Auditoría SIA_ISACA_MBG

Introduction - page 1© 2005 ISACA All Rights Reserved

ISACA ISACA ®®

Reconocida mundialmente Reconocida mundialmente como Líder en el gobierno, como Líder en el gobierno,

control y aseguramiento de TIcontrol y aseguramiento de TI


Curso CISACurso CISA®® 20052005

Capítulo 1El proceso de auditoría de

SI


ContenidoContenido•• Organización de la Función de Auditoría de SIOrganización de la Función de Auditoría de SI•• Administración de Recursos de Auditoría de SIAdministración de Recursos de Auditoría de SI•• Planeación de la AuditoríaPlaneación de la Auditoría•• Leyes y regulacionesLeyes y regulaciones•• Estándares y guías de ISACA para la auditoría Estándares y guías de ISACA para la auditoría

de Sistemasde Sistemas•• Análisis de riesgosAnálisis de riesgos•• Controles InternosControles Internos•• Realización de una auditoría de SIRealización de una auditoría de SI•• Auto Auto -- evaluación del control (CSA)evaluación del control (CSA)•• Gobernabilidad corporativaGobernabilidad corporativa


ObjetivoObjetivoAsegurar que el candidato CISA …Asegurar que el candidato CISA …

“El objetivo del área de proceso es el de asegurar que el El objetivo del área de proceso es el de asegurar que el candidato CISA tenga el conocimiento necesario para candidato CISA tenga el conocimiento necesario para planear y conducir auditorías de SI en conformidad con planear y conducir auditorías de SI en conformidad con los estándares (normas) y guías (directrices) de auditoría los estándares (normas) y guías (directrices) de auditoría de SI generalmente aceptadas, para proveer una de SI generalmente aceptadas, para proveer una declaración (reporte de auditoría) asegurando que los declaración (reporte de auditoría) asegurando que los procesos de negocio de la organización soportados por procesos de negocio de la organización soportados por tecnología de información son adecuadamente tecnología de información son adecuadamente controlados, monitoreados y evaluados”controlados, monitoreados y evaluados”


ResumenResumen

De acuerdo con el Comité de De acuerdo con el Comité de Certificación CISA, el área de Certificación CISA, el área de

proceso representará proceso representará aproximadamente el 10 % del aproximadamente el 10 % del

examen CISA examen CISA (aproximadamente 20 preguntas)


Misión y Planeación de la Misión y Planeación de la auditoríaauditoría

•• Organización de la Función de Organización de la Función de Auditoría de SIAuditoría de SI

•• Administración de los Recursos de Administración de los Recursos de auditoría de SIauditoría de SI

•• Planeación de la AuditoríaPlaneación de la Auditoría•• Leyes y regulacionesLeyes y regulaciones


•• Una adecuada planeación es el primer Una adecuada planeación es el primer paso, necesario, para la ejecución de paso, necesario, para la ejecución de auditorías de TI efectivasauditorías de TI efectivas

•• Requiere comprender el ambiente Requiere comprender el ambiente general del negocio así como los general del negocio así como los riesgos de negocio y de control riesgos de negocio y de control asociadosasociados

•• Evaluar riesgos operacionales y de Evaluar riesgos operacionales y de control e identificar objetivos de control control e identificar objetivos de control durante la Planeación de la auditoríadurante la Planeación de la auditoría

Misión y Planeación de la Misión y Planeación de la auditoríaauditoría


Para realizar una Planeación de auditoría, el auditor de SI debe

1. Comprender la misión, los objetivos y los procesos del negocio, los requerimientos de información y de procesamiento tales como la disponibilidad, la integridad y la seguridad además de los requerimientos de la arquitectura de la información. En términos generales, los procesos y la tecnología.

2. Realizar un análisis de riesgos.3. Conducir una revisión de control interno.4. Definir el alcance de la auditoría y el (los) objetivo(s) de

la auditoría.5. Desarrollar el enfoque o la estrategia de auditoría.6. Asignar recursos para la auditoría y encarar la logística

del trabajo.

Misión y Planeación de la Misión y Planeación de la auditoría auditoría


Leyes y RegulacionesLeyes y Regulaciones•• Requerimientos normativosRequerimientos normativos

–– EstablecimientoEstablecimiento–– OrganizaciónOrganización–– ResponsabilidadesResponsabilidades–– Correlación con las funciones de Correlación con las funciones de

auditoría financiera, operacional y de TIauditoría financiera, operacional y de TI


Leyes y RegulacionesLeyes y Regulaciones•• Pasos para determinar el cumplimiento Pasos para determinar el cumplimiento

de requerimientos externos:de requerimientos externos:–– Identificar requerimientos externosIdentificar requerimientos externos–– Documentar leyes y regulaciones Documentar leyes y regulaciones

pertinentespertinentes–– Determinar si la gerencia y la función de SI Determinar si la gerencia y la función de SI

han considerado los requerimientos han considerado los requerimientos externos pertinentesexternos pertinentes

