Ch1-2011_CISA_EPN

5/13/2018

Ch1-2011_CISA_EPN-slidepdf.com

® ISACA

Reconocida globalmente como líder en Gobierno de TI, control, seguridad y aseguramiento http://slidepdf.com/reader/full/ch1-2011cisaepn

1/135

5/13/2018


Curso de Preparación CISA 2011

Capítulo 1 El Proceso de Auditoría de SI

http://slidepdf.com/reader/full/ch1-2011cisaepn

2/135

5/13/2018


Agenda del curso • Objetivos de aprendizaje • Discutir tareas y declaraciones de conocimiento • Discutir capítulo temas específicos incluídos en el • Casos de estudio • Preguntas ejemplo


3/135

5/13/2018


Relevancia en el Exámen

Asegurar que el Candidato CISA… Tenga los conocimientos necesarios para proporcionar servicios de Auditoría de Sistemas de Información (SI) en conformidad con los estándares, directrices y mejores prácticas para apoyar a la organizacion a validar que su tecnología de información y sus sistemas de negocios estén protegidos y controlados.

(aproximadamente 28 preguntas).


4/135

5/13/2018


Capítulo 1 - Objetivos de Aprendizaje

•

Desarrollar e implementar una estrategia de auditoría basada en riesgos, en cumplimiento con los estándares, directrices y mejores prácticas de auditoría de SI.

•

Planificar auditorías específicas para asegurar que TI y los sistemas de negocio están protegidos y controlados.

•

Llevar a cabo auditoríasy de SI en prácticas conformidad con los estándares, directrices mejores de auditoría de SI para lograr los objetivos planeados de auditoría.


5/135

5/13/2018


Objetivos de Aprendizaje (Continuación)

•

Reportar los hallazgos, riesgos potenciales y resultados de auditorías a los accionistas principales / “stakeholders”.

•

Conducir seguimientos o preparar reportes de estatus para asegurar que se tomen acciones apropiadas por parte de la gerencia de manera oportuna.


6/135

5/13/2018


1.2.1 Organización de la función de Auditoría de SI • Estatuto de Auditoría (o “engagement letter”) – Establece la responsabilidad y objetivos de la administración y la delegación de autoridad para la función de Auditoría de SI. – Describe la autoridad, alcance y responsabilidades generales de la función de Auditoría.

• Aprobación del Estatuto de Auditoría • Cambios en el Estatuto de Auditoría


7/135

5/13/2018


1.2.3 Planeación de Auditoría

• Planeación a Corto Plazo • Planeación a Largo Plazo • Aspectos a considerar: -

Nuevas características de control Cambios tecnológicos Cambios en los procesos de negocio Técnicas mejoradas de evaluación

• Planeación individual de auditoría - Comprensión general del ambiente

• Prácticas del negocio y funciones relativas • Sistemas de información y tecnología


8/135

5/13/2018


1.2.3 Planeación de Auditoría (Continuación) Pasos de la Planeación de Auditoría 







Obtener un entendimiento de la misión, objetivos, propósito y procesos del negocio. Identificar el estado de contenidos específicos (políticas, estándares, directrices, procedimientos y estructura organizacional). Evaluar el análisis de riesgos y el análisis de impacto a la privacidad. Desarrollar un análisis de riesgos.


9/135

5/13/2018


1.2.3 Planeación de Auditoría (Continuación)

Pasos de la Planeación de Auditoría (Continuación) 

 



Conducir la revisión de control interno. Establecer el alcance y los objetivos de la auditoría. Desarrollar el enfoque o la estrategia de auditoría. Asignar los recursos de personal para la auditoría y dirigir la logística del trabajo de auditoría.


10/135

5/13/2018


1.2.4 Efecto de las Leyes y regulaciones en la planeación de Auditoría de SI Requerimientos regulatorios – Establecimiento – Organización – Responsabilidades – Correlación con las funciones de auditoría financiera, operacional y de TI


11/135

5/13/2018


1.2.4 Efecto de las Leyes y regulaciones en la planeación de Auditoría de SI (Continuación) Pasos para determinar el cumplimiento con los requerimientos externos: – Identificar los requerimientos externos – Documentar las leyes y regulaciones pertinentes – Evaluar si la administración y la función de SI han considerado los requerimientos externos relevantes

– Revisar los documentos internos del departamento de SI que se

apegan a las leyes aplicables – Determinar el cumplimiento con los procedimientos establecidos


12/135

5/13/2018


1.3.1 Código de Etica Profesional de ISACA

El Código de Etica Profesional de la

Asociación, provee una guía de conducta profesional y personal para los miembros de la Asociación y/o de los poseedores de las designaciones CISA y CISM


13/135

5/13/2018


1.3.2 Estándares de ISACA para Auditoría de SI

Marco de los Estándares de ISACA para Auditoría de SI: – Estándares – Directrices – Procedimientos


14/135

1.3.2 Estándares de Evaluación y Auditoría de TI de ISACA

5/13/2018


Objetivos

(Continuación)

•

Informar a la gerencia y a otros interesados sobre las expectativas de la profesión en relación con el trabajo de los auditores

•

Informar a los auditores de SI del nivel mínimo de desempeño requerido y aceptable para cumplir con las responsabilidades profesionales establecidas en el Código de Etica de ISACA


15/135

5/13/2018


1.3.2 Estándares de ISACA para Auditoría de SI (Continuación)

S1. Estatuto de Auditoría

S9. Irregularidades y actos ilegales

S2. Independencia

S10 Gobierno de TI

S3. Etica y Estándares

S11 Uso de la evaluación de riesgos en

S4. Competencia S5. Planeación S6. Desempeño del trabajo de Auditoría S7. Reporte S8. Seguimiento de las actividades

la planeación de auditoría S12 Materialidad de la Auditoría

S13 Usar el trabajo de otros expertos S14 Evidencia de Auditoría

S15 Controles de TI S16 e-Commerce


16/135

5/13/2018


1.3.2 Estándares de ISACA para Auditoría de SI (Continuación) S1. Estatuto de auditoría 



Propósito, responsabilidad, autoridad y rendición de cuentas. Aprobación

S2. Independencia 

Independencia Profesional



Independencia Organizacional


17/135

5/13/2018


1.3.2 Estándares de ISACA para Auditoría de SI (Continuación) S3. Etica Profesional y Estándares  

Código de Etica Profesional Debido cuidado Profesional

S4. Competencia 

Habilidades y conocimientos



Educación profesional continua


18/135

5/13/2018



S5. Planeación 







Alcance del Plan de Auditoría SI Desarrollar y documentar el enfoque de auditoría basado en riesgos Desarrollar y documentar el plan de auditoría Desarrollar el programa y procedimientos de auditoría


19/135

5/13/2018


1.3.2 Estándares de ISACA para Auditoría de SI (Continuación) S6. Desempeño del trabajo de auditoría 

Supervisión



Evidencia



Documentación


20/135

5/13/2018



S7. Informe 





 

Identificar la organización, los destinatarios y cualquier restricción Establecer el alcance, objetivos, cobertura y naturaleza del trabajo de la auditoría realizada Establecer los hallazgos, conclusiones y recomendaciones , así como sus limitaciones Justificar los resultados reportados Debe firmarse, fecharse y distribuirse conforme el estatuto de auditoría


