Se abordan factores estacionales (por
ejemplo, disponibilidad y demanda) y regionales (por
ejemplo, preferencias en tamaño, forma, cantidad).
 Gestión de la Relaciones con el
Cliente
Esto enfatiza la importancia de enfocarse en la información relacionada con los datos de
transacciones, preferencias, patrones de compra, estado, historial de contactos, información
demográfica y tendencias de servicio de los clientes, en lugar de productos.
Las aplicaciones centradas en el cliente se enfocan en los procesos de CRM enfatizando al
cliente.

➔ Capacidades de Integración.
➔ Distinguir:

● CRM operacional: se preocupa por maximizar la

utilidad de la experiencia de servicio del
cliente y capturar datos útiles sobre la
interacción con el cliente.
● CRM analítico: busca analizar información
capturada por la organización sobre sus clientes,
sus interacciones con la organización y
encuentran el aumento la "participación en la
billetera del cliente",
 1.2.1. Función de auditoría interna de SI
Carta de auditoría

1.2.2. Gestión de la función de auditoría

de SI
Gestión de recursos de auditoría de SI

1.2 Procesos 1.2.3. Planificación de auditorías

1.2.4. Efecto de las leyes y regulaciones

Empresariales en la planificación de la auditoría de SI

1.2.5. Controles y aplicaciones de

procesos de negocio

1.2.6. Uso De los Servicios de Otros

Auditores y Expertos
 Uso de los Servicios de Otros
Auditores y Expertos
La subcontratación de servicios de garantía y seguridad de SI se está convirtiendo cada vez más en una
práctica común.
Cuando se propone subcontratar una parte o la totalidad de los servicios de auditoría de SI a otra
auditoría o proveedor de servicios, se debe considerar lo siguiente con respecto al uso de los
servicios de otros auditores y expertos:
● Restricciones a la subcontratación de servicios de auditoría / seguridad proporcionados por leyes y
reglamentos.
● Acta de auditoría o estipulaciones contractuales
● Impacto en los objetivos generales y específicos de auditoría de SI
● Impacto en el riesgo de auditoría de SI y responsabilidad profesional
● Independencia y objetividad de otros auditores y expertos
● Competencia, cualificaciones y experiencia profesionales
● Alcance del trabajo que se propone subcontratar y enfoque
● Controles de gestión de supervisión y auditoría
● Método y modalidades de comunicación de los resultados del trabajo de auditoría
● Cumplimiento de estipulaciones legales y reglamentarias
● Cumplimiento de los estándares profesionales aplicables
 Uso de los Servicios de Otros
Auditores y Expertos
Según la naturaleza de la asignación, lo siguiente también puede requerir una consideración especial:

● Testimonios / referencias y verificación de antecedentes

● Acceso a sistemas, instalaciones y registros
● Restricciones de confidencialidad para proteger la información relacionada con el cliente.
● Uso de técnicas de auditoría asistidas por computadora (CAAT) y otras herramientas para ser utilizadas
por el proveedor de servicios de auditoría externa
● Estándares y metodologías para la realización de trabajos y documentación.
● Acuerdos de no divulgación

Responsabilidad del auditor de SI o de la entidad que emplea los servicios de proveedores de servicios para
hacer lo siguiente:
● Comunicar claramente los objetivos, el alcance y la metodología de la auditoría a través de un carta de
compromiso.
● Establecer un proceso de seguimiento para la revisión periódica del trabajo del servicio externo.
 GRACIAS
POR SU ATENCIÓN
PROCESO DE AUDITORÍA DE SISTEMAS DE
INFORMACIÓN

INTEGRANTES:
● Apaza Bolivar Miguel Angel
● Huaylla Diaz Rosmery Lilian
● Mamani Solorzano Efrain Alex
● Quilla Gutierrez Estefani
1.3 Tipos de Controles
● Un control efectivo es aquel que previene, detecta y/o
contiene un incidente y permite la recuperación de un
evento de riesgo.
● Los controles normalmente se componen de políticas,
procedimientos, prácticas y estructuras organizativas
que se implementan para reducir el riesgo para la
organización.
 1.3 Tipos de Controles
CONTROL INTERNO:
● Se desarrollan para proporcionar una garantía razonable a la gerencia de que se lograrán
los objetivos comerciales de la organización y se evitarán o detectarán y corregirán los
eventos de riesgo.

● Actividades manuales y automatizadas.

● Operan en todos los niveles de una organización.

● Alta dirección de la organización son responsables de establecer medio adecuados en la

eficacia de sistemas de control, aunque los colaboradores deben forman parte

● Hay dos aspectos claves que los controles deben abordar:

○ Que debería lograrse
○ Que deberia evitarse
● Abordan los objetivos comerciales/operativos y también deben abordar los eventos no
deseados a través de la prevención, detección y corrección.
 Clasificación de los Controles
CLASE FUNCION
● Detectar los problemas antes de que surjan
● Monitorear tanto operaciones como entradas
● Intentar predecir posibles problemas antes de que
ocurran y hacer ajustes
● Prevenir un error, omisión o acto malicioso antes de que
Preventivo ocurran
● Usar controles que detectan y reportan la ocurrencia de
un error, omisión o acto malicioso.
Detectivo
● Minimizar el impacto de una amenaza
● Remediar los problemas descubiertos por los controles
detectivos
Correctivo ● Identificar la causa de un problema.
● Corregir los errores derivados de un problema
● Modificar el procesamiento de los sistemas para
minimizar futuros ocurrencias del problema.
EJEMPLOS
● Emplear a personal calificado
● Segregación de funciones (factor de disuasión)
● Controlar el acceso a instalaciones físicas
● Uso de un adecuado diseña de documentos (evitar errores)
● Establecer procedimientos adecuados para la autorización de
transacciones
● Chequeos completos de ediciones programadas
● Uso de software de control de acceso que permita el acceso a
archivos sensibles solo a personal autorizado.
● Utilizar software de encriptación para evitar la divulgación no
autorizada de datos
● Hash totales
● Puntos de control en trabajos en producción
● Controles de eco en telecomunicaciones
● Mensajes de error sobre etiquetas de cintas
● Chequeo duplicado de cálculos.
● Reporte periódico del rendimiento y sus variantes.
● Tener en cuentas los informes anteriores.
● Auditar las funciones internas.
● Revisar los registros de actividad para detectar intentos de acceso
no autorizados.
● Planeación de contingencias.
● Procedimientos de respaldos
● Ejecución reiterada de procedimientos
 1.3.1. Objetivos de Control y Medidas de
Control

1.3.2. Evaluación del Entorno de

1.3 Tipos de Control

1.3.3. Controles Generales

Controles
1.3.4. Controles Específicos de SI
 1.3.1 Objetivos y Medidas de Control
OBJETIVOS DE CONTROL:
● Es un objetivo de una o más áreas operativas que deben lograr para cumplir con las
metas estratégicas establecidas, mediante la implementación de actividades de
control
● Se aplican a todos los controles manuales y automatizados
● Los objetivos de control pueden relacionarse con los siguientes conceptos:
○ Eficacia y eficiencia de las operaciones.
○ Fiabilidad de la información financiera
○ Cumplimiento de las leyes y reglamentos aplicables
○ Salvaguardia de los activos.
 1.3.1 Objetivos y Medidas de Control

Sistema de Control Interno:

● Controles internos contables

● Controles operativos

● Controles administrativos
 1.3.1 Objetivos y Medidas de Control
Objetivos de Control Interno:
● Salvaguarda de activos de TI.
● Cumplimiento con las políticas organizacionales o requerimientos legales.
● Entrada de información.
● Autorización.
● Exactitud e integridad del procesamiento de transacciones.
● Salida de información.
● Confiabilidad de los procesos.
● Respaldo/Recuperación.
● Eficiencia y economía de las operaciones.
● Proceso de Administración de cambios en TI y los sistemas relacionados.
 1.3.1 Objetivos y Medidas de Control

OBJETIVOS DE CONTROL:

Los objetivos de control interno aplican a todas

las áreas, ya sean manuales o automatizadas. Por
lo tanto, conceptualmente, los objetivos de
control en un ambiente de SI, permanecen
invariables respecto de un ambiente manual.
 1.3.1 Objetivos y Medidas de Control

La toma de decisiones en base a objetivos de control se dan realizando lo

siguiente:
● Seleccionar los que son aplicables.
● Decidir sobre los que se implementarán.
● Elegir cómo implementarlos (frecuencia, alcance, automatización, etc.).
● Aceptar el riesgo de no implementar los que puedan aplicarse.
 1.3.1 Objetivos y Medidas de Control
Objetivos Específicos de Control Interno:
● Salvaguarda de activos
● Asegurar la integridad de los ambientes de sistema operativo en general
● Asegurar la integridad de los ambientes de sistemas de aplicación sensitivos y
críticos, a través de:
○ Autorización para ingreso de datos
○ Exactitud e integridad del procesamiento de transacciones
○ Confiabilidad de las actividades de procesamiento de información
○ Exactitud, integridad y seguridad de la información de salida
○ Integridad de la base de datos
 1.3.1 Objetivos y Medidas de Control
Objetivos Específicos de Control Interno:
● Asegurar la identificación y autenticación apropiada de los usuarios de los
recursos de SI.
● Aseguramiento de eficiencia y efectividad en las operaciones.
● Cumplimiento con los requerimientos, políticas y procedimientos; y, con las
leyes aplicables.
● Desarrollo de un plan de respuesta a incidentes.
● Implementando procedimientos efectivos de administración de cambios.
 1.3.1. Objetivos de Control y Medidas de
Control

1.3.2. Evaluación del Entorno de Control

1.3 Tipos de
1.3.3. Controles Generales
Controles 1.3.4. Controles Específicos de SI
1.3.2 Evaluación del Entorno de Control

● Un Auditor de SI revisa evidencias reunidas durante la auditoría.

