cisa - tema 1 el proceso de auditoria de sistemas de ion ado
TRANSCRIPT
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 1/69
TemaTema 1:1:
ElEl ProcesoProceso de lade la AuditoríaAuditoría dedeSistemasSistemas dede InformaciónInformación
Julio, 2011Julio, 2011
Ing. Víctor Campos MedinaCISM ± CISA ± CRISC ± Cobit-F
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 2/69
2
CONTENIDO DEL CURSO
1. Proceso de Auditoria de Sistemas
2. Gobierno de Tecnologías de Información3. Ciclo de vida de Sistemas e Infraestructura
4. Servicio de Entrega y Soporte de TI
5. Protección de los Activos de Información6. Continuidad del negocio y recuperación dedesastre
CERTIFIED INFORMATION SYSTEM AUDITORCERTIFIED INFORMATION SYSTEM AUDITOR
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 3/69
3
Certified Information System Auditor (CISA):
reconocida mundialmente como símbolo de
excelencia profesional desde 1978.
Obtenida por experiencia en auditoria, Control
y Seguridad en SI.
Existen mas de 38 000 CISA¶s en el Mundo
El exámen se ofrece en 11 idiomas, en mas de200 lugares.
CERTIFIED INFORMATION SYSTEM AUDITORCERTIFIED INFORMATION SYSTEM AUDITOR
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 4/69
4
2. Pasarel riguroso
Examen
3. Cumplir conlosrequerimientos
anuales deeducacióncontinua
1. Demostrar05 años de
Experienciaprofesional
CERTIFIED INFORMATION SYSTEM AUDITORCERTIFIED INFORMATION SYSTEM AUDITOR
PARA OBTENER
EL CERTIFICADO
COMO AUDITOR
DE SISTEMAS DE
INFORMACIÓN
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 5/69
5
El profesional debe brindar servicios de Auditoríade Sistemas acordes a los estándaresinternacionales, los lineamientos y las mejores
prácticas, de modo que apoye a la organizaciónen el aseguramiento de que su tecnología deinformación , así como sus sistemas de negociosse encuentran protegidos y controlados.
El Proceso de la Auditoria de SIEl Proceso de la Auditoria de SI
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 6/69
6
Según el Comité de CertificaciónSegún el Comité de Certificación
CISA, esta área de procesoCISA, esta área de procesorepresenta aproximadamente elrepresenta aproximadamente el10% del examen CISA10% del examen CISA
(alrededor de 20 preguntas).(alrededor de 20 preguntas).
El Proceso de la Auditoria de SIEl Proceso de la Auditoria de SI
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 7/69
7
Área de ProcesosVisión GeneralÁrea de ProcesosVisión General
� Objetivo� Misión y planeamiento de la auditoría� Leyes y regulaciones� N
ormas y directrices de ISACA para la auditoriade los SI� Análisis de riesgo� Controles internos�Ejecución de una auditoría de SI� Auto evaluación del control
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 8/69
8
ObjetivoObjetivo
Asegurar que el candidato CISA tenga elconocimiento necesario para planear y efectuar auditorías de SI según las normas y las directrices
de auditoría generalmente aceptadas, a fin debrindar una declaración de aseguramientorespecto al nivel hasta el cual la TI y los sistemasde la entidad se controlan, monitorean y evalúan
adecuadamente.