21/135

5/13/2018


1.3.2 Estándares de ISACA para Auditoría de SI (Continuación) S8. Actividades de Seguimiento 

Revisión de conclusiones y recomendaciones previas



Revisión de hallazgos relevantes previos



Determinar si la administración ha tomado las acciones apropiadas de manera oportuna


22/135

5/13/2018



S9. Irregularidades y actos ilegales •

Considerar el riesgo de las irregularidades y actos ilegales

•

Mantener una actitud de escepticismo profesional

•

Obtener un entendimiento de la organización y de su ambiente

•

Considerar relaciones inusuales o inesperadas

•

Probar la pertinencia del control interno

•

Evaluar cualquier declaración falsa o errónea


23/135

5/13/2018



S9. Irregularidades y actos ilegales (Continuación)

•

Obtener declaraciones escritas de la administración

•

Tener conocimiento de cualquier alegato de irregularidad o acto ilegal

•

Comunicar irregularidades materiales y actos ilegales

•

Ejecutar acciones apropiadas en caso de ver afectada

•

su capacidad para continuar con el trabajo de auditoría Documentar irregularidades o actos ilegales relacionados a comunicaciones, planeación, resultados, evaluaciones y conclusiones


24/135

5/13/2018



S10. Gobierno de TI 





Revisar y evaluar la alineación de la función de SI con la misión, visión, valores, objetivos y estrategias de la organización. Revisar el estatuto de la función de SI acerca del desempeño esperado y evaluar su realización. Revisar y evaluar la efectividad de los recursos y rendimiento de los procesos gerenciales.


25/135

5/13/2018


1.3.2 Estándares de ISACA para Auditoría de SI (Continuación) S10. Gobierno de TI (Continuación) 

Revisar y evaluar el cumplimiento con los requerimientos legales, ambientales, de calidad de la información, fiduciarios y de seguridad







Usar un esquema basado en riesgos para evaluar la función de SI Revisar y evaluar el ambiente de control de la organización Revisar y evaluar los riegos que puedan afectar adversamente el ambiente de SI


26/135

5/13/2018


1.3.2 Estándares de ISACA para Auditoría de SI (Continuación) S11. Uso de la Evaluación de Riesgos en la planeación de auditoría 



Usar técnicas de evaluación de riesgos en el desarrollo de todo el plan de auditoría de SI Identificar y evaluar riesgos relevantes en la planeación de auditorías individuales


27/135

5/13/2018



S12 Materialidad de la Auditoría • El auditor de SI debe considerar la materialidad de la auditoría y

su relación con el riesgo de auditoría • El auditor de SI deber considerar debilidades potenciales o la ausencia de controles cuando planifica una Auditoría • El auditor de SI debe considerar el efecto acumulativo de la

deficiencia o debilidades en controles menores • El informe de la auditoría de SI debería revelar controles ineficaces o ausencia de los mismos


28/135

5/13/2018



S13 Usar el trabajo de otros expertos • El auditor de SI debe:

• Considerar la utilización del trabajo de otros expertos • Quedar satisfecho con las calificaciones, competencias, etc., de otros expertos • Analizar, revisar y evaluar el trabajo de otros expertos • Determinar si el trabajo de otros expertos es adecuado y completo • Aplicar procedimientos de prueba adicionales para obtener evidencia suficiente y apropiada de auditoria • Proveer una opinión de auditoria apropiada http://slidepdf.com/reader/full/ch1-2011cisaepn

29/135

5/13/2018

1.3.2 Estándares de ISACA para Auditoría de SI (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

S14 Evidencia de Auditoría • Incluir procedimientos desarrollados por el auditor y el resultado de estos procedimientos. • Incluir documentos fuente, registros y evidencia o soporte de la información. • Incluir hallazgos y resultados del trabajo de auditoria • Demostrar que el trabajo de auditoría realizado cumple con las leyes, regulaciones y políticas aplicables


30/135

5/13/2018


S15 Controles de TI El auditor de SI debe evaluar y monitorear los controles de TI que son una parte integral del ambiente de control interno de la organización.


31/135

5/13/2018


S16 Comercio electrónico El auditor de SI debe evaluar los controles aplicables y una evaluacíon de riesgos, cuando se revisen los ambientes del comercio electrónico, para asegurar que las transacciones son controladas adecuadamente.


32/135

5/13/2018

1.3.3 Directrices de Evaluación y Auditoría de TI Ch1-2011_CISA_EPN-slidepdf.com

de ISACA

G1- Usar el trabajo de otros auditores, efectivo el 1Junio 1998 G2 - Requerimiento de Evidencia de Auditoría, efectivo el 1 Diciembre 1998 G3 - Uso de Técnicas de Auditoría Asistidas por Computador (CAATs), efectivo el 1 Diciembre 1998 G4 - Servicio Externo de actividades de SI para otras organizaciones, efectivo el 1 Septiembre 1999 G5 - Estatuto de Auditoría, efectivo el 1 Septiembre 1999 G6 - Conceptos de Materialidad para la Auditoría de SI, efectivo el 1 Septiembre 1999

G7 Debido Cuidado de Profesional, G8 -- Documentación Auditoría, efectivo efectivo el el 1Septiembre 1Septiembre 1999 1999 G9 - Consideraciones de Auditoría en Caso de Irregularidades, efectivo el 1 Marzo 2000 G10 - Muestreo de Auditoría, efectivo el 1 Marzo 2000


33/135

5/13/2018

1.3.3 Directrices de ISACA para Auditoría de SI (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

G11 - Efecto de los Controles Generales de SI, efectivo el 1Marzo 2000 G12 - Relación Organizacional e Independencia, efectivo Septiembre 2000 G13 - Uso de la Evaluación de Riesgos en la Planeación de Auditoría, 1 Septiembre G14 - efectivo Revisiónelde los Sistemas2000 de Aplicación, efectivo el 1 Noviembre 2001

G15 - Planeación de la Auditoría, efectivo el Mayo 2010 G16 - Efecto de terceros en los controles de TI de una organización, efectivo el 1 Marzo 2002

G17 - Efecto de funciones ajenas aefectivo la Auditoría Independencia del Auditor, Mayosobre 2010 la G18 - Gobierno de TI, efectivo el 1 Julio 2002 G19 - Irregularidades y actos ilegales, eliminado Sept 2008


34/135

5/13/2018

1.3.3 Directrices de ISACA para Auditoría de SI (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

G20 - Informes, efectivo Agosto 2010 G21 - Revisión de Sistemas de Planeación de Recursos Empresariales (ERP), efectivo Agosto 2010 G22 - Revisión Comercio Electrónico Negocio a Consumidor (B2C), efectivo 1 Agosto 2003 G23 - Ciclo de Vida del Desarrollo de Sistemas (SDLC), efectivo 1 Agosto 2003 G24 - Banca por Internet, efectivo 1 Agosto 2003 G25 - Revisión Redes Privadas Virtuales, efectivo 1 Julio 2004 G26 - Revisión de Proyectos de1 Reingeniería Negocio (BPR), efectivo Julio 2004 de Procesos de G27 - Computación Móvil, efectivo 1 Septiembre 2004


35/135

5/13/2018

1.3.3 Directrices de Auditoría de SI de ISACA Ch1-2011_CISA_EPN-slidepdf.com

(Continuación)