–– Revisar documentos internos del Revisar documentos internos del departamento de SI que muestren departamento de SI que muestren adherencia a las leyes aplicablesadherencia a las leyes aplicables

–– Determinar la adherencia a procedimientos Determinar la adherencia a procedimientos establecidosestablecidos


Estándares y Guías para la Estándares y Guías para la Auditoría de SIAuditoría de SI

Código de Ética Profesional de ISACACódigo de Ética Profesional de ISACA

El código de ética profesional de ISACA El código de ética profesional de ISACA provee una guía de conducta provee una guía de conducta

profesional y personal para los profesional y personal para los miembros de la Asociación y/o miembros de la Asociación y/o

poseedores de las certificaciones CISA poseedores de las certificaciones CISA y CISMy CISM



•• Estándares (normas) de ISACA para Estándares (normas) de ISACA para la auditoría de SIla auditoría de SI

•• Guías (directrices) de ISACA para la Guías (directrices) de ISACA para la Auditoría de SIAuditoría de SI

•• Procedimientos de ISACA para la Procedimientos de ISACA para la Auditoría de SIAuditoría de SI



Objetivos de los estándares de ISACA para Objetivos de los estándares de ISACA para la Auditoría de SIla Auditoría de SI–– Informar a la gerencia y a otras partes Informar a la gerencia y a otras partes

interesadas sobre lo que pueden esperar interesadas sobre lo que pueden esperar profesionalmente de los trabajos de auditoríaprofesionalmente de los trabajos de auditoría

–– Informar a los auditores de SI sobre el nivel Informar a los auditores de SI sobre el nivel mínimo de desempeño aceptable requerido para mínimo de desempeño aceptable requerido para cumplir las responsabilidades profesionales cumplir las responsabilidades profesionales establecidas en el Código de Ética Profesional establecidas en el Código de Ética Profesional de ISACAde ISACA



Estructura de los estándares de Estructura de los estándares de Auditoría de SI de ISACA:Auditoría de SI de ISACA:

–– EstándaresEstándares–– GuíasGuías–– ProcedimientosProcedimientos



•• Estándares y guías de ISACA para la Estándares y guías de ISACA para la Auditoría de SistemasAuditoría de Sistemas–– Estatutos de AuditoríaEstatutos de Auditoría–– IndependenciaIndependencia–– Ética Profesional y estándaresÉtica Profesional y estándares–– CompetenciaCompetencia–– PlaneaciónPlaneación–– Ejecución del trabajo de auditoríaEjecución del trabajo de auditoría–– ReportesReportes–– Actividades de seguimientoActividades de seguimiento


•• Estatutos de auditoríaEstatutos de auditoría

Responsabilidad, autoridad y Responsabilidad, autoridad y sujeción a rendición de cuentassujeción a rendición de cuentas




•• IndependenciaIndependencia

•• Independencia profesionalIndependencia profesional

•• Relación organizacionalRelación organizacional


–– Ética profesional y EstándaresÉtica profesional y Estándares

•• Código de Ética profesionalCódigo de Ética profesional

•• Debido cuidado profesionalDebido cuidado profesional




•• CompetenciaCompetencia

Habilidades y conocimientoHabilidades y conocimiento

Educación profesional continuaEducación profesional continua



•• PlaneaciónPlaneación

•• Planeación de AuditoríaPlaneación de Auditoría



•• Ejecución del trabajo de auditoríaEjecución del trabajo de auditoría

SupervisiónSupervisión

EvidenciaEvidencia



•• ReportesReportes

Contenido y forma del reporteContenido y forma del reporte



•• Actividades de SeguimientoActividades de Seguimiento

Revisar conclusiones y Revisar conclusiones y recomendaciones anterioresrecomendaciones anteriores

Revisar hallazgos previos relevantesRevisar hallazgos previos relevantes

Determinar si han sido implementadas Determinar si han sido implementadas oportunamente acciones apropiadasoportunamente acciones apropiadas



•• Utilización de las Guías de ISACA Utilización de las Guías de ISACA

–– Considerar las guías en la determinación Considerar las guías en la determinación de cómo implementar los estándaresde cómo implementar los estándares

–– Hacer uso del juicio profesional al aplicar Hacer uso del juicio profesional al aplicar estas guíasestas guías

–– Ser capaz de justificar cualquier Ser capaz de justificar cualquier desviacióndesviación



•• Utilización de los Procedimientos de Utilización de los Procedimientos de ISACAISACA– Ejemplos provistos para los

procedimientos desarrollados por el Consejo de Estándares de ISACA.

– El auditor de SI debe aplicar su propio juicio profesional a las circunstancias específicas.


