cisa - tema 1 el proceso de auditoria de sistemas de ion ado

5/8/2018 CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado - slidepdf.com

http://slidepdf.com/reader/full/cisa-tema-1-el-proceso-de-auditoria-de-sistemas-de-ion-ado 1/69

TemaTema 1:1:

ElEl ProcesoProceso de lade la AuditoríaAuditoría dedeSistemasSistemas dede InformaciónInformación

Julio, 2011Julio, 2011

Ing. Víctor Campos MedinaCISM ± CISA ± CRISC ± Cobit-F



2

CONTENIDO DEL CURSO

1. Proceso de Auditoria de Sistemas

2. Gobierno de Tecnologías de Información3. Ciclo de vida de Sistemas e Infraestructura

4. Servicio de Entrega y Soporte de TI

5. Protección de los Activos de Información6. Continuidad del negocio y recuperación dedesastre

CERTIFIED INFORMATION SYSTEM AUDITORCERTIFIED INFORMATION SYSTEM AUDITOR



3

Certified Information System Auditor (CISA):

reconocida mundialmente como símbolo de

excelencia profesional desde 1978.

Obtenida por experiencia en auditoria, Control

y Seguridad en SI.

Existen mas de 38 000 CISA¶s en el Mundo

El exámen se ofrece en 11 idiomas, en mas de200 lugares.




4

2. Pasarel riguroso

Examen

3. Cumplir conlosrequerimientos

anuales deeducacióncontinua

1. Demostrar05 años de

Experienciaprofesional


PARA OBTENER

EL CERTIFICADO

COMO AUDITOR

DE SISTEMAS DE

INFORMACIÓN



5

El profesional debe brindar servicios de Auditoríade Sistemas acordes a los estándaresinternacionales, los lineamientos y las mejores

prácticas, de modo que apoye a la organizaciónen el aseguramiento de que su tecnología deinformación , así como sus sistemas de negociosse encuentran protegidos y controlados.

El Proceso de la Auditoria de SIEl Proceso de la Auditoria de SI



6

Según el Comité de CertificaciónSegún el Comité de Certificación

CISA, esta área de procesoCISA, esta área de procesorepresenta aproximadamente elrepresenta aproximadamente el10% del examen CISA10% del examen CISA

(alrededor de 20 preguntas).(alrededor de 20 preguntas).

El Proceso de la Auditoria de SIEl Proceso de la Auditoria de SI



7

Área de ProcesosVisión GeneralÁrea de ProcesosVisión General

� Objetivo� Misión y planeamiento de la auditoría� Leyes y regulaciones� N

ormas y directrices de ISACA para la auditoriade los SI� Análisis de riesgo� Controles internos�Ejecución de una auditoría de SI� Auto evaluación del control



8

ObjetivoObjetivo

Asegurar que el candidato CISA tenga elconocimiento necesario para planear y efectuar auditorías de SI según las normas y las directrices

de auditoría generalmente aceptadas, a fin debrindar una declaración de aseguramientorespecto al nivel hasta el cual la TI y los sistemasde la entidad se controlan, monitorean y evalúan

adecuadamente.



9

Misión y Planeamientode la AuditoríaMisión y Planeamientode la Auditoría

� Planeamiento de la Auditoría

� Estatuto de Auditoría� Planes a corto y largo plazo

� Leyes y Regulaciones

� Efecto sobre el planeamiento de la auditoríade SI



10


� El planeamiento adecuado es un primer pasonecesario, para efectuar auditorías de TIeficaces

�Se necesita conocer el ambiente general de laactividad, así como los riesgos asociados con elcontrol y dicha actividad