G28 - Cómputo Forense, efectivo 1 Septiembre 2004 G29 - Revisión Post-Implementación, efectivo 1 Enero 2005 G30 - Competencia, efectivo 1 Junio 2005 G31 - Privacidad, efectivo 1 Junio 2005 G32 - Revisión del Plan de Continuidad del Negocio (BCP) desde la perspectiva TI, efectivo 1 Septiembre 2005el uso de Internet, efectivo 1 Marzo 2006 G33 - de Consideraciones Generales para G34 - Responsabilidad, Autoridad, Responsabilidad de rendir cuentas, efectivo 1 Marzo 2006 G35 - Actividades de Seguimiento, efectivo 1 Marzo 2006 G36 – Controles Biométricos, efectivo 1 Marzo 2007 G37 de la configuración, Efectivo G38 – – Aministracion Control de Acceso, Efectivo 1 Febrero 20081 Noviembre 2007 G39 – Organizaciones de TI, Efectivo 1 Mayo 2008 G40 – Revisión de prácticas de administración de seguridad, 1 October 2008 G41 – Retorno sobre la inversión en seguridad (ROSI), 1 May 2010 G42 – Evaluación Continua, 1 May 2010 http://slidepdf.com/reader/full/ch1-2011cisaepn

36/135

5/13/2018

1.3.4 Herramientas y Técnicas de Auditoría y Garantía de TI de ISACA (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

P1- Evaluación de Riesgos de SI, efectivo desde el 1 de Julio de 2002 P2 - Firmas Digitales, efectivo desde el 1 de julio de 2002 P3 - Detección de Intrusos, efectivo desde el 1 de agosto de 2003 P4 -Virus y Otros Códigos Maliciosos, efectivo desde el 1 de agosto de 2003 P5 - Autoevaluación de Control de Riesgos, efectivo desde el 1 de agosto de 2003 P6 - Firewalls, efectivo desde el 1 de agosto de 2003 P7- Irregularidades y Actos Ilegales, efectivo desde el 1 de noviembre de 2003 P8 - Evaluación de la Seguridad – Prueba de Penetración y Análisis de Vulnerabilidades, efectivo desde el 1 de septiembre de 2004 P9- Evaluación de los Controles gerenciales sobre las Metodologías de Encripción, efectivo desde el 1 de enero de 2005. P10 -Control de Cambios de Aplicación del Negocio, efectivo al 1 de octubre de 2006. P11 – Transferencia electrónica de Fondos (EFT) , efectivo desde 1 mayo de 2007 http://slidepdf.com/reader/full/ch1-2011cisaepn

37/135

1.3.5 Relaciones entre Estándares, Directrices y Procedimientos

5/13/2018


Estándares •

Deben ser monitoreados por los Auditores de SI

Directrices •

Proveen asistencia sobre cómo implementar los estándares

Procedimientos • Proveen

ejemplos para la implementación de los estándares.


38/135

5/13/2018

1.3.6 Marco de Trabajo de la Garantía de TI (ITAF ) Ch1-2011_CISA_EPN-slidepdf.com

TM

Sección 2200 – Estandares Generales. - 4 Sección 2400 – Estandares de Rendimiento. - 4 – – Seccion 2600 Estandares de Reportes. Sección 3000 – Guias de Aseguramiento deN/A TI - 5 Sección 3200 – Temas Empresariales. - 1 Sección 3400 – Proceso de Gestión de TI - 3 Sección 3600 – Guias de Garantía y Auditoria de TI -2 Sección 3800 – Gestión de Garantía y Auditoria de TI – N/A


39/135

5/13/2018

1.3.6 Marco de Trabajo de la Garantía de TI (ITAF ) Ch1-2011_CISA_EPN-slidepdf.com

TM


40/135

5/13/2018


1.4 Análisis de Riesgo

Desde la perspectiva del Auditor, el análisis de riesgo sirve para más de un propósito: •

• • •

Asiste al auditor en la identificación de riesgos y amenazas a un entorno de TI y sistemas que podría ser necesario la gestiónDependiendo y los controlesdel internos específicospara de sistemas. nivel de riesgo, esto ayuda al auditor en la selección de determinadas áreas para examinar. Ayuda al auditor en su evaluación de los controles en la planeación de la auditoría. Ayuda a que el auditor en la determinación de los objetivos de auditoría. Apoya las decisiones de la auditoría basada en riesgo.


41/135

5/13/2018



Los auditores de SI deben poder: •

Evaluar y diferenciar los tipos de riesgo, sus controles y mitigantes

•

Conocer losyriesgos derelevantes negocio comunes, tecnología relacionada controles Evaluar la valoración del riesgo y técnicas gerenciales utilizadas y apoyarse para el enfoque y planeación de auditoría Tener un entendimiento de los riesgos existentes durante el proceso de auditoría

•

•


42/135

5/13/2018




43/135

5/13/2018


1.5 Controles Internos

•

Políticas, procedimientos, prácticas y estructuras organizacionales implementadas para reducir el riesgo.

•

Clasificación de los controles internos

–

Controles Preventivos

– –

Controles Detectivos Controles Correctivos


44/135

5/13/2018


1.5 Controles Internos

CLASE

Preventivo

FUNCION   



Detectar los problemas antes de que surjan

Monitorear tanto operaciones como entradas Intentar predecir posibles problemas antes de que ocurran y hacer ajustes Prevenir un error, omisión o acto malicioso antes de que ocurran

EJEMPLOS     

 



Detectivo



Usar controles que detecten y reporten la ocurrencia de un error, omisión o acto malicioso.

        

Correctivo

 

  

Minimizar el impacto de una amenaza Remediar los problemas descubiertos por los controles detectivos Identificar la causa de un problema. Corregir los errores derivados de un problema Modificar el procesamiento de los sistemas para minimizar futuros ocurrencias del problema.


  

Emplear a personal calificado

Segregación de funciones (factor de disuasión) Controlar el acceso a instalaciones físicas Uso de un adecuado diseña de documentos (evitar errores) Establecer procedimientos adecuados para la autorización de transacciones Chequeos completos de ediciones programadas Uso de software de control de acceso que permita el acceso a archivos sensibles solo a personal autorizado. Utilizar software de encriptación para evitar la divulgación no autorizada de datos Hash totales Puntos de control en trabajos en producción Controles de eco en telecomunicaciones Mensajes de error sobre etiquetas de cintas Chequeo duplicado de cálculos. Reporteo periódico del rendimiento y sus variantes. Tener en cuentas los informes anteriores. Auditar las funciones internas. Revisar los registros de actividad para detectar intentos de acceso no autorizados. Planeación de contingencias. Procedimientos de respaldos Ejecución reiterada de procedimientos

45/135

1.5.1 Objetivos del Control Interno

5/13/2018


Sistema de control interno • • •

Controles internos contables Controles operativos Controles administrativos


46/135

1.5.1 Objetivos del Control Interno (Continuación)

5/13/2018


Objetivos del control interno •

Salvaguarda de activos de TI

•

Cumplimiento con las políticas organizacionales o requerimientos legales Ingreso de información Autorización Exactitud e integridad del procesamiento de transacciones Salida de información Confiabilidad de los procesos Respaldo / Recuperación Eficiencia y economía de las operaciones Proceso de gestión de cambios en TI y los sistemas relacionados

• • • • • • • •


47/135

5/13/2018


1.5.2 Objetivos de Control de SI Los objetivos de control interno aplican a todas las yaconceptualmente, sean manuales o los automatizadas. Poráreas, lo tanto, objetivos de control en un ambiente de SI, permanecen invariables respecto de un ambiente manual.


