Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas de Información
Serviciode
Servicio de Auditoría
Auditoría Interna
Interna
Índice
Implicación de la Dirección
Incremento vulnerabilidad de los sistemas
Dar respuesta a la dependencia de la información
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados
Independencia
Autoridad
A- Actividades básicas
Dirección o Gobierno de las TIC (Gobernanza TIC)
Supervisar el control interno TIC
Supervisar la gestión de riesgos TIC
C- Auditoría forense
Desafío ante delitos informáticos, garantizando la evidencia
digital que se presentase en un proceso judicial.
Recuperar información
Determinar cusa y origen de una situación
Identificar autor(es) acciones ilícitas
Identificar uso inapropiado de los medios de la Organización
Hechos
Adecuar técnicas auditoría tradicionales a los controles de las TIC
Generar resultados homogéneos
Organizar los trabajos (tipificar tareas)
Emplear distintos referentes según tipo de auditoría
Estándares basados en buenas prácticas
Servicio de Auditoría Interna
Estándares y Normas Técnicas
Qué auditar
Cumplimiento de requerimientos legales
Sensibilidad de la organización a riesgos / resultado de análisis
Resultado de auditorías anteriores
Condicionantes de la Organización
Cuándo auditar
Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la dirección
Elaborar el documento de planificación periódica de la unidad
de auditoría
Revisión periódica del plan inicial para incorporar actuaciones
no previstas
Cómo auditar
Proceso para planificar las actuaciones individuales
Servicio de Auditoría Interna
Planificación de Actuaciones
Análisis de Sensibilidad de Requerimientos
riesgos la Dirección legales
Tarea 1
Tarea 2
Tarea n
PLANIFICACIÓN DE ACTIVIDADES
TRABAJOS DE CAMPO
Revisión de documentos
Entrevistas
Observación del trabajo realizado
Pruebas y verificaciones
Uso de herramientas
Precauciones
El acceso a los datos reales por los auditores debe ser siempre sólo
en modo lectura
Los datos extraídos deben aislarse del entorno de producción para
evitar que las manipulaciones alteren los originales
El empleo de herramientas que puedan causar perturbaciones debe
ser limitado Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
Ejemplos
Logs: contienen el registro de actividad
Utilidades de sistema: contienen los parámetros que
implementan las políticas de control
Software generalizado de auditoría: acceso a archivos,
selección de datos, reorganización, etc.
Software específico: herramientas empleadas con un
propósito concreto
1. Punto(s) de control
En función del objetivo y alcance de la actuación se habrán
establecido objetivos de control detallados => apartados
del guión. Identifica lo que se va a supervisar del sistema de
control.
2. Directriz de auditoría
Desarrollan los Puntos de control señalando las tareas a
efectuar,
efectuar antes o durante la actuación.
Determinan los medios y técnicas necesarios para cada punto
de control
Limitadas por el desarrollo de la función de auditoría en la
Organización
Servicio de Auditoría Interna
Guión para Auditorías de Sistemas de Información
Contenidos
del Informe
de Auditoría
www.agenciatributaria.es
Servicio de Auditoría Interna