Análisis de RiesgosAnálisis de Riesgos

DefiniciDefinicióón de ann de anáálisis de riesgoslisis de riesgos

El potencial de que una amenaza dada explote El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de las vulnerabilidades de un activo o grupo de activos, causando pactivos, causando péérdida o dardida o dañño a los mismos. o a los mismos. El impacto o severidad relativa del riesgo es El impacto o severidad relativa del riesgo es proporcional al valor para el negocio, de las proporcional al valor para el negocio, de las ppéérdidas o dardidas o dañños y a la frecuencia estimada de os y a la frecuencia estimada de la amenazala amenaza


•• Componentes del anComponentes del anáálisis de riesgoslisis de riesgos

–– Amenazas para, y vulnerabilidades de, Amenazas para, y vulnerabilidades de, procesos y/o activos (incluyendo activos procesos y/o activos (incluyendo activos ffíísicos e informacisicos e informacióón)n)

–– Impacto sobre los activos basado en Impacto sobre los activos basado en amenazas y vulnerabilidadesamenazas y vulnerabilidades

–– Probabilidades de las amenazas Probabilidades de las amenazas (combinaci(combinacióón de la posibilidad y frecuencia n de la posibilidad y frecuencia de su ocurrencia)de su ocurrencia)

Análisis de RiesgosAnálisis de Riesgos


ControlesControlesDefinición de control internoDefinición de control interno

Es un proceso establecido por la Junta Es un proceso establecido por la Junta Directiva, la alta gerencia y todos los Directiva, la alta gerencia y todos los niveles de personal para proveer una niveles de personal para proveer una seguridad razonable de que los seguridad razonable de que los objetivos de la organización serán objetivos de la organización serán alcanzadosalcanzados


Clasificación de los controlesClasificación de los controles

•• PreventivoPreventivo

•• DetectivoDetectivo

•• CorrectivoCorrectivo

ControlesControles


ControlesControlesObjetivos de Control de los Sistemas de Objetivos de Control de los Sistemas de InformaciónInformaciónLos objetivos de control en un ambiente de SI Los objetivos de control en un ambiente de SI permanecen invariable en relación a los de un permanecen invariable en relación a los de un ambiente manual. Sin embargo, las ambiente manual. Sin embargo, las características de los controles pueden ser características de los controles pueden ser diferentesdiferentes

Los objetivos de control interno, por lo tanto Los objetivos de control interno, por lo tanto necesitan, ser dirigidos en una manera necesitan, ser dirigidos en una manera específica a procesos relacionados con SIespecífica a procesos relacionados con SI


Objetivos de control de SIObjetivos de control de SI

•• COBITCOBITObjetivos de control en TI y estándares de Objetivos de control en TI y estándares de buenas prácticas buenas prácticas 34 objetivos de control de alto nivel34 objetivos de control de alto nivel

•• EjemplosEjemplos

ControlesControles


ControlesControlesProcedimientos de control de SIProcedimientos de control de SI

Los procedimientos de control incluyen Los procedimientos de control incluyen políticas y prácticas establecidas por la políticas y prácticas establecidas por la gerencia para proveer seguridad gerencia para proveer seguridad razonable de que los objetivos razonable de que los objetivos específicos serán alcanzadosespecíficos serán alcanzados


•• Procedimientos de control de SIProcedimientos de control de SI•• Controles Generales de SIControles Generales de SI

También llamados Controles Penetrantes También llamados Controles Penetrantes dirigidos a los controles del Ambiente dirigidos a los controles del Ambiente computacional y de Sistemas Operativoscomputacional y de Sistemas Operativos

•• Controles de AplicaciónControles de AplicaciónDirigidos a las aplicaciones computacionales Dirigidos a las aplicaciones computacionales tales como GL, Nóminas, RMP Planeación de tales como GL, Nóminas, RMP Planeación de materia prima, materia prima, etcetc……

ControlesControles


Procedimientos de Control de SIEjemplos de Controles Generales

– Estrategia y dirección– Gerencia y organización general– Acceso a datos y programas– Desarrollo de sistemas y control de cambios– Operaciones de procesamiento de datos– Programación de sistemas y funciones de soporte técnico– Procedimientos de aseguramiento de calidad del

procesamiento de datos– Controles de acceso físico– Planeación de continuidad del negocio / Recuperación de

desastres– Redes y comunicaciones– Administración de bases de datos

ControlesControles


Procedimientos de control de SIEjemplos de Controles de Aplicación

– Los procesos de las aplicaciones satisfacen las necesidades Corporativas y de los Usuarios

– Acceso a las funciones de las aplicaciones– Ediciones y Validaciones (entrada)– Nivel de autorización– Exactitud de los procesos de las funciones– Oportunidad del Procesamiento– Reportes– Pistas de auditoría– Etc…