● Evalúa las fortalezas y debilidades de los controles evaluados.
● Para evaluar el nivel de controles utiliza un matriz de control.
● Un control compensador ocurre cuando un control fuerte apoya a uno debi.
● Un Auditor de SI siempre debe revisar los controles de compensación antes de
informar una debilidad de control.
 1.3.1. Objetivos de Control y Medidas de
Control

1.3.2. Evaluación del Entorno de

1.3 Tipos de Control

Controles 1.3.3. Controles Generales

1.3.4. Controles Específicos de SI

 1.3.3 Controles Generales

Se aplican en todas las áreas de una organización e incluyen políticas y

procedimientos y prácticas que están establecidos por la gerencia para brindar
una garantía razonable de que los objetivos específicos serán alcanzados.
 1.3.3 Controles Generales
Los Controles Generales también se aplican en las siguientes áreas de la
organización:

● Controles contables internos que se dirigen principalmente a las

operaciones contables.
● Controles operativos que se refieren a las operaciones, funciones y
actividades diarias, y aseguran que la operación cumpla con los objetivos
comerciales.
● Controles administrativos
● Políticas y procedimientos de seguridad organizacional para garantizar el
uso adecuado de los activos.
● Procedimientos y prácticas para garantizar salvaguardias adecuadas sobre
el acceso y el uso de activos e instalaciones.
● Políticas de seguridad físicas y lógicas para todas las instalaciones,
centros de datos y recursos de TI (por ejemplo, servidores e
infraestructura de telecomunicaciones).
 1.3.1. Objetivos de Control y Medidas de
Control

1.3.2. Evaluación del Entorno de

1.3 Tipos de Control

1.3.3. Controles Generales

Controles
1.3.4. Controles Específicos de SI
 1.3.4 Controles Específicos de SI
● Cada control general puede ser traducido en un control específico de un SI.
● Un SI bien diseñado debe tener controles incorporados para todas sus
funciones sensibles o críticas.
● Por ejemplo, el procedimiento general para garantizar que las salvaguardias
adecuadas sobre el acceso a los activos e instalaciones puedan traducirse en
un conjunto de procedimientos de control relacionados con el SI, que abarque
las salvaguardias de acceso sobre programas informáticos, datos y equipos.
 1.3.4 Controles Específicos de SI
Los procedimientos de control de SI incluyen:

● Estrategia y dirección de la función de TI.

● Organización general y gestión de la función de TI.
● Acceso a recursos de TI, incluidos datos y programas.
● Metodologías de desarrollo de sistemas y control de cambios.
● Procedimientos de operación.
● Programación de sistemas y funciones de soporte técnico.
● Procedimientos de aseguramiento de la calidad (QA).
● Controles de acceso físico
● BCP/DRP(Planeación de continuidad del negocio/recuperación de desastres).
● Redes y tecnología de comunicación (por ejemplo, redes de área local,
redes de área amplia, inalámbricas).
● Administración de bases de datos.
● Mecanismos de protección y detección contra ataques internos y externos
1.4 Planificación de Auditoría
Basada en Riesgos
 1.4 Planificación de Auditoría basado en Riesgos

Es la implementación de recursos de auditoría en áreas dentro de una organización que

representa el mayor riesgo. Requiere comprension en:

● Factores externos e internos que afectan a la organización.

● Selección y aplicación de políticas y procedimientos por parte de la organización.
● Los objetivos y estrategias de la organización.
● Medición y revisión del desempeño de la organización.

Además un auditor de SI deben comprender los componentes claves de la organización:

● Gestión de la estrategia.
● Productos y servicios empresariales.
● Proceso de gobierno corporativo.
● Tipos de transacciones, socios de transacciones y flujos de transacciones dentro de los
sistemas de información
 1.4 Planificación de Auditoría basado en Riesgos

Se utiliza para evaluar el riesgo y ayudar a un auditor de IS a tomar la decisión de realizar

pruebas de cumplimiento o pruebas sustantivas.

Es importante destacar que el enfoque de auditoría basado en el riesgo ayuda eficazmente a un

auditor de IS a determinar la naturaleza y el alcance de las pruebas.

Es necesario comprender la naturaleza del negocio para que el auditor de SI puede identificar
y categorizar los tipos de riesgo que determinarán mejor el modelo o enfoque de riesgo al
realizar la auditoría
Visión general simple de un enfoque de auditoría basado
en riesgos
 1.4.1. Riesgos de Auditoría y Materialidad

1.4 Planificación 1.4.2. Evaluación de Riesgos

de Auditoría 1.4.3. Técnicas de Evaluación de

Riesgos de Auditoría
Basado en
1.4.4. Análisis de Riesgos
Riesgos
 1.4.1 Riesgos de Auditoría y Materialidad

El riesgo de auditoría se puede definir como el riesgo de que la información recopilada pueda
contener un error material que puede pasar desapercibido durante el curso de la auditoría.

El riesgo de auditoría está influenciado por:

● Riesgo Inherente
● Riesgo de Control
● Riesgo de Detección
● Riesgo General de Auditoría

Una debilidad de control interno o un conjunto de debilidades de control interno combinadas

pueden dejar a una organización altamente susceptible a la ocurrencia de una amenaza.

Un auditor de SI debe preocuparse por evaluar la materialidad de los elementos en cuestión a

través de un enfoque de auditoría basado en el riesgo para evaluar los controles internos.
 1.4.1. Riesgos Auditoría y Materialidad

1.4 Planificación 1.4.2. Evaluación de Riesgos

de Auditoría 1.4.3. Técnicas de Evaluación de

Riesgos de Auditoría
Basado en
1.4.4. Análisis de Riesgos
Riesgos
Los resultados deben guiar y determinar la acción
de gestión adecuada, las prioridades para
gestionar el riesgo de seguridad de la información
y las prioridades para implementar controles
seleccionados para proteger contra el riesgo.

1.4.2 Evaluación de Riesgos

● Las evaluaciones de riesgos deben identificar, cuantificar y priorizar el riesgo frente a

los criterios de aceptación de riesgos y los objetivos relevantes para la organización.

● Los resultados deben guiar y determinar la acción de gestión adecuada, las prioridades
para gestionar el riesgo de seguridad de la información y las prioridades para implementar
controles seleccionados para proteger contra el riesgo.

● Las evaluaciones de riesgos deben realizarse periódicamente y cuando se producen cambios

significativos.
 1.4.2 Evaluación de Riesgos
El riesgo identificado en la evaluación del riesgo debe ser tratado. Las posibles opciones de
respuesta al riesgo incluyen:
● Mitigación del riesgo: aplicación de controles apropiados para reducir el riesgo.
● Aceptación del riesgo: no tomar medidas a sabiendas y objetivamente, siempre que el
riesgo satisfaga claramente la política y los criterios de aceptación del riesgo de la
organización.
● Evitación de riesgos: evitar el riesgo al no permitir acciones que causarían que ocurra
el riesgo.
● Riesgo compartido (transferencia): transferencia del riesgo asociado a otras partes (por
ejemplo, aseguradoras o proveedores)

Para el riesgo para el cual la opción de tratamiento del riesgo es aplicar controles
apropiados, los controles deben seleccionarse para garantizar que el riesgo se reduzca a un
nivel aceptable, considerando lo siguiente:
● Requisitos y restricciones de la legislación y los reglamentos nacionales e
internacionales.
● Objetivos organizativos.
● Requisitos y limitaciones operativas.
● Rentabilidad (la necesidad de equilibrar la inversión en la implementación y operación
de controles contra el daño que probablemente resulte de fallas de seguridad)
 1.4.2 Evaluación de Riesgos

Desde la perspectiva de un auditor de IS, la evaluación de riesgos sirve para varios

propósitos:
● Ayudar a un auditor de IS a identificar riesgos y amenazas a un entorno de TI y un
sistema de IS (riesgos y amenazas que la administración debería abordar) y a identificar
controles internos específicos del sistema. Dependiendo del nivel de riesgo, esto ayuda
a un auditor de IS a seleccionar ciertas áreas para examinar.
● Ayudar a un auditor de IS en la evaluación de controles en la planificación de
auditorías
● Ayudar a un auditor de IS en la determinación de los objetivos de auditoría.
● Apoyo a la toma de decisiones de auditoría basadas en el riesgo
 1.4.2 Evaluación de Riesgos

Un auditor de SI debe considerar los siguientes

elementos al desarrollar el plan de auditoría de IS:

● Cobertura total de todas las áreas dentro del

alcance del universo de auditoría de IS, que
representa el rango de todas las actividades
de auditoría posibles.
● Fiabilidad e idoneidad de la evaluación de
riesgos proporcionada por la dirección. Los
procesos seguidos por la gerencia para
supervisar, examinar y reportar posibles
riesgos o problemas.
● Cobertura del riesgo en actividades conexas
pertinentes a las actividades objeto de
examen.
 1.4.1. Riesgos Auditoría y Materialidad

1.4 Planificación 1.4.2. Evaluación de Riesgos

de Auditoría 1.4.3. Técnicas de Evaluación de Riesgos

de Auditoría
Basado en
1.4.4. Análisis de Riesgos
Riesgos
 1.4.3 Técnicas de Evaluación de Riesgos

● Un auditor de SI debe evaluar estos diversos candidatos de riesgo para

determinar las áreas de alto riesgo que deben ser auditadas.
● Existen muchas metodologías de evaluación que puede ir desde una clasificación
simple basado en el juicio del auditor hasta cálculos científicos complejos que
proporcionan una calificación de riesgo numérico.
 1.4.3 Técnicas de Evaluación de Riesgos

● Entre los enfoques de evaluación se pueden realizar:

○ Sistema de Puntuación: es útil para priorizar las auditorías basadas en una
evaluación de los factores de riesgo.
○ Evaluación Subjetiva: en la que se toma una decisión independiente basada en
el conocimiento empresarial, las directivas de gestión ejecutiva, las
perspectivas históricas, los objetivos comerciales y los factores
ambientales.
 1.4.3 Técnicas de Evaluación de Riesgos
El uso de la evaluación de riesgos para determinar las áreas a auditar da como
resultado los siguientes resultados:

● Permitir que la administración de auditorías asigne de manera efectiva

recursos de auditoría limitados.
● Asegurar que se haya obtenido información relevante de todos los niveles de
gestión, incluidos los consejos de administración, los auditores de IS y la
gestión del área funcional. En general, esta información ayuda a la
administración a cumplir eficazmente con sus responsabilidades y garantiza
que las actividades de auditoría se dirijan a áreas de alto riesgo, lo que
agregará valor para la administración.
● Establecer una base para la gestión eficaz del departamento de auditoría.
● Proporcionar un resumen de cómo el tema de auditoría individual está
relacionado con la organización en general, así como con los planes de
negocios.
 1.4.1. Riesgos Auditoría y Materialidad

1.4 Planificación 1.4.2. Evaluación de Riesgos

de Auditoría 1.4.3. Técnicas de Evaluación de

Riesgos de Auditoría
Basado en
1.4.4. Análisis de Riesgos
Riesgos
 1.4.4 Análisis de Riesgos
El riesgo se define como la combinación de la
probabilidad de un evento y su consecuencia.
El riesgo empresarial puede tener un impacto
negativo en los activos, procesos u objetivos de
una empresa u organización específica.