� Evaluar los riesgos operativos y de control, e

identificar los objetivos de control durante elplaneamiento de la auditoría



11


ParaPara realizar realizar unauna planificaciónplanificación dede auditoría,auditoría, elel auditor auditor dede SISIdebedebe::1.1. Lograr Lograr unun entendimientoentendimiento deldel propósito,propósito, objetivos,objetivos, procesosprocesos

yy tecnologíatecnología deldel negocio,negocio, asíasí comocomo loslos requerimientosrequerimientos dedeprocesamientoprocesamiento comocomo disponibilidad,disponibilidad, integridadintegridad yy seguridadseguridad

yy loslos requerimientosrequerimientos dede lala arquitecturaarquitectura dede lala informacióninformación..2.2. Realizar Realizar unun análisisanálisis dede riesgoriesgo3.3. Llevar Llevar aa cabocabo unauna revisiónrevisión deldel ControlControl InternoInterno4.4. Establecer Establecer elel alcancealcance yy objetivoobjetivo dede lala auditoríaauditoría5.5. Desarrollar Desarrollar unun enfoqueenfoque dede auditoríaauditoría oo estrategiaestrategia dede

auditoríaauditoría6.6. Asignar Asignar recursosrecursos parapara auditar auditar yy loslos requerimientosrequerimientos

logísticoslogísticos..



12

Leyes yregulacionesLeyes yregulaciones

� Requerimientos reguladores

� Constitución� Organización

� Responsabilidades� Correlación con las funciones de la auditoríafinanciera, operativa y de TI



13

Leyes yregulacionesLeyes yregulaciones

� Pasos para determinar el cumplimiento de losrequerimientos externos:

� Identificar los requerimientos externos�Documentar las leyes y regulaciones aplicables� Evaluar si la Gerencia y la función de SI hantomado en cuenta los requerimientos externoscorrespondientes

�Revisar los documentos internos del área de SIreferentes al cumplimiento de los dispositivosaplicables

� Determinar si se han cumplido los

procedimientos establecidos



14

ISACA ± Aspectos generalesISACA ± Aspectos generales

ISACAISACA sese haha convertidoconvertido actualmenteactualmente enen unaunaorganizaciónorganización globalglobal queque estableceestablece laslas pautaspautasparapara loslos profesionalesprofesionales dede auditoria,auditoria, controlcontrol yyseguridadseguridad dede sistemassistemas dede informacióninformación.. SusSus

normasnormas dede auditoria,auditoria, controlcontrol yy seguridadseguridad dedesistemassistemas dede informacióninformación sonson respetadasrespetadas por por profesionalesprofesionales dede todotodo elel mundomundo.. SusSusinvestigacionesinvestigaciones resaltanresaltan temastemas profesionalesprofesionalesqueque desafíandesafían aa sussus constituyentesconstituyentes.. SuSu

certificacióncertificación CertifiedCertified InformationInformation SystemsSystems Auditor Auditor (Auditor (Auditor CertificadoCertificado dede SistemasSistemas dedeInformación,Información, oo CISA)CISA)..



15

Normas y Directrices deISACA para la Auditoría de SINormas y Directrices deISACA para la Auditoría de SI

Código de Ética Profesional deCódigo de Ética Profesional de ISACAISACA

El Código de Ética Profesional de laEl Código de Ética Profesional de la

Asociación establece los lineamientos de Asociación establece los lineamientos debase para la conducta profesional y personal base para la conducta profesional y personal de los miembros de la Asociación y/o quienesde los miembros de la Asociación y/o quienes

tienen la designación de CISA y CISM tienen la designación de CISA y CISM



16


� Normas de ISACA para la Auditoríade SI

� Directrices de ISACA para la Auditoríade SI

� Código de Ética Profesional deISACA



17


� Objetivos de las Normas de Auditoría de ISACApara SI

� Informar a la Gerencia y a las partesinteresadas, acerca de las expectativas de laprofesión respecto al desempeño de quienesparticipan en esta actividad

� Informar a los Auditores de Sistemas de

Información cuál es el mínimo nivel dedesempeño aceptable, requerido para cumplir las responsabilidades profesionales fijadas enel Código de Ética Profesional de ISACA



