13 - procesos de auditoría
DESCRIPTION
procesos de auditoriaTRANSCRIPT
![Page 1: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/1.jpg)
UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS
FACULTAD DE CIENCIAS CONTABLES
Procesos de Auditoría de TI
![Page 2: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/2.jpg)
TEMARIO
1. Proveer servicios de auditoría de acuerdo con lasnormas de auditoría ES.
2. Directrices y mejores prácticas para ayudar a laorganización.
3. Asegurar que la tecnología de la información y lossistemas de negocios estén protegidos y controlados.
2
![Page 3: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/3.jpg)
1. Proveer Servicios de Auditoría y Normas
3
![Page 4: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/4.jpg)
4
Servicios de un Auditor
Los servicios de un auditor, se agrupan en 3 categorías, como son:
AuditoríaAuditoría
Revisión LimitadaRevisión Limitada
Hechos Concretos(procedimientos acordados)
Hechos Concretos(procedimientos acordados)
![Page 5: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/5.jpg)
5
La Auditoría
Proporciona un nivel alto, pero no absoluto de seguridad en laeficiencia de los procedimientos de control. No existe seguridadabsoluta, es difícil de conseguir ya que depende de varios factores,como:
- Necesidad de juicio profesional.
- La realización de pruebas.
- Las limitaciones inherentes al control interno.
![Page 6: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/6.jpg)
6
La Revisión Limitada
Proporciona un nivel moderado de seguridad sobre la efectividadde los procedimientos de control.
El nivel de seguridad es menor que el que proporciona unaauditoría debido a que el alcance del trabajo es de menor amplitudque en la auditoría y que la naturaleza, el momento y la extensiónde los procedimientos que se realizan no proporcionan evidenciade auditoría suficiente y apropiada para permitirle al auditorexpresar una opinión positiva.
![Page 7: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/7.jpg)
7
La Auditoría y la Revisión Limitada
Ambas tienen que:
1. Planificar el encargo.
2. Evaluar la efectividad del diseño de los procedimientos decontrol.
3. Realizar pruebas sobre la efectividad operativa de losprocedimientos de control (la naturaleza, momento y extensiónde las pruebas variará entre una auditoría y una revisiónlimitada.
![Page 8: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/8.jpg)
8
La Auditoría y la Revisión Limitada
4. Formarse una opinión e informar sobre el diseño y laefectividad operativa de los procedimientos de controlbasándose en los criterios identificados:
a. La conclusión de una auditoría se expresa con una opinión positiva y proporciona un nivel alto de seguridad.
b. La conclusión de una revisión limitada se expresa con una declaración de seguridad negativa y sólo proporciona un nivel moderado de seguridad.
![Page 9: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/9.jpg)
9
Hechos Concretos o Procedimientos Acordados
1. El auditor no concluye con ninguna expresión de seguridad.
2. Al auditor se le encarga que realice unos procedimientosespecíficos para cubrir las necesidades de información deaquellas partes que han acordado los procedimientos que hayque realizar.
3. El auditor emite un informe de esos hechos concretos.
4. Los receptores del informe extraen sus propias conclusiones yaque el auditor no ha decidido ni la naturaleza, ni el momento,ni la extensión de los procedimientos.
5. El uso del informe queda restringido a las partes que acordaronlos procedimientos debido a que otras personas no conoceránlas razones de los procedimientos realizados, pudiéndosemalinterpretar los resultados.
![Page 10: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/10.jpg)
10
Normas Técnicas de Auditoría de Sistemas de Información
Constituyen los requisitos que el auditor debe cumplir en el
ejercicio de sus funciones para expresar su opinión técnica y
responsable.
![Page 11: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/11.jpg)
11
Clasificación de la Normas:
�Se clasifican según el grado de obligación que elauditor tenga que cumplirlas, en tres categorías:
� Principios
� Directivas
� Procedimientos
![Page 12: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/12.jpg)
12
Clasificación de la Normas:
Principios:
Los principios de auditoría están constituidos por aquellosrequisitos de obligado cumplimiento que el auditor de sistemas deinformación ha de seguir para hacer las auditorías.
Directivas:
• Son la guía para aplicar los principios de auditoría.
• El auditor debe tener las directivas en cuenta para determinarcómo implantar los principios antes mencionados.
• Para aplicarlas el auditor debe basarse en su juicio profesional.
• De no seguir las directivas, el auditor deberá justificarlo.
![Page 13: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/13.jpg)
13
Clasificación de la Normas:
Procedimientos:
• Son ejemplos sobre cómo el auditor puede realizar su trabajo.