El análisis de riesgos es un subconjunto de la

evaluación de riesgos y se utiliza durante la
planificación de la auditoría para ayudar a
identificar riesgos y vulnerabilidades para que un
auditor de SI pueda determinar los controles
necesarios para mitigar el riesgo.
 1.4.4 Análisis de Riesgos

Un auditor de SI debe:

● Ser capaces de identificar y diferenciar los tipos de riesgo y los controles utilizados
para mitigar estos riesgos.
● Tener conocimiento de los riesgos en áreas comunes, los riesgos tecnológicos
relacionados y los controles relevantes.
● Ser capaz de evaluar el proceso, las técnicas de evaluación y gestión de riesgos
utilizadas por los gerentes de negocios, y hacer evaluaciones de riesgo para ayudar a
enfocar y planificar el trabajo de auditoría.
● Comprender que existe un riesgo dentro del proceso de auditoría.

Al revisar estos riesgos comerciales relacionados con TI, un auditor de IS a menudo evaluará
la efectividad del proceso de gestión de riesgos que utiliza una organización
 1.4.4 Análisis de Riesgos

Al analizar el riesgo de negocio derivado del uso de TI, es importante que un

auditor de IS tenga una comprensión clara de los siguientes aspectos:

● Procesos de gestión de riesgos aceptados internacionalmente y/o de la

industria.
● El propósito y la naturaleza del negocio, el entorno en el que opera el negocio
y el riesgo comercial relacionado.
● Dependencia de la tecnología en el logro de metas y objetivos de negocio
● El riesgo empresarial de usar TI y cómo afecta el logro de las metas y
objetivos comerciales.
● Una buena visión general de los procesos de negocio, el impacto de TI y el
riesgo relacionado en los objetivos del proceso de negocio.
Proceso de Gestión de Riesgos
El proceso de evaluación de riesgos es un ciclo de
vida iterativo que comienza:
● Identificando los objetivos comerciales,
● Identificando los activos de información y
recursos de información (Ejemplo: hardware,
software, base datos, redes, instalaciones y
personas).
● Evaluación de riesgos para identificar
vulnerabilidades, amenazas y determinar la
probabilidad de ocurrencia, el impacto
resultante y salvaguardas adicionales que
mitigaría este impacto a un nivel aceptable
para la administración.
● Mitigación del riesgo, se identifican o mapean
controles para tratar el riesgo identificado.
● Realizar el tratamiento de Riesgo: La
evaluación de las contramedidas debe realizarse
mediante un análisis coste-beneficio en el que
se seleccionen controles para reducir el riesgo
a un nivel aceptable para la administración.
● El monitoreo de los niveles de rendimiento del
riesgo: identificando cualquier cambio
significativo en el entorno que desencadene una
reevaluación del riesgo,
1.5 Tipos de Auditorías y
Evaluaciones
 1.4.5 Tipos de Auditoría y Evaluaciones

Los diversos tipos de Auditoría son:

● Auditoría de SI.
● Auditoría de Cumplimiento.
● Auditoria Financiera.
● Auditoria Operativa
● Auditoria Integrada.
● Auditoria Administrativa.
● Auditoria Especializada.
● Auditoria Forense Informatica.
● Auditoria Funcional.
1.- Al realizar una auditoría basada en el riesgo, ¿cuál evaluación del riesgo realiza
inicialmente el auditor de SI?
A. Evaluación del riesgo de detección
B. Evaluación del riesgo de control
C. Evaluación del riesgo inherente
D. Evaluación del riesgo de fraude
2. Mientras desarrolla un programa de auditoría basado en el riesgo, ¿en cual de lo
siguiente es MÁS probable que el auditor de SI se concentre?
A. Los procesos del negocio
B. Las aplicaciones críticas de TI
C. Los controles operacionales
D. Las estrategias del negocio
Cuál de los siguientes tipos de riesgo de auditoría asume una
ausencia de controles compensatorios en el área que se está
revisando?

A. Riesgo de Control
B. Riesgo de Detección
C. Riesgo Inherente
D. Riesgo de muestreo
 GRACIAS
POR SU ATENCIÓN
 PROCESO DE AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
INTEGRANTES:
● Apaza Bolivar Miguel Angel
● Huaylla Diaz Rosmery Lilian
● Mamani Solorzano Efrain Alex
● Quilla Gutierrez Estefani
EJECUCIÓN
GESTIÓN DE PROYECTOS DE AUDITORÍA

1.6.1 Objetivos de la auditoría

1.6.2 Fases de auditoría
1.6.3 Programas de auditoría
Habilidades mínimas para desarrollar un
programa de auditoría
1.6.4 Documentos de trabajo de auditoría
1.6.5 Fraude, irregularidades y actos ilegales
GESTIÓN DE PROYECTO DE AUDITORIA
Debe garantizar la disponibilidad de
recursos de auditoría adecuados y un
cronograma para realizar las auditorías

Tecnicas de Gestion de Proyectos

➢ Planifique el trabajo de auditoría
➢ Cree el plan de auditoria
➢ Ejecutar el plan
➢ Supervisar la actividad del proyecto
 OBJETIVOS AUDITORIA
Son las metas específicas que
debe lograr la auditoría.
Objetivos generales, pueden
traducirse en objetivos
específicos y de control.
Objetivos, incluyen asegurar:
➢ Cumplimineto de requisitos legales y reglamentarios
➢ La confidencialidad
➢ La integridad
➢ La confiabilidad
➢ Disponibilidad de información y recursos TI
FASES DE LA AUDITORÍA
 PROGRAMAS DE AUDITORIA
Es un conjunto de
procedimientos e instrucciones
de auditoria paso a paso que
debe realizarse para completar
una auditoría.

➢ Uso de software especializado de auditoría

➢ Uso de software especializado para evaluar contenidos de archivo y BD.
➢ Tecnicas de elaboracion de diagramas de flujo para documentación.
➢ Uso de registros (logs) disponibles en sistemas de control y SO
➢ Revision de documentacion.
➢ Observación y consultas
➢ Inspecciones y verificaciones.
➢ Revision de controles.
HABILIDADES MÍNIMAS DE UN AUDITOR
 DOCUMENTOS DE TRABAJO DE AUDITORÍA
Todos los planes, programas,
actividades, pruebas, hallazgos
e incidentes de auditoría deben
ser documentados en papeles
de trabajo (el formato y el
medio de los documentos
puede variar).

El auditor debe considerar particularmente cómo mantener la

integridad y protección de la evidencia de prueba de auditoría
ya que son el apoyo a los resultados.
 FRAUDE IRREGULARIDADES Y ACTOS ILEGALES
Auditor de SI debe observar y ejercer el
debido cuidado profesional en todos los
aspectos de su trabajo (Audit Standard SI S3
by ISACA).
Auditor debe estar consciente de los
requerimientos legales potenciales que
conciernen a la implementación de
procedimientos específicos de detección de
fraude y el reporte correspondiente a las
auditorías.
Considerar nuevas técnicas:
➢ Machine Learning
➢ Inteligencia Artificial
METODOLOGÍA DE MUESTREO

1.7.1 Cumplimiento versus pruebas

sustantivas
1.7.2 Muestreo
Riesgo de muestreo
 1.7 METODOLOGÍA DE MUESTREO

Un Auditor debe considerar el propósito de la muestra:

● Pruebas de cumplimiento/prueba de controles: un procedimiento de auditoría

diseñado para evaluar la efectividad operativa de los controles para prevenir,
detectar y corregir debilidades materiales.

● Pruebas sustantivas/pruebas de detalles: un procedimiento de auditoría diseñado

para detectar debilidades materiales a nivel de aserción
 1.7.1 CUMPLIMIENTO VS PRUEBAS
SUSTANTIVAS
PRUEBAS DE CUMPLIMIENTO:

● Recopilación de evidencias.

● determina si los controles se están aplicando de una manera que cumpla con
las políticas y procedimientos de administración.

● El objetivo general es proporcionar garantías razonables de que el control

particular se percibe en la evaluación preliminar.

● Se pueden utilizar para probar la existencia y efectividad de un proceso

definido.
 1.7.1 CUMPLIMIENTO VS PRUEBAS
SUSTANTIVAS
PRUEBAS SUSTANTIVAS:
● Corrobora la integridad del procesamiento real.
● Para detectar errores monetarios que afecten directamente a los saldos de los
estados financieros u otros datos relevantes de la organización
● Para probar la integridad y precisión de los datos del informe
● Existe una correlación directa entre el nivel de los controles internos y la
cantidad de pruebas sustantivas requeridas
1.7.1 CUMPLIMIENTO VS PRUEBAS
SUSTANTIVAS
 1.7.2 MUESTREO

● Se utiliza cuando las consideraciones de tiempo y de costo impiden una

verificación total de todas las transacciones o eventos en una población
definida.

