CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado

5/8/2018

CISA - Te ma 1 El Proc e so de Auditor ia de Siste ma s de ion a do - slide pdf.c om

Tema 1: El Proceso de la Auditoría de Sistemas de Información

Ing. Víctor Campos Medina CISM ± CISA ± CRISC ± Cobit-F Julio, 2011 http://slide pdf.c om/re a de r/full/c isa -te ma -1-e l-proc e so-de -a uditor ia -de -siste ma s-de -ion-a do

1/69

5/8/2018


CERTIFIED INFORMATION SYSTEM AUDITOR

CONTENIDO DEL CURSO 1. Proceso de Auditoria de Sistemas 2. Gobierno de Tecnologías de Información 3. Ciclo de vida de Sistemas e Infraestructura 4. Servicio de Entrega y Soporte de TI 5. Protección de los Activos de Información 6. Continuidad del negocio y recuperación de desastre 2 http://slide pdf.c om/re a de r/full/c isa -te ma -1-e l-proc e so-de -a uditor ia -de -siste ma s-de -ion-a do

2/69

5/8/2018


CERTIFIED INFORMATION SYSTEM AUDITOR

Certified Information System Auditor (CISA):

reconocida mundialmente como símbolo de excelencia profesional desde 1978. Obtenida

por experiencia en auditoria, Control y Seguridad en SI. Existen

mas de 38 000 CISA¶s en el Mundo

El

exámen se ofrece en 11 idiomas, en mas de 200 lugares.

3 http://slide pdf.c om/re a de r/full/c isa -te ma -1-e l-proc e so-de -a uditor ia -de -siste ma s-de -ion-a do

3/69

5/8/2018


CERTIFIED INFORMATION SYSTEM AUDITOR PARA OBTENER EL CERTIFICADO COMO AUDITOR DE SISTEMAS DE INFORMACIÓN

1. Demostrar 05 años de Experiencia profesional

2. Pasar el riguroso Examen

3. Cumplir los con requerimientos anuales de educación continua 4 http://slide pdf.c om/re a de r/full/c isa -te ma -1-e l-proc e so-de -a uditor ia -de -siste ma s-de -ion-a do

4/69

5/8/2018


El Proceso de la Auditoria de SI El profesional debe brindar servicios de Auditoría de Sistemas acordes a los estándares internacionales, los lineamientos y las mejores prácticas, de modo que la organización en el aseguramiento de apoye que suatecnología de información , así como sus sistemas de negocios se encuentran protegidos y controlados.


5/69

5/8/2018


El Proceso de la Auditoria de SI

Según el Comité de Certificación CISA, esta área de proceso el representa aproximadamente 10% del examen CISA (alrededor de 20 preguntas).


6/69

5/8/2018


Área

de Procesos Visión General Objetivo Misión y planeamiento Leyes y regulaciones N

de la auditoría

deormas los SIy directrices de ISACA para la auditoria Análisis de riesgo Controles internos Ejecución de unadel auditoría Auto evaluación control de SI


7/69

5/8/2018


Objetivo Asegurar que el candidato CISA tenga el conocimiento necesario para planear y efectuar auditorías de SI según las normas y las directrices de auditoría a fin de brindar una generalmente declaración aceptadas, de aseguramiento respecto al nivel hasta el cual la TI y los sistemas de la entidad se controlan, monitorean y evalúan adecuadamente.

8

http://slide pdf.c om/re a de r/full/c isa -te ma -1-e l-proc e so-de -a uditor ia -de -siste ma s-de -ion-a do

8/69

5/8/2018


Misión y Planeamiento de la Auditoría Planeamiento de la Auditoría Estatuto de Auditoría Planes a corto y largo

plazo

Leyes

y Regulaciones Efecto sobre el planeamiento de la auditoría de SI

9


9/69

5/8/2018


Misión y Planeamiento de la Auditoría El

planeamiento adecuado es un primer paso necesario, para efectuar auditorías de TI eficaces

Se necesita ambiente generalcon de la actividad, asíconocer como loselriesgos asociados el control y dicha actividad Evaluar los riesgos operativos y de control, e identificar losdeobjetivos de control durante el planeamiento la auditoría


10/69

5/8/2018


Misión y Planeamiento de la Auditoría Para realizar realizar una planificación de auditoría, auditoría, el auditor auditor de SI debe:: debe 1. Lograr ograr un entendimiento del propósito, objetivos, procesos y tecnología del negocio, así como los requerimientos de procesamiento como disponibilidad, integridad y seguridad y los requerimientos de la arquitectura de la información información.. 2. Realizar Realizar un análisis de riesgo 3. Llevar levar a cabo una revisión del Control Interno 4. Establecer Establecer el alcance y objetivo de la auditoría 5. Desarrollar Desarrollar un enfoque de auditoría o estrategia de auditoría 6. Asignar Asignar recursos recursos para auditar auditar y los requerimientos logísticos.. logísticos


