El Proceso de Auditoría1Copyright 2008 Tecnotrend SC El Proceso de Auditoría de Sistemas de Información

El Proceso de Auditoría 1 Copyright 2008 Tecnotrend SC

El Proceso de Auditoría de Sistemas de Información


2 Temas a Cubrir

Establecer y aprobar la carta de constitución de la AuditoríaPlaneación PreviaRealizar una evaluación de riesgos de la AuditoríaDeterminar si la Auditoría es posibleRealizar la AuditoríaJerarquía de Controles InternosRecopilación de evidencia para la AuditoríaRealizar pruebas a la AuditoríaHallazgos (conclusiones) de la Auditoría


2.1 Establecer y Aprobar la carta de Constitución de la Auditoría

El Rol del Comité de AuditoríaCarta Compromiso


2.1.1 El Rol del Comité de Auditoría


2.1.2 Carta Compromiso

Todos los puntos esbozados en la carta de constitución de la auditoríaIndependencia del Auditor (responsabilidad)Evidencia de un acuerdo sobre términos y conciciones (autoridad)Fechas acordades de finalización (rendición de cuentas)


2.2 Planeación Previa

Identificar restricciones en el alcanceEntender la variedad de auditoríasRecopilar requerimientos detallados de la AuditoríaUsar un enfoque sistemático en la PlaneaciónComparar Auditoría con Evaluación y Auto-evaluación de controlEscoger la estrategia de Gestión de Riesgos



2.2.1 Identificar restricciones en el alcance

Ejemplos de Restricciones:La dirección pone restricciones excesivas en el uso de la evidencia o procedimientos de auditoría que pueden minar el objetivo de la auditoría Incapacidad de obtener evidencia suficiente por cualquier motivoFalta de recursos o tiempo suficientesProcedimientos de Auditoría ineficaces


2.2.2 Entender la variedad de auditorías

Producto o ServicioProcesosSistemasControles GeneralesPlanes Organizacioneles


2.2.3 Recopilar requerimientos detallados de la Auditoría

Obligaciones del ClienteObligaciones del Auditado


2.2.4 Usar un enfoque sistemático en la Planeación


2.2.5 Comparar Auditoría con Evaluación y Auto-evaluaciónde control

Auditoría Tradicional: El auditor profesional la administra de inicio a fin y rinde una opinión finalEvaluación: Menos formales. Ayudan al personal a mejorarAuto evaluación de control: Prueba su propioprograso


2.2.6 Escoger la estrategia de Gestión de Riesgos

Para identificar apropiadamente los riesgos el auditor necesita identificar:Activos a protegerExposición de estos activosAmenazas a esos activosFuentes internas y externas de amenazasCuestiones de seguridad que necesitan resolverse

Respuestas al Riesgo:AceptarMitigarTransferirEvitar



2.3 Realizar una evaluación de riesgos de la Auditoría

Riesgos inherentesRiesgos de DetecciónRiesgos de ControlRiesgos del NegocioRiesgos TecnológicosRiesgos OperativosRiesgos ResidualesRiesgos de Auditoría


2.4 Determinar si la Auditoría es posible


2.5 Realizar la Auditoría

Asignación del PersonalCreación de una Matriz de HabilidadesUso del trabajo de otras personasAsegurar el control de calidad de la AuditoríaDefinir las comunicaciones con el AuditadoUso de técnicas de recolección de datos


2.5.1 Asignación del Personal

Creación de un plan de recursos del personalCreación de un plan de capacitación del personal


2.5.2 Creación de una Matriz de Habilidades


2.5.3 Uso del trabajo de otras personas

El Auditor puede usar el trabajo de otros si:Se valora la objetividad e independencia del proveedorSi se determina su competencia profesional, capacidades y experienciaSi se determina el nivel de revisión y supervisión requerido


2.5.4 Asegurar el control de calidad de la Auditoría

Calidad: Cumplimiento con las especificacionesPlaneación y prevención crean CalidadEl estándar de rendimiento es cero defectos


2.5.5 Definir las comunicaciones con el Auditado

Puntos a considerar para ser efectivo en su comunicación:Describir el propósito, servicio y alcance de la auditoríaEnfrentar problemas, restricciones y retrasosResponder a las preguntas y quejas del clienteEnfrentar cuestiones fuera del alcance de esta auditoríaEntender tiempos y horariosSeguir el proceso de reportesLegar a un acuerdo en sus hallazgos con su clienteImplementar confidencialidad y el principio del menos privilegiadoProporcionar manejo especial de evidencias de irregularidades o posibles actos ilegales