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 9/69
9
Misión y Planeamientode la AuditoríaMisión y Planeamientode la Auditoría
� Planeamiento de la Auditoría
� Estatuto de Auditoría� Planes a corto y largo plazo
� Leyes y Regulaciones
� Efecto sobre el planeamiento de la auditoríade SI
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 10/69
10
Misión y Planeamientode la AuditoríaMisión y Planeamientode la Auditoría
� El planeamiento adecuado es un primer pasonecesario, para efectuar auditorías de TIeficaces
�Se necesita conocer el ambiente general de laactividad, así como los riesgos asociados con elcontrol y dicha actividad
� Evaluar los riesgos operativos y de control, e
identificar los objetivos de control durante elplaneamiento de la auditoría
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 11/69
11
Misión y Planeamientode la AuditoríaMisión y Planeamientode la Auditoría
ParaPara realizar realizar unauna planificaciónplanificación dede auditoría,auditoría, elel auditor auditor dede SISIdebedebe::1.1. Lograr Lograr unun entendimientoentendimiento deldel propósito,propósito, objetivos,objetivos, procesosprocesos
yy tecnologíatecnología deldel negocio,negocio, asíasí comocomo loslos requerimientosrequerimientos dedeprocesamientoprocesamiento comocomo disponibilidad,disponibilidad, integridadintegridad yy seguridadseguridad
yy loslos requerimientosrequerimientos dede lala arquitecturaarquitectura dede lala informacióninformación..2.2. Realizar Realizar unun análisisanálisis dede riesgoriesgo3.3. Llevar Llevar aa cabocabo unauna revisiónrevisión deldel ControlControl InternoInterno4.4. Establecer Establecer elel alcancealcance yy objetivoobjetivo dede lala auditoríaauditoría5.5. Desarrollar Desarrollar unun enfoqueenfoque dede auditoríaauditoría oo estrategiaestrategia dede
auditoríaauditoría6.6. Asignar Asignar recursosrecursos parapara auditar auditar yy loslos requerimientosrequerimientos
logísticoslogísticos..
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 12/69
12
Leyes yregulacionesLeyes yregulaciones
� Requerimientos reguladores
� Constitución� Organización
� Responsabilidades� Correlación con las funciones de la auditoríafinanciera, operativa y de TI
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 13/69
13
Leyes yregulacionesLeyes yregulaciones
� Pasos para determinar el cumplimiento de losrequerimientos externos:
� Identificar los requerimientos externos�Documentar las leyes y regulaciones aplicables� Evaluar si la Gerencia y la función de SI hantomado en cuenta los requerimientos externoscorrespondientes
�Revisar los documentos internos del área de SIreferentes al cumplimiento de los dispositivosaplicables
� Determinar si se han cumplido los
procedimientos establecidos
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 14/69
14
ISACA ± Aspectos generalesISACA ± Aspectos generales
ISACAISACA sese haha convertidoconvertido actualmenteactualmente enen unaunaorganizaciónorganización globalglobal queque estableceestablece laslas pautaspautasparapara loslos profesionalesprofesionales dede auditoria,auditoria, controlcontrol yyseguridadseguridad dede sistemassistemas dede informacióninformación.. SusSus
normasnormas dede auditoria,auditoria, controlcontrol yy seguridadseguridad dedesistemassistemas dede informacióninformación sonson respetadasrespetadas por por profesionalesprofesionales dede todotodo elel mundomundo.. SusSusinvestigacionesinvestigaciones resaltanresaltan temastemas profesionalesprofesionalesqueque desafíandesafían aa sussus constituyentesconstituyentes.. SuSu
certificacióncertificación CertifiedCertified InformationInformation SystemsSystems Auditor Auditor (Auditor (Auditor CertificadoCertificado dede SistemasSistemas dedeInformación,Información, oo CISA)CISA)..
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 15/69
15
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
Código de Ética Profesional deCódigo de Ética Profesional de ISACAISACA
El Código de Ética Profesional de laEl Código de Ética Profesional de la
Asociación establece los lineamientos de Asociación establece los lineamientos debase para la conducta profesional y personal base para la conducta profesional y personal de los miembros de la Asociación y/o quienesde los miembros de la Asociación y/o quienes
tienen la designación de CISA y CISM tienen la designación de CISA y CISM
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 16/69
16
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Normas de ISACA para la Auditoríade SI
� Directrices de ISACA para la Auditoríade SI
� Código de Ética Profesional deISACA
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 17/69
17
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Objetivos de las Normas de Auditoría de ISACApara SI
� Informar a la Gerencia y a las partesinteresadas, acerca de las expectativas de laprofesión respecto al desempeño de quienesparticipan en esta actividad
� Informar a los Auditores de Sistemas de
Información cuál es el mínimo nivel dedesempeño aceptable, requerido para cumplir las responsabilidades profesionales fijadas enel Código de Ética Profesional de ISACA
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 18/69
18
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Normas y Directrices de ISACA para la Auditoríade SI
� Estatuto de Auditoría
� Independencia
� Ética y Normas Profesionales
� Competencia
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 19/69
19
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Estatuto de Auditoría
� Responsabilidad y autoridad
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 20/69
20
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Independencia
� Independencia profesional
� Ubicación en la organización
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 21/69
21
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Ética y Normas Profesionales
� Código de Ética Profesional
� Debido Cuidado Profesional
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 22/69
22
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Competencia
� Destrezas y Conocimientos
� Educación Profesional Continua
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 23/69
23
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Normas y Directrices de ISACA para la Auditoríade SI
� Planeamiento
� Ejecución del Trabajo
� Informe
� Seguimiento
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 24/69
24
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Planeamiento
� Planeamiento de la Auditoría
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 25/69
25
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Ejecución del trabajo de Auditoría
� Supervisión
� Evidencia
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 26/69
26
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Informe
� Contenido y estructura del informe
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 27/69
27
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Seguimiento
� Revisar las conclusiones y recomendaciones
anteriores
� Revisar los hallazgos importantes anteriores
� Determinar si las acciones pertinentes seimplementaron oportunamente
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 28/69
28
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Uso de los Procedimientos de ISACA
� Los procedimientos desarrollados por ISACAdeben ser utilizados como referencia.