11/69

5/8/2018


Leyes y regulaciones Requerimientos

reguladores

Constitución Organización Responsabilidades Correlación con las

funciones de la auditoría financiera, operativa y de TI


12/69

5/8/2018


Leyes y regulaciones Pasos

para determinar el cumplimiento de los requerimientos externos: Identificar los requerimientos externos leyes y regulaciones Documentar Evaluar si lalas Gerencia y la función

aplicables de SI han tomado en cuenta los requerimientos externos correspondientes

Revisar los al documentos internos deldispositivos área de SI referentes cumplimiento de los aplicables Determinar si se han cumplido los procedimientos establecidos http://slide pdf.c om/re a de r/full/c isa -te ma -1-e l-proc e so-de -a uditor ia -de -siste ma s-de -ion-a do

13 13/69

5/8/2018


ISACA ± Aspectos generales ISACA se ha convertido actualmente en una organización global que establece las pautas para los profesionales de auditoria, control y seguridad de sistemas de información información.. Sus Sus normas control control seguridad por de sistemasdedeauditoria, información son yrespetadas profesionales de todo el mundo mundo.. Sus investigaciones resaltan temas profesionales que desafían a sus constituyentes constituyentes.. Su Certified Information Systems certificación Auditor Auditor (Auditor (Auditor Certificado de Sistemas de Información, o CISA) CISA).. 14 http://slide pdf.c om/re a de r/full/c isa -te ma -1-e l-proc e so-de -a uditor ia -de -siste ma s-de -ion-a do

14/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Código de Ética Profesional de ISACA

El Código de Ética Profesional de la Asociación establece los lineamientos de base para la conducta profesional y personal de los miembros de la Asociación y/o quienes tienen la designación de CISA y CISM


15/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Normas

de ISACA para la Auditoría

de SI Directrices de

ISACA para la Auditoría

de SI Código

ISACA

de Ética Profesional de


16/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Objetivos

de las Normas de Auditoría de ISACA

para SI Informar a la Gerencia y a las partes interesadas, acerca de las expectativas de la profesión respecto al desempeño de quienes participan en esta actividad Informar a los Auditores de Sistemas de Información cuál es requerido el mínimo de desempeño aceptable, paranivel cumplir las responsabilidades profesionales fijadas en el Código de Ética Profesional de ISACA 17 http://slide pdf.c om/re a de r/full/c isa -te ma -1-e l-proc e so-de -a uditor ia -de -siste ma s-de -ion-a do

17/69

5/8/2018



y Directrices de ISACA para la Auditoría

de SI Estatuto de Auditoría Independencia Ética y Normas Profesionales Competencia


18/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Estatuto de Auditoría Responsabilidad

y autoridad


19/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Independencia Independencia

profesional

Ubicación en la

organización


20/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Ética y Normas Profesionales Código de Ética Profesional Debido

Cuidado Profesional


21/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Competencia Destrezas y Conocimientos Educación

Profesional Continua

22


22/69

5/8/2018



y Directrices de ISACA para la Auditoría

de SI Planeamiento Ejecución

del Trabajo

Informe Seguimiento

23


23/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Planeamiento

Planeamiento de la Auditoría

24


24/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI

Ejecución del trabajo de Auditoría Supervisión Evidencia

25


25/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Informe Contenido y

estructura del informe

26


26/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Seguimiento Revisar

las conclusiones y recomendaciones

anteriores Revisar los hallazgos importantes anteriores Determinar si implementaron

las acciones pertinentes se oportunamente

27


27/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI Uso de los

Procedimientos de ISACA

Los

procedimientos desarrollados por ISACA deben ser utilizados como referencia.

El

auditor de SI debe usar su propio juicio profesional para aplicarlos a cualquier circunstancia.

28


28/69

5/8/2018


Normas y Directrices de ISACA para la Auditoría de SI

Uso de las Directrices de ISACA Tomar

en cuenta las directrices para determinar

cómo aplicar las normas Utilizar el criterio profesional para aplicar estas directrices Sustentar cualquier desviación

29


29/69

5/8/2018


Análisis de Riesgo Definición de Riesgo Es el potencial de que una determinada amenaza explote las vulnerabilidades de un activo o grupo de activos, para producir la pérdida o el daño a dichos activos. El impacto, o la severidad relativa del riesgo es proporcional al valor que tiene para la amenaza. entidad / el daño, y a la frecuencia estimada de

30


30/69

5/8/2018


Análisis de Riesgo Componentes

del análisis de riesgo Amenazas a, y vulnerabilidades de procesos y/o activos (incluyendo activos físicos y de información) Impacto sobre los activos, basado en las amenazas y vulnerabilidades Probabilidades

de amenazas (combinación de la probabilidad y la frecuencia de la ocurrencia) 31


31/69

5/8/2018


Controles Definición del Control Interno El control interno es un proceso establecido por el Directorio, la Gerencia y todos los niveles del personal, para brindar una seguridad razonable de que se lograrán los objetivos de negocios de la organización.