• Los documentos de los procedimientos proporcionaninformación de cómo cumplir los principios y las directivas a lahora de realizar el trabajo de auditoría de sistemas deinformación.
• No son obligatorio el cumplimiento.
![Page 14: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/14.jpg)
2. Directrices y mejores prácticas para ayudar a la organización
14
![Page 15: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/15.jpg)
15
Para un Sistema de Información
La auditoría de TI es:
- Un proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos,
mantiene la integridad de los datos, lleva a cabo los fines de la
organización y utiliza eficientemente los recursos.
- Es el mecanismo/proceso metodológico para valorar y evaluar la
confianza que se puede depositar en TI.
![Page 16: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/16.jpg)
16
La Auditoría de SI
Distingue de dos grandes controles en un entorno de TI:
• Los controles sobre las infraestructuras de tecnologías.
• Los controles imbuidos en las propias aplicaciones o softwarepara la gestión de la actividad del negocio.
![Page 17: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/17.jpg)
17
COBIT 5
• Incluye directivas de administración de la seguridad en TI
• Administración de Seguridad.
• Administración de Servicios de Seguridad.
• Evaluar y evaluar el desempeño y Conformidad.
• Evaluar y valorar el sistema de control interno.
• Evaluar y evaluar el cumplimiento de Requisitos Externa.
![Page 18: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/18.jpg)
3. Asegurar que la tecnología de la información y los sistemas de negocios estén protegidos y
controlados
18
![Page 19: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/19.jpg)
COBIT 5 for (Information) Security:
la novedad …
19
![Page 20: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/20.jpg)
Familia de Productos COBIT 5 – un nuevo miembro
© 2012 ISACA. All rights reserved.20
![Page 21: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/21.jpg)
COBIT 5 – Integra los componentesdel BMIS
COBIT 5 toma como base el modelo relacional que utilizaBMIS (Business Model for Information Security),incorporando su visión integral y sus componentes a lanueva versión
© 2012 ISACA. All rights reserved.21
![Page 22: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/22.jpg)
Introducción al BMIS
Modelo de negocios para la Seguridad de la Información
⁻ Presenta un enfoque integral y orientado al negocio para lagestión de la seguridad de la información
⁻ Establece un lenguaje común para referirse a la protección de lainformación
⁻ Desafía la visión convencional de la inversión en seguridad de lainformación
⁻ Explica en forma detallada el modelo de negocio para gestionarla seguridad de la información, invitando a utilizar unaperspectiva sistémica
⁻ Información (en inglés) disponible en: www.isaca.org/bmis
22
![Page 23: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/23.jpg)
⁻ Estos componentes son:
• Organización
• Procesos
• Personas
• Factores Humanos
• Tecnología
• Cultura
• Habilitación y soporte
• Gobierno
• Arquitectura
• “Emergence”
© 2012 ISACA. All rights reserved.
COBIT 5 – Integra los componentesdel BMIS
Varios de los componentes del BMIS han sido integrados al COBIT5, como habilitadores que interactúan y respaldan la gestión en laorganización para alcanzar sus objetivos de negocio y crear valor.
23
![Page 24: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/24.jpg)
COBIT 5 y la Seguridad de la Información
24
![Page 25: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/25.jpg)
COBIT 5 for (Information) Security …
1. Se proyecta como una guía específica para los profesionales de laSeguridad de la Información y otros interesados
2. Se construye sobre el marco del COBIT 5, un enfoque robusto parael gobierno y la gestión de la seguridad de la información, sobre labase de los procesos de negocios de la organización
3. Presentará una visión extendida del COBIT 5 , que explica cada unode sus componentes desde la perspectiva de la seguridad
25
![Page 26: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/26.jpg)
26
COBIT 5 for (Information) Security
4. Creará valor para todos los interesados a través deexplicaciones, actividades, procesos y recomendaciones
5. Propondrá una visión del gobierno y la gestión de la seguridadde la información mediante una guía detallada paraestablecerla, implementarla y mantenerla, como parte de laspolíticas, procesos y estructuras de la organización.
![Page 27: 13 - Procesos de Auditoría](https://reader034.vdocumento.com/reader034/viewer/2022051116/5695d1ad1a28ab9b02977bed/html5/thumbnails/27.jpg)
COBIT 5 for (Information) Security
Principales contenidos:
1. Directrices sobre los principales drivers y beneficios de la
seguridad de la información para la organización
2. Aplicación de los principios de COBIT 5 por parte de los
profesionales de la seguridad de la información
3. Mecanismos e instrumentos para respaldar el gobierno y la
gestión de la seguridad de la información en la organización
4. Alineamiento con otros estándares de seguridad de la
información.
27