Download - AUDITORIA DE SISTEMAS.ppt
Auditoria de Sistemas de Información.
Ing. Mag. Elmer Ruiz Trigozo
10/04/23
El Auditor de Sistemas de Información
10/04/23
1 Temas a Cubrir
El Auditor de Sistemas de InformaciónPolíticas, estándares, lineamientos y procedimientosAuditor VS AuditadoEl Auditor es un puesto ejecutivoEntendiendo la Estructura Organizacional de la Corporación
10/04/23
1.1 El Auditor de Sistemas de Información
Entendiendo la Demanda de Auditorías de los Sistemas de InformaciónActivoAmenazaVulnerabilidadEl Auditor debe verificar que los activos, amenazas, y vulnerabilidades están identificadas y administradas apropiadamente para reducir el riesgo.
10/04/23
1.2 Políticas, estándares, lineamientos y procedimientos
Código de Ética profesional ISACAPrevención de Conflictos ÉticosPropósito de una AuditoríaTipos Básicos de AuditoríaResponsabilidad del AuditorAuditorías VS Valoraciones
10/04/23
10/04/23
1.2.1 Código de Ética profesional ISACA
Soportar la implementación de políticas, estándares y lineamientosRealizar sus actividades con objetividad y cuidado profesionalServir los intereses de los interesados de manera honesta y legalMantener la privacidad y confidencialidad de la informaciónEntregar resultados precisos sobre todos los hechos relevantes
10/04/23
1.2.2 Prevención de Conflictos Éticos
Violaciones de Derechos de AutorLos culpables obtienen amnistíaSigue tus propias reglas. No fallesRecuerda a todos los encarceladosNO violes la leyReporta las violaciones rápido (el primero obtiene amnistía)
10/04/23
1.2.3 Propósito de una Auditoría
Una auditoría es sólo una revisión de la historia pasadaSe espera que el auditor siga un proceso definido para la auditoría, establezca un criterio para la auditoría, recopile evidencia significativa, y presente una opinión independiente sobre los controles internos.
10/04/23
1.2.4 Tipos Básicos de Auditoría
Auditorías Internas y ValoracionesAuditorías InternasAuditorías Independientes
10/04/23
1.2.4 Tipos Básicos de Auditoría (cont.)
Auditorías de ProductosAuditorías FinancierasAuditorías OperativasAuditorías IntegradasAuditorías de Cumplimiento (de normas)Auditorías AdministrativasAcreditación o certificación de Sistemas de Información
10/04/23
1.2.5 Responsabilidad del Auditor
Debe cumplir una relación fiduciariaUna Relación Fiduciaria es una en la que se actúa por el beneficio de otra persona y colocando las responsabilidades antes de nuestro propio interésEl Auditor NO debe anteponer nunca los intereses del auditado a la verdad
10/04/23
1.2.6 Auditorías VS Valoraciones
Auditoría: genera un reporte considerado altamente confiable (en cuanto a la verdad)Valoraciones (Assessment): Menos formal que la Auditoría. Su principal función es para que el personal pueda trabajar para mejorar.
10/04/23
1.3 Auditor VS Auditado
Aplicación de una prueba de IndependenciaEstándares de AuditoríasEstándar de Auditoría de Sistemas de Información ISACARegulaciones Específicas que definen Mejores Prácticas
10/04/23
1.3.1 Aplicación de una prueba de Independencia
¿Audita algo que Usted desarrolló?¿Está libre de influencias del auditado que puedan afectar su juicio?¿Tiene alguna relación de negocios o financiera con el auditado?¿Su posición en la empresa es bajo las órdenes del área auditada?¿Recibe regalos o favores especiales?