32


32/69

5/8/2018


Controles Clasificación del control Objetivos de control en SI Procedimientos generales

de control

Procedimientos de control en

SI

33


33/69

5/8/2018


Controles Clasificación de los controles Preventivos Detectivos Correctivos

34


34/69

5/8/2018


Controles Preventivos Son aquellos que detectan los problemas antes de que surjan. Por ejemplo: Emplear personal calificado Segregar tareas (factor disuasivo) Controlar el acceso a las instalaciones físicas. U Usar sar

documentos bien diseñados software de control de acceso.

35


35/69

5/8/2018


Controles Detectivos Detectan que han ocurrido un error, una omisión o un acto malicioso. Por ejemplo: Puntos de Verificación Verificaciones dobles de los cálculos. Reportes de cuentas de acceso vencidas Funciones de Auditoria Interna

36


36/69

5/8/2018


Controles Correctivos Son aquellos que minimizan el impacto de una amenaza, remedian problemas descubiertos, identifican la causa del problema, corrigen los errores. Por ejemplo: Planeación de la Contingencia Procedimiento de copias de seguridad Procedimiento de una nueva ejecución de un programa 37


37/69

5/8/2018


Controles Objetivos de control en los SI Los

objetivos de control en un ambiente de sistemas de información no cambian con respecto los de cambiar un ambiente manual. Sin embargo, apudieran los mecanismos de control. Entonces, los objetivos del control interno se deben enfocar según los procesos relacionados con los SI

38


38/69

5/8/2018


Controles Objetivos de control en SI COBIT Objetivos

de control y normas de buenas

prácticas en TI 34 objetivos de control de alto nivel

39


39/69

5/8/2018


Controles Procedimientos de control en

los SI Los procedimientos de control incluyen políticas y prácticas establecidas por la Gerencia, para proveer una seguridad razonable de lograr objetivos específicos

40


40/69

5/8/2018

Ejecución de la Auditoría SI


Definición de auditoría Proceso sistemático por el cual una persona independiente y competente, de manera objetiva obtiene y evalúa respecto a las aseveraciones sobreevidencia una entidad, o un evento de tipo económico, con el propósito de formarse una opinión e informar acerca del grado hasta e cual la aseveración se aproxima determinado conjunto de normas

a

un

41


41/69

5/8/2018



Clasificación de las auditorías: Financieras Operativas Integradas Administrativas Sistemas de Información 42


42/69

5/8/2018



Definición de auditoría de SI La

auditoría de SI es el proceso de recopilar y evaluar evidencia, para determinar si los sistemas de información y los recursos relacionados, adecuadamente protegen los activos, mantienen la integridad de los datos y de los sistemas, proveen información relevante y confiable, logran las metas organizacionales, utilizan eficientemente los recursos, y cuentan con controles internos vigentes que brindan una seguridad razonable de que se cumplirán los objetivos operativos y de control, y que se evitará o detectará y corregirá, de manera oportuna, cualquier evento indeseable.

43


43/69

5/8/2018



Procedimientos generales de auditoría Conocimiento del área / tema de la auditoría Evaluación del riesgo y plan general de la auditoría Planeamiento detallado de la auditoría Revisión preliminar del área / tema

de la

auditoría

44


44/69

5/8/2018



Procedimientos generales de auditoría (cont.) Evaluación del área / tema de la auditoría Pruebas de cumplimiento Pruebas sustantivas de Informe (comunicación Seguimiento

resultados)

45


45/69

5/8/2018



Metodología

/ Estrategia de Auditoría Declaración del alcance Declaración de los objetivos de la auditoría Declaración del programa de trabajo

Fases

típicas de la auditoría

46


46/69

5/8/2018



Objetivos de control Objetivos

de auditoría

Diferencia

entre los objetivos de control y los objetivos de auditoría

47


47/69

5/8/2018



Riesgo

de auditoría y materialidad Se aplica un enfoque de auditoría basado en el riesgo, para evaluarlo y ayudar al auditor de SI a decidir realiza pruebas de cumplimiento o pruebassisustantivas