48/135

1.5.2 Objetivos de Control de SI (Continuación)

5/13/2018


•

Salvaguarda

de activos • Asegurar la integridad de los ambientes de sistema operativo en general •

Asegurar

la integridad de los ambientes de sistemas de aplicación críticos y sensitivos , a través de: - Autorización para ingreso de datos - Exactitud e integridad del procesamiento de transacciones - Confiabilidad de las actividades de procesamiento de información - Exactitud, integridad y seguridad de la información de salida - Integridad de la base de datos


49/135

1.5.2 Objetivos de Control de SI (Continuación)

5/13/2018


• Asegurar la identificación y autenticación apropiada de los usuarios de los recursos de SI • Asegurar la eficiencia y efectividad en las operaciones • Cumplir con los requerimientos, políticas y procedimientos, y con las leyes aplicables • Desarrollar un plan de respuesta a incidentes • Implementar procedimientos efectivos de administración de

cambios


50/135

5/13/2018


1.5.3 COBIT

• Un marco con 34 objetivos de control de alto nivel – Planeación y organización – Adquisición e Implementación – Entrega y Soporte – Monitoreo y Evaluación

• Utiliza 36 estándares y regulaciones principales, relacionados con TI http://slidepdf.com/reader/full/ch1-2011cisaepn

51/135

5/13/2018

1.5.4 Controles Generales Ch1-2011_CISA_EPN-slidepdf.com

Aplican a todas las áreas de una organización e incluye políticas y prácticas establecidas por la administración, para proveer una garantía razonable de que se alcanzarán objetivos específicos.


52/135

1.5.4 Controles Generales (Continuación)

5/13/2018


• • •

• • • •

Controles internos de contabilidad dirgidos a operaciones contables Controles operativos relacionados con el día a día de las operaciones Controles administrativos relacionados con la eficiencia operacional y la adherencia a las políticas de la administración Políticas y procedimientos organizacionales de seguridad lógica Políticas generales para el diseño y uso de documentos y registros Procedimientos y funciones para asegurar el acceso autorizado a los activos Políticas de seguridad física para todos los centros de datos


53/135

1.5.5 Controles de SI

5/13/2018


proteccion activos de información

• Estrategia y dirección • Organización general y administrativa • Acceso a los recursos de TI, incluyendo datos y programas • Metodologías de desarrollo de sistemas y control de cambios • Procedimientos de operación • Programación de sistemas y funciones de soporte técnico http://slidepdf.com/reader/full/ch1-2011cisaepn

54/135

5/13/2018

1.5.5 Controles de SI (Continuación)


• Procedimientos de aseguramiento de calidad • Controles de acceso físico • Planeación de continuidad del negocio /

recuperación de desastres • Redes y comunicaciones • Administración de la base de datos • Protección y mecanismos de detección contra ataques internos y externos


55/135

5/13/2018

1.6 Ejecución de una Auditoría de SI


Definición de Auditoría Proceso sistemático por medio del cual una persona competente e independiente obtiene y evalúa objetivamente la evidencia respecto de afirmaciones acerca de una entidad o evento económico de formar unaa opinión e informar el grado en el con que el la propósito aseveración se ajusta un sistema determinado de estándares.

Definición de Auditoría de SI Una auditoría que la revisión evaluación (total o parcial) de los sistemas deabarca procesamiento deyinformación automatizados, los procesos no automatizados relacionados así como las interfases entre ellos.


56/135

1.6.1 Clasificación de las Auditorías

5/13/2018


• Auditorias Financieras • Auditorias Operativas • Auditorias Integradas • Auditorias Administrativas • Auditorías de Sistemas de Información • Auditorías Especializadas • Auditorías Forenses http://slidepdf.com/reader/full/ch1-2011cisaepn

57/135

1.6.2 Programas de Auditoria

5/13/2018


• Basado en el alcance y el objetivo de una

asignación particular • Perspectivas del auditor de SI: – Seguridad (confidencialidad, integridad y

disponibilidad) – Calidad (efectividad, eficiencia) – Confianza (cumplimiento, confiabilidad) – Servicio y Capacidad


58/135

1.6.2 Programas de Auditoria (Continuación)

5/13/2018


Procedimientos Generales de Auditoria • Entendimiento del área/sujeto de auditoría • Evaluación de riesgo y plan general de auditoría • Planeación detallada de auditoría • Revisión Preliminar del área/sujeto de auditoría • Evaluación del área/sujeto de auditoría • Pruebas de cumplimiento • Pruebas sustantivas • Informe (comunicación de resultados) • Seguimiento


59/135

1.6.2 Programas de Auditoria (Continuación)

5/13/2018


Procedimientos para prueba y evaluación de controles de SI • Uso de software generalizado de auditoría para examinar el contenido de los archivos de datos • Uso de software especializado para evaluar el contenido de los archivos de parámetros del sistema operativo • Técnicas de diagramas de flujo para documentar aplicaciones automatizadas y procesos de negocio •

Uso de registros de auditoría disponibles en los sistemas operativos

• Revisión de la Documentación • Observación http://slidepdf.com/reader/full/ch1-2011cisaepn

60/135

1.6.3 Metodología de Auditoria

5/13/2018


• Un conjunto de procedimientos de auditoría documentados y diseñados para alcanzar los objetivos de auditoría planeados • Compuestos de: – Declaración del alcance – Declaración de los objetivos de auditoría – Declaración del programa de trabajo

• Establecida y aprobada por la gerencia de auditoría • Comunicada a todo el personal de auditoría


61/135

1.6.3 Metodología de Auditoria (Continuación)

5/13/2018


Fases de la Auditoria • Tema de la auditoría •

Objetivo de la auditoría

•

Alcance de la auditoría

•

Planeación de Auditoría Preliminar o Preauditoría

•

Procedimientos de Auditoría y pasos para la recopilación de datos

•

Procedimientos de evaluación de la prueba o de revisión de los resultados

•

Procedimientos de comunicación con la gerencia

•

Elaboración del informe de auditoría


62/135


5/13/2018

Fases de la Auditoría

Descripción


Objeto o Tema de la Auditoria Objetivo de la Auditoria

·Identificar el Area a ser Auditada. ·Identificar el propó sito de la auditoria. Por ejemplo, Un objetivo podría ser determinar cuando el código fuente de un programa presenta cambio en un ambiente bien definido y controlado.

Alcance de la auditoria

·Identificar los sistemas espe cíficos, funciones o unidades de la organización para ser incluidas en la revisió n. Por ejemp lo, en el caso anterior, los cambios de programa, el alcance declarado podría limitar la revisión a una simple aplicación del sistema o a un limitado periodo de tiempo. ·Identificar las habilidades técnicas y los recursos necesarios. ·Identificar las Fuentes de información para probar o revisar que tanto son funcionales los diagramas de flujo, políticas, estándares, procedimientos o papeles de trabajo de la auditoria.

Planeación de la pre-auditoria

Procedimientos de auditoria y pasos para obtener información.

