Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMACIÓN
INTEGRANTES:
● Apaza Bolivar Miguel Angel
● Huaylla Diaz Rosmery Lilian
● Mamani Solorzano Efrain Alex
● Quilla Gutierrez Estefani
PLANIFICACIÓN
La auditoría se lleva a cabo por diversas razones, entre ellas garantizar operaciones efectivas, ver el cumplimiento
de diversas normativas, confirmar que el negocio funcione bien y ver si esta preparado para afrontar diversos
desafíos. La auditoría de SI es el examen formal y/o prueba de los SI para determinar si:
1. Los SI cumplen con las leyes, regulaciones, contratos y/o directrices de la industria.
2. Los SI y los procesos relacionados cumplen con los criterios de gobernanza y relacionados.
3. Los datos y la información de SI tiene niveles adecuados de confidencialidad, integridad y disponibilidad.
4. Las operaciones de SI se están logrando de manera eficiente y se está cumpliendo los objetivos de eficacia.
PLANIFICACIÓN
El proceso de auditoría típico consta de tres fases principales.
1. Planificación
2. Trabajo de campo / Documentación
3. Informes / Seguimiento
La credibilidad de cualquier actividad
de auditoría de SI está determinada
Estándares de en gran medida por su adherencia a
las normas aceptadas. los elementos
auditoría , fundamentales de la auditoría de SI se
definen y proporcionan dentro de
normas y directrices de
directrices y aseguramiento y auditoría de SI de
ISACA.
códigos de ética
AUDITOR DE SISTEMAS DE INFORMACIÓN
ISACA ESTÁNDARES DE AUDITORÍA
Y GARANTIA
Define los requisitos obligatorios para la auditoría de SI, así como reporta e informa a una
variedad de audiencias de información crítica, como lo siguiente:
➢ Para los auditores de SI, el nivel mínimo de desempeño aceptable requerido para
cumplir responsabilidades profesionales establecidas en el Código de Ética
Profesional de ISACA
➢ Para la dirección y otras partes interesadas, las expectativas de la profesión con
respecto al trabajo de los practicantes.
➢ Para los titulares de la designación CISA, sus requisitos de desempeño
profesional.
ISACA ESTÁNDARES DE AUDITORÍA
Y GARANTIA
El marco para los Estándares de aseguramiento y auditoría de SI de ISACA
proporciona múltiples niveles de documentos:
➢ Los estándares definen los requisitos obligatorios para la auditoría y aseguramiento y
presentación de informes de SI.
➢ Las pautas brindan orientación en la aplicación de los estándares de aseguramiento
y auditoría de SI. El auditor de SI debe considerarlos al determinar cómo lograr la
implementación de lo anterior, utilice el juicio profesional en su aplicación y esté
preparado para justificar cualquier desviación de los estándares.
➢ Las herramientas y técnicas proporcionan ejemplos de procesos que un auditor de SI
podría seguir en una auditoría.
ISACA ESTÁNDARES DE AUDITORÍA
Y GARANTIA
Los Estándares de aseguramiento y auditoría de SI de ISACA se dividen e 3
categorias:
➢ General: proporcione los principios rectores bajo los cuales opera la profesión de
aseguramiento de SI. Se aplican a la realización de todas las asignaciones y se ocupan
de la ética de un auditor de SI, independencia, objetividad y el debido cuidado, así
como conocimientos, competencia y habilidad.
➢ Desempeño: se ocupa de la realización de la tarea, como la planificación y la supervisión,
alcance, riesgo e importancia relativa, movilización de recursos, supervisión y
asignación evidencia de gestión, auditoría y aseguramiento, y el ejercicio del juicio
profesional y el debido cuidado.
➢ Informes: aborda los tipos de informes, los medios de comunicación y la información
comunicada.
ISACA Directrices de Auditoria y Garantia
Las directrices de aseguramiento y auditoría de SI de ISACA brinda
orientación e información adicional sobre cómo cumplir con los Estándares de
Aseguramiento y Auditoría de SI de ISACA.
Planificación de auditorías
CARTA DE AUDITORIA
La carta debe establecer claramente la
responsabilidad y los objetivos de la
gerencia y la delegación de autoridad a
la función de auditoría de SI. El más alto
nivel de gestión y el comité de auditoría
deberá aprobar la carta. Una vez
establecida, esta carta solo debe de
cambiarse si el cambio puede estar y está
completamente justificado.