18


� Normas y Directrices de ISACA para la Auditoríade SI

� Estatuto de Auditoría

� Independencia

� Ética y Normas Profesionales

� Competencia



19


� Estatuto de Auditoría

� Responsabilidad y autoridad



20


� Independencia

� Independencia profesional

� Ubicación en la organización



21


� Ética y Normas Profesionales

� Código de Ética Profesional

� Debido Cuidado Profesional



22


� Competencia

� Destrezas y Conocimientos

� Educación Profesional Continua



23


� Normas y Directrices de ISACA para la Auditoríade SI

� Planeamiento

� Ejecución del Trabajo

� Informe

� Seguimiento



24


� Planeamiento

� Planeamiento de la Auditoría



25


� Ejecución del trabajo de Auditoría

� Supervisión

� Evidencia



26


� Informe

� Contenido y estructura del informe



27


� Seguimiento

� Revisar las conclusiones y recomendaciones

anteriores

� Revisar los hallazgos importantes anteriores

� Determinar si las acciones pertinentes seimplementaron oportunamente



28


� Uso de los Procedimientos de ISACA

� Los procedimientos desarrollados por ISACAdeben ser utilizados como referencia.

� El auditor de SI debe usar su propio juicioprofesional para aplicarlos a cualquier circunstancia.



29


� Uso de las Directrices de ISACA

� Tomar en cuenta las directrices para determinar

cómo aplicar las normas

� Utilizar el criterio profesional para aplicar estasdirectrices

� Sustentar cualquier desviación



30

Análisis de RiesgoAnálisis de Riesgo

Definición de Riesgo

Es el potencial de que una determinada amenazaexplote las vulnerabilidades de un activo o grupode activos, para producir la pérdida o el daño adichos activos. El impacto, o la severidad relativadel riesgo es proporcional al valor que tiene para

la entidad / el daño, y a la frecuencia estimada dela amenaza.



31

Análisis de RiesgoAnálisis de Riesgo

� Componentes del análisis de riesgo

� Amenazas a, y vulnerabilidades de procesosy/o activos (incluyendo activos físicos y de

información)

� Impacto sobre los activos, basado en lasamenazas y vulnerabilidades

� Probabilidades de amenazas (combinación dela probabilidad y la frecuencia de la ocurrencia)



32

ControlesControles

Definición del Control Interno

El control interno es un proceso establecido por elDirectorio, la Gerencia y todos los niveles delpersonal, para brindar una seguridad razonablede que se lograrán los objetivos de negocios de laorganización.



33

ControlesControles

� Clasificación del control

� Objetivos de control en SI

� Procedimientos generales de control

� Procedimientos de control en SI



34

ControlesControles

� Clasificación de los controles

� Preventivos

� Detectivos

� Correctivos



35

Controles PreventivosControles Preventivos

Son aquellos que detectan los problemas antesSon aquellos que detectan los problemas antesde que surjan. Por ejemplo:de que surjan. Por ejemplo:

Emplear personal calificadoEmplear personal calificadoSegregar tareas (factor disuasivo)Segregar tareas (factor disuasivo)Controlar el acceso a las instalaciones físicas.Controlar el acceso a las instalaciones físicas.U

sar documentos bien diseñadosU

sar documentos bien diseñadosUsar software de control de acceso.Usar software de control de acceso.



36

Controles DetectivosControles Detectivos

Detectan que han ocurrido un error, una omisiónDetectan que han ocurrido un error, una omisióno un acto malicioso. Por ejemplo:o un acto malicioso. Por ejemplo:

Puntos de VerificaciónPuntos de Verificación

Verificaciones dobles de los cálculos.Verificaciones dobles de los cálculos.