48


48/69

5/8/2018



Enfoque

basado en el riesgo Énfasis en el conocimiento del negocio y de la tecnología Centrado en deevaluar la eficacia ³combinación´ los controles

de la Asocia la evaluación del riesgo con las pruebas orientadas a los objetivos de control Enfoca gerencia la

entidad desde una perspectiva

49


49/69

5/8/2018



Tipos de riesgo Riesgo

inherente

Riesgo de control Riesgo de detección Riesgo

de auditoría

50


50/69

5/8/2018



Técnicas de Evaluación de Riesgo Permiten

asignar eficazmente los limitados recursos de auditoría

relevante Aseguran que se haya obtenido información Proveen una base para una gestión adecuada del área de Auditoría O frecen unse panorama cómo una auditoría específica relacionadecon la entidad y sus

planes 51


51/69

5/8/2018



Objetivos de control y

controles relacionados

Relación

entre pruebas sustantivas y pruebas de cumplimiento

Correlación

entre el nivel de los controles internos y las pruebas sustantivas requeridas

52


52/69

5/8/2018



Evidencia

± Es un requisito que las conclusiones del auditor estén basadas en evidencia suficiente y competente Independencia de quien provee Calidad de quien provee la

lainformación evidencia o

evidencia Objetividad de la evidencia Oportunidad

de la evidencia

53


53/69

5/8/2018



Técnicas para recopilar evidencia: Revisión del organigrama de SI Revisión de las políticas, los procedimientos

y

normas SI las Revisión dede la documentación de SI Entrevistas a personal clave Observación de los procesos y el desempeño del personal

54


54/69

5/8/2018

Ejecución de la Auditoría SI Muestreo Enfoques


generales para el muestreo en

auditoría: M Muestreo uestreo estadístico no estadístico Métodos

de muestreo empleados por los

auditores: Muestreo de atributos Muestreo de variables 55


55/69

5/8/2018



Muestreo (cont.) Muestreo de atributos Muestreo parar / seguir Muestreo de

descubrimiento

Muestreo

de variables Media estratificada por unidad Media no estratificada por unidad Estimación de diferencia 56


56/69

5/8/2018



Términos del muestreo estadístico: Coeficiente de confianza Nivel de riesgo Precisión Tasa de error esperado Media de la muestra Desviación estándar de la muestra tolerable de error Tasa Desviación estándar de la población Pasos claves para obtener una muestra 57


57/69

5/8/2018



Técnicas de Auditoría Asistida por Computador TAAC son una importante herramienta para

que los auditores de SI recopilen información independientemente TAAC incluyen: Software

generalizado de auditoría (ACL, IDEA,

etc) Software utilitario Datos de prueba Software de aplicación para auditoría permanente en línea Sistemas expertos en auditoría 58


58/69

5/8/2018



Técnicas de Auditoría Asistida por Necesidad de TAAC Recopilación

Computador

de evidencia

Funcionalidades Funciones soportadas Áreas de interés

59


59/69

5/8/2018



Técnicas de Auditoría Asistida por

Computador Ejemplos de TAAC utilizados para recopilar evidencia Enfoque

de auditoría permanente en línea

60


60/69

5/8/2018




Computador

Ventajas de las TAAC Costo / beneficio de las TAAC

61


61/69

5/8/2018




Computador

Desarrollo de las TAAC Retención de la

documentación

Acceso a los datos de Manipulación

producción

de los datos

62


62/69

5/8/2018



Evaluación

de fortalezas y debilidades Evaluar la evidencia Evaluar la estructura completa del

control

Evaluar los procedimientos de control Evaluar las fortalezas y debilidades del

control

63


63/69

5/8/2018



Evaluación

de la materialidad de los hallazgos La materialidad es un punto clave La

evaluación requiere la aplicación de criterio profesional, para determinar el efecto potencial del hallazgo, si no se toma una acción correctiva

64


64/69

5/8/2018



Comunicación

de los resultados de la auditoría Estructura y contenido del informe de auditoría Entrevista final

Técnicas de presentación Resumen ejecutivo Presentación visual Presentación oral

65


65/69

5/8/2018



Acciones

de la Gerencia para implementar las recomendaciones La auditoría es un proceso permanente Oportunidad

del seguimiento

Documentación de la Auditoría

66


66/69

5/8/2018



Gestión de los

recursos de Auditoría Los auditores de SI son un recursos limitado Destrezas y

conocimientos apropiados Limitaciones a la ejecución de la auditoría Técnicas de administración de

proyectos

67


67/69

5/8/2018

Auto evaluación del Control


Objetivos

del programa de auto evaluación del control (CSA): Ampliación de las responsabilidades de auditoría (no las reemplazan) Educación para la Gerencia de línea, en cuanto a su responsabilidad por el control y el monitoreo Concentración en áreas de alto riesgo Rol del auditor de SI en las CSA Uso de la tecnología Enfoque tradicional vs. CSA 68


68/69

5/8/2018

Preguntas?


Ing. Víctor Campos Medina [email protected]


69/69

CISA - Tema 1 El Proceso de Auditoria de Sistemas de ion ado

Recommend Documents