Gestión de la Función de Auditoría de SI
La función de auditoría de SI debe ser administrada y dirigida de una
manera que asegure que las diversas tareas realizado y logrado por el
equipo de auditoría cumplirá los objetivos de la función de auditoría,
mientras preservar la independencia y la competencia de la auditoría.
Además, la gestión de la función de auditoría de SI debe garantizar
contribuciones de valor agregado a la alta dirección en la gestión
eficiente de TI y consecución de objetivos empresariales.
XML se utilizó rápidamente como un medio que podría almacenar y encerrar cualquier tipo de información estructurada,
por lo que podría pasar entre diferentes sistemas informáticos.
Además del XML básico, una variedad de estándares asociados ha sido y sigue desarrollándose. Algunos
de estos incluyen:
➢ Lenguaje de hoja de estilo extensible (XSL): define cómo se debe convertir un documento XML
presentado (por ejemplo, en una página web)
➢ Consulta XML (XQuery): se ocupa de la consulta de datos en formato XML.
➢ Cifrado XML: se ocupa del cifrado, descifrado y firma digital de XML
RIESGOS ➢ Autenticación y no repudio: las partes de
una transacción electrónica deben en una
DE COMERCIO relación comercial conocida y de confianza,
que requiere que demuestren su identidades
ELECTRÓNICO respectivas antes de ejecutar la transacción
para evitar ataques man-in-the-middle (es
➢ Confidencialidad: Los servicios de decir, evitar que el vendedor sea un
alojamiento en la nube expanden el impostor).
perímetro de riesgo más allá de los límites ➢ Cambio de poder hacia los clientes: Esto
del entidad que realiza la transacción. explica el impulso para personalizar sitios
➢ Integridad: los datos, tanto en tránsito web al orientar la publicidad a contenido
como en almacenamiento, podrían ser sobre el comportamiento analizado del
susceptibles de alteración o eliminación. cliente y permitiendo el contacto directo con
➢ Disponibilidad: Internet permite a los el personal a través de tecnología de
mensajería y otros medios.
clientes hacer negocios las 24 horas del
día, los siete días de la semana.
REQUISITOS ➢ Compromiso de alto nivel: debido a la amplitud del
cambio requerido, el comercio electrónico no
DE COMERCIO puede tener éxito sin una visión clara y un fuerte
compromiso desde la parte superior de una
organización.
ELECTRÓNICO ➢ Reconfiguración del proceso empresarial: mirar fuera
➢ Creación de un caso de negocio (TI como de la organización y comprensión de lo que están
haciendo los clientes y cómo cambia en general
facilitador)
proceso puede crear un nuevo valor para ellos.
➢ Desarrollar un propósito comercial claro ➢ Vínculos a sistemas heredados: las organizaciones
➢ Usar la tecnología para mejorar primero los deben tomar en serio el requisito de acelerar
costos tiempos de respuesta, proporcionar una
➢ Construir un caso de negocios en torno a las cuatro C: interacción real a los clientes y personalizar las
respuestas a clientes individuales.
clientes, costos, competidores y
capacidades.
➢ Un proceso mediante el cual los
Papel Del AUDITOR de SI en el participantes en una transacción de
Proceso Empresarial de comercio electrónico pueden identificarse
de manera única y positivamente (por
COMERCIO ELECTRÓNICO ejemplo, un proceso de uso de alguna
combinación de cifrado de clave pública y
➢ Acuerdos de interconexión preparados privada y certificando pares de claves)
antes de participar en un acuerdo de ➢ Procedimientos establecidos para
comercio electrónico. controlar los cambios en una presencia de
➢ Mecanismos y procedimientos de comercio electrónico
seguridad que, en conjunto, constituyen ➢ Registros de aplicaciones de comercio
una arquitectura de seguridad. para electrónico, que son monitoreados por
comercio electrónico personal responsable. Esto incluye
Registros del sistema operativo y mensajes
➢ Mecanismos de cortafuegos que existen
de la consola, mensajes de administración
para mediar entre la red pública
de red, registros y alertas del firewall, etc.
