Upload
claudia-cuenca-alvarez
View
220
Download
0
Embed Size (px)
Citation preview
El Proceso de Auditoría 1 Copyright 2008 Tecnotrend SC
El Proceso de Auditoría de Sistemas de Información
El Proceso de Auditoría 3 Copyright 2008 Tecnotrend SC
2 Temas a Cubrir
Establecer y aprobar la carta de constitución de la AuditoríaPlaneación PreviaRealizar una evaluación de riesgos de la AuditoríaDeterminar si la Auditoría es posibleRealizar la AuditoríaJerarquía de Controles InternosRecopilación de evidencia para la AuditoríaRealizar pruebas a la AuditoríaHallazgos (conclusiones) de la Auditoría
El Proceso de Auditoría 4 Copyright 2008 Tecnotrend SC
2.1 Establecer y Aprobar la carta de Constitución de la Auditoría
El Rol del Comité de AuditoríaCarta Compromiso
El Proceso de Auditoría 5 Copyright 2008 Tecnotrend SC
2.1.1 El Rol del Comité de Auditoría
El Proceso de Auditoría 6 Copyright 2008 Tecnotrend SC
2.1.2 Carta Compromiso
Todos los puntos esbozados en la carta de constitución de la auditoríaIndependencia del Auditor (responsabilidad)Evidencia de un acuerdo sobre términos y conciciones (autoridad)Fechas acordades de finalización (rendición de cuentas)
El Proceso de Auditoría 7 Copyright 2008 Tecnotrend SC
2.2 Planeación Previa
Identificar restricciones en el alcanceEntender la variedad de auditoríasRecopilar requerimientos detallados de la AuditoríaUsar un enfoque sistemático en la PlaneaciónComparar Auditoría con Evaluación y Auto-evaluación de controlEscoger la estrategia de Gestión de Riesgos
El Proceso de Auditoría 8 Copyright 2008 Tecnotrend SC
El Proceso de Auditoría 9 Copyright 2008 Tecnotrend SC
2.2.1 Identificar restricciones en el alcance
Ejemplos de Restricciones:La dirección pone restricciones excesivas en el uso de la evidencia o procedimientos de auditoría que pueden minar el objetivo de la auditoría Incapacidad de obtener evidencia suficiente por cualquier motivoFalta de recursos o tiempo suficientesProcedimientos de Auditoría ineficaces
El Proceso de Auditoría 10 Copyright 2008 Tecnotrend SC
2.2.2 Entender la variedad de auditorías
Producto o ServicioProcesosSistemasControles GeneralesPlanes Organizacioneles
El Proceso de Auditoría 11 Copyright 2008 Tecnotrend SC
2.2.3 Recopilar requerimientos detallados de la Auditoría
Obligaciones del ClienteObligaciones del Auditado
El Proceso de Auditoría 12 Copyright 2008 Tecnotrend SC
2.2.4 Usar un enfoque sistemático en la Planeación
El Proceso de Auditoría 13 Copyright 2008 Tecnotrend SC
2.2.5 Comparar Auditoría con Evaluación y Auto-evaluaciónde control
Auditoría Tradicional: El auditor profesional la administra de inicio a fin y rinde una opinión finalEvaluación: Menos formales. Ayudan al personal a mejorarAuto evaluación de control: Prueba su propioprograso
El Proceso de Auditoría 14 Copyright 2008 Tecnotrend SC
2.2.6 Escoger la estrategia de Gestión de Riesgos
Para identificar apropiadamente los riesgos el auditor necesita identificar:Activos a protegerExposición de estos activosAmenazas a esos activosFuentes internas y externas de amenazasCuestiones de seguridad que necesitan resolverse
Respuestas al Riesgo:AceptarMitigarTransferirEvitar
El Proceso de Auditoría 15 Copyright 2008 Tecnotrend SC
El Proceso de Auditoría 16 Copyright 2008 Tecnotrend SC
2.3 Realizar una evaluación de riesgos de la Auditoría
Riesgos inherentesRiesgos de DetecciónRiesgos de ControlRiesgos del NegocioRiesgos TecnológicosRiesgos OperativosRiesgos ResidualesRiesgos de Auditoría
El Proceso de Auditoría 17 Copyright 2008 Tecnotrend SC
2.4 Determinar si la Auditoría es posible
El Proceso de Auditoría 18 Copyright 2008 Tecnotrend SC
2.5 Realizar la Auditoría
Asignación del PersonalCreación de una Matriz de HabilidadesUso del trabajo de otras personasAsegurar el control de calidad de la AuditoríaDefinir las comunicaciones con el AuditadoUso de técnicas de recolección de datos
El Proceso de Auditoría 19 Copyright 2008 Tecnotrend SC
2.5.1 Asignación del Personal
Creación de un plan de recursos del personalCreación de un plan de capacitación del personal
El Proceso de Auditoría 20 Copyright 2008 Tecnotrend SC
2.5.2 Creación de una Matriz de Habilidades
El Proceso de Auditoría 21 Copyright 2008 Tecnotrend SC
2.5.3 Uso del trabajo de otras personas
El Auditor puede usar el trabajo de otros si:Se valora la objetividad e independencia del proveedorSi se determina su competencia profesional, capacidades y experienciaSi se determina el nivel de revisión y supervisión requerido
El Proceso de Auditoría 22 Copyright 2008 Tecnotrend SC
2.5.4 Asegurar el control de calidad de la Auditoría
Calidad: Cumplimiento con las especificacionesPlaneación y prevención crean CalidadEl estándar de rendimiento es cero defectos
El Proceso de Auditoría 23 Copyright 2008 Tecnotrend SC
2.5.5 Definir las comunicaciones con el Auditado
Puntos a considerar para ser efectivo en su comunicación:Describir el propósito, servicio y alcance de la auditoríaEnfrentar problemas, restricciones y retrasosResponder a las preguntas y quejas del clienteEnfrentar cuestiones fuera del alcance de esta auditoríaEntender tiempos y horariosSeguir el proceso de reportesLegar a un acuerdo en sus hallazgos con su clienteImplementar confidencialidad y el principio del menos privilegiadoProporcionar manejo especial de evidencias de irregularidades o posibles actos ilegales
El Proceso de Auditoría 24 Copyright 2008 Tecnotrend SC
2.5.6 Uso de técnicas de recolección de datos
Observación del PersonalRevisión de DocumentosEntrevistasTalleresEncuestas
El Proceso de Auditoría 25 Copyright 2008 Tecnotrend SC
2.6 Jerarquía de Controles Internos
Revisión de Controles ExistentesEl secreto de los controles fuertes
El Proceso de Auditoría 26 Copyright 2008 Tecnotrend SC
2.6.1 Revisión de Controles Existentes
PreventivosPara detectar (detective)CorrectivosAdministrativosTécnicosFísicos
El Proceso de Auditoría 27 Copyright 2008 Tecnotrend SC
El Proceso de Auditoría 28 