ControlesControles


Definición de AuditoríaDefinición de Auditoría

Proceso sistemProceso sistemáático por el cual una persona tico por el cual una persona competente e independiente, obtiene y evalcompetente e independiente, obtiene y evalúúa a objetivamente evidencia relativa a objetivamente evidencia relativa a aseveraciones sobre una entidad o evento aseveraciones sobre una entidad o evento econeconóómico, con el propmico, con el propóósito de formarse una sito de formarse una opiniopinióón y reportar el grado en que la n y reportar el grado en que la aseveraciaseveracióón estn estáá acorde con un conjunto de acorde con un conjunto de estestáándares identificadosndares identificados

Ejecución de una AuditoríaEjecución de una Auditoría


Ejecución de una AuditoríaEjecución de una AuditoríaClasificación de auditorías:Clasificación de auditorías:

–– Auditorías financierasAuditorías financieras–– Auditorías operacionalesAuditorías operacionales–– Auditorías integralesAuditorías integrales–– Auditorías administrativasAuditorías administrativas–– Auditorías de sistemas de informaciónAuditorías de sistemas de información–– Auditorías EspecializadasAuditorías Especializadas–– Auditorías ForensesAuditorías Forenses


Ejecución de una AuditoríaEjecución de una AuditoríaDefinición de Auditoría de SIDefinición de Auditoría de SI

Proceso de recolección y evaluación de evidencia para determinar si los SI y los recursos relacionados:

- salvaguardan adecuadamente los activos,- mantienen la integridad de los datos y del sistema,- proveen información relevante y confiable,- alcanzan efectivamente los objetivos organizacionales,- consumen los recursos eficientemente, y- cuentan con controles internos que provean una seguridad

razonable de que los objetivos operacionales y de control serán satisfechos y de que los eventos no deseados serán prevenidos o detectados y corregidos de manera oportuna


•• Procedimientos generales de auditoríaProcedimientos generales de auditoría–– Entendimiento del área u objeto a auditarEntendimiento del área u objeto a auditar–– Valoración de riesgos y plan general de auditoríaValoración de riesgos y plan general de auditoría–– Planeación detallada de la auditoríaPlaneación detallada de la auditoría–– Revisión preliminar del área u objeto a auditarRevisión preliminar del área u objeto a auditar–– Evaluación del área u objeto a auditarEvaluación del área u objeto a auditar–– Pruebas de cumplimientoPruebas de cumplimiento–– Pruebas sustantivasPruebas sustantivas–– Reporte (comunicación de resultados)Reporte (comunicación de resultados)–– SeguimientoSeguimiento



Ejecución de una AuditoríaEjecución de una Auditoría•• Metodología/estrategia de auditoríaMetodología/estrategia de auditoría

–– Definición del alcanceDefinición del alcance–– Definición de los objetivos de auditoríaDefinición de los objetivos de auditoría–– Definición del programa de trabajoDefinición del programa de trabajo


Identificar– El área a auditar– El propósito de la auditoría– Los sistemas específicos, funciones o

unidades de la organization a ser incluídas en la revisión.

– Las habilidades técnicas y recursos necesarios

– Las fuentes de información para pruebas o revisión tales como diagramas de flujo funcionales, polííticas, estándares, procedimientos y papeles de trabajo de auditorías anteriores.

– Ubicación de las instaiaciones a auditar.– Selección del enfoque de auditoría para

verificar y probar los controles– Lista de personas a entrevistar– Obtener políticas departamentales,

estándares y guías para revisión

Desarrollar– Herramientas y metodología de

auditoría para probar y verificar el control

– Procedimientos para evaluar los resultados de las pruebas o revisiones

– Procedimientos de comunicación con lagerencia

Identificar– Procedimientos para revisiones de

seguimiento– Procedimientos para evaluar/probar la

eficiencia y efectividad operacional– Procedimientos para probar controles

Revisar y evaluar la solidez de los documentos, políticas y procedimientos

Fases típicas de una auditoríaFases típicas de una auditoríaEjecución de una AuditoríaEjecución de una Auditoría


Ejecución de una AuditoríaEjecución de una Auditoría•• Objetivos de ControlObjetivos de Control

•• Objetivos de AuditoríaObjetivos de Auditoría

•• Diferencia entre objetivos de control y Diferencia entre objetivos de control y objetivos de auditoríaobjetivos de auditoría


Ejecución de una AuditoríaEjecución de una Auditoría•• Riesgo de auditoría y materialidadRiesgo de auditoría y materialidad

Un enfoque de auditoría basado en Un enfoque de auditoría basado en riesgos es utilizado para valorar los riesgos es utilizado para valorar los riesgos y apoyar la decisión de un riesgos y apoyar la decisión de un auditor de SI de realizar ya sean auditor de SI de realizar ya sean pruebas de cumplimiento o pruebas pruebas de cumplimiento o pruebas sustantivassustantivas


Ejecución de una AuditoríaEjecución de una Auditoría•• Enfoque basado en riesgosEnfoque basado en riesgos

