AUDITORÍA DE SISTEMAS. CAPÍTULO 5 AUDITORÍA DEL DESARROLLO DE SISTEMAS.
Metodología Auditoría de Sistemas
-
Upload
alex-armando-torres-bermudez -
Category
Documents
-
view
1.120 -
download
1
Transcript of Metodología Auditoría de Sistemas
![Page 1: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/1.jpg)
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
METODOLOGÍAS DE
AUDITORÍA DE SISTEMAS
![Page 2: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/2.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
METODOLOGIA TRADICIONAL: CUESTIONARIO
El auditor revisa los controles con la ayuda de una lista de control que consta de una serie de preguntas o cuestiones a verificar
La evaluación consiste en identificar la existencia de
unos controles establecidos o estandarizados
![Page 3: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/3.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
El auditor realiza una evaluación del RIESGO POTENCIAL EXISTENTE Como consecuencia de la ausencia de controles o bien por ser un sistema deficiente, estos riesgos deben ser
cuantificados y valorados
de tal forma que permita determinar el nivel de fiabilidad que brinda el sistema
sobre la exactitud, integridad y procesamiento de la información
METODOLOGIA basada en la EVALUACIÓN de RIESGOS
![Page 4: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/4.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
ELEMENTOS PRINCIPALES
OBJETIVOS de CONTROL
EVALUACIÓN de RIESGOS
TECNICAS de CONTROL
PRUEBAS INDEPENDIENTES
CONCLUSIONES SUSTENTADAS
![Page 5: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/5.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
OBJETIVO de CONTROL
El objetivo de todo control es la REDUCCIÓN del
RIESGO
![Page 6: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/6.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
(Políticas y Procedimientos)
Por cada objetivo de control/riesgo
potencial se deben identificar las
técnicas de control existentes que deben minimizar el riesgo,
logrando cumplir así, el objetivo de control
TECNICAS de CONTROL
![Page 7: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/7.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
ENTORNO GENERAL de CONTROL
CONTROLES en determinadas APLICACIONES
Procesos de negocio automatizados
![Page 8: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/8.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
CONTROLES de APLICACIÓN
ENTRADA PROCESO
SALIDA
![Page 9: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/9.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
CONTROLES PREVENTIVOS
CONTROLES DETECTIVOS
CONTROLES CORRECTIVOS
![Page 10: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/10.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PRUEBAS
Permiten obtener evidencia y
verificar la consistencia de los controles existentes y
también medir el riesgo por deficiencia de estos o por su
ausencia
![Page 11: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/11.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PRUEBAS
de CUMPLIMIENTO
SUSTANTIVAS
![Page 12: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/12.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
TÉCNICAS GENERALES1.ENTREVISTAS
2.REVISIONES de DOCUMENTOS
3.EVALUACION de RIESGOS y CONTROLES
4.MUESTREO ESTADISTICO
5.VERIFICACIONES de CALCULOS
6.PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS
7.HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO
![Page 13: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/13.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Son productos de software que permiten al auditor
OBTENER INFORMACIÓN de los sistemas automatizados como evidencias de las pruebas
que diseñen
TÉCNICAS ESPECÍFICAS
![Page 14: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/14.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
1.Software de auditoría o de revisión de productos determinados o plataformas
Permiten obtener una diagnosis de la situación de parámetros y otros aspectos y
su relación con respecto a la seguridad y protección del software y de la información
![Page 15: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/15.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
2.Software de auditoría que permiten extraer información para su revisión, comparación, etc.
Estos productos utilizados habitualmente por los auditores operativos o financieros,
permiten extraer datos concretos o en base a muestras estadísticas
HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
![Page 16: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/16.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
UTILIDADES del SOFTWARE o PLATAFORMA a auditar, bajo el CONTROL
de la INSTALACIÓN AUDITADA
Utilidades provistas por el software auditado: revisión de registros lógicos de actividades, edición de parámetros, etc.
Productos específicos de rendimiento, control, calidad instalados en la plataforma
a auditar: lenguajes de interrogación, software de librerías, depuradores de
software, etc.
![Page 17: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/17.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
SECUENCIA del PROCESO
de una AUDITORÍA de de una AUDITORÍA de SISTEMAS de SISTEMAS de INFORMACIÓNINFORMACIÓN
![Page 18: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/18.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
IDENTIFICACIÓN y EVALUACIÓN de RIESGOS POTENCIALES
OBJETIVO de la AUDITORÍA
DEFINICION del ALCANCE
RECURSOS y TIEMPO
RECOPILACION de INFORMACIÓN BÁSICA
I
![Page 19: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/19.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
REALIZACION de PRUEBAS y OBTENCIÓN de RESULTADOS
PROGRAMA de AUDITORÍA
IDENTIFICACION de ÁREAS CRÍTICAS y CONTROLES FUERTES
PRUEBAS y TÉCNICAS a UTILIZAR
II
![Page 20: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/20.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
INFORME
EVALUACIÓN de RESULTADOS y CONCLUSIONES
CONSIDERACIÓN de OTROS CONTROLES COMPENSATORIOS o
PRUEBAS ADICIONALES
REVISIÓN y CIERRE de PAPELES de TRABAJO
III
![Page 21: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/21.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
EVIDENCIAS, RESULTADOS y CONCLUSIONES
Los resultados de cada prueba deben VALORARSE, obtener UNA CONCLUSIÓN, siempre teniendo en cuenta los OBJETIVOS y el ALCANCE de la auditoría
EVIDENCIAS:PERTINENTES y SUFICIENTES
FEHACIENTES
VERIFICACIÓN de resultados
INTERRELACIÓN con otros resultados
![Page 22: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/22.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Las conclusiones obtenidas deben comentarse y discutirse con los responsables directos del área afectada
POR EJEMPLO:
Puede haber limitaciones de recursos, en la realización de pruebas, en la
disponibilidad de la evidencia.........Puede haber controles alternativos que
el auditor no haya detectado..............
![Page 23: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/23.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Deben incluir
DESCRIPCION de la situaciónRIESGO existente,DEFICIENCIA a solucionarsi corresponde, SUGERENCIA
de solución
CUANTIFICACIÓN del riesgo
CONEXIÓN con objetivo y otras deficiencias
![Page 24: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/24.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PAPELES de TRABAJO de la Auditoría de SI
![Page 25: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/25.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Se deben realizar de ACUERDO aNORMAS de AUDITORÍA, y deben reflejar
METODOLOGÍA utilizadaCOBERTURA del OBJETIVO de
auditoríaPRUEBAS realizadas y
CRITERIOS utilizados
RESULTADOS de las pruebas
![Page 26: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/26.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LIMITACIONES en las tareas realizadas
DEFICIENCIAS en pruebas realizadas que puedan requerir alguna EXTENSIÓN ESPECIAL de la revisión y
FALTA de CONSISTENCIA o claridad en las conclusiones
![Page 27: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/27.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Es necesario elaborar CONCLUSIONES GENERALES en base a los resultados obtenidos
Todo informe incluirá: ALCANCE y OBJETIVO de la auditoría, METODOLOGÍA UTILIZADA, POSIBLES LIMITACIONES yCONCLUSIONES
Es recomendable obtener junto con la presentación del borrador, una contestación o
confirmación del área auditada /cliente /organización
INFORME
![Page 28: Metodología Auditoría de Sistemas](https://reader035.fdocuments.net/reader035/viewer/2022081417/552550194a795993488b4b21/html5/thumbnails/28.jpg)
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Reglas en la preparación de Informes
• el vocabulario debe ser preciso,objetivo, cuidadoso, respetuoso,...
• NO incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos, ......
y • frases con contenido y breves......