� El auditor de SI debe usar su propio juicioprofesional para aplicarlos a cualquier circunstancia.
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 29/69
29
Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI
� Uso de las Directrices de ISACA
� Tomar en cuenta las directrices para determinar
cómo aplicar las normas
� Utilizar el criterio profesional para aplicar estasdirectrices
� Sustentar cualquier desviación
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 30/69
30
Análisis de RiesgoAnálisis de Riesgo
Definición de Riesgo
Es el potencial de que una determinada amenazaexplote las vulnerabilidades de un activo o grupode activos, para producir la pérdida o el daño adichos activos. El impacto, o la severidad relativadel riesgo es proporcional al valor que tiene para
la entidad / el daño, y a la frecuencia estimada dela amenaza.
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 31/69
31
Análisis de RiesgoAnálisis de Riesgo
� Componentes del análisis de riesgo
� Amenazas a, y vulnerabilidades de procesosy/o activos (incluyendo activos físicos y de
información)
� Impacto sobre los activos, basado en lasamenazas y vulnerabilidades
� Probabilidades de amenazas (combinación dela probabilidad y la frecuencia de la ocurrencia)
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 32/69
32
ControlesControles
Definición del Control Interno
El control interno es un proceso establecido por elDirectorio, la Gerencia y todos los niveles delpersonal, para brindar una seguridad razonablede que se lograrán los objetivos de negocios de laorganización.
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 33/69
33
ControlesControles
� Clasificación del control
� Objetivos de control en SI
� Procedimientos generales de control
� Procedimientos de control en SI
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 34/69
34
ControlesControles
� Clasificación de los controles
� Preventivos
� Detectivos
� Correctivos
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 35/69
35
Controles PreventivosControles Preventivos
Son aquellos que detectan los problemas antesSon aquellos que detectan los problemas antesde que surjan. Por ejemplo:de que surjan. Por ejemplo:
Emplear personal calificadoEmplear personal calificadoSegregar tareas (factor disuasivo)Segregar tareas (factor disuasivo)Controlar el acceso a las instalaciones físicas.Controlar el acceso a las instalaciones físicas.U
sar documentos bien diseñadosU
sar documentos bien diseñadosUsar software de control de acceso.Usar software de control de acceso.
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 36/69
36
Controles DetectivosControles Detectivos
Detectan que han ocurrido un error, una omisiónDetectan que han ocurrido un error, una omisióno un acto malicioso. Por ejemplo:o un acto malicioso. Por ejemplo:
Puntos de VerificaciónPuntos de Verificación
Verificaciones dobles de los cálculos.Verificaciones dobles de los cálculos.