(Internet) y la red privada de una
organización
➢ Medios para garantizar la confidencialidad
PAPEL DEL AUDITOR DE SI EN de los datos comunicados entre clientes y
EL PROCESO EMPRESARIAL DE proveedores (salvaguardar recursos como,
por ejemplo, mediante Secure Sockets Layer
COMERCIO ELECTRÓNICO [SSL] cifrado)
➢ Mecanismos para proteger la presencia de
➢ Métodos y procedimientos para reconocer las comercio electrónico y redes privadas de
brechas de seguridad cuando ocurren apoyo de virus informáticos y para evitar
(sistemas de detección de intrusos que propaguen virus a clientes y
basados en la red y en el host [IDS]) proveedores
➢ Funciones en aplicaciones de comercio ➢ Funciones dentro de la arquitectura de
electrónico para reconstruir la actividad comercio electrónico para evitar que todos
realizada por la aplicación. los componentes fallen y permitir que se
➢ Protecciones establecidas para garantizar reparen a sí mismos, si fallan
que los datos recopilados sobre las personas ➢ Planes y procedimientos para continuar las
no se divulguen sin el consentimiento de las actividades de comercio electrónico en caso
personas ni se utiliza para fines distintos de de una interrupción prolongada de los
aquellos para los que se recopilan recursos necesarios para el procesamiento
normal
PAPEL DEL AUDITOR DE SI EN ➢ Prácticas y procedimientos comúnmente
entendidos para definir las intenciones de la
EL PROCESO EMPRESARIAL DE gerencia para el seguridad del comercio
electrónico
COMERCIO ELECTRÓNICO ➢ Responsabilidades compartidas dentro de
una organización para la seguridad del
comercio electrónico
➢ Comunicaciones de proveedores a clientes
sobre el nivel de seguridad en un comercio
electrónico arquitectura
➢ Programas regulares de auditoría y
evaluación de la seguridad de los entornos de
comercio electrónico y aplicaciones para
garantizar que los controles estén presentes y
sean efectivos.
INTERCAMBIO ELECTRÓNICO DE
DATOS(EDI)
Significa intercambio electrónico de datos, es la
comunicación entre empresas de documentos
comerciales en un formato estándar que sustituye
documentos en papel, como pedidos de compra o
facturas. Al automatizar transacciones en papel, las
organizaciones pueden ahorrar tiempo y eliminar
errores costosos causados por el procesamiento manual.
REQUERIMIENTOS GENERALES
Un sistema EDI requiere software de comunicaciones, software de traducción y acceso a
estándares.
Al revisar el EDI, un auditor de SI debe conocer los dos enfoques relacionados con el EDI: la
versión patentada tradicional de EDI utilizada por grandes empresas y partes gubernamentales, y
el desarrollo de EDI a través de la infraestructura comercial disponible públicamente que se
ofrece a través de Internet.
EDI TRADICIONAL
Mover datos en un proceso de transmisión por lotes a través del proceso tradicional de EDI generalmente implica
tres funciones dentro del sistema informático de cada socio comercial:
1. Responsable de comunicaciones: Proceso para transmitir y recibir documentos electrónicos entre socios
comerciales a través de líneas de acceso telefónico, red pública conmutada, múltiples líneas dedicadas o
una red de valor agregado (VAN).
2. Interfaz EDI: Función de interfaz que manipula y enruta datos entre el sistema de aplicación y el controlador
de comunicaciones. La interfaz consta de dos componentes:
● Traductor EDI
● Interfaz de la aplicación
3. Sistema de aplicación: Los programas que procesan los datos enviados o recibidos del socio comercial.
EDI BASADO EN LA WEB
El EDI basado en la web ha cobrado importancia porque:
● El acceso a través de proveedores de servicios de Internet (ISP) ofrece acceso de red genérico (es decir, no
específico de EDI) para todas las computadoras conectadas, mientras que los servicios VAN generalmente han
utilizado una red propietaria o una puerta de enlace de red vinculada con un conjunto específico de redes
propietarias.
● Puede atraer nuevos socios a través de sitios web para intercambiar información, recibir pedidos y vincular el
sitio web al procesamiento de pedidos de fondo y los sistemas financieros a través de EDI.
● Hay nuevos productos de seguridad disponibles para abordar problemas de confidencialidad, autenticación,
integridad de datos y no repudio de origen y devolución.
● Las mejoras en las técnicas comerciales estándar de formato EDI X12 basadas en la web tienen como objetivo
mejorar el intercambio de información entre socios comerciales, proveedores y clientes al derribar los límites
que restringen la forma en que interactúan y hacen negocios entre sí.