● Es un subconjunto de miembros de la población.

● Enfoques generales para muestreo de auditoría:

○ Muestreo Estadístico: enfoque objetivo para determinar tamaño y criterios

de selección.

○ Muestreo No Estadístico: muestreo de criterio

 1.7.2 MUESTREO
● Dentro de estos dos enfoques existen dos métodos principales de muestreo:

1. Muestreo de atributos

a. Muestreo de Atributos

b. Muestreo Parar o Seguir.

c. Muestreo de Descubrimiento.

2. Muestreo de Variables

d. Promedio Estratificado por unidad

e. Promedio no estratificado por unidad.

f. Estimación de diferencia.
 1.7.2 MUESTREO
Términos de muestreo estadístico:

● Coeficiente de confianza
● Nivel de riesgo
● Precision
● Tasa de error esperada
● Media de la muestra
● Desviación estándar de la muestra
● Tasa de error tolerable
● Desviación estándar de la población
 1.7.2 MUESTREO

RIESGO DE MUESTREO
● El riesgo de muestreo surge de la posibilidad de que la conclusión de un
auditor de IS pueda ser diferente de la conclusión a la que se llegaría si
toda la población fuera sometida al mismo procedimiento de auditoría. Existen
dos tipos de riesgo de muestreo:
○ Riesgo de una aceptación incorrecta
○ Riesgo de rechazo incorrecto
 1.7.2 MUESTREO
Pasos fundamentales en la selección de la muestra:

● Determinar los objetivos de la prueba.

● Definir la población de la que se obtendrá la muestra.
● Determinar el método de muestreo como muestreo de los atributos vs muestreo
de variables.
● Calcular tamaño de la muestra.
● Seleccionar la muestra.
● Evaluar la muestra desde una perspectiva de la auditoría.
TÉCNICA DE RECOLECCIÓN DE EVIDENCIA
DE AUDITORÍA

1.8.1 Entrevistar y observar al personal en el

desempeño de sus funciones
 1.8 TÉCNICAS DE RECOLECCIÓN DE
EVIDENCIA DE AUDITORÍA
La evidencia de auditoría puede incluir:
● Las observaciones de un auditor de SI
(presentadas a la gerencia)
● Notas tomadas de entrevistas
● Resultados de confirmaciones independientes
obtenidas por un auditor de SI de diferentes
partes interesadas
● Material extraído de correspondencia y
documentación interna o contratos con socios
externos
● Los resultados de los procedimientos de prueba
de auditoría
 1.8 TÉCNICAS DE RECOLECCIÓN DE
EVIDENCIA DE AUDITORÍA

Los determinantes para evaluar la confiabilidad de la evidencia de

auditoría incluyen:

● Independencia del proveedor de la evidencia

● Calificaciones de la persona que proporciona la información /
evidencia
● Objetividad de la evidencia
● Momento de la evidencia
 1.8 TÉCNICAS DE RECOLECCIÓN DE
EVIDENCIA DE AUDITORÍA
Técnicas para recopilar evidencia
❖ Revisión de las estructuras organizativas de SI
❖ Revisión de políticas y procedimientos de SI
❖ Revisión de los estándares de SI
❖ Revisión de la documentación de SI
➢ Documentos de inicio del desarrollo de sistemas (por ejemplo, estudio de viabilidad)
➢ Documentación proporcionada por proveedores de aplicaciones externos
➢ SLA(acuerdo de nivel de servicio) con proveedores de TI externos
➢ Requisitos funcionales y especificaciones de diseño
➢ Planes de pruebas e informes
➢ Documentos de programa y operaciones
➢ Registros e historiales de cambios de programa
➢ Manuales de usuario
➢ Manuales de operaciones
➢ Documentos relacionados con la seguridad (por ejemplo, planes de seguridad, evaluaciones de riesgos)
➢ BCP
➢ Informes de control de calidad
➢ Informes sobre métricas de seguridad
Técnicas para recopilar evidencia
❖ Entrevistar al personal apropiado: Recopilar evidencia
de auditoría utilizando técnicas tales como
investigación, observación, inspección, confirmación,
desempeño y monitoreo.
❖ Observación de procesos y desempeño de los empleados: la
observación de procesos es una técnica de auditoría
clave para muchos tipos de revisión
❖ Repetición: Se usa cuando una combinación de
investigación, observación y examen de evidencia no
proporciona suficiente seguridad de que un control está
operando de manera efectiva.
❖ Recorridos: Técnica de auditoría para confirmar la
comprensión de los controles
 1.8.1 ENTREVISTAR Y OBSERVAR AL
PERSONAL EN SUS FUNCIONES
La observación del personal en el desempeño de sus
funciones ayuda al auditor de SI a identificar:
● Funciones reales
● Procesos / procedimientos reales
● Conciencia de seguridad
● Relaciones de informes
● Inconvenientes de la observación
ANÁLISIS DE DATOS

1.9.1 Técnicas de auditoría asistidas por

computadora
CAAT como un enfoque de auditoría en
línea continua
1.9.2 Auditoría y supervisión continuas
1.9.3 Técnicas de auditoría continua
 El análisis de datos es una herramienta importante para un
1 auditor de SI

ANÁLISIS
DE
Un auditor de SI puede seleccionar y analizar conjuntos de

DATOS 2 datos completos para auditar o monitorear continuamente

datos organizacionales clave en busca de anomalías o
variaciones que se pueden usar para identificar y evaluar el
riesgo organizacional y el cumplimiento de los requisitos de
control y reglamentarios
 Un auditor de SI puede utilizar el análisis de datos para los
3
ANÁLISIS siguientes propósitos:

● Determinación de la eficacia operativa del entorno de

DE control actual.
● Determinación de la efectividad de los procedimientos y

DATOS controles antifraude.

● Identificación de errores en los procesos comerciales
● Identificación de mejoras e ineficiencias en los procesos de
negocio en el entorno de control.
● Identificación de excepciones o reglas comerciales inusuales
● Identificación de fraude
● Identificación de áreas donde existe mala calidad de datos
● Realización de la evaluación de riesgos en la fase de
planificación de una auditoría
 El proceso utilizado para recopilar y analizar datos incluye los
4
ANÁLISIS siguientes elementos:

● Establecer el alcance (por ejemplo, determinar los objetivos de

DE auditoría / revisión; definir las necesidades, las fuentes y la
confiabilidad de los datos)
DATOS ● Validar los datos (por ejemplo, determinar si los datos son
suficientes y confiables para realizar pruebas de auditoría)
mediante:
- Validación de saldos independientemente del conjunto de datos
extraído
- Conciliar datos detallados para reportar totales de control
- Validación de campos numéricos, de caracteres y de fecha.
- Verificación del período de tiempo del conjunto de datos (es
decir, cumple con el alcance y el propósito)
- Verificar que todos los campos necesarios en el alcance están
realmente incluidos en el conjunto de datos adquirido
 El proceso utilizado para recopilar y analizar datos incluye los
4 siguientes elementos:
ANÁLISIS
● Ejecutar las pruebas (por ejemplo, ejecutar scripts y realizar
DE otras pruebas analíticas)
● Documentar los resultados (por ejemplo, registrar el propósito de

DATOS la prueba, las fuentes de datos y las conclusiones alcanzadas)

● Revisar los resultados (por ejemplo, asegurarse de que los
procedimientos de prueba se hayan realizado y revisado
adecuadamente por una persona calificada)
● Retención de los resultados (por ejemplo, mantenimiento de
elementos de prueba importantes), tales como:
- Archivos de programa
- Guiones
- Macros / pruebas de comandos automatizadas
- Archivos de información
 El análisis de datos se puede utilizar para lograr lo siguiente:
5

ANÁLISIS ● Combinar archivos de acceso lógico con archivos maestros de

empleados de recursos humanos para usuarios autorizados
● Combinando la configuración de la biblioteca de archivos con los
DE datos de los sistemas de gestión de cambios y las fechas de los
cambios en los archivos que pueden coincidir con las fechas de los
DATOS eventos autorizados
● Hacer coincidir el ingreso con los registros de salida para
identificar el seguimiento en los registros de seguridad física
● Revisión de la configuración de la tabla o del sistema
● Revisar los registros del sistema en busca de accesos no
autorizados o actividades inusuales.
● Prueba de conversión del sistema
● Prueba de SoD de acceso lógico (p. Ej., Análisis de datos de
Active Directory combinados con descripciones de puestos)
 1.9.1 TÉCNICAS DE AUDITORÍA
ASISTIDA POR COMPUTADORA
Los CAAT son herramientas importantes que utiliza un auditor de SI para
recopilar y analizar datos durante una auditoría o revisión de SI.

Los CAAT incluyen muchos tipos de

herramientas y técnicas, como software de
auditoría generalizada (GAS), software de
utilidad, software de depuración y escaneo,
datos de prueba, rastreo y mapeo de software
de aplicación y sistemas expertos..
 1.9.1 TÉCNICAS DE AUDITORÍA
ASISTIDA POR COMPUTADORA
CAAT facilitan al auditor de SI obtener información de manera independiente
● CAAT incluye:
– Software generalizado de auditoría (GAS)
– Software utilitario
– Software para depuración y búsqueda
– Datos de prueba
– Software aplicativo de auditoría continua y en línea
– Sistemas Expertos de Auditoría
 1.9.1 TÉCNICAS DE AUDITORÍA ASISTIDA POR COMPUTADORA

SOFTWARE DE AUDITORIA GENERALIZADA (GAS)

GAS se refiere al software estándar que tiene la capacidad de leer y acceder directamente a
datos de varias plataformas de bases de datos, sistemas de archivos planos y formatos ASCII.