Reportes de cuentas de acceso vencidasReportes de cuentas de acceso vencidas
Funciones de Auditoria InternaFunciones de Auditoria Interna
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 37/69
37
Controles CorrectivosControles Correctivos
Son aquellos que minimizan el impacto de unaSon aquellos que minimizan el impacto de unaamenaza, remedian problemas descubiertos,amenaza, remedian problemas descubiertos,identifican la causa del problema, corrigen losidentifican la causa del problema, corrigen los
errores. Por ejemplo:errores. Por ejemplo:
Planeación de la ContingenciaPlaneación de la Contingencia
Procedimiento de copias de seguridadProcedimiento de copias de seguridadProcedimiento de una nueva ejecución de unProcedimiento de una nueva ejecución de unprogramaprograma
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 38/69
38
ControlesControles
� Objetivos de control en los SI
Los objetivos de control en un ambiente desistemas de información no cambian con
respecto a los de un ambiente manual. Sinembargo, pudieran cambiar los mecanismos decontrol. Entonces, los objetivos del controlinterno se deben enfocar según los procesos
relacionados con los SI
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 39/69
39
ControlesControles
� Objetivos de control en SI
� COBIT
� Objetivos de control y normas de buenas
prácticas en TI� 34 objetivos de control de alto nivel
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 40/69
40
ControlesControles
� Procedimientos de control en los SI
Los procedimientos de control incluyen políticasy prácticas establecidas por la Gerencia, para
proveer una seguridad razonable de lograr objetivos específicos
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 41/69
41
Ejecución de laAuditoría SIEjecución de laAuditoría SI
Definición de auditoría
Proceso sistemático por el cual una personaindependiente y competente, de manera objetiva
obtiene y evalúa evidencia respecto a lasaseveraciones sobre una entidad, o un eventode tipo económico, con el propósito de formarseuna opinión e informar acerca del grado hasta e
cual la aseveración se aproxima a undeterminado conjunto de normas
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 42/69
42
Ejecución de laAuditoría SIEjecución de laAuditoría SI
Clasificación de las auditorías:
� Financieras
� Operativas
� Integradas
� Administrativas
� Sistemas de Información
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 43/69
43
Ejecución de laAuditoría SIEjecución de laAuditoría SI
Definición de auditoría de SILa auditoría de SI es el proceso de recopilar yevaluar evidencia, para determinar si los sistemasde información y los recursos relacionados,adecuadamente protegen los activos, mantienen laintegridad de los datos y de los sistemas, proveeninformación relevante y confiable, logran las metasorganizacionales, utilizan eficientemente los
recursos, y cuentan con controles internos vigentesque brindan una seguridad razonable de que secumplirán los objetivos operativos y de control, yque se evitará o detectará y corregirá, de manera
oportuna, cualquier evento indeseable.
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 44/69
44
Ejecución de laAuditoría SIEjecución de laAuditoría SI
Procedimientos generales de auditoría
� Conocimiento del área / tema de la auditoría� Evaluación del riesgo y plan general de la
auditoría� Planeamiento detallado de la auditoría� Revisión preliminar del área / tema de laauditoría
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 45/69
45
Ejecución de laAuditoría SIEjecución de laAuditoría SI
Procedimientos generales de auditoría (cont.)
� Evaluación del área / tema de la auditoría� Pruebas de cumplimiento
� Pruebas sustantivas� Informe (comunicación de resultados)� Seguimiento
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 46/69
46
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Metodología / Estrategia de Auditoría
� Declaración del alcance� Declaración de los objetivos de la auditoría
� Declaración del programa de trabajo� Fases típicas de la auditoría
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 47/69
47
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Objetivos de control
� Objetivos de auditoría
� Diferencia entre los objetivos de control y losobjetivos de auditoría
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 48/69
48
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Riesgo de auditoría y materialidad
Se aplica un enfoque de auditoría basado en elriesgo, para evaluarlo y ayudar al auditor de SI a
decidir si realiza pruebas de cumplimiento opruebas sustantivas
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 49/69
49
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Enfoque basado en el riesgo
� Énfasis en el conocimiento del negocio y de latecnología
� Centrado en evaluar la eficacia de la³combinación´ de los controles� Asocia la evaluación del riesgo con las pruebasorientadas a los objetivos de control
� Enfoca la entidad desde una perspectivagerencia
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 50/69
50
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Tipos de riesgo
� Riesgo inherente
�Riesgo de control
� Riesgo de detección
� Riesgo de auditoría
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 51/69
51
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Técnicas de Evaluación de Riesgo
� Permiten asignar eficazmente los limitadosrecursos de auditoría
� Aseguran que se haya obtenido informaciónrelevante
� Proveen una base para una gestión adecuadadel área de Auditoría
� Ofrecen un panorama de cómo una auditoríaespecífica se relaciona con la entidad y susplanes
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 52/69
52
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Objetivos de control y controles relacionados