Reportes de cuentas de acceso vencidasReportes de cuentas de acceso vencidas

Funciones de Auditoria InternaFunciones de Auditoria Interna



37

Controles CorrectivosControles Correctivos

Son aquellos que minimizan el impacto de unaSon aquellos que minimizan el impacto de unaamenaza, remedian problemas descubiertos,amenaza, remedian problemas descubiertos,identifican la causa del problema, corrigen losidentifican la causa del problema, corrigen los

errores. Por ejemplo:errores. Por ejemplo:

Planeación de la ContingenciaPlaneación de la Contingencia

Procedimiento de copias de seguridadProcedimiento de copias de seguridadProcedimiento de una nueva ejecución de unProcedimiento de una nueva ejecución de unprogramaprograma



38

ControlesControles

� Objetivos de control en los SI

Los objetivos de control en un ambiente desistemas de información no cambian con

respecto a los de un ambiente manual. Sinembargo, pudieran cambiar los mecanismos decontrol. Entonces, los objetivos del controlinterno se deben enfocar según los procesos

relacionados con los SI



39

ControlesControles

� Objetivos de control en SI

� COBIT

� Objetivos de control y normas de buenas

prácticas en TI� 34 objetivos de control de alto nivel



40

ControlesControles

� Procedimientos de control en los SI

Los procedimientos de control incluyen políticasy prácticas establecidas por la Gerencia, para

proveer una seguridad razonable de lograr objetivos específicos



41

Ejecución de laAuditoría SIEjecución de laAuditoría SI

Definición de auditoría

Proceso sistemático por el cual una personaindependiente y competente, de manera objetiva

obtiene y evalúa evidencia respecto a lasaseveraciones sobre una entidad, o un eventode tipo económico, con el propósito de formarseuna opinión e informar acerca del grado hasta e

cual la aseveración se aproxima a undeterminado conjunto de normas



42


Clasificación de las auditorías:

� Financieras

� Operativas

� Integradas

� Administrativas

� Sistemas de Información



43


Definición de auditoría de SILa auditoría de SI es el proceso de recopilar yevaluar evidencia, para determinar si los sistemasde información y los recursos relacionados,adecuadamente protegen los activos, mantienen laintegridad de los datos y de los sistemas, proveeninformación relevante y confiable, logran las metasorganizacionales, utilizan eficientemente los

recursos, y cuentan con controles internos vigentesque brindan una seguridad razonable de que secumplirán los objetivos operativos y de control, yque se evitará o detectará y corregirá, de manera

oportuna, cualquier evento indeseable.



44


Procedimientos generales de auditoría

� Conocimiento del área / tema de la auditoría� Evaluación del riesgo y plan general de la

auditoría� Planeamiento detallado de la auditoría� Revisión preliminar del área / tema de laauditoría



45


Procedimientos generales de auditoría (cont.)

� Evaluación del área / tema de la auditoría� Pruebas de cumplimiento

� Pruebas sustantivas� Informe (comunicación de resultados)� Seguimiento



46


� Metodología / Estrategia de Auditoría

� Declaración del alcance� Declaración de los objetivos de la auditoría

� Declaración del programa de trabajo� Fases típicas de la auditoría



47


� Objetivos de control

� Objetivos de auditoría

� Diferencia entre los objetivos de control y losobjetivos de auditoría



48


� Riesgo de auditoría y materialidad

Se aplica un enfoque de auditoría basado en elriesgo, para evaluarlo y ayudar al auditor de SI a

decidir si realiza pruebas de cumplimiento opruebas sustantivas



49


� Enfoque basado en el riesgo

� Énfasis en el conocimiento del negocio y de latecnología

� Centrado en evaluar la eficacia de la³combinación´ de los controles� Asocia la evaluación del riesgo con las pruebasorientadas a los objetivos de control

� Enfoca la entidad desde una perspectivagerencia



50


� Tipos de riesgo

� Riesgo inherente

�Riesgo de control

� Riesgo de detección

� Riesgo de auditoría



51


� Técnicas de Evaluación de Riesgo

� Permiten asignar eficazmente los limitadosrecursos de auditoría

� Aseguran que se haya obtenido informaciónrelevante

� Proveen una base para una gestión adecuadadel área de Auditoría

� Ofrecen un panorama de cómo una auditoríaespecífica se relaciona con la entidad y susplanes



52


� Objetivos de control y controles relacionados

� Relación entre pruebas sustantivas y pruebas decumplimiento

� Correlación entre el nivel de los controlesinternos y las pruebas sustantivas requeridas