Procedimientos para evaluar las pruebas o revisar los resultados Procedimientos para comunicación con la gerencia Preparación del reporte de auditoria


·Identificar locaciones o establecimientos para auditar. ·Identificar y seleccionar el enfoque de la auditoria para verificar y probar los controles. ·Identificar la lista de personas a entrevistar. ·Identificar y obtener políticas departamentales, estándares y guías para revisar. ·Desarrollar herramientas y metodologías de auditoria para probar y verificar los controles. ·Organización Especifica.

·Organización Especifica. ·Identificar el seguimiento de los procedimientos de revisión ·Identificar el procedimiento para evaluar/probar la eficiencia operacional y su eficacia. ·Identificar los procedimientos para probar los controles. ·revisar y evaluar la solide z de los documentos, políticas y procedimientos

63/135


5/13/2018


Qué debe documentarse en los papeles de trabajo (WorkPapers)? • Planes de Auditoría • Programas de Auditoría • Actividades de Auditoría • Pruebas de Auditoría • Hallazgos e incidentes de auditoría


64/135

Pregunta de Práctica

5/13/2018


1-1 ¿Cuál de lo siguiente describe MEJOR las primeras etapas de una auditoría de SI? A. Observar las instalaciones organizacionales clave B. Evaluar el entorno de SI C. Entender el proceso del negocio y el entorno aplicable a la revisión D. Revisar los informes de auditoría de SI anteriores


65/135

5/13/2018

1.6.4 Detección de Fraude Ch1-2011_CISA_EPN-slidepdf.com

• Responsabilidad de la Alta Gerencia • Beneficios de un sistema de control interno bien diseñado – Disuadir fraudes en primera instancia – Detectar fraudes oportunamente

• Detección y revelación de fraudes • Rol del auditor en la prevención y detección de fraudes


1.6.5 Auditoria basada en

66/135

Auditoría Basada en Riesgos Ch1-2011_CISA_EPN -slidepdf.com

5/13/2018

riesgos

Recopilación de Información y Planeación - Conocim ient o del negocio y la industria

- Estat ut os regulat orios

- Resultados de auditoria de años pasados

- Evaluación del Riesgo Inherente

- Información financiera reciente

Obtener un entendimiento del Control Interno - Ambiente de Control

- Evaluación del Riesgo de control

- Procedimientos de Control

- Equiparar el riesgo total

- Evaluación del Riesgo de Detección

Realizar Pruebas de Cumplimiento - Identificar controles claves para ser probados

- Realizar pruebas de fiabilidad, prevención del riesgo y adherencia a las políticas y procedimientos de la organización

Realizar Pruebas sustantivas - Procedimientos Analíticos

- Otros procedimientos sustantivos de Auditoria

- Pruebas detalladas de saldos de cuentas

Realizar Pruebas sustantivas - Crear las recomendaciones


- Escribir los reportes de Auditoria

67/135


5/13/2018


1-2 Al realizar una auditoría basada en el riesgo, ¿cuál evaluación del riesgo realiza inicialmente el auditor de SI?

A. Evaluación del riesgo de detección B. Evaluación del riesgo de control C. Evaluación del riesgo inherente D. Evaluación del riesgo de fraude


68/135


5/13/2018


1-3 Mientras desarrolla un programa de auditoría basado en el riesgo, ¿en cual de lo siguiente es MÁS probable que el auditor de SI se concentre? A. Los procesos del negocio B. Las aplicaciones críticas de TI C. Los controles operacionales D. Las estrategias del negocio


69/135

5/13/2018

1.6.6 Riesgo de Auditoría y Materialidad Ch1-2011_CISA_EPN-slidepdf.com

Categorias de Riesgo de Auditoría • Riesgo Inherente • Riesgo de Control • Riesgo de Detección • Riesgo General de Auditoría


70/135


5/13/2018


1-4 Cuál de los siguientes tipos de riesgo de auditoría asume una ausencia de controles compensatorios en el área que se está revisando? A. Riesgo de Control B. Riesgo de Detección C. Riesgo Inherente D. Riesgo de muestreo


71/135


5/13/2018


1-5 Un auditor de SI que realiza una revisión de los controles de una aplicación encuentra una debilidad en el software del sistema que podría tener un impacto material sobre la aplicación. El auditor de SI debería: A. Ignorar estas debilidades de control, ya que una revisión de software del sistema está más allá del alcance de esta revisión. B. Realizar una revisión detallada del software del sistema y reportar las debilidades de control. C. Incluír el reporte declaración la auditoría se limitó aen una revisiónuna de los controles de de que la aplicación. D. Revisar los controles de software del sistema que son relevantes y recomendar una revisión detallada del software del sistema.


72/135

1.6.7 Evaluación y Tratamiento del Riesgo

5/13/2018


Evaluación de los Riesgos de Seguridad • Las evaluaciones del riesgo deben identificar, cuantificar y priorizar los riesgos contra criterios para aceptación del riesgo y objetivos relevantes para la organización • Deben realizarse periódicamente para ocuparse

de los cambios en el entorno, los requerimientos de seguridad, en la situación del riesgo, y cuando ocurren cambios significativos.


1.6.7 Evaluación y

73/135

Tratamiento del Riesgo (Continuación)

5/13/2018


Evaluación de los Riesgos de Seguridad • Cada uno de los riesgos identificados en la evaluación del riesgo necesita ser tratado • Los controles deben ser seleccionados para asegurar que los riesgos se reduzcan a un nivel

aceptable.


1.6.8 Técnicas de

74/135

5/13/2018


Evaluación de Riesgos

• Permite a la administración asignar de manera efectiva los recursos limitados de auditoría • Asegura que la información relevante ha sido obtenida de todos los niveles de la Administración • Establece una base para dirigir efectivamente el departamento de auditoría • Provee un resumen de cómo un aspecto individual de auditoría se relaciona con la organización en general y con los planes del negocio


75/135

1.6.9 Objetivos de Auditoría

5/13/2018


Metas específicas de Auditoría • Cumplimiento con los requerimientos legales y

regulatorios • Confidencialidad • Integridad • Confiabilidad • Disponibilidad


1.6.10 Pruebas de Cumplimiento vs.

76/135

5/13/2018

1.6.10 Pruebas de Cumplimiento vs. Pruebas Sustantivas Ch1-2011_CISA_EPN-slidepdf.com

• Pruebas de cumplimiento – Determinan si los controles cumplen con las políticas y procedimientos de la administración. • Pruebas sustantivas – Prueban la integridad del procesamiento actual • Correlación entre el nivel del control interno y las

pruebas sustantivas requeridas • Relación entre las pruebas de cumplimiento y las pruebas sustantivas


77/135

1.6.10 Pruebas de Cumplimiento Vs.

Pruebas Sustantivas (continuación)

5/13/2018


Comprendiendo el entorno de control y el flujo de transacciones

Revisar el sistema para identificar controles

Prueba de cumplimiento a fin de determinar si los controles están funcionando

Evaluar los controles para determinar las bases de confianza y naturaleza, alcance y calendario de las pruebas sustantivas

Usar dos tipos d e pruebas sustantivas para evaluar la validez de los datos.