RIESGOS Y CONTROLES EDI
Riesgos:
● Autorización de transacciones
● Pérdida de continuidad empresarial
Los tipos de riesgo de seguridad adicionales incluyen:
● Acceso no autorizado a transacciones electrónicas
● Eliminación o manipulación de transacciones antes o después del establecimiento
de controles de aplicación.
● Pérdida o duplicación de transmisiones EDI
● Pérdida de confidencialidad y distribución inadecuada de transacciones EDI
mientras están en posesión de terceros.
CONTROLES DE PROCESO EDI
● Deben establecerse estándares para indicar que el formato y el contenido del mensaje son
válidos para evitar errores de transmisión.
● Deben existir controles para garantizar que la aplicación de traducción convierta correctamente
las transmisiones estándar para el software de la aplicación.
● La organización receptora debe tener controles para probar la razonabilidad de los mensajes
recibidos.
● Deben establecerse controles para proteger contra la manipulación de datos en transacciones,
archivos y archivos activos.
● Deben establecerse procedimientos para determinar que los mensajes provienen únicamente de
partes autorizadas y que las transmisiones estén debidamente autorizadas.
● Deben existir canales de transmisión directos o dedicados entre las partes para reducir el riesgo
de intervenir en las líneas de transmisión.
● Los datos deben estar encriptados utilizando algoritmos acordados por las partes involucradas.
● Las firmas electrónicas deben estar en las transmisiones para identificar el origen y el destino.
● Deben existir códigos de autenticación de mensajes para garantizar que se reciba lo que se
envía.
PAPEL DEL AUDITOR DE SI EN EL
PROCESO COMERCIAL EDI
Un auditor de SI debe revisar:
● Implementación de procesos de cifrado de Internet
● Verificación computarizada adicional para evaluar la
razonabilidad y validez de la transacción
● Cada transacción entrante para asegurarse de que se registre
en el recibo
● El uso de totales de control al recibir transacciones
● Totales de recuento de conjuntos de transacciones integrados
en los encabezados del grupo funcional por el remitente
● Totales de control de lotes integrados en los encabezados de
los grupos funcionales por el remitente
● La validez del remitente frente a los datos del socio comercial
EMAIL
Inteligencia 1
●
●
Se
Se
adquieren y utilizan conocimientos.
generan y alcanzan metas.
● Se comunica información.
● Se logra la colaboración.
Artificial y ●
●
Se
Se
forman conceptos.
desarrollan los lenguajes.
Expertos 2 ●
●
●
Redes neuronales
Gestión de texto inteligente
Demostración de teoremas
● Razonamiento abstracto
● Reconocimiento de patrones
● Reconocimiento de voz
● Resolución de problemas
● Traducción automática de idiomas extranjeros.
Sistemas Expertos
Sistemas 2
●
●
●
Capturar el conocimiento y la experiencia de las personas.
Compartir conocimientos y experiencias.
Mejorar la productividad y el desempeño del personal.
● Automatizar tareas altamente (estadísticamente). repetitivas
Expertos (mesa de ayuda, puntaje de créditos, etc.)
● Operar en entornos donde no se dispone de un experto humano
(p. Ej., Asistencia médica a bordo de un barco, satélites).
Sistemas Expertos (Componentes)
Componentes principales son los llamados shells cuando no están llenos de
datos particulares, y los shells están diseñados para albergar nuevos
expertos sistemas.
Inteligencia
Artificial y
Sistemas
Expertos La clave del sistema es la base de conocimientos (KB), que contiene
información o datos específicos.Y La información de la KB se puede expresar
de varias formas:
● Árboles de decisión.
● Reglas.
● Redes semánticas.
● Interfaz de conocimientos:
● Interfaz de datos
El Papel del Auditor de SI en los
Sistemas Expertos
Un auditor de SI debe conocer las diversas aplicaciones de sistemas expertos y de inteligencia artificial
utilizado dentro de la organización. Un auditor de SI necesita preocuparse por los controles relevantes para
Estos sistemas cuando se utilizan como parte integral del proceso de negocio de una organización o funciones
críticas para la misión, y el nivel de experiencia o inteligencia utilizado como base para desarrollar el
software.
➔ Capacidades de Integración.