– Énfasis en el conocimiento del negocio y la tecnología

– Concentración en la valoración de la efectividad de una “combinación” de controles

– Relación entre la valoración de riesgos y las pruebas enfocadas en los objetivos de control

– Enfoque en el negocio desde una perspectiva gerencial


Ejecución de una AuditoríaEjecución de una AuditoríaTipos de riesgosTipos de riesgos

•• Riesgo inherenteRiesgo inherente•• Riesgo de controlRiesgo de control•• Riesgo de detecciónRiesgo de detección•• Riesgo total de auditoríaRiesgo total de auditoría


Ejecución de una AuditoríaEjecución de una Auditoría•• Técnicas de valoración de riesgosTécnicas de valoración de riesgos

– Permite a la gerencia asignar efectivamente los recursos limitados de auditoría

– Asegura que información relevante ha sido obtenida

– Establece una base para administrar efectivamente el departamento de auditoría

– Provee un resumen de como el objeto individual a auditar se relaciona con toda la organización y con los planes de negocio


Ejecución de una AuditoríaEjecución de una AuditoríaObjetivos de control y controles Objetivos de control y controles relacionadosrelacionados

Relación entre pruebas sustantivas Relación entre pruebas sustantivas y de cumplimientoy de cumplimiento

Relación entre el nivel de los Relación entre el nivel de los controles internos y las pruebas controles internos y las pruebas sustantivas requeridassustantivas requeridas


Ejecución de una AuditoríaEjecución de una Auditoría•• Evidencia Evidencia

Es un requerimiento que las conclusiones Es un requerimiento que las conclusiones del auditor deben basarse en evidencia del auditor deben basarse en evidencia suficiente y competentesuficiente y competente

•• Independencia del proveedor de la evidenciaIndependencia del proveedor de la evidencia•• Calificación de la persona que provee la Calificación de la persona que provee la

información o evidenciainformación o evidencia•• Objetividad de la evidenciaObjetividad de la evidencia•• Oportunidad de la evidenciaOportunidad de la evidencia


Ejecución de una AuditoríaEjecución de una Auditoría•• Técnicas para obtener evidencia:Técnicas para obtener evidencia:

–– Revisar las estructuras organizacionales Revisar las estructuras organizacionales de SIde SI

–– Revisar las políticas, procedimientos y Revisar las políticas, procedimientos y estándares de SIestándares de SI

–– Revisar documentación de SIRevisar documentación de SI–– Entrevistar al personal apropiadoEntrevistar al personal apropiado–– Observar el desempeño de los procesos y Observar el desempeño de los procesos y

de los empleadosde los empleados


Ejecución de una AuditoríaEjecución de una Auditoría•• MuestreoMuestreo

–– Enfoques generales de muestreo en Enfoques generales de muestreo en auditoría:auditoría:•• Muestreo estadísticoMuestreo estadístico•• Muestreo noMuestreo no--estadísticoestadístico

–– Métodos de muestreo utilizados por los Métodos de muestreo utilizados por los auditores:auditores:•• Muestreo de atributosMuestreo de atributos•• Muestreo de variablesMuestreo de variables


Ejecución de una AuditoríaEjecución de una Auditoría•• Muestreo (Continuación…)Muestreo (Continuación…)

–– Muestreo de atributosMuestreo de atributos•• Muestreo pararMuestreo parar--oo--seguirseguir•• Muestreo por descubrimientoMuestreo por descubrimiento

–– Muestreo de variablesMuestreo de variables•• Media estratificada por unidadMedia estratificada por unidad•• Media noMedia no--estratificada por unidadestratificada por unidad•• Estimación de diferenciasEstimación de diferencias


•• Términos de muestreo estadístico:Términos de muestreo estadístico:–– Coeficiente de confianzaCoeficiente de confianza–– Nivel de riesgoNivel de riesgo–– PrecisiónPrecisión–– Tasa de error esperadaTasa de error esperada–– Media de la muestraMedia de la muestra–– Desviación estándar de la muestraDesviación estándar de la muestra–– Tasa de error tolerableTasa de error tolerable–– Desviación estándar de la poblaciónDesviación estándar de la población

EjecuciónEjecución de de unauna Auditoría de T.I.Auditoría de T.I.


•• Pasos claves en la selección de la Pasos claves en la selección de la muestramuestra–– Determinar los objetivos de la pruebaDeterminar los objetivos de la prueba–– Definir la poblaciDefinir la poblacióón a ser muestreadan a ser muestreada–– Determinar el mDeterminar el méétodo de muestreo, tales todo de muestreo, tales

como el muestreo de atributos versus el como el muestreo de atributos versus el muestreo de variables.muestreo de variables.

–– Calcular el tamaCalcular el tamañño de la muestrao de la muestra–– Seleccionar la muestraSeleccionar la muestra–– Evaluar la muestra desde una perspectiva Evaluar la muestra desde una perspectiva

de auditorde auditoríía.a.