Prueba de los saldos y transacciones


Realizar procedimientos de revisión analítica

78/135

1.6.11 Evidencia

5/13/2018


Es un requisito que las conclusiones del auditor estén basadas en evidencia suficiente, relevante y• competente. Independencia del proveedor de la evidencia • Calificación del individuo que provee la información o

evidencia • Objetividad de la evidencia • Tiempo de disponibilidad de la evidencia


1.6.11 Evidencia

79/135

(Continuación)

5/13/2018


Técnicas para recopilar evidencia: • Revisión de las estructuras organizacionales de SI • •

Revisión de políticas y procedimientos de SI Revisión de estándares de SI

•

Revisión de documentación de SI

•

Entrevistas al personal apropiado

•

Observación de procesos y desempeño de los empleados

1.6.12 Entrevista y observación al


80/135

5/13/2018

personal en el desempeño de sus funciones Ch1-2011_CISA_EPN-slidepdf.com

• Funciones actuales • Procesos/procedimientos actuales • Concientización de seguridad • Relaciones jerárquicas


81/135

1.6.13 Muestreo

5/13/2018


Enfoques generales para muestreo de auditoría:

• Muestreo estadístico • Muestreo no estadístico


1.6.13 Muestreo

82/135

(Continuación)

5/13/2018

•


Muestreo de atributos – Muestreo Parar o seguir – Muestreo de Descubrimiento

•

Muestreo de variable – Media estratificada por unidad – Media no estratificada por unidad – Estimación de la diferencia


1.6.13 Muestreo

83/135

5/13/2018

(Continuación)


Términos de muestreo estadístico: • Coeficiente de Confianza • Nivel de riesgo • Precisión • Tasa de error esperada


1.6.13 Muestreo

84/135

5/13/2018

(Continuación)


Términos de muestreo estadístico: • Media de la muestra • Desviación estándar de la muestra • Tasa de error tolerable • Desviación estándar de la población


1.6.13 Muestreo

85/135

(Continuación)

5/13/2018


Pasos claves en la selección de una muestra: • Determinar los objetivos de la prueba. • Definir la población de la que se obtendrá la muestra. • Determinar el método de muestreo, como muestreo de atributos vs muestreo de variables. • Calcular el tamaño de la muestra. • Seleccionar la muestra. • Evaluar la muestra desde una perspectiva de auditoría.


86/135

5/13/2018

1.6.14 Uso de los servicios de otros auditores y expertos Ch1-2011_CISA_EPN-slidepdf.com

Consideraciones cuando se usa servicios de otros auditores y expertos: • Restricciones sobre “outsourcing” de servicios de auditoría/seguridad dispuestas por leyes y regulaciones • Estatuto de auditoría o estipulaciones contractuales • Impacto sobre objetivos generales y específicos de auditoria de SI. • Impacto sobre el riesgo de auditoría y responsabilidad profesional • Independencia y objetividad de otros auditores y expertos


87/135

5/13/2018

1.6.14 Uso de los servicios de otros auditores y expertos (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

Consideraciones cuando se usa servicios de otros auditores y expertos: • Competencia profesional, calificaciones y experiencia • Alcance del trabajo que se propone sea dado en outsourcing y método • Controles de supervisión y dirección de auditoría • Métodos y modalidades de comunicación de resultados del

trabajo de auditoría • Cumplimiento con regulaciones y estipulaciones legales • Cumplimiento con los estándares profesionales aplicables

1.6.15 Técnicas de auditoría


88/135

asistidas por computador G3

5/13/2018


• CAAT facilitan al auditor de SI obtener información de manera independiente • CAAT incluye: – Software generalizado de auditoría (GAS) – Software utilitario – Software para depuración y busqueda – Datos de prueba – Software aplicativo de auditoría continua y en línea

– Sistemas Expertos de Auditoría


89/135

5/13/2018

•

1.6.15 Técnicas de auditoría asistidas por computadora (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

Características del Software Generalizado de Auditoría (GAS): – Cálculos matemáticos – Estratificación

– Análisis Estadístico – Verificación de Secuencia

•

Funciones soportadas por GAS: – Acceso a archivos – Reorganización de archivos – Selección de datos

– Funciones estadísticas – Funciones aritméticas


90/135


5/13/2018


1-6 El uso PRIMARIO de software generalizado de auditoría (GAS) es: A. probar los controles integrados en los programas B. probar el acceso no autorizado a los datos C. extraer datos de relevancia para la auditoría D. reducir la necesidad de dar comprobantes para las transacciones


1.6.15 Técnicas de auditoría asistidas por

91/135

computador (Continuación)

5/13/2018


Elementos a considerar antes de utilizar CAAT: • Facilidad de uso, para el personal de auditoría existente y futuro • Requerimientos de entrenamiento • Complejidad de la codificación y del mantenimiento • Flexibilidad de uso • Requerimientos de instalación • Eficiencia de procesamiento • Confidencialidad procesando

de

los

datos

que

se

están

1.6.15 Técnicas de auditoría asistidas


92/135

por computador (Continuación)

5/13/2018


Documentación que se debe conservar: • Informes en línea • Listados de programas con comentarios • Diagramas de flujo • Informes de muestras • Descripción de registros y de archivos • Definiciones de campos • Instrucciones de operación • Descripción de documentos fuente aplicables

1.6.15 Técnicas de auditoría asistidas


93/135

5/13/2018

por computador (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

CAAT como Metodología de Auditoría Contínua y en Línea : • Mejorar la eficiencia de la auditoría, • El auditor de SI debe: – desarrollar técnicas de auditoría apropiadas para ser usadas con sistemas computarizados avanzados – estar involucrados en la creación de sistemas avanzados – hacer mayor uso de las herramientas automatizadas

1.6.16 Evaluación de fortalezas y


94/135

5/13/2018

debilidades de la Auditoría Ch1-2011_CISA_EPN-slidepdf.com

• Valoración de la evidencia • Evaluar la estructura general de control • Evaluar procedimientos de control • Valorar las fortalezas y debilidades de control


1.6.16 Evaluación de

95/135

5/13/2018

fortalezas y debilidades de la Auditoría (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

Juzgando la materialidad de los hallazgos • La materialidad es un aspecto clave • La evaluación requiere juzgar el efecto

potencial de un hallazgo si no se toman acciones correctivas

1.6.17 Comunicación de los


96/135

resultados de auditoría

5/13/2018


• Entrevista de salida – Hechos correctos – Recomendaciones realistas – Fechas de implementación para las recomendaciones acordadas

• Técnicas de presentación – Resumen ejecutivo

– Presentación visual

1.6.17 Comunicación de los resultados


97/135

5/13/2018

de auditoría (Continuación)


Estructura y contenido del informe de Auditoría • Introducción del informe • Hallazgos de auditoría presentados en anexos separados • Conclusión y opiniones generales del auditor de SI • Consideracciones del auditor de SI con respecto a la

auditoría • Hallazgos detallados y recomendaciones de auditoría • Variedad de hallazgos


98/135

5/13/2018

1.6.18 Acciones de la Gerencia para implementar las recomendaciones Ch1-2011_CISA_EPN-slidepdf.com

• Auditar es un proceso continuo • Programar el seguimiento


1.6.19 Documentación de

99/135

5/13/2018


Auditoría

La documentación de auditoría incluye: • La planeación y elaboración del alcance y objetivos de la auditoría • Descripción del entorno del área auditada • Programa de auditoría • Pasos de Auditoría efectuados para reunir evidencia • Uso de los servicios de otros auditores y expertos • Hallazgos de auditoría, conclusiones y recomendaciones

1.7 Autoevaluación del Control


100/135

5/13/2018


(CSA)

• Una técnica de administración • Una metodología • En la práctica, un conjunto de herramientas • Puede ser implementado mediante diversos métodos