FUNCIONES COMPATIBLES CON GAS:

CARACTERISTICA:
● Acceso a archivos—Permite la lectura de diferentes formatos
● Incluyen cálculos matemáticos,
de registro y estructuras de archivos
Estratificación,
● Reorganización de archivos: Permite indexar, ordenar,
● Análisis estadístico,
fusionar y vincular con otro archivo
● Verificación de secuencias,
● Selección de datos—Permite las condiciones de filtración
● Verificación de duplicados y
global y los criterios de selección.
recálculos.
● Funciones estadísticas—Permite el muestreo, la
estratificación y el análisis de frecuencia
● Función aritméticas: habilita operadores y funciones
 1.9.1 TÉCNICAS DE AUDITORÍA
ASISTIDA POR COMPUTADORA
Estas herramientas y técnicas se pueden utilizar para realizar varios
procedimientos de auditoría, tales como:

● Pruebas de los detalles de transacciones y saldos.

● Procedimientos de revisión analítica
● Pruebas de cumplimiento de los controles generales de SI
● Pruebas de cumplimiento de los controles de aplicación de SI
● Evaluaciones de vulnerabilidad de redes y sistemas operativos
● Pruebas de penetración
● Pruebas de seguridad de aplicaciones y análisis de seguridad de
código fuente

.
1.9.1 TÉCNICAS DE AUDITORÍA ASISTIDA POR COMPUTADORA
Un auditor de SI debe sopesar los costos y beneficios de usar CAAT. Elementos a
considerar antes de utilizar CAAT::
● Facilidad de uso para el personal de auditoría actual y futuro
● Requisitos de formación
● Complejidad de codificación y mantenimiento
● Flexibilidad de usos
● Requerimientos de instalación
● Eficiencias de procesamiento
● Esfuerzo necesario para llevar los datos de origen a los CAAT para su análisis.
● Asegurar la integridad de los datos importados salvaguardando su autenticidad
● Registrar la marca de tiempo de los datos descargados en puntos críticos de
procesamiento para mantener la credibilidad de la revisión.
● Obtener permiso para instalar el software en los servidores auditados.
● Fiabilidad del software
● Confidencialidad de los datos en tratamiento
1.9.1 TÉCNICAS DE AUDITORÍA ASISTIDA POR COMPUTADORA
Al desarrollar CAAT, los siguientes son ejemplos de documentación que debe
conservarse:

● Informes en línea que detallan los problemas de alto riesgo para su revisión.
● Listas de programas comentadas
● Diagramas de flujo
● Muestra de informes
● Diseños de registros y archivos
● Definiciones de campo
● Instrucciones de operación
● Descripción de los documentos fuente aplicables
 CAAT como un enfoque de
auditoría en línea continua

● Mejorar la eficiencia de la auditoría,.

● El auditor de SI debe:
– desarrollar técnicas de auditoría
apropiadas para ser usadas con sistemas
computarizados avanzados
– estar involucrados en la creación de
sistemas avanzados
– hacer mayor uso de las herramientas
automatizadas
 1.9.2 AUDITORÍA Y SEGUIMIENTO
CONTINUO

● La auditoría continua es un enfoque

utilizado por los auditores de SI para
monitorear la confiabilidad del
sistema de manera continua y recopilar
evidencia de auditoría selectiva a
través de la computadora.
 1.9.2 AUDITORÍA Y SEGUIMIENTO
CONTINUO
● Características propias
– Lapso corto de tiempo entre el hecho que va a ser auditado y la recopilación
de evidencia y el informe de auditoría

● Conductores
– Mejor monitoreo de los aspectos financieros
– Permite el monitoreo en tiempo real de transacciones en línea
– Previene fiascos financieros y escándalos de auditoría
– Usa software para determinar el control financiero más apropiado.
.
● Distinción entre auditoría continua y monitoreo continuo
 1.9.2 AUDITORÍA Y SEGUIMIENTO CONTINUO
Auditoria continua vs. monitoreo continuo
Auditoría continua—Permite a un auditor de
SI realizar pruebas y evaluaciones en un
entorno en tiempo real o casi en tiempo
real. La auditoría continua está diseñada
para permitir que un auditor de SI informe
los resultados sobre el tema que se audita
en un marco de tiempo mucho más corto que
con un enfoque de auditoría tradicional.
● Lo provee herramientas de gestión de SI
● Basada en procedimientos automatizados
para reunir responsabilidades fiduciarias
Monitoreo continuo—Utilizado por una
organización para observar el desempeño de
uno o varios procesos, sistemas o tipos de
datos. Por ejemplo, los antivirus o IDS en
tiempo real pueden operar de manera de
monitoreo continuo.
● Auditoría conducida
● Realizada usando procedimientos de
auditoría automatizados
.
 1.9.2 AUDITORÍA Y SEGUIMIENTO
CONTINUO
Facilitar la aplicación de auditorías continuas:
● Los esfuerzos continuos de auditoría a
menudo incorporan nuevos desarrollos de
TI.
● mayores capacidades de procesamiento de
hardware, software, estándares y
herramientas de inteligencia artificial
actuales.
● Intenta recopilar y analizar datos en
el momento de la transacción.
● Estándares
● Herramientas de inteligencia artificial
● La auditoría continua tiene como objetivo
proporcionar una plataforma más segura para
evitar el fraude y un proceso en tiempo
real destinado a garantizar un alto nivel
de control financiero.
● Es importante validar la fuente de los
datos utilizados para la auditoría continua
y tener en cuenta la posibilidad de cambios
manuales
.
 1.9.3 TÉCNICAS DE AUDITORÍA
DE CONTINUA
Las técnicas de auditoría continua son herramientas importantes de auditoría de SI,
particularmente cuando se utilizan en entornos de tiempo compartido que procesan una
gran cantidad de transacciones pero dejan un rastro de papel escaso.

Las técnicas de auditoría continua mejoran la seguridad de un sistema.

¿Qué debe hacer una técnica de auditoría continua cuando un sistema es mal utilizado
por alguien que retira dinero de una cuenta que no funciona?
Una técnica de auditoría continua informará este retiro de manera oportuna a un
auditor de SI. Reduce el lapso de tiempo entre el mal uso del sistema y la detección
de ese mal uso.
 1.9.3 TÉCNICAS DE AUDITORÍA DE
CONTINUA
Hay cinco tipos de técnicas de evaluación automatizadas aplicables a la
auditoría continua:

1) Archivo de revisión de auditoría de

control de sistemas y módulos de
auditoría integrados (SCARF / EAM)
2) Instantáneas
3) Ganchos de auditoría
4) Instalación de prueba integrada (ITF)
5) Simulación continua e intermitente (CIS)
 1.9.3 TÉCNICAS DE AUDITORÍA DE
CONTINUA
las ventajas y desventajas relativas de las diversas herramientas de
auditoría continua.
 1.9.3 TÉCNICAS DE AUDITORÍA DE
CONTINUA
Las técnicas que se utilizan para operar en un entorno de auditoría
continua deben funcionar en todos los niveles de datos (entrada única,
transacción y bases de datos) e incluyen:

● Registro de transacciones
● Herramientas de consulta
● Estadísticas y análisis de datos
● DBMS (sistema de administración de bases de datos)
● Almacenes de datos, mercados de datos, minería de datos
● Agentes inteligentes
● EAM (módulos embebidos de auditoría)
● Tecnología de redes neuronales
● Estándares como Extensible Business Reporting Language
(XBRL)
 1.9.3 TÉCNICAS DE AUDITORÍA DE
CONTINUA
Ventaja
● Captura instantánea de problemas de
control interno
● Reducción de las ineficiencias
intrínsecas de auditoría

Desventajas
– Dificultad en la implementación
– Alto costo
– Eliminación del juicio personal del
auditor y su evaluación
Técnica de Presentación de Informes
y Comunicación

1.10.1 Comunicación de los resultados de la

auditoría
1.10.2 Objetivos del informe de auditoría
1.10.3 Estructura y contenido del informe de
auditoría
1.10.4 Documentación de auditoría
1.10.5 Actividades de seguimiento
1.10.6 Tipos de informes de auditoría de SI
1.10.1 Comunicación de los Resultados de
la Auditoría
Entrevista de salida:

● Hechos correctos.

● Recomendaciones realistas.

● Fechas de implementación para las recomendaciones acordadas.

Técnicas de presentación

● Resumen ejecutivo.
● Presentacion visual.
 1.10.2 Objetivos del Informe de Auditoría
Los 6 objetivos del reporte de auditoria son:

● Presentar formalmente los resultados de la auditoría al auditado (y al

cliente de auditoría, si es diferente del auditado).

● Servir como cierre formal del compromiso de auditoría.

● Proporcionar declaraciones de garantía y, si es necesario, la identificación

de áreas que requieren medidas correctivas y recomendaciones relacionadas.

● Servir como una referencia valiosa para cualquier parte que investigue el
auditado o el tema de la auditoría.

● Servir de base para una auditoría de seguimiento si se presentan los

resultados de la auditoría. Promover la credibilidad de la auditoría.

● Esto depende de que el informe esté bien desarrollado y bien escrito.

 1.10.3 Estructura y contenido del Informe
de Auditoría
● Introducción del informe.

● Hallazgo de auditoría presentados en anexos separados.

● Conclusiones y opiniones generales del auditor de SI.

● Consideraciones del auditor con respecto a la auditoría.

● Hallazgo detallados y recomendaciones de auditoría.

● Variedad de hallazgos.
 DOCUMENTACION DE AUDITORIA
Es el registro escrito que proporciona el apoyo
a las representaciones en el informe del auditor.
Deberia:
➢ Demostrar que el trabjo cumplio con los
estándares.
➢ Apoyar a la base de las conclusiones del
auditor.