Ejecución de una AuditoríaEjecución de una Auditoría•• Técnicas de auditoría asistidas por Técnicas de auditoría asistidas por

computadorcomputador–– Las herramientas CAAT son muy Las herramientas CAAT son muy

importantes para los auditores de SI en la importantes para los auditores de SI en la recolección independiente de informaciónrecolección independiente de información

–– CAATsCAATs incluyen:incluyen:•• SW generalizado de auditoría (ACL, IDEA, etc.)SW generalizado de auditoría (ACL, IDEA, etc.)•• SW utilitarioSW utilitario•• Datos de pruebaDatos de prueba•• SW de aplicación para auditorías continuas en SW de aplicación para auditorías continuas en

línealínea•• Sistemas expertos de auditoríaSistemas expertos de auditoría



computadorcomputador–– Necesidad de Necesidad de CAATsCAATs

•• Recolección de evidenciaRecolección de evidencia

–– Capacidades funcionalesCapacidades funcionales•• Funciones soportadasFunciones soportadas•• Áreas de interésÁreas de interés


•• Técnicas de auditoría asistidas por Técnicas de auditoría asistidas por computadorcomputador–– Ejemplos de Ejemplos de CAATsCAATs utilizados para utilizados para

recolectar evidenciarecolectar evidencia–– Enfoque de auditoría continua en líneaEnfoque de auditoría continua en línea




computadorcomputador–– Ventajas de Ventajas de CAATsCAATs–– Costo/beneficio de Costo/beneficio de CAATsCAATs



computadorcomputador–– Desarrollo de Desarrollo de CAATsCAATs

•• Retención de documentaciónRetención de documentación•• Acceso a datos de producciónAcceso a datos de producción•• Manipulación de datosManipulación de datos


Ejecución de una AuditoríaEjecución de una Auditoría•• Evaluación de fortalezas y debilidadesEvaluación de fortalezas y debilidades

–– Evaluar la evidenciaEvaluar la evidencia–– Evaluar la estructura de control globalEvaluar la estructura de control global–– Evaluar los procedimientos de controlEvaluar los procedimientos de control–– Evaluar las fortalezas y debilidades de Evaluar las fortalezas y debilidades de

controlcontrol


•• Juzgar la materialidad de los hallazgosJuzgar la materialidad de los hallazgos–– La materialidad es un aspecto claveLa materialidad es un aspecto clave–– La evaluación requiere un juicio sobre el La evaluación requiere un juicio sobre el

efecto potencial del hallazgo si no se toman efecto potencial del hallazgo si no se toman acciones correctivasacciones correctivas



Ejecución de una AuditoríaEjecución de una Auditoría•• Comunicación de los resultados de la Comunicación de los resultados de la

auditoríaauditoría–– Estructura y contenido del reporte de Estructura y contenido del reporte de

auditoríaauditoría–– Entrevista finalEntrevista final

•• Técnicas de presentaciónTécnicas de presentación–– Resumen ejecutivoResumen ejecutivo–– Presentación visualPresentación visual–– Presentación oralPresentación oral


Ejecución de una AuditoríaEjecución de una Auditoría•• Acciones de la gerencia para Acciones de la gerencia para

implementar recomendacionesimplementar recomendaciones–– La auditoría es un proceso continuoLa auditoría es un proceso continuo–– Oportunidad del seguimientoOportunidad del seguimiento

•• Documentación de la auditoríaDocumentación de la auditoría


•• Administración de los recursos de Administración de los recursos de auditoríaauditoría–– Los auditores de SI son un recurso limitadoLos auditores de SI son un recurso limitado–– Habilidades y conocimientos apropiadosHabilidades y conocimientos apropiados–– Restricciones en la conducción de la Restricciones en la conducción de la

auditoríaauditoría–– Técnicas de administración de proyectosTécnicas de administración de proyectos



Ejecución de una AuditoríaEjecución de una Auditoría•• Técnicas de administración de Técnicas de administración de

proyectosproyectos–– Desarrollar un plan detalladoDesarrollar un plan detallado–– Reportar el progreso del proyecto Reportar el progreso del proyecto

contra el plancontra el plan–– Ajustar el plan y tomar acciones Ajustar el plan y tomar acciones

correctivas, cuando se requieracorrectivas, cuando se requiera


•• Objetivos de un programa de AutoObjetivos de un programa de Auto--evaluación de Control (CSA):evaluación de Control (CSA):–– Realce de las responsabilidades de la Realce de las responsabilidades de la

auditoría (no un reemplazo)auditoría (no un reemplazo)–– Educación para la gerencia media sobre Educación para la gerencia media sobre

responsabilidad y monitoreo del controlresponsabilidad y monitoreo del control–– Concentración en áreas de alto riesgoConcentración en áreas de alto riesgo