� Relación entre pruebas sustantivas y pruebas decumplimiento
� Correlación entre el nivel de los controlesinternos y las pruebas sustantivas requeridas
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 53/69
53
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Evidencia ± Es un requisito que las conclusionesdel auditor estén basadas en evidencia suficientey competente
� Independencia de quien provee la evidencia� Calidad de quien provee la información oevidencia
� Objetividad de la evidencia
� Oportunidad de la evidencia
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 54/69
54
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Técnicas para recopilar evidencia:� Revisión del organigrama de SI� Revisión de las políticas, los procedimientos y
las normas de SI� Revisión de la documentación de SI� Entrevistas a personal clave� Observación de los procesos y el desempeño
del personal
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 55/69
55
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Muestreo� Enfoques generales para el muestreo enauditoría:
� Muestreo estadístico� Muestreo no estadístico
� Métodos de muestreo empleados por losauditores:
� Muestreo de atributos� Muestreo de variables
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 56/69
56
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Muestreo (cont.)� Muestreo de atributos
� Muestreo parar / seguir
� Muestreo de descubrimiento
� Muestreo de variables
� Media estratificada por unidad� Media no estratificada por unidad� Estimación de diferencia
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 57/69
57
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Términos del muestreo estadístico:� Coeficiente de confianza� Nivel de riesgo�Precisión� Tasa de error esperado
� Media de la muestra� Desviación estándar de la muestra�Tasa tolerable de error � Desviación estándar de la población
� Pasos claves para obtener una muestra
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 58/69
58
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Técnicas de Auditoría Asistida por Computador � TAAC son una importante herramienta paraque los auditores de SI recopilen información
independientemente� TAAC incluyen:� Software generalizado de auditoría (ACL, IDEA,etc)
� Software utilitario� Datos de prueba� Software de aplicación para auditoría permanenteen línea
� Sistemas expertos en auditoría
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 59/69
59
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Técnicas de Auditoría Asistida por Computador � Necesidad de TAAC
� Recopilación de evidencia
� Funcionalidades� Funciones soportadas� Áreas de interés
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 60/69
60
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Técnicas de Auditoría Asistida por Computador
� Ejemplos de TAAC utilizados para recopilar evidencia
� Enfoque de auditoría permanente en línea
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 61/69
61
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Técnicas de Auditoría Asistida por Computador
� Ventajas de las TAAC
� Costo / beneficio de las TAAC
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 62/69
62
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Técnicas de Auditoría Asistida por Computador
� Desarrollo de las TAAC
� Retención de la documentación
� Acceso a los datos de producción
� Manipulación de los datos
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 63/69
63
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Evaluación de fortalezas y debilidades
� Evaluar la evidencia
� Evaluar la estructura completa del control
� Evaluar los procedimientos de control
� Evaluar las fortalezas y debilidades del control
Ej ió d lEj ió d l
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 64/69
64
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Evaluación de la materialidad de los hallazgos
� La materialidad es un punto clave
� La evaluación requiere la aplicación de criterioprofesional, para determinar el efecto potencialdel hallazgo, si no se toma una accióncorrectiva
Ej ió d lEj ió d l
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 65/69
65
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Comunicación de los resultados de la auditoría
� Estructura y contenido del informe de auditoría� Entrevista final
� Técnicas de presentación
� Resumen ejecutivo
� Presentación visual� Presentación oral
Ej ió d lEj ió d l
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 66/69
66
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Acciones de la Gerencia para implementar lasrecomendaciones
� La auditoría es un proceso permanente
� Oportunidad del seguimiento
� Documentación de la Auditoría
Ej ió d lEj ió d l
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 67/69
67
Ejecución de laAuditoría SIEjecución de laAuditoría SI
� Gestión de los recursos de Auditoría
� Los auditores de SI son un recursos limitado
� Destrezas y conocimientos apropiados
� Limitaciones a la ejecución de la auditoría
� Técnicas de administración de proyectos
A t l ióA t l ió
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 68/69
68
Auto evaluacióndel ControlAuto evaluacióndel Control
� Objetivos del programa de auto evaluación delcontrol (CSA):
� Ampliación de las responsabilidades deauditoría (no las reemplazan)
� Educación para la Gerencia de línea, en cuantoa su responsabilidad por el control y elmonitoreo
� Concentración en áreas de alto riesgo
� Rol del auditor de SI en las CSA� Uso de la tecnología� Enfoque tradicional vs. CSA
5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com
http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 69/69
Preguntas?Preguntas?
Ing. Víctor Campos [email protected]