2.5.6 Uso de técnicas de recolección de datos

Observación del PersonalRevisión de DocumentosEntrevistasTalleresEncuestas


2.6 Jerarquía de Controles Internos

Revisión de Controles ExistentesEl secreto de los controles fuertes


2.6.1 Revisión de Controles Existentes

PreventivosPara detectar (detective)CorrectivosAdministrativosTécnicosFísicos




2.6.2 El secreto de los controles fuertes

Control Fuerte = múltiples controles preventivos + múltiples controles de detección + múltiples controles correctivosControl Débil =Control mínimo + implementación o no implementación


2.7 Recopilación de evidencia para la Auditoría

El uso de evidencia para probar un puntoTipos de EvidenciaEvidencia típica de las Auditorias de SIUso de herramientas de Auditoría asistidas por computadoraDescubrimiento ElectrónicoCalificación de la EvidenciaTiempo de la EvidenciaCiclo de Vida de la EvicenciaPreparación de la documentaciónSelección de muestreos de la auditoría


2.7.1 El uso de evidencia para probar un punto

La evidencia prueba o no un puntoLa falta de evidencia es la falta de prueba


2.7.2 Tipos de Evidencia

Evidencia DirectaEvidencia Indirecta


2.7.3 Evidencia típica de las Auditorias de SI

Evidencia documentalExtracción de datosAfirmaciones del AuditadoAnálisis de planes, políticas y procedimientosResultados de auditorías de cumplimiento (compliance)Observaciones del auditado al hacer su trabajo o repetir un proceso


2.7.4 Uso de herramientas de Auditoría asistidas por computadora

Herramientas para detección de vulnerabilidadesAnálisis de protocolos y redes usando un snifferPruebas de configuración de SW de aplicaciónPruebas de cumplimiento de contraseñas


2.7.5 Uso de CAAT para auditorías continuas en línea


2.7.6 Descubrimiento Electrónico

E-discovery es la investigación de registros electrónicos para usar la evidencia en la corteEl dueño de los datos no tiene permitido usar códigos secretos para mantener las bases de datos secretas de los investigadores.


2.7.7 Calificación de la Evidencia


2.7.8 Fechado de la Evidencia

¿La evidencia se recibió cuando se solicitó o varias horas o días después?


2.7.9 Ciclo de Vida de la Evicencia


2.7.10 Preparación de la documentación de la Auditoría

Los registros de la Auditoría deben contestar las siguientes preguntas:¿Quién está involucrado?¿Qué se auditó, cómo se obtuvo la evidencia y qué procedimiento de prueba se usó?¿Cuándo ocurrió?¿Dónde ocurrió?¿Por qué (propósito de la auditorá)?¿Cómo se ejecutaron los planes y procedimientos de la Auditoría?


2.7.11 Selección de muestreos de la auditoría


2.8.1 Pruebas de Cumplimiento

Prueba la presencia o ausencia de algo y se basa en uno de los siguientes tipos de muestreo:Atribute samplingStop-and-go samplinfDiscovery samplingPrecision or extended error rate


2.8.2 Pruebas Sustantivas

Busca verificar el contenido y la integridad de la evidencia y se basa en uno de los siguietntes tipos de muestreos de auditoría:Variable samplingUnstratified mean estimationStratified mean estimationDifference estimation


2.8.3 Tasa de error tolerable

En pruebas de cumplimiento es la desviación mayor de un procedimiento que el auditor aceptaráEn pruebas sustantivas el auditor usa su juicio en relación a la relevancia material y concluye si se logró el objetivo de la auditoría


2.8.4 Registro de los resultados de las pruebas

Logro SobresalienteConformidadOportunidad de mejoraNo Conformidad


2.8.5 Análisis de los resultados

Preocupaciones del Auditor en relación a las pruebas:Evidencia suficienteEvidencia Contradctoria


2.8.6 Detección de Irregularidades y Actos Ilegales

FraudeRoboOcultaciónRacketeering Violaciones de Regulaciones

Documents

El Proceso de Auditoría1Copyright 2008 Tecnotrend SC El Proceso de Auditoría de Sistemas de Información