➔ Distinguir:
Responsabilidad del auditor de SI o de la entidad que emplea los servicios de proveedores de servicios para
hacer lo siguiente:
● Comunicar claramente los objetivos, el alcance y la metodología de la auditoría a través de un carta de
compromiso.
● Establecer un proceso de seguimiento para la revisión periódica del trabajo del servicio externo.
GRACIAS
POR SU ATENCIÓN
PROCESO DE AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
INTEGRANTES:
● Apaza Bolivar Miguel Angel
● Huaylla Diaz Rosmery Lilian
● Mamani Solorzano Efrain Alex
● Quilla Gutierrez Estefani
1.3 Tipos de Controles
● Un control efectivo es aquel que previene, detecta y/o
contiene un incidente y permite la recuperación de un
evento de riesgo.
● Los controles normalmente se componen de políticas,
procedimientos, prácticas y estructuras organizativas
que se implementan para reducir el riesgo para la
organización.
1.3 Tipos de Controles
CONTROL INTERNO:
● Se desarrollan para proporcionar una garantía razonable a la gerencia de que se lograrán
los objetivos comerciales de la organización y se evitarán o detectarán y corregirán los
eventos de riesgo.
● Controles operativos
● Controles administrativos
1.3.1 Objetivos y Medidas de Control
Objetivos de Control Interno:
● Salvaguarda de activos de TI.
● Cumplimiento con las políticas organizacionales o requerimientos legales.
● Entrada de información.
● Autorización.
● Exactitud e integridad del procesamiento de transacciones.
● Salida de información.
● Confiabilidad de los procesos.
● Respaldo/Recuperación.
● Eficiencia y economía de las operaciones.
● Proceso de Administración de cambios en TI y los sistemas relacionados.
1.3.1 Objetivos y Medidas de Control
OBJETIVOS DE CONTROL:
Es necesario comprender la naturaleza del negocio para que el auditor de SI puede identificar
y categorizar los tipos de riesgo que determinarán mejor el modelo o enfoque de riesgo al
realizar la auditoría
Visión general simple de un enfoque de auditoría basado
en riesgos
1.4.1. Riesgos de Auditoría y Materialidad
El riesgo de auditoría se puede definir como el riesgo de que la información recopilada pueda
contener un error material que puede pasar desapercibido durante el curso de la auditoría.
● Riesgo Inherente
● Riesgo de Control
● Riesgo de Detección
● Riesgo General de Auditoría
● Los resultados deben guiar y determinar la acción de gestión adecuada, las prioridades
para gestionar el riesgo de seguridad de la información y las prioridades para implementar
controles seleccionados para proteger contra el riesgo.
Para el riesgo para el cual la opción de tratamiento del riesgo es aplicar controles
apropiados, los controles deben seleccionarse para garantizar que el riesgo se reduzca a un
nivel aceptable, considerando lo siguiente:
● Requisitos y restricciones de la legislación y los reglamentos nacionales e
internacionales.
● Objetivos organizativos.
● Requisitos y limitaciones operativas.
● Rentabilidad (la necesidad de equilibrar la inversión en la implementación y operación
de controles contra el daño que probablemente resulte de fallas de seguridad)
1.4.2 Evaluación de Riesgos
Un auditor de SI debe:
● Ser capaces de identificar y diferenciar los tipos de riesgo y los controles utilizados
para mitigar estos riesgos.
● Tener conocimiento de los riesgos en áreas comunes, los riesgos tecnológicos
relacionados y los controles relevantes.
● Ser capaz de evaluar el proceso, las técnicas de evaluación y gestión de riesgos
utilizadas por los gerentes de negocios, y hacer evaluaciones de riesgo para ayudar a
enfocar y planificar el trabajo de auditoría.
● Comprender que existe un riesgo dentro del proceso de auditoría.
Al revisar estos riesgos comerciales relacionados con TI, un auditor de IS a menudo evaluará
la efectividad del proceso de gestión de riesgos que utiliza una organización
1.4.4 Análisis de Riesgos
A. Riesgo de Control
B. Riesgo de Detección
C. Riesgo Inherente
D. Riesgo de muestreo
GRACIAS
POR SU ATENCIÓN
PROCESO DE AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
INTEGRANTES:
● Apaza Bolivar Miguel Angel
● Huaylla Diaz Rosmery Lilian
● Mamani Solorzano Efrain Alex
● Quilla Gutierrez Estefani
EJECUCIÓN
GESTIÓN DE PROYECTOS DE AUDITORÍA
● Recopilación de evidencias.