Debería incluir como mínimo:

➢ Planificacion y preparacion del alcance y los objetivos.
➢ Descripción y/o recorridos en el área de auditoria.
➢ Programa de auditoria.
➢ Pasos de auditoría realizada y evidencia recopilada
➢ Uso de servicios de otros auditores y expertos.
➢ Hallazgos, conclusiones y recomendaciones.
➢ Relación de la documentación (fechas)
 ACTIVIDADES DE SEGUIMIENTO

Permite determinar si la
dirección ha tomado acciones
correctivas apropiadas, por
ello la auditoría es un proceso
continuo.

El nivel de seguimiento podría ser:

➢ El auditor solo necesite informarse sobre el estado.
➢ El auditor tenga que realizar ciertos pasos de la
auditoría.
TIPOS DE INFORMES DE AUDITORÍA
Se basa principalmente en el
tipo de trabajo de auditoría.

La organización y el contenido
específico depende del
alcance y los objetivos del
trabajo de auditoría.

De los requisitos y
expectativas establecidos
entre la organización auditora
y el auditado.
GARANTÍA DE CALIDAD Y MEJORA DE
PROCESOS DE AUDITORÍA

1.11.1 Autoevaluación de control

1.11.2 Auditoria Integrada
Los elementos de control de calidad con respecto a un trabajo de
auditoría incluyen :
● Responsabilidades de liderazgo para la calidad en las auditorías
● Requisitos éticos (incluida la independencia)
● Aceptación y continuidad de las relaciones con los clientes y
encargos de auditoría específicos.
● Asignación de equipos de trabajo
● Desempeño del trabajo (incluida la consulta, resolución de
diferencias de opinión y revisión de control de calidad del
trabajo)
● Supervición
1.11.1 AUTO EVALUACIÓN DE CONTROL
Concientización a los dueños de los procesos de su responsabilidad
en la gestión de sus objetivos, riesgos y controles

● Es una técnica de gestión que asegura a las partes interesadas, clientes y

otras partes que el sistema de control interno de la organización es
confiable. También asegura que los empleados sean conscientes del riesgo
para el negocio y que realicen revisiones periódicas y proactivas de los
controles.
● Un auditor de SI actúa en el papel de facilitador de los propietarios de
los procesos de negocio para ayudarlos a definir y evaluar los controles
apropiados y ayuda a los propietarios de los procesos a comprender la
necesidad de controles, basados en el riesgo para los procesos de negocio.
 Objetivos de CSA
● El objetivo principal de un programa de CSA es aprovechar la función de auditoría
interna al trasladar algunas de las responsabilidades de monitoreo de control a las
áreas funcionales.
● Los programas de CSA también deben educar a la gerencia sobre el diseño y monitoreo
de controles, concentrándose particularmente en áreas de alto riesgo.
● Al emplear un programa de CSA, se deben desarrollar medidas de éxito para cada fase
(planificación, implementación y monitoreo) para determinar el valor derivado de CSA
y su uso futuro
 1.11.1. AUTOEVALUACIÓN DE CONTROL
Beneficios de CSA
CSA contiene algunos beneficios , que incluyen:

● Detección temprana de riesgo

● Controles internos más eficaces y mejorados
● Creación de equipos cohesionados mediante la participación de los empleados
● Desarrollo de un sentido de propiedad de los controles en los empleados y
propietarios de procesos y reducción de su resistencia a las iniciativas de mejora
del control.
● Mayor conciencia de los empleados sobre los objetivos de la organización y
conocimiento de los riesgos y los controles internos.
● Mayor comunicación entre la alta dirección y operativa
● Empleados muy motivados
● Proceso de calificación de auditoría mejorado
● Reducción del costo de control
● Garantía proporcionada a las partes interesadas y los clientes
● Aseguramiento necesario dado a la alta dirección sobre la idoneidad de los
controles internos como lo exigen las diversas agencias reguladoras y leyes.
 Desventajas de CSA

CSA contiene algunas desventajas, que incluyen:

● Podría confundirse con un reemplazo de la función de auditoría.

● Puede considerarse como una carga de trabajo adicional (por
ejemplo, un informe más para enviar a la gerencia).
● No actuar sobre las sugerencias de mejora podría dañar la moral de
los empleados.
● La falta de motivación puede limitar la efectividad en la
detección de controles débiles.
 El Papel del Auditor de SI en CSA
● Los auditores se convierten en profesionales de control interno y
facilitadores de evaluaciones
● El auditor de SI debe comprender el proceso comercial que se está evaluando.
Es importante recordar que los auditores de SI son los facilitadores y el
cliente de administración es el participante en el proceso de CSA.

ejemplo: durante un taller de CSA, en lugar de realizar procedimientos de

auditoría detallados, el auditor de SI dirigirá y guiará a los auditados en la
evaluación de su entorno al proporcionar información sobre los objetivos de los
controles basados en la evaluación de riesgos.
 1.11.2 Auditoria Integrada

Proceso donde las disciplinas de auditoría necesarias son combinadas para

evaluar controles internos claves de una operación, un proceso o una entidad

● Se enfoca en el riesgo de la organización (para el caso de la auditoría

interna)
● Se enfoca en el riesgo de proveer una opinión de auditoría incorrecta o
engañosa (para el caso del auditor externo)
 1.11.2 Auditoria Integrada
Procesos Implicados:

● Identificar controles clave relevantes

● Identificar los riesgos que enfrenta la
organización y los controles clave
relevantes
● Probar que los controles clave están
soportados por el sistema de TI
● Probar que la administración de los
controles opera efectivamente
● Un informe u opinión combinada sobre riesgos
y debilidades de los controles
 1.11.2 Auditoria Integrada
Enfoque Integrado:

● Una auditoría integrada exige un

enfoque en el riesgo empresarial y un
impulso por soluciones de control
creativas

Nota: Un candidato a CISA debe estar

familiarizado con el proceso y los pasos
de la auditoría integrada
PRACTICA
Caso 1:

Un auditor de SI está planeando revisar la seguridad de una

aplicación financiera para una gran compañía con varias
localidades en todo el mundo. El sistema aplicativo está
constituido por una interfaz web, una capa lógica de negocio
y una capa de base de datos. La aplicación es accedida
localmente a través de una LAN y remotamente a través de la
Internet mediante una conexión VPN.
Pregunta 1:
1. La herramienta CAAT MÁS apropiada que el auditor debe usar para probar los
parámetros de configuración de seguridad para todo sistema de aplicación es:

A. Software generalizado de auditoría

B. Datos de prueba

C. Software utilitario

D. Sistemas expertos
Pregunta 2:
2. Dado que la aplicación es accedida a través de la Internet, ¿cómo debe el
auditor determinar si se debe realizar un examen detallado de los ajustes de
configuración de las reglas del firewall y del la red privada virtual (VPN)?

A. Análisis documentado del riesgo

B. Disponibilidad de experiencia y conocimientos técnicos

C. Método usado en auditorías previas

D. Directrices y mejores prácticas de auditoría de SI

Pregunta 3:
3. Durante la revisión, si el auditor detecta que el objetivo de control de
autorización de transacciones no puede cumplirse debido a una ausencia de
roles y privilegios claramente definidos en la aplicación, el auditor debe
PRIMERO:

A. Revisar la autorización en una muestra de transacciones

B. Reportar inmediatamente este hallazgo a la gerencia superior
C. Solicitar que la gerencia del auditado revise si los derechos de acceso
para todos los usuarios son apropiados
D. Usar un software generalizado de auditoría para verificar la integridad
de la base de datos
Pregunta 4:
4. Cual de los siguientes describe MEJOR las primeras etapas de esta
auditoría.

A. Observar las instalaciones organizacionales clave.

B. Evaluar el entorno de SI
C. Entender el proceso del negocio y el entorno aplicable a la revisión.
D. Revisar los informes de auditoría de SI anteriores.
 GRACIAS
POR SU ATENCIÓN
 CASO DE ESTUDIO Y
PREGUNTAS

INTEGRANTES:
● Apaza Bolivar Miguel Angel
● Huaylla Diaz Rosmery Lilian
● Mamani Solorzano Efrain Alex
● Quilla Gutierrez Estefani
CASO DE ESTUDIO
 CASO DE ESTUDIO
Betatronics es un fabricante de productos electrónicos de tamaño medio con sede en
Estados Unidos y fábricas ubicadas en América Latina. Se le ha pedido a un auditor de
SI dentro de la empresa que realice un trabajo preliminar que evaluará la preparación
de la organización para una revisión a fin de medir el cumplimiento de los nuevos
requisitos regulatorios de EE. UU.
Estos requisitos están diseñados para garantizar que la administración esté
desempeñando un papel activo en la configuración y el mantenimiento de un entorno
bien controlado y evaluará la revisión y prueba de la administración de los controles
generales de TI. Las áreas a evaluar incluyen:
• Seguridad lógica y física
• Gestión del cambio
• Control de producción y gestión de redes
• Gobierno de TI
• Computación del usuario final
 CASO DE ESTUDIO
El auditor de SI tiene seis meses para realizar este trabajo preliminar. En años anteriores, se
han identificado problemas repetidos en las áreas de seguridad lógica y gestión de cambios.
Las deficiencias lógicas de seguridad que se observaron incluyeron el intercambio de
cuentas de administrador y la falla en hacer cumplir los controles adecuados sobre las
contraseñas. Las deficiencias en la gestión de cambios incluyeron la segregación
inadecuada de deberes incompatibles y la falta de documentación de todos los cambios.
Además, se descubrió que el proceso para implementar actualizaciones del sistema
operativo en los servidores solo es parcialmente efectivo.
Anticipándose al trabajo que debe realizar el auditor de SI, el director de información (CIO)
solicitó informes directos para desarrollar narrativas y flujos de proceso que describan las
principales actividades de las que TI es responsable. Estos fueron completados, aprobados
por los diversos propietarios de procesos y el CIO, y luego enviados al auditor de SI para su
examen.
 A. Realizar una encuesta de auditoría de los
controles de acceso lógico.