1.7 Autoevaluación del Control


101/135

(CSA) (Continuación)

5/13/2018


Enfoque Hibrido para una Autoevaluación de Control (CSA) 0. Identificar procesos y Objetivos 

1. Identificar y evaluar los Riesgos 5 . F o 6.

rm P re

a c s

ió e n n ta c

p a ra

2. Identificar y e valuar los Controles ió n d

la S

e e In

n s fo ib rm il i es

za c

3. Desarrollar Cuestionarios




ió n

4. Recoger y Analizar los Cuestionarios

102/135

Pregunta de Práctica 5/13/2018


1-7 ¿Cuál de lo siguientes es MÁS efectivo para implementar una autoevaluación del control (CSA) dentro de las unidades de negocio? A. Revisiones informales de pares B. Talleres de facilitación C. Narrativas de flujo de proceso D. Diagramas de flujo de datos


103/135

1.7.1 Objetivos del CSA 5/13/2018


• Aprovechar la función de auditoría interna transfiriendo algunas de las responsabilidades de monitoreo de control a las áreas funcionales • Mejora de las responsabilidades de auditoria (no remplazarlas) • Educar acerca de la gestión de diseño de control y vigilancia • Capacitación de los empleados para evaluar el ambiente de control


104/135

1.7.2 Beneficios del CSA 5/13/2018


• Detección temprana de riesgos • Controles internos más efectivos y mejorados • Mayor conciencia de los empleados sobre los objetivos organizacionales • Empleados altamente motivados • Proceso mejorado de calificación en auditorías • Reducción en el costo del control • Mayor seguridad para los accionistas y clientes

1.7.3 Desventajas del CSA


105/135

5/13/2018


• Puede confundirse como un reemplazo de la auditoría • trabajo Puede considerarse como una carga más de • No implementar las mejoras sugeridas puede afectar la moral de los empleados • La falta de motivación puede limitar la efectividad en la detección de debilidades de control

1.7.4 Rol del auditor en CSA


106/135

5/13/2018


• Profesionales de control interno • Facilitadores de evaluación

1.7.5 Impulsadores de Tecnología


107/135

5/13/2018


para CSA

• Combinación de hardware y software • Uso de un sistema de reunión electrónico • Apoyo para la toma de decisiones soportadas por computadora • La toma de decisiones del grupo es un componente esencial

1.7.6 Enfoque Tradicional vs.


108/135

5/13/2018

1.7.6 Enfoque Tradicional vs. Enfoque CSA Ch1-2011_CISA_EPN-slidepdf.com

Enfoque Tradicional • Asigna Tareas /supervisa al personal • Impulsado por políticas /reglas • Participación limitada de los empleados • Reducido Enfoque en accionistas (stakeholder)

Enfoque CSA • Empleados empoderados /sujetos a rendición de cuentas • Mejora continua /curva de aprendizaje

• Extensa participación y capacitación de empleados • Amplio enfoque en accionistas


1.8.1 Papeles de Trabajo

109/135

Automatizados

5/13/2018


• Análisis de riesgos • Programas de auditoría • Resultados • Evidencia de pruebas • Conclusiones • Informes y otra información complementaria


1.8.1 Papeles de Trabajo

110/135

5/13/2018

Automatizados (Continuación) Ch1-2011_CISA_EPN-slidepdf.com

Controles mínimos : • Acceso a los papeles de trabajo • Pistas de Auditoría • Funciones automatizadas para ofrecer y registrar las aprobaciones • Controles de Seguridad e Integridad • Respaldo y Recuperación • Técnicas de encripción


1.8.2 Auditoría Integrada

111/135

5/13/2018


Proceso donde las disciplinas de auditoría necesarias son combinadas para evaluar controles internos claves de una operación, un proceso o una entidad • Se enfoca en el riesgo de la organización (para el caso de la auditoría interna) • Se enfoca en el riesgo de proveer una opinión de

auditoría incorrecta o engañosa (para el caso del auditor externo)


1.8.2 Auditoría Integrada

112/135

(continuación)

5/13/2018


Procesos Implicados: •

Identificar controles clave relevantes

•

Identificar los riesgos que enfrenta la organización y los controles clave relevantes

•

Probar que los controles clave están soportados por el sistema de TI

•

Probar que la administración de los controles opera efectivamente

•

Un informe u opinión combinada sobre riesgos y debilidades de los controles


1.8.3 Auditoría Continua

113/135

5/13/2018

•


Características propias – Lapso corto de tiempo entre el hecho que va a ser auditado y la recopilación de evidencia y el informe de auditoría

•

Criterios – Mejor monitoreo de los aspectos financieros – Permite el monitoreo en tiempo real de transacciones en

linea – Previene fiascos financieros y escándalos de auditoría – Usa software para determinar el control financiero más apropiado



114/135

(continuación)

5/13/2018


Auditoria continua vs. monitoreo continuo • Monitoreo continuo – Lo provee herramientas de gestión de SI – Basada en procedimientos automatizados para reunir responsabilidades fiduciarias

• Auditoría continua – Auditoría conducida – Realizada usando procedimientos de auditoría automatizados



115/135

(continuación)

5/13/2018


Facilitar la aplicación de auditorías continuas: • Nueva información sobre desarrollos tecnológicos • Incrementa la capacidad de procesamiento • Estándares • Herramientas de inteligencia artificial



116/135

5/13/2018

(continuación)

Pre-requisitos:


• Un alto grado de automatización • Un proceso de producción de información automatizado y confiable • Alarmas “triggers - detonantes” para reportar fallas en los controles • Implementación de herramientas de auditoría automatizadas • Rápida información al auditor de SI de anomalías/errores • Informes automatizados de auditoría en forma oportuna • Auditores de SI técnicamente competentes • Disponibilidad de fuentes confiables de evidencia • Adherencia a los lineamientos de materialidad • Adopción de un cambio de actitud del auditor de SI • Evaluación de los factores de costo



117/135

(continuación)

5/13/2018


Técnicas de TI en un ambiente de auditoría continua: •

Registro de transacciones

•

Herramientas de consulta

•

Estadísticas y análisis de datos (CAAT´s)

•

Sistema Administrador de Base de Datos (DBMS)

•

Data warehouses, data marts, minería de datos.