•• Rol del auditor de SI en Rol del auditor de SI en CSAsCSAs•• FacilitadoresFacilitadores tecnológicostecnológicos•• Enfoque tradicional vs. CSAEnfoque tradicional vs. CSA

AutoAuto--evaluación de Controlevaluación de Control


•• Gobernabilidad CorporativaGobernabilidad Corporativa–– Comportamiento ético corporativo por Comportamiento ético corporativo por

directivos y otros encargados de la directivos y otros encargados de la gobernabilidad en la creación y gobernabilidad en la creación y presentación de riqueza para todas las presentación de riqueza para todas las personas con intereses en la organización personas con intereses en la organización

–– Establecimiento de reglas para la Establecimiento de reglas para la administración y reporte de riesgos del administración y reporte de riesgos del negocionegocio

–– Gobernabilidad de TI Gobernabilidad de TI

Gobernabilidad CorporativaGobernabilidad Corporativa


•• Gobernabilidad de TI Gobernabilidad de TI –– Un conjunto de responsabilidades y Un conjunto de responsabilidades y

prácticas utilizadas por la gerencia de una prácticas utilizadas por la gerencia de una organización para proveer dirección organización para proveer dirección estratégicaestratégica

–– Asegurar que las metas son alcanzablesAsegurar que las metas son alcanzables–– Los riesgos se manejan apropiadamenteLos riesgos se manejan apropiadamente–– Los recursos organizacionales se utilizan Los recursos organizacionales se utilizan

apropiadamente apropiadamente

Gobernabilidad de TIGobernabilidad de TI


Capítulo 1: GlosarioCapítulo 1: Glosario•• Controles administrativosControles administrativos•• Muestreo de atributosMuestreo de atributos•• Riesgo de auditoríaRiesgo de auditoría•• Pruebas de cumplimientoPruebas de cumplimiento•• CAATsCAATs•• Riesgo de controlRiesgo de control•• Módulos de auditoría integradosMódulos de auditoría integrados•• MaterialidadMaterialidad


Capítulo 1: RecapitulaciónCapítulo 1: Recapitulación•• Discusión en grupoDiscusión en grupo•• PreguntasPreguntas


Capítulo 1: PreguntasCapítulo 1: Preguntas1. 1. Al realizar una revisión de los controles de una Al realizar una revisión de los controles de una

aplicación, el auditor de SI descubre una debilidad aplicación, el auditor de SI descubre una debilidad en el SW de sistema, que podría impactar materialen el SW de sistema, que podría impactar material--mente a la aplicación. El auditor de SI debe: mente a la aplicación. El auditor de SI debe:

A. A. No prestar atención a esta debilidad de control ya que la No prestar atención a esta debilidad de control ya que la revisión del software de sistema está fuera del alcance de revisión del software de sistema está fuera del alcance de esta revisiónesta revisión

B. Conducir una revisión detallada del SW de sistema y B. Conducir una revisión detallada del SW de sistema y reportar la debilidad de controlreportar la debilidad de control

C. Incluir en el reporte una declaración de que la auditoría C. Incluir en el reporte una declaración de que la auditoría estuvo limitada a la revisión de los controles de la estuvo limitada a la revisión de los controles de la aplicaciónaplicación

D. D. Revisar los controles del SW de sistema relevantes y Revisar los controles del SW de sistema relevantes y recomendar una revisión detallada del SW de sistemarecomendar una revisión detallada del SW de sistema


2. La razón para tener controles en un ambiente de SI:2. La razón para tener controles en un ambiente de SI:A.A. Permanece invariable con relación a un ambiente manual, Permanece invariable con relación a un ambiente manual,

pero las características de los controles implementados pero las características de los controles implementados pueden ser diferentespueden ser diferentes

B.B. Cambia con relación a un ambiente manual, por lo tanto las Cambia con relación a un ambiente manual, por lo tanto las características de los controles implementados pueden ser características de los controles implementados pueden ser diferentesdiferentes

C.C. Cambia con relación a un ambiente manual, pero las Cambia con relación a un ambiente manual, pero las características de los controles implementados serán las características de los controles implementados serán las mismasmismas

D.D. Permanece invariable con relación a un ambiente manual y Permanece invariable con relación a un ambiente manual y las características de los controles implementados serán las características de los controles implementados serán también las mismastambién las mismas

Capítulo 1: PreguntasCapítulo 1: Preguntas


3.3. Cuál de los siguientes tipos de riesgo asume una Cuál de los siguientes tipos de riesgo asume una ausencia de controles compensatorios en el área ausencia de controles compensatorios en el área bajo revisión?bajo revisión?