1. ¿Qué debe hacer el auditor

B. Revise el plan de auditoría para centrarse en la
de SI PRIMERO? auditoría basada en riesgos.

C. Realice una evaluación de riesgos de TI.

D. Empiece a probar los controles que el auditor de SI

considere más críticos.
1. ¿Qué debe hacer el auditor A. Realizar una encuesta de auditoría de los
controles de acceso lógico.
de SI PRIMERO?

B. Revise el plan de auditoría para centrarse en la

auditoría basada en riesgos.

C. Realice una evaluación de riesgos de TI.

D. Empiece a probar los controles que el auditor de

SI considere más críticos.
 A. La cuenta de administrador del sistema es
conocida por todos.

2. Al auditar la seguridad
B. Las contraseñas no están obligadas a cambiar
lógica, el auditor de SI está con frecuencia.

MÁS preocupado al observar:

C. .El administrador de la red tiene permisos
excesivos.

D. El departamento de TI no tiene una política

escrita sobre la administración de privilegios.
2. Al auditar la seguridad A. La cuenta de administrador del sistema es
lógica, el auditor de SI está conocida por todos.

MÁS preocupado al observar:

B. Las contraseñas no están obligadas a cambiar
con frecuencia.

C. .El administrador de la red tiene permisos

excesivos.

D. El departamento de TI no tiene una política

escrita sobre la administración de privilegios.

3. Al probar la gestión de
cambios del programa en este
caso, ¿cómo se debe
seleccionar la muestra?
A. Los documentos de gestión del cambio deben
seleccionarse al azar y examinarse para su idoneidad.
B. Los cambios en el código de producción deben ser
muestreados y rastreados hasta la documentación de
autorización apropiada
C. Los documentos de gestión del cambio deben
seleccionarse en función de la criticidad del sistema y
examinarse para su idoneidad
D. Los cambios en el código de producción deben
muestrearse y rastrearse hasta los registros producidos
por el sistema que indiquen la fecha y hora del cambio.
 3. SOLUCIÓN

A. Cuando se elige una muestra de un conjunto de documentos de control, no hay forma

de garantizar que cada cambio vaya acompañado de la documentación de control
adecuada.

B. Al probar un control, es recomendable rastrear desde el elemento que se está

controlando hasta la documentación de control relevante. Cuando se elige una
muestra de un conjunto de documentos de control, no hay forma de garantizar
que cada cambio vaya acompañado de la documentación de control adecuada. En
consecuencia, los cambios en el código de producción proporcionan la base más
adecuada para seleccionar una muestra.
C. Cuando se elige una muestra de un conjunto de documentos de control, no hay forma
de garantizar que cada cambio vaya acompañado de la documentación de control
adecuada.
D. Al probar un control, es recomendable rastrear desde el elemento que se está
controlando hasta la documentación de control relevante.
4. Enumere tres controles generales de TI que el auditor de IS usaría para pruebas sustantivas
en este caso.
● Una vez finalizado el trabajo preliminar, Betatronix decide planificar auditorías para los
próximos dos años. Después de aceptar el nombramiento, el auditor de IS señala que:
● La entidad tiene una carta de auditoría que detalla el alcance y las responsabilidades de la
función de auditoría de IS y específica el comité de auditoría como el órgano de supervisión
de la actividad de auditoría.
● La entidad está sujeta a requisitos de cumplimiento normativo que requieren que su
administración certifique la efectividad del sistema de control interno en lo que respecta a la
información financiera.
● La entidad ha estado registrando un crecimiento constante en los últimos dos años al doble
del promedio de la industria.
 4. SOLUCIÓN

Alguna de las posibles soluciones pueden ser:

● El auditor de SI puede comprobar qué cuenta se utilizó para ejecutar una tarea de
administrador del sistema en particular recientemente.
● El auditor de SI puede verificar si hubo un registro de cambios para cualquier cambio
seleccionado en el sistema (es decir, reinicio del servidor y parches).
● El auditor de SI puede examinar las transacciones para ver si separaron los deberes
incompatibles.
 A. Los reportes de auditoria de SI anteriores y
planificar el cronograma de auditoria

5. La PRIMERA prioridad del

auditor de SI en el Año 1 debe B. Auditar el estatuto y planificar el cronograma
de auditoria
ser estudiar

C. El impacto del aumento de la rotacion de

empleados

D. El impacto de implementacion de un nuevo ERP

en el entorno de TI y planear el cronograma de
auditoria
 5. SOLUCIÓN

A. Los informes de auditoría de SI anteriores se revisarán para ahorrar trabajo

redundante y como referencia al realizar el trabajo de auditoría de SI en particular.
B. El estatuto de auditoría define el propósito, la autoridad y la
responsabilidad de las actividades de auditoría de SI. También sienta las
bases para las próximas actividades.
C. El impacto de la rotación de empleados se abordará al negociar las actividades
de seguimiento en las áreas respectivas si hay alguna brecha que cerrar.
D. El impacto de la implementación de un nuevo ERP se abordaría al negociar las
actividades de seguimiento en las áreas respectivas si hubiera alguna brecha que
cerrar.
 A. Depender del informe del auditor del servicio
del proveedor del servicio.
6. ¿Cómo debe evaluar el
auditor de SI las copias de B. Estudie el contrato entre la entidad y el
proveedor de servicios.
seguridad y el procesamiento
por lotes dentro de las
C. Compare el informe de prestación de servicios
operaciones informáticas? con el acuerdo de nivel de servicio.

D. Planificar y realizar una revisión independiente

de las operaciones informáticas.
 6. SOLUCIÓN

A. El informe del auditor del servicio no puede asegurar el descubrimiento de

ineficiencias de control.
B. La revisión del contrato no puede asegurar el descubrimiento de ineficiencias de
control.
C. La comparación del informe de prestación de servicios y el acuerdo de nivel de
servicio no puede garantizar el descubrimiento de ineficiencias de control.
D. La auditoría de SI debe realizar una revisión independiente de la copia de
seguridad y el procesamiento por lotes. Todas las demás opciones no pueden
asegurar el descubrimiento de ineficiencias de control en el proceso.
 PREGUNTA 7

Durante el trabajo diario, el auditor A. Riesgo Inherente

de SI advierte que existe el riesgo
de que la revisión del registro no B. Riesgo Residual
dé lugar a la detección oportuna
de errores. C. Riesgo de Control
Este es un ejemplo de cuál de
los siguientes: D. Riesgo Material
 SOLUCION 7
C) El riesgo de control existe A. Riesgo Inherente
cuando un riesgo no puede ser
prevenido o detectado
B. Riesgo Residual
oportunamente por el sistema
de controles de SI, que es lo
C. Riesgo de Control
que se describe en esta
instancia
D. Riesgo Material
PREGUNTA 8

El auditor de SI aconsejó al CIO y

al equipo que mejorarán el entorno
general de control de TI. Se
propuso adaptar COBIT.
¿Qué recomendaciones haría el
auditor de SI al considerar este
marco?
 RESPUESTA 8

El marco de COBIT se puede aprovechar y adaptar. Cada

proceso puede clasificarse como totalmente abordado,
parcialmente abordado y no aplicable comparando el
marco estándar de COBIT con la realidad de la
organización. Se pueden incluir más marcos, estándares
y prácticas en cada proceso respectivo, como sugiere la
guía de COBIT.
 PRIMERA RONDA

RONDA DE PREGUNTAS

PREGUNTA
Durante un análisis de riesgo, un
auditor de SI identifica amenazas e
impactos potenciales. A continuación,
el auditor de SI debe:
A. Asegurarse de que la evaluación de riesgos esté
alineada con el proceso de evaluación de riesgos de
la administración.
B. Identificar el activo de información y los sistemas
subyacentes.
C. Divulgar las amenazas y los impactos a la
gerencia.
D. Identificar y evaluar los controles existentes.

SOLUCION
D) Es importante que un auditor de
SI identifique y evalúe la existencia
y efectividad de los controles
existentes y planificados para que
el nivel de riesgo se pueda calcular
después de que se identifiquen las
amenazas potenciales y los
posibles impactos.
A. Asegurarse de que la evaluación de riesgos esté
alineada con el proceso de evaluación de riesgos de
la administración.
B. Identificar el activo de información y los sistemas
subyacentes.
C. Divulgar las amenazas y los impactos a la
gerencia.
D. Identificar y evaluar los controles existentes.
 A. Discusión con la gerencia
PREGUNTA

¿Qué técnica de auditoría

proporciona la MEJOR evidencia B. Revisión del organigrama.
de la separación de funciones en
un departamento de TI?
C. Observación y entrevistas

D. prueba de los derechos de acceso de

los usuarios.
 A. Discusión con la gerencia
SOLUCION

C) En base a las observaciones y

entrevistas, el auditor de SI puede evaluar B. Revisión del organigrama.
la segregación de funciones. Al observar al
personal de TI realizando sus tareas, un
auditor de SI puede identificar si están
realizando operaciones incompatibles. Al
C. Observación y entrevistas
entrevistar al personal de TI, el auditor
puede obtener una descripción general de
las tareas realizadas. D. prueba de los derechos de acceso de
los usuarios.
 A. Software de auditoría generalizado
PREGUNTA

¿¿Cuál de las siguientes opciones

es más efectiva para monitorear B. Una instalación de prueba integrada.
transacciones que exceden los
umbrales predeterminados??
C. Pruebas de regresión

D. Instantáneas de transacciones
 A. Software de auditoría generalizado
SOLUCION

A) El software de auditoría
generalizada (GAS) es una B. Una instalación de prueba integrada.
herramienta de análisis de
datos que se puede utilizar para
filtrar grandes cantidades de C. Pruebas de regresión
datos.?
D. Instantáneas de transacciones

En la planificación de una
auditoría, el paso más crítico es
la identificación de :
A. Áreas de riesgo
significativo
B. Conjuntos de habilidades
del personal de auditoría
C. Pasos de prueba en la
auditoría
D. Tiempo asignado para la
auditoría

En la planificación de una
auditoría, el paso más crítico es
la identificación de :
A. Áreas de riesgo
significativo
B. Conjuntos de habilidades
del personal de auditoría
C. Pasos de prueba en la
auditoría
D. Tiempo asignado para la
auditoría

Al planificar una auditoría de SI,
se debe realizar una evaluación
del riesgo para proporcionar:
A. Seguridad razonable de que la auditoría
cubrirá elementos materiales.
B. Garantía definitiva de que los elementos
materiales se cubrirán durante el trabajo de
auditoría.
C. Asegurarse razonablemente de que todos
los elementos serán cubiertos por la auditoría.
D. Garantía suficiente de que todos los
elementos se cubrirán durante el trabajo de
auditoría.