● determina si los controles se están aplicando de una manera que cumpla con
las políticas y procedimientos de administración.
1. Muestreo de atributos
a. Muestreo de Atributos
c. Muestreo de Descubrimiento.
2. Muestreo de Variables
f. Estimación de diferencia.
1.7.2 MUESTREO
Términos de muestreo estadístico:
● Coeficiente de confianza
● Nivel de riesgo
● Precision
● Tasa de error esperada
● Media de la muestra
● Desviación estándar de la muestra
● Tasa de error tolerable
● Desviación estándar de la población
1.7.2 MUESTREO
RIESGO DE MUESTREO
● El riesgo de muestreo surge de la posibilidad de que la conclusión de un
auditor de IS pueda ser diferente de la conclusión a la que se llegaría si
toda la población fuera sometida al mismo procedimiento de auditoría. Existen
dos tipos de riesgo de muestreo:
○ Riesgo de una aceptación incorrecta
○ Riesgo de rechazo incorrecto
1.7.2 MUESTREO
Pasos fundamentales en la selección de la muestra:
ANÁLISIS
DE
Un auditor de SI puede seleccionar y analizar conjuntos de
GAS se refiere al software estándar que tiene la capacidad de leer y acceder directamente a
datos de varias plataformas de bases de datos, sistemas de archivos planos y formatos ASCII.
.
1.9.1 TÉCNICAS DE AUDITORÍA ASISTIDA POR COMPUTADORA
Un auditor de SI debe sopesar los costos y beneficios de usar CAAT. Elementos a
considerar antes de utilizar CAAT::
● Facilidad de uso para el personal de auditoría actual y futuro
● Requisitos de formación
● Complejidad de codificación y mantenimiento
● Flexibilidad de usos
● Requerimientos de instalación
● Eficiencias de procesamiento
● Esfuerzo necesario para llevar los datos de origen a los CAAT para su análisis.
● Asegurar la integridad de los datos importados salvaguardando su autenticidad
● Registrar la marca de tiempo de los datos descargados en puntos críticos de
procesamiento para mantener la credibilidad de la revisión.
● Obtener permiso para instalar el software en los servidores auditados.
● Fiabilidad del software
● Confidencialidad de los datos en tratamiento
1.9.1 TÉCNICAS DE AUDITORÍA ASISTIDA POR COMPUTADORA
Al desarrollar CAAT, los siguientes son ejemplos de documentación que debe
conservarse:
● Informes en línea que detallan los problemas de alto riesgo para su revisión.
● Listas de programas comentadas
● Diagramas de flujo
● Muestra de informes
● Diseños de registros y archivos
● Definiciones de campo
● Instrucciones de operación
● Descripción de los documentos fuente aplicables
CAAT como un enfoque de
auditoría en línea continua
● Conductores
– Mejor monitoreo de los aspectos financieros
– Permite el monitoreo en tiempo real de transacciones en línea
– Previene fiascos financieros y escándalos de auditoría
– Usa software para determinar el control financiero más apropiado.
.
● Distinción entre auditoría continua y monitoreo continuo
1.9.2 AUDITORÍA Y SEGUIMIENTO CONTINUO
¿Qué debe hacer una técnica de auditoría continua cuando un sistema es mal utilizado
por alguien que retira dinero de una cuenta que no funciona?
Una técnica de auditoría continua informará este retiro de manera oportuna a un
auditor de SI. Reduce el lapso de tiempo entre el mal uso del sistema y la detección
de ese mal uso.
1.9.3 TÉCNICAS DE AUDITORÍA DE
CONTINUA
Hay cinco tipos de técnicas de evaluación automatizadas aplicables a la
auditoría continua:
● Registro de transacciones
● Herramientas de consulta
● Estadísticas y análisis de datos
● DBMS (sistema de administración de bases de datos)
● Almacenes de datos, mercados de datos, minería de datos
● Agentes inteligentes
● EAM (módulos embebidos de auditoría)
● Tecnología de redes neuronales
● Estándares como Extensible Business Reporting Language
(XBRL)
1.9.3 TÉCNICAS DE AUDITORÍA DE
CONTINUA
Ventaja
● Captura instantánea de problemas de
control interno
● Reducción de las ineficiencias
intrínsecas de auditoría
Desventajas
– Dificultad en la implementación
– Alto costo
– Eliminación del juicio personal del
auditor y su evaluación
Técnica de Presentación de Informes
y Comunicación
● Hechos correctos.