10/04/23
1.3.2 Estándares de Auditorías
American Institute of Certified Public Accountants (AICPA)Financial Accounting Standards Board (FASB)Generally Accepted Accounting Principles (GAAP).Committee of Sponsoring Organizations of the Treadway Commission (COSO),Public Company Accounting Oversight Board (PCAOB)Organization for Economic Cooperation and Development (OECD)U.S. National Institute of Standards and Technology (NIST)U.S. Federal Information Security Management Act (FISMA)IS Audit and Control Association (ISACA)Basel Accord Standard II (Basel II)
10/04/23
TAREA # 1Investigar brevemente los Organismos de Estándares anteriores
10/04/23
1.3.3 Estándares de Auditoría de Sistemas de Información ISACA
S1 Audit CharterS2 IndependenceS3 Professional Ethics and Standards of ConductS4 Professional CompetenceS5 Planning S6 Performance of Audit Work S7 Audit Reporting S8 Follow-up Activities S9 Irregularities and Illegal Acts S10 IT Governance S11 Use of Risk Analysis in Audit Planning S12 Audit Materiality S13 Using the Work of Other People S14 Proper Audit Evidence S15 Effective IT Controls S16 Electronic Commerce Controls
10/04/23
1.3.4 Regulaciones Específicas que definen Mejores Prácticas
10/04/23
1.4 El Auditor es un puesto ejecutivo
La importancia de la confidencialidad del AuditorConservar la Documentación de la AuditoríaProveer buena comunicación e integraciónResponsabilidades de LiderazgoPlanear y fijar prioridadesTratar con conflictos y fallasEl valor de Auditores Internos y ExternosEntender la regla de la EvidenciaIdentificar a quién se necesita entrevistar
10/04/23
1.4.1 La importancia de la confidencialidad del Auditor
La información sensible no debe salir de las oficinasEl Auditor debe pedir consejo legal sobre las leyes de confidencialidadLos “papeles de trabajo” deben estar protegidos con control de acceso y respaldosConsiderar seguridad en laptopsSe crea un archivo de documentos que debe retenerse durante cierto tiempo y debe dejarlos bajo custodia del cliente
10/04/23
1.4.2 Conservar la Documentación de la Auditoría
En muchos casos se debe retener la documentación por 7 añosDurante la planeación de la auditoría se debe saber si el período es mayor o menorSi el cliente pierde la documentación es su problema
10/04/23
1.4.3 Proveer buena comunicación e integración
Establecer respeto mutuoNo culpar a un individuoApegarse a los hechos
10/04/23
1.4.4 Responsabilidades de Liderazgo
Su tipo de liderazgo debe identificar cuando sus direcciones son mandatarias o sujetas a comentarios.El líder debe desarrollar objetivos específicos para el éxito y compartir esos planes.
10/04/23
1.4.5 Planear y fijar prioridades
Una buena auditoría es el resultado de una planeación apropiadaResponsabilidades del Auditor durante la fase de Planeación:
Entender el negocio del cliente Respetar los ciclos del negocio (Anuales,
semestrales, trimestrales) Establecer prioridades Seleccionar una estrategia con base en el riesgo y la
información conocida Encontrar a la gente para tu equipo de auditoría Coordinar la logística de recursos y lugar de trabajo
10/04/23
Responsabilidades del Auditor durante la fase de Planeación: Solicitar documentación Programar el tiempo y disponibilidad
de la gente Coordinar viajes y alojamiento Planear retrasos
10/04/23
1.4.6 Tratar con conflictos y fallas
Cierto nivel de conflicto es inevitable y las fallas son siempre posibles
10/04/23
1.4.7 El valor de Auditores Internos y Externos
A los Auditores Externos se les paga para ser revisores de una organizaciónLos Auditores Internos brindan un gran valor a la organización al ayudarla a prepararse para la auditoría externa
10/04/23
1.4.8 Entender la regla de la Evidencia
Sin evidencia una reclamación no se puede verificar. La evidencia soporta la reclamaciónNo se puede formular una opinión cuando falta evidencia en cantidad, relevancia y confiabilidad aceptables
10/04/23
1.4.9 Identificar a quién se necesita entrevistar
Es importante reconocer a quién entrevistar y durante cuánto tiempoPrestar atención al costo del tiempo de los demás
10/04/23
1.5 Entendiendo la Estructura Organizacional de la Corporación
Es importante para el auditor entender las relaciones y responsabilidades en los diferentes niveles de una organización
10/04/23
1.5.1 Identificando Roles en la Estructura Organizacional de una Corporación
10/04/23
1.5.2 Identificando Roles en la Estructura Organizacional de una Firma de Consultoría
10/04/23