Al planificar una auditoría de SI,
se debe realizar una evaluación
del riesgo para proporcionar:
A. Seguridad razonable de que la
auditoría cubrirá elementos materiales.
B. Garantía definitiva de que los elementos
materiales se cubrirán durante el trabajo de
auditoría.
C. Asegurarse razonablemente de que todos
los elementos serán cubiertos por la
auditoría.
D. Garantía suficiente de que todos los
elementos se cubrirán durante el trabajo
de auditoría.
 A. Participar en investigaciones relacionadas con
fraudes corporativos.

El propósito principal de una

B. La recogida y análisis sistemático de pruebas
auditoría forense de TI es: tras una irregularidad del sistema.

C. Evaluar la veracidad de los estados financieros

de una organización.

D. Preservar evidencia de actividad delictiva.

 A. Participar en investigaciones relacionadas con
fraudes corporativos.

El propósito principal de una

B. La recogida y análisis sistemático de pruebas
auditoría forense de TI es: tras una irregularidad del sistema.

C. Evaluar la veracidad de los estados financieros

de una organización.

D. Preservar evidencia de actividad delictiva.

 PREGUNTA

RESPUESTA B
A. Las auditorías forenses no se limitan al fraude corporativo.
B.- La recopilación y el análisis sistemáticos de las irregularidades posteriores al sistema
describen mejor una auditoría forense. Las pruebas recopiladas pueden luego analizarse y
utilizarse en procedimientos judiciales.
C.- Evaluar la exactitud de los estados financieros de una organización no es el propósito
principal de la mayoría de las auditorías forenses.
D.- La ciencia forense es la investigación de pruebas relacionadas con un delito o mala
conducta. La preservación de la evidencia es el proceso forense, pero no el propósito
principal.
 A. Revisar los hallazgos de auditorías
anteriores

¿Cuál de los siguientes es el paso más crítico B. Aprobación del plan de auditoría por parte de
al planificar una auditoría de IS? la dirección ejecutiva.

C. Revisar las políticas y procedimientos de

seguridad de la información.

D. Realizar una evaluación de riesgos

 A. Revisar los hallazgos de auditorías
anteriores

¿Cuál de los siguientes es el paso más crítico B. Aprobación del plan de auditoría por parte de
al planificar una auditoría de IS? la dirección ejecutiva.

C. Revisar las políticas y procedimientos de

seguridad de la información.

D. Realizar una evaluación de riesgos

 A. No requiere que un auditor de IS recopile evidencia
sobre la confiabilidad del sistema mientras se lleva a
cabo el procesamiento

B. Permite al auditor de IS revisar y dar seguimiento a

La principal ventaja de un enfoque de los problemas de auditoría de manera oportuna
auditoría continua es que:

C. Coloca la responsabilidad de la aplicación y el

monitoreo de los controles en el departamento de
seguridad en lugar de la auditoría.

D. Simplifica la extracción y correlación de datos de

sistemas múltiples y complejos.
 A. No requiere que un auditor de IS recopile evidencia
sobre la confiabilidad del sistema mientras se lleva a
cabo el procesamiento

B. Permite al auditor de IS revisar y dar seguimiento a

La principal ventaja de un enfoque de los problemas de auditoría de manera oportuna
auditoría continua es que:

C. Coloca la responsabilidad de la aplicación y el

monitoreo de los controles en el departamento de
seguridad en lugar de la auditoría.

D. Simplifica la extracción y correlación de datos de

sistemas múltiples y complejos.
 A. Informar al comité de auditoría del problema
potencial. Revisar los registros de auditoría
de los ID en cuestión
La acción más apropiada que debe tomar
B. Revisar los registros de auditoría de los ID
un auditor de SI cuando se descubren
en cuestión
cuentas de usuario compartidas es:

C. Documentar el hallazgo y explicar el riesgo

de usar ID compartidos

D. Solicitar que los ID deben ser eliminados del

sistema
 A. Informar al comité de auditoría del problema
potencial. Revisar los registros de auditoría
de los ID en cuestión
La acción más apropiada que debe tomar
B. Revisar los registros de auditoría de los ID
un auditor de SI cuando se descubren
en cuestión
cuentas de usuario compartidas es:

C. Documentar el hallazgo y explicar el riesgo

de usar ID compartidos

D. Solicitar que los ID deben ser eliminados del

sistema

Al evaluar el efecto colectivo de los
controles preventivos, detectivos y
correctivos dentro de un proceso, un
auditor de SI debe saber cuál de los
siguientes:
A. El punto en el que se ejercen los controles a
medida que los datos fluyen a través del sistema
B. Sólo los controles preventivos y detectives son
relevantes
C. Los controles correctivos se consideran
compensatorios
D. La clasificación permite a un auditor de IS
determinar los controles que faltan.

Al evaluar el efecto colectivo de los
controles preventivos, detectivos y
correctivos dentro de un proceso, un
auditor de SI debe saber cuál de los
siguientes:
A. El punto en el que se ejercen los controles a
medida que los datos fluyen a través del sistema
B. Sólo los controles preventivos y detectives son
relevantes
C. Los controles correctivos se consideran
compensatorios
D. La clasificación permite a un auditor de IS
determinar los controles que faltan.
A1.Un auditor de SI probando el
acceso de los empleados a un
gran sistema financiero, y el
auditor de SI seleccionó una
muestra de la lista de empleados
actual proporcionada por el
auditado. ¿Cuál de las siguientes
pruebas es la MÁS confiable para
respaldar las pruebas?
A. Una hoja de cálculo proporcionada por el
administrador del sistema.
B. Documentos de acceso a recursos humanos
firmados por el gerente de empleados.
C. Una lista de cuentas con niveles de acceso
generada por sistema.
D. Observaciones realizadas in situ en presencia de
un administrador del sistema.
A1. Un auditor de SI probando el
acceso de los empleados a un
gran sistema financiero, y el
auditor de SI seleccionó una
muestra de la lista de empleados
actual proporcionada por el
auditado. ¿Cuál de las siguientes
pruebas es la MÁS confiable para
respaldar las pruebas?
A. Una hoja de cálculo proporcionada por el
administrador del sistema.
B. Documentos de acceso a recursos humanos
firmados por el gerente de empleados.
C. Una lista de cuentas con niveles de acceso
generada por sistema.
D. Observaciones realizadas in situ en presencia de
un administrador del sistema.
 SOLUCION

RESPUESTA C

A.- Una hoja de datos suministrada por los administradores del sistema puede no estar completa o ser inexacta.
Se debe recolectar evidencia documental para sustentar la hoja de cálculo de auditados.
B.- Los documentos de acceso a recursos humanos firmados por los gerentes son buena evidencia; sin
embargo, no son tan objetivos como la lista de acceso generada por el sistema, porque el acceso puede haber
cambiado o los documentos pueden haber sido incorrectos cuando fueron firmados.
C.- La lista de acceso generada por el sistema es la más confiable, porque es la evidencia más objetiva para
realizar una comparación con las muestras seleccionadas. La evidencia es objetiva, porque fue generada por el
sistema y no por un individuo.
D.- Las observaciones constituyen una buena evidencia para comprender la estructura de control interno; sin
embargo, las observaciones no son eficaces para muchos usuarios. Las observaciones no son lo
suficientemente objetivas para una prueba sustantiva.
A1. Un auditor de SI desea
A. Herramientas de ingeniería de software
analizar pistas de auditoría en asistidas por computadora

servidores críticos para descubrir

anomalías potenciales en el
comportamiento del usuario o del
sistema. ¿Cuál de los siguientes
es el más adecuado para realizar
esa tarea?
B. Herramientas integradas de recopilación de
datos
C. Herramientas de detección de tendencias /
variaciones
D. Herramientas de análisis heurístico
A1. Un auditor de SI desea
A. Herramientas de ingeniería de software
analizar pistas de auditoría en asistidas por computadora

servidores críticos para descubrir

anomalías potenciales en el
comportamiento del usuario o del
sistema. ¿Cuál de los siguientes
es el más adecuado para realizar
esa tarea?
B. Herramientas integradas de recopilación de
datos
C. Herramientas de detección de tendencias /
variaciones
D. Herramientas de análisis heurístico
 SOLUCION

RESPUESTA C

A. Las herramientas de ingeniería de software asistidas por computadora se utilizan para ayudar en
el desarrollo de software.
B. El software integrado (de auditoría) de recopilación de datos, como el archivo de revisión de
auditoría de control de sistemas o el archivo de revisión de auditoría de sistemas, se utiliza para
proporcionar estadísticas de muestreo y producción, pero no para realizar un análisis de registros.
C.- Las herramientas de detección de tendencias / variaciones buscan anomalías en el
comportamiento del usuario o del sistema, cómo facturas con números de facturas crecientes.
D. Las herramientas de análisis heurístico son un tipo de análisis de virus que se utiliza para indicar
un posible tráfico infectado.
 GRACIAS
POR SU ATENCIÓN