● Recomendaciones realistas.
Técnicas de presentación
● Resumen ejecutivo.
● Presentacion visual.
1.10.2 Objetivos del Informe de Auditoría
Los 6 objetivos del reporte de auditoria son:
● Servir como una referencia valiosa para cualquier parte que investigue el
auditado o el tema de la auditoría.
● Variedad de hallazgos.
DOCUMENTACION DE AUDITORIA
Es el registro escrito que proporciona el apoyo
a las representaciones en el informe del auditor.
Deberia:
➢ Demostrar que el trabjo cumplio con los
estándares.
➢ Apoyar a la base de las conclusiones del
auditor.
Permite determinar si la
dirección ha tomado acciones
correctivas apropiadas, por
ello la auditoría es un proceso
continuo.
La organización y el contenido
específico depende del
alcance y los objetivos del
trabajo de auditoría.
De los requisitos y
expectativas establecidos
entre la organización auditora
y el auditado.
GARANTÍA DE CALIDAD Y MEJORA DE
PROCESOS DE AUDITORÍA
B. Datos de prueba
C. Software utilitario
D. Sistemas expertos
Pregunta 2:
2. Dado que la aplicación es accedida a través de la Internet, ¿cómo debe el
auditor determinar si se debe realizar un examen detallado de los ajustes de
configuración de las reglas del firewall y del la red privada virtual (VPN)?
INTEGRANTES:
● Apaza Bolivar Miguel Angel
● Huaylla Diaz Rosmery Lilian
● Mamani Solorzano Efrain Alex
● Quilla Gutierrez Estefani
CASO DE ESTUDIO
CASO DE ESTUDIO
Betatronics es un fabricante de productos electrónicos de tamaño medio con sede en
Estados Unidos y fábricas ubicadas en América Latina. Se le ha pedido a un auditor de
SI dentro de la empresa que realice un trabajo preliminar que evaluará la preparación
de la organización para una revisión a fin de medir el cumplimiento de los nuevos
requisitos regulatorios de EE. UU.
Estos requisitos están diseñados para garantizar que la administración esté
desempeñando un papel activo en la configuración y el mantenimiento de un entorno
bien controlado y evaluará la revisión y prueba de la administración de los controles
generales de TI. Las áreas a evaluar incluyen:
• Seguridad lógica y física
• Gestión del cambio
• Control de producción y gestión de redes
• Gobierno de TI
• Computación del usuario final
CASO DE ESTUDIO
El auditor de SI tiene seis meses para realizar este trabajo preliminar. En años anteriores, se
han identificado problemas repetidos en las áreas de seguridad lógica y gestión de cambios.
Las deficiencias lógicas de seguridad que se observaron incluyeron el intercambio de
cuentas de administrador y la falla en hacer cumplir los controles adecuados sobre las
contraseñas. Las deficiencias en la gestión de cambios incluyeron la segregación
inadecuada de deberes incompatibles y la falta de documentación de todos los cambios.
Además, se descubrió que el proceso para implementar actualizaciones del sistema
operativo en los servidores solo es parcialmente efectivo.
Anticipándose al trabajo que debe realizar el auditor de SI, el director de información (CIO)
solicitó informes directos para desarrollar narrativas y flujos de proceso que describan las
principales actividades de las que TI es responsable. Estos fueron completados, aprobados
por los diversos propietarios de procesos y el CIO, y luego enviados al auditor de SI para su
examen.
A. Realizar una encuesta de auditoría de los
controles de acceso lógico.
2. Al auditar la seguridad
B. Las contraseñas no están obligadas a cambiar
lógica, el auditor de SI está con frecuencia.
3. Al probar la gestión de
B. Los cambios en el código de producción deben ser
cambios del programa en este muestreados y rastreados hasta la documentación de
autorización apropiada
caso, ¿cómo se debe
seleccionar la muestra? C. Los documentos de gestión del cambio deben
seleccionarse en función de la criticidad del sistema y
examinarse para su idoneidad
● El auditor de SI puede comprobar qué cuenta se utilizó para ejecutar una tarea de
administrador del sistema en particular recientemente.
