Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • PreparTrabAuditorInformatico 212Q v1-2

    Cargado por

    Carlos Andrés Arroyo
    5 vistas6 páginas

    Título original

    PreparTrabAuditorInformatico_212Q_v1-2

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas6 páginas

    PreparTrabAuditorInformatico 212Q v1-2

    Cargado por

    Carlos Andrés Arroyo

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    Preparación del trabajo del auditor informático.

    Concepto de análisis del riesgo informático

    Según la Norma ISO 19011-2011, un plan de auditoría es una “descripción de las actividades
    y de los detalles acordados de una auditoría”. El trabajo del auditor está determinado por:

    a) Trabajar según un modelo de ciclos o períodos.


    b) Estructurar el plan por períodos de corto plazo (generalmente 1 año) y a largo plazo
    (generalmente de 5 años).
    c) Figurar, la misión y función, dentro del estatuto de la empresa.

    El auditor informático tiene 3 principales tareas:

    1) Entender el negocio y los procesos centrales de la empresa


    a) Análisis estratégico de la

    Se analiza el funcionamiento estratégico


    de la empresa para elaborar el escenario.
    empresa

    Se debe lograr entender la misión, los


    objetivos, el propósito y los principales
    procesos del negocio incluyendo aspectos
    como: requerimientos de información y
    procesamiento, CIA, etc.

    © Universidad de Palermo. Prohibida la reproducción total o parcial de imágenes y textos. 1


    b) Análisis del Marco Regulatorio
    Tamaño de la industria.

    Identificación de leyes y normas


    aplicables.

    El Marco regulatorio define las Mejores prácticas.


    normas aplicables, los controles,
    los requisitos de cumplimiento.
    Correlación entre las funciones
    financieras, operativas y de la
    auditoría de TI.

    Análisis de responsabilidades
    asignadas a las entidades
    correspondientes.
    c) Análisis de Riesgo

    Amenaza y vulnerabilidades
    respecto a los procesos y
    activos. Evento que afecta
    negativamente el objetivo del
    negocio.

    Ayuda a identificar los riesgos y


    vulnerabilidades para la Impacto sobre los bienes
    determinación de los controles
    necesarios para mitigarlos.
    basado en las amenazas y
    Elementos del Riesgo: vulnerabilidades.

    Probabilidad de ocurrencia.

    © Universidad de Palermo. Prohibida la reproducción total o parcial de imágenes y textos. 2


    1-Identificación
    de los objetivos
    de negocio.

    2-Identificación
    6-Definción de
    de los activos,
    controles
    sistemas e
    faltantes.
    infraestructuras.
    c) Análisis de
    Riesgo -
    Proceso de
    Gestión de
    Riesgos en
    5- Identificación Auditorias:
    del riesgo 3-Evaluación de
    residual y riesgos (Riesgo
    establecimiento inherente)
    de mitigaciones.
    4- Revisión de
    los controles
    existentes.
    d) Planificación de la auditoría

    Planificación a corto plazo

    Visión de las tareas:

    Planificación a largo plazo

    Cambios en los procesos de negocio.

    Técnicas de evaluación mejorada.

    Aspectos a considerar:
    Requerimientos regulatorios y
    aspectos de privacidad.

    Cambios tecnológicos, dueños de los


    procesos y limitaciones de recursos.

    © Universidad de Palermo. Prohibida la reproducción total o parcial de imágenes y textos. 3


    2) Revisar el entorno de control interno

    a) Métodos y procedimientos de revisión del entorno de control interno

    Se desarrolla para suministrar con certeza razonable que se alcanzarán los objetivos
    del negocio y que los eventos adversos serán minimizados.

    Aspectos claves del control:

    • Determinar qué debería lograrse para alcanzar los objetivos del negocio.
    • Determinar qué quiero evitar, detectar y corregir.

    Los principales objetivos de los controles de TI son:

    • El procesamiento seguro.
    • La confidencialidad de la información.
    Seguridad de la
    • La integridad de la información.
    información
    • La disponibilidad de los datos.
    • La gestión general de la función de TI en las organizaciones.

    b) Tipos de controles internos

    Los controles internos se dividen en 3 niveles:

    1. Objetivos de control -> Se trata de la definición de objetivos de control que


    podrán ser aplicados tanto a aspectos manuales como automatizados.
    2. Procedimientos de control -> El auditor arma los procedimientos planificados
    específicamente para esa auditoría.
    3. Ejecución del control -> La ejecución del control en sí es el medio por el cual se
    logran los objetivos previamente establecidos.

    c) Implementación de un sistema de control interno informático

    Los controles pueden implantarse a varios niveles diferentes. La evaluación de los


    controles de las TIs exige analizar diversos elementos interdependientes. Por ello,
    es importante llegar a conocer bien la configuración del sistema, con el objeto de
    identificar los elementos, productos y herramientas que existen para saber dónde
    pueden implantarse los controles, así como para identificar posibles riesgos.

    Para la implantación de un sistema de controles internos informáticos habrá que


    definir:

    © Universidad de Palermo. Prohibida la reproducción total o parcial de imágenes y textos. 4


    • Gestión de sistemas de información.
    • Administración de sistemas.
    • Seguridad.
    • Gestión del cambio.

    d) Herramientas de control

    Son elementos de software que permiten definir uno o más elementos de control
    para cumplir una normativa y un objetivo de control. Las herramientas de controles
    más comunes son:

    • Seguridad lógica del sistema.


    • Seguridad lógica complementaria al sistema (desarrollado a medida).
    • Seguridad lógica para entornos distribuidos.
    • Control de acceso físico. Control de presencia.
    • Control de copias.
    • Gestión de sopones magnéticos.
    • Gestión y control de impresión y envío de listados por red.
    • Control de proyectos.
    • Control de versiones.
    • Control y gestión de incidencias.
    • Control de cambios.

    Todas estas herramientas están inmersas en controles nacidos de unos objetivos de


    control y que regulan la actuación de las distintas áreas involucradas.

    © Universidad de Palermo. Prohibida la reproducción total o parcial de imágenes y textos. 5


    3) Ejecutar una auditoría de sistemas de información o TI

    Identificar el área a auditar. Se debe establecer a quienes (área) o qué (sistema)


    Sujeto
    será auditado.

    Objetivo •Identificar el propósito de la auditoría.

    •Se determina el alcance. Qué incluye y qué no. Identificar los sistemas, la funciones
    Alcance
    a ser incluidas.

    •Identifica las habilidades y recursos técnicos que se necesita, identificar la ubicación


    Plan
    de las instalaciones serán auditadas

    •Definición del esquema de pruebas. Qué pruebas, cómo se realizarán, y el tipo de


    Pruebas
    pruebas. Resultados.

    Eviden- •Son el resultado de las pruebas sobre los controles, la recopilación de evidencias y
    cias hallazgos.

    Referencias bibliográficas

    • IRAM / ISO 19011:20112 – Directrices para la auditoría de los sistemas de gestión.


    • Piattini, M. y Del Peso, E. Auditoría Informática: Un enfoque práctico (Capítulo 2
    “Control Interno y Auditoría Informática”; Capítulo 3 “Metodologías de Control
    Interno, Seguridad y Auditoría”; Capítulo 16 “Auditoría de la Calidad”).

    © Universidad de Palermo. Prohibida la reproducción total o parcial de imágenes y textos. 6

    También podría gustarte