53


� Evidencia ± Es un requisito que las conclusionesdel auditor estén basadas en evidencia suficientey competente

� Independencia de quien provee la evidencia� Calidad de quien provee la información oevidencia

� Objetividad de la evidencia

� Oportunidad de la evidencia



54


� Técnicas para recopilar evidencia:� Revisión del organigrama de SI� Revisión de las políticas, los procedimientos y

las normas de SI� Revisión de la documentación de SI� Entrevistas a personal clave� Observación de los procesos y el desempeño

del personal



55


� Muestreo� Enfoques generales para el muestreo enauditoría:

� Muestreo estadístico� Muestreo no estadístico

� Métodos de muestreo empleados por losauditores:

� Muestreo de atributos� Muestreo de variables



56


� Muestreo (cont.)� Muestreo de atributos

� Muestreo parar / seguir

� Muestreo de descubrimiento

� Muestreo de variables

� Media estratificada por unidad� Media no estratificada por unidad� Estimación de diferencia



57


� Términos del muestreo estadístico:� Coeficiente de confianza� Nivel de riesgo�Precisión� Tasa de error esperado

� Media de la muestra� Desviación estándar de la muestra�Tasa tolerable de error � Desviación estándar de la población

� Pasos claves para obtener una muestra



58


� Técnicas de Auditoría Asistida por Computador � TAAC son una importante herramienta paraque los auditores de SI recopilen información

independientemente� TAAC incluyen:� Software generalizado de auditoría (ACL, IDEA,etc)

� Software utilitario� Datos de prueba� Software de aplicación para auditoría permanenteen línea

� Sistemas expertos en auditoría



59


� Técnicas de Auditoría Asistida por Computador � Necesidad de TAAC

� Recopilación de evidencia

� Funcionalidades� Funciones soportadas� Áreas de interés



60


� Técnicas de Auditoría Asistida por Computador

� Ejemplos de TAAC utilizados para recopilar evidencia

� Enfoque de auditoría permanente en línea



61



� Ventajas de las TAAC

� Costo / beneficio de las TAAC



62



� Desarrollo de las TAAC

� Retención de la documentación

� Acceso a los datos de producción

� Manipulación de los datos



63


� Evaluación de fortalezas y debilidades

� Evaluar la evidencia

� Evaluar la estructura completa del control

� Evaluar los procedimientos de control

� Evaluar las fortalezas y debilidades del control

Ej ió d lEj ió d l



64


� Evaluación de la materialidad de los hallazgos

� La materialidad es un punto clave

� La evaluación requiere la aplicación de criterioprofesional, para determinar el efecto potencialdel hallazgo, si no se toma una accióncorrectiva




65


� Comunicación de los resultados de la auditoría

� Estructura y contenido del informe de auditoría� Entrevista final

� Técnicas de presentación

� Resumen ejecutivo

� Presentación visual� Presentación oral




66


� Acciones de la Gerencia para implementar lasrecomendaciones

� La auditoría es un proceso permanente

� Oportunidad del seguimiento

� Documentación de la Auditoría




67


� Gestión de los recursos de Auditoría

� Los auditores de SI son un recursos limitado

� Destrezas y conocimientos apropiados

� Limitaciones a la ejecución de la auditoría

� Técnicas de administración de proyectos

A t l ióA t l ió



68

Auto evaluacióndel ControlAuto evaluacióndel Control

� Objetivos del programa de auto evaluación delcontrol (CSA):

� Ampliación de las responsabilidades deauditoría (no las reemplazan)

� Educación para la Gerencia de línea, en cuantoa su responsabilidad por el control y elmonitoreo

� Concentración en áreas de alto riesgo

� Rol del auditor de SI en las CSA� Uso de la tecnología� Enfoque tradicional vs. CSA



Preguntas?Preguntas?

Ing. Víctor Campos [email protected]

cisa - tema 1 el proceso de auditoria de sistemas de ion ado

Documents