•

Agentes Inteligentes

•

Módulos de auditoría integrados (EAM)

•

Tecnología de redes neuronales

•

Estándares de presentation de informes empresariales



118/135

(continuación)

5/13/2018


• Ventajas – Captura instantánea de problemas de control interno – Reducción de las ineficiencias intrínsecas de auditoría

• Desventajas – Dificultad en la implementación – Alto costo – Eliminación del juicio personal del auditor y su evaluación



119/135

5/13/2018


1-8 El PRIMER paso al planear una auditoría es: A. definir los entregables de auditoría B. finalizar el alcance de la auditoría y los objetivos de la auditoría C. lograr una comprensión de los objetivos del negocio D. desarrollar el método de auditoría o la estrategia de la auditoría



120/135

5/13/2018


1-9 El enfoque que un auditor de SI debe usar para planear la cobertura de la auditoría de SI debe estar basado en: A. riesgo B. materialidad C. escepticismo profesional D. Control de detección



121/135

5/13/2018


1-10 Una compañía realiza una copia de respaldo diaria de los datos críticos y de los archivos de software y almacena las cintas de respaldo en un lugar fuera del establecimiento. Las cintas de respaldo se usan para recuperar los archivos en caso de una interrupción. Esto es: A.

control preventivo

B. C.

control administrativo control correctivo

D.

control de detección


122/135

1.9.1 Caso de Estudio – Escenario A

5/13/2018


Se ha pedido al auditor de SI que realice un trabajo preliminar para determinar la preparación de la organización para medir el cumplimiento de los nuevos requisitos regulatorios. Estos requisitos están diseñados para asegurar que la gerencia esté asumiendo un papel activo en establecer y mantener un entorno bien controlado y, en consecuencia, evaluará la revisión de la gerencia y las pruebas del entorno general de control de TI. Las áreas a ser evaluadas incluyen seguridad lógica y física, administración de cambios, control de producción y administración de redes, gobierno de TI, y computo de usuario final. Al auditor de SI se le han dado seis meses para realizar este trabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe señalar que en años anteriores, se han identificado reiterados problemas en las áreas de seguridad lógica y administración de cambios, de modo que estas áreas muy probablemente requerirán algún grado de rectificación

1.9.1 Caso de Estudio - Escenario A (Continuación)


123/135

(Continuación) 5/13/2018


Las deficiencias de seguridad lógica identificadas incluyeron el compartir las cuentas de administrador y no ejecutar los controles adecuados sobre las contraseñas. Las deficiencias de administración de cambios incluyeron indebida segregación de funciones y no documentar todos los cambios. Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a los servidores se encontró que era sólo parcialmente efectivo. En anticipación del trabajo a ser realizado por el auditor de SI, el director de información (CIO) solicitó reportes directos para desarrollar narrativas y flujos de procesoEstos que describieran principales actividadespor de los las que TI es responsable. se llevaron alas cabo, fueron aprobados diferentes dueños de proceso y por el CIO, y fueron luego enviados al auditor de SI para revisión.

Preguntas Caso de Estudio A


124/135

5/13/2018


1. ¿Qué debería hacer PRIMERO el auditor de SI? A. Efectuar una evaluación del riesgo de TI. B. Realizar una auditoría de inspección de los controles de acceso lógico. C. Revisar el plan de auditoría para concentrarse en la auditoría basada en el riesgo. D. Comenzar a probar los controles que el auditor de SI estima que son los más críticos.

Preguntas Caso de Estudio A


125/135

5/13/2018


2. Cuando la administración de cambios se deprueba programas, ¿Cómo se debe seleccionar la muestra? A. Los documentos de administración de cambios deben ser seleccionados al azar y examinados para verificar si son apropiados. B. Los cambios al código de producción deben ser incluidos en la muestra y validar que exista una apropiada autorización documentada. Se deben sacar muestras de los cambios al código de producción y éstos deben ser rastreados hasta la documentación apropiada que autorizó. C. Los documentos de administración de cambios deben ser seleccionados en base a la criticidad del sistema y deben ser examinados para verificar si son apropiados. D. Los cambios al código de producción deben ser incluidos en la muestra y se deben revisar los registros del sistema identificado fecha y hora del cambio.

Caso de Estudio - Escenario B


126/135

5/13/2018


Un auditor de SI está planeando revisar la seguridad de una aplicación financiera para una gran compañía con varias localidades en todo el mundo. El sistema aplicativo está constituido por una interfaz web, una capa lógica de negocio y una capa de base de datos. La aplicación es accedida localmente a través de una LAN y remotamente a través de la Internet mediante una conexión VPN.

Preguntas Caso de Estudio B


127/135

5/13/2018


1. La herramienta CAAT MÁS apropiada que el auditor debe usar para probar los parámetros de configuración de seguridad para todo sistema de aplicación es: A. software generalizado de auditoría B. datos de prueba C. Software utilitario D. sistemas expertos



128/135

5/13/2018


2.

Dado que la aplicación es accedida a través de la Internet, ¿cómo debe el auditor determinar si se debe realizar un examen detallado de los ajustes de configuración de las reglas del firewall y del la red privada virtual (VPN)? A. Análisis documentado del riesgo B. Disponibilidad de experiencia y conocimientos técnicos C. Método usado en auditorias previas D. Directrices y mejores prácticas de auditoría de SI



129/135

5/13/2018

3.


Durante la revisión, si el auditor detecta que el objetivo de control de autorización de transacciones no puede cumplirse debido a una ausencia de roles y privilegios claramente definidos en la aplicación, el auditor debe : PRIMERO A. Revisar la autorización en una muestra de transacciones B. Reportar inmediatamente este hallazgo a la gerencia superior C. Solicitar que la gerencia del auditado revise si los derechos de acceso para todos los usuarios son apropiados D. Usar un software generalizado de auditoría para verificar la integridad de la base de datos

1.9.3 Caso de Estudio-Escenario C http://slidepdf.com/reader/full/ch1-2011cisaepn

130/135

5/13/2018


Un auditor de SI ha sido designado para llevar a cabo auditorías de SI en una organización por un período de 2 años. Después de aceptar la designación, el auditor de SI notó que: • La organización tiene un estatuto de auditoría que detalla, entre otras cosas el alcance y las responsabilidades de la función de auditoría de SI y especifica al comité de auditoría como el organismo de supervisión para la actividad de auditoría; • La organización está planeando un aumento importante en la inversión de TI, principalmente a cuenta de la implementación de una nueva aplicación de ERP, integrando los procesos del negocio

en todas las unidades dispersas geográficamente. Se espera que la implementación del ERP esté en operación dentro de los próximos 90 días. Los servidores que soportan las aplicaciones del negocio están alojados fuera de las instalaciones por un proveedor de servicios externo.


1.9.3 Caso de Estudio Escenario C (Continuación)

131/135

5/13/2018


•

La organización tiene un nuevo colaborador como Director de Seguridad de la Información (CISO), quien reporta al Director de Finanzas (CFO).

•

La entidad está sujeta a requerimientos regulatorios de cumplimiento que obligan a su gerencia a certificar la eficacia del sistema de control interno cuando éste se relaciona con el reporte financiero. La organización ha estado registrando crecimiento al doble del promedio de la industria consistentemente por los últimos dos años. Sin embargo, la organización ha visto también aumentada su rotación de empleados.

Preguntas Caso de Estudio C


132/135

5/13/2018


1. La PRIMERA prioridad del auditor de SI en el Año 1 debe ser estudiar: A. Los reportesde de auditoría auditorías de SI anteriores y planear el cronograma B. La carta de auditoria y planear el programa de auditoría C. el impacto del nuevo titular como CISO D. el impacto de la implementación del nuevo ERP en el entorno de TI y planear el programa de auditoría

Preguntas Caso de Estudio C


133/135

5/13/2018


2. ¿Cómo debe el auditor de SI evaluar el respaldo y el procesamiento de lotes dentro de las operaciones de computo? A. Planear y llevar a cabo una revisión independiente de las operaciones de computo B. Confiar en el reporte del auditor del prestador de servicio C. Estudiar el contrato entre la entidad y el proveedor del servicio D. Comparar el informe de entrega del servicio con el contrato de nivel de servicio.


Conclusión

134/135

5/13/2018

•


Capitulo 1 Repaso Referencia Rápida – Pagina 34 del Manual de Prepración CISA 2010


135/135

Ch1-2011_CISA_EPN

Recommend Documents