Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de
“Chimborazo”
Facultad de ingeniería
Carrea de sistemas y computación
• Cumplimientos externos:
• Identificar los requerimientos gubernamentales u otros externos a la
organización, que sean relevantes y que atañan a las prácticas y los
controles de sistemas información
• Documentar las leyes, reglamentaciones, etc. Pertinentes.
• Evaluar si la gerencia de la organización y la función de Si han tenido
en cuenta los requerimientos externos relevantes cuando realizan la
planificación y cuando establecen las políticas, estándares y
procedimientos.
• Revisar los documentos del departamento/función/actividad interna
de Servicios de Información que tratan del cumplimento de leyes
aplicables a la industria en la que opera la organización
6.2. ANALISIS DE RIESGOS 6.3. CONTROLES INTERNOS
Ayuda a identificar los riesgos y vulnerabilidades Los controles internos toman forma de políticas, procedimientos,
para que el auditor pueda determinar los controles prácticas y estructura organizacional. Las actividades de control y
que son necesarios para mitigar esos riesgos. los procesos que las soportan pueden ser manuales o
automatizadas. Deben estar establecidos en todos los niveles de
•Amenazas a, y vulnerabilidades de, los procesos la organización. El comité de dirección y el primer nivel de
y/o los activos, tanto activos físicos como lógicos. dirección son los responsables de establecer la cultura apropiada
para facilitar un sistema de control interno eficaz y para hacer un
•Impacto en los activos basado en las amenazas y seguimiento continuo de su eficacia.
las vulnerabilidades
Exige reunir evidencias, evaluar las fortalezas y • Auditorías financieras. Su propósito es evaluar
debilidades de los controles basadas en las la corrección de los estados financieros de una
evidencias recopiladas, y presentar esos temas de organización.
auditoría en forma objetiva a la gerencia en el
• Auditorías operacionales. Su propósito es
informe final de auditoría.
evaluar la estructura de control interno de un
proceso o área.
• Auditorías integradas. Son una mezcla de las
dos anteriores. Puede ser realizada por
auditores internos o externos.
• Auditorías administrativas. Su propósito es
evaluar la eficacia y eficiencia de las
operaciones. Puede ser realizada por auditores
internos o externos.
• Auditorías de sistemas de información. En
ellas se recogen y evalúan evidencias para
determinar si el sistema de información y los
recursos relacionados salvaguardan los activos,
mantienen la integridad de los datos y del
sistema, proveen información fiable y relevante.
6.4.2. Metodología de una auditoría 6.4.3. Riesgo de auditoría y materialidad
Los riesgos de negocio son los temas acerca de los efectos probables de
Es un conjunto de procedimientos documentados de un evento incierto en la consecución de los objetivos de negocio
auditoría diseñados para alcanzar los objetivos de establecidos.
auditoría planificados.
6.4.4. Técnicas de evaluación de riesgos 6.4.5. Objetivos de auditoría
• Documentación interna.
El Auditor utiliza su criterio, basado en su experiencia, para Un Auditor de SI debe tener un profundo conocimiento de las
determinar el método de muestreo, el número de ítems que se técnicas informáticas de auditoría y dónde deben ser aplicadas.
examinarán dentro del universo (tamaño de la muestra), y cuáles de
Este conocimiento debe incluir tanto la utilización de software
esos ítems se seleccionarán (selección de la muestra).
El auditor tiene a su disposición dos enfoques generales para el general de auditoría como de técnicas más avanzadas tales como
muestreo de auditoría con dos métodos básicos de muestreo: generadores de datos de prueba y técnicas para efectuar pruebas
1. Muestreo de atributos, también denominado muestreo estimativo, integradas.
que es la técnica utilizada para estimar el valor de ocurrencia de un
control dado o un conjunto de controles relacionados (los atributos). Cuando se solicite acceso a los datos de producción para
2. Muestreo de Variables es la técnica que se utiliza para estimar utilizarlos mediante CAATs, el auditor debe solicitar que se le dé
valores monetarios o de alguna otra unidad de medida, como el peso acceso de solo lectura. Cualquier manipulación que el auditor
o la población, a partir de una porción que constituya una muestra. realice debe ser hecha sobre copias de los archivos de producción
en un entorno controlado que asegure que los datos de producción
no queden expuestos a manipulación no autorizada
6.4.10. Evaluación de las Fortalezas y
6.4.11. Comunicación de los resultados de auditoría
Debilidades de Auditoría