A.A. Riesgo de controlRiesgo de control

B.B. Riesgo de detecciónRiesgo de detección

C.C. Riesgo inherenteRiesgo inherente

D.D. Riesgo de muestreoRiesgo de muestreo



4.4. Un auditor de SI está realizando pruebas de Un auditor de SI está realizando pruebas de auditoría sustantivas a un nuevo módulo de auditoría sustantivas a un nuevo módulo de cuentas por cobrar. Él tiene un cronograma cuentas por cobrar. Él tiene un cronograma ajustado y una experiencia limitada con el ajustado y una experiencia limitada con el computador. Cuál sería la MEJOR técnica de computador. Cuál sería la MEJOR técnica de auditoría a utilizar en esta situación? auditoría a utilizar en esta situación?

A.A. Datos de pruebaDatos de pruebaB.B. Simulación en paraleloSimulación en paraleloC.C. Facilidad de prueba integradaFacilidad de prueba integradaD.D. Módulo de auditoría integrado Módulo de auditoría integrado

Capítulo 1: preguntasCapítulo 1: preguntas


Capítulo 1: PreguntasCapítulo 1: Preguntas5.5. El objetivo PRIMARIO de un programa de autoEl objetivo PRIMARIO de un programa de auto--

evaluación o autoevaluación o auto--aseguramiento del control (CSA) aseguramiento del control (CSA) es:es:A.A. reemplazar algunas responsabilidades de auditoría reemplazar algunas responsabilidades de auditoría

interna.interna.B.B. remover la responsabilidad sobre los controles de la remover la responsabilidad sobre los controles de la

gerencia media.gerencia media.C.C. traspasar algunas de las responsabilidades de traspasar algunas de las responsabilidades de

supervisión de los controles a áreas funcionales. supervisión de los controles a áreas funcionales. D.D. Mejorar la supervisión del control global en la Mejorar la supervisión del control global en la

organización.organización.


6. 6. Cuál de los siguientes describe MEJOR las etapas Cuál de los siguientes describe MEJOR las etapas iniciales de una auditoría de SI?iniciales de una auditoría de SI?

A. A. Observación de las instalaciones organizacionales clavesObservación de las instalaciones organizacionales clavesB. B. Evaluación del ambiente de SIEvaluación del ambiente de SIC.C. Comprensión de los procesos de negocio y del ambiente Comprensión de los procesos de negocio y del ambiente

aplicable a la revisiónaplicable a la revisiónD. D. Revisión de reportes de auditoría de SI anterioresRevisión de reportes de auditoría de SI anteriores



Capítulo 1: PreguntasCapítulo 1: Preguntas7.7. El MAYOR inconveniente en el uso de una El MAYOR inconveniente en el uso de una

facilidad de prueba integrada es la necesidad de:facilidad de prueba integrada es la necesidad de:A. aislar los datos de prueba de los de producción.A. aislar los datos de prueba de los de producción.B. notificar al personal usuario para que puedan hacer B. notificar al personal usuario para que puedan hacer ajustes a las salidas.ajustes a las salidas.C. segregar registros específicos de archivos maestros.C. segregar registros específicos de archivos maestros.D. reunir registros de archivos maestros y de transacción D. reunir registros de archivos maestros y de transacción en un archivo separado.en un archivo separado.


8. Antes de reportar los resultados de una auditoría 8. Antes de reportar los resultados de una auditoría a la alta gerencia, un auditor de SI debe:a la alta gerencia, un auditor de SI debe:

A. Confirmar los hallazgos con los auditadosA. Confirmar los hallazgos con los auditadosB.B. Preparar un resumen ejecutivo y enviarlo al gerente del Preparar un resumen ejecutivo y enviarlo al gerente del

área auditadaárea auditadaC.C. Definir recomendaciones y presentar los hallazgos al Definir recomendaciones y presentar los hallazgos al

comité de auditoríacomité de auditoríaD.D. Obtener conformidad del auditado sobre los hallazgos Obtener conformidad del auditado sobre los hallazgos

y las acciones a ser tomadasy las acciones a ser tomadas



9. Al desarrollar un programa de auditoría basado en 9. Al desarrollar un programa de auditoría basado en riesgos, en cuál de los siguientes se enfocaría un riesgos, en cuál de los siguientes se enfocaría un auditor de SI con MAYOR posibilidad?auditor de SI con MAYOR posibilidad?

A. Procesos de negocioA. Procesos de negocioB. Aplicaciones de TI críticasB. Aplicaciones de TI críticasC. Objetivos corporativosC. Objetivos corporativosD. Estrategias de negocioD. Estrategias de negocio



10.10. El uso PRIMARIO del software de auditoría El uso PRIMARIO del software de auditoría generalizado generalizado eses::

A.A. probar los controles integrados en los programas.probar los controles integrados en los programas.B.B. probar los accesos no autorizados a los datos. probar los accesos no autorizados a los datos. C.C. extraer datos relevantes con la auditoría.extraer datos relevantes con la auditoría.D.D. reducir la necesidad de tener recibos de las reducir la necesidad de tener recibos de las

transacciones.transacciones.


Auditoría SIA_ISACA_MBG

Documents

Transcript of Auditoría SIA_ISACA_MBG