● El auditor de SI puede verificar si hubo un registro de cambios para cualquier cambio
seleccionado en el sistema (es decir, reinicio del servidor y parches).
● El auditor de SI puede examinar las transacciones para ver si separaron los deberes
incompatibles.
A. Los reportes de auditoria de SI anteriores y
planificar el cronograma de auditoria
RONDA DE PREGUNTAS
A. Asegurarse de que la evaluación de riesgos esté
alineada con el proceso de evaluación de riesgos de
PREGUNTA
la administración.
Durante un análisis de riesgo, un
auditor de SI identifica amenazas e B. Identificar el activo de información y los sistemas
impactos potenciales. A continuación, subyacentes.
el auditor de SI debe:
C. Divulgar las amenazas y los impactos a la
gerencia.
D. Instantáneas de transacciones
A. Software de auditoría generalizado
SOLUCION
A) El software de auditoría
generalizada (GAS) es una B. Una instalación de prueba integrada.
herramienta de análisis de
datos que se puede utilizar para
filtrar grandes cantidades de C. Pruebas de regresión
datos.?
D. Instantáneas de transacciones
A. Áreas de riesgo
significativo
En la planificación de una
auditoría, el paso más crítico es B. Conjuntos de habilidades
la identificación de : del personal de auditoría
C. Pasos de prueba en la
auditoría
C. Pasos de prueba en la
auditoría
RESPUESTA B
A. Las auditorías forenses no se limitan al fraude corporativo.
B.- La recopilación y el análisis sistemáticos de las irregularidades posteriores al sistema
describen mejor una auditoría forense. Las pruebas recopiladas pueden luego analizarse y
utilizarse en procedimientos judiciales.
C.- Evaluar la exactitud de los estados financieros de una organización no es el propósito
principal de la mayoría de las auditorías forenses.
D.- La ciencia forense es la investigación de pruebas relacionadas con un delito o mala
conducta. La preservación de la evidencia es el proceso forense, pero no el propósito
principal.
A. Revisar los hallazgos de auditorías
anteriores
¿Cuál de los siguientes es el paso más crítico B. Aprobación del plan de auditoría por parte de
al planificar una auditoría de IS? la dirección ejecutiva.
¿Cuál de los siguientes es el paso más crítico B. Aprobación del plan de auditoría por parte de
al planificar una auditoría de IS? la dirección ejecutiva.
RESPUESTA C
A.- Una hoja de datos suministrada por los administradores del sistema puede no estar completa o ser inexacta.
Se debe recolectar evidencia documental para sustentar la hoja de cálculo de auditados.
B.- Los documentos de acceso a recursos humanos firmados por los gerentes son buena evidencia; sin
embargo, no son tan objetivos como la lista de acceso generada por el sistema, porque el acceso puede haber
cambiado o los documentos pueden haber sido incorrectos cuando fueron firmados.
C.- La lista de acceso generada por el sistema es la más confiable, porque es la evidencia más objetiva para
realizar una comparación con las muestras seleccionadas. La evidencia es objetiva, porque fue generada por el
sistema y no por un individuo.
D.- Las observaciones constituyen una buena evidencia para comprender la estructura de control interno; sin
embargo, las observaciones no son eficaces para muchos usuarios. Las observaciones no son lo
suficientemente objetivas para una prueba sustantiva.
A1. Un auditor de SI desea
A. Herramientas de ingeniería de software
analizar pistas de auditoría en asistidas por computadora
RESPUESTA C
A. Las herramientas de ingeniería de software asistidas por computadora se utilizan para ayudar en
el desarrollo de software.
B. El software integrado (de auditoría) de recopilación de datos, como el archivo de revisión de
auditoría de control de sistemas o el archivo de revisión de auditoría de sistemas, se utiliza para
proporcionar estadísticas de muestreo y producción, pero no para realizar un análisis de registros.
C.- Las herramientas de detección de tendencias / variaciones buscan anomalías en el
comportamiento del usuario o del sistema, cómo facturas con números de facturas crecientes.
D. Las herramientas de análisis heurístico son un tipo de análisis de virus que se utiliza para indicar
un posible tráfico infectado.
GRACIAS
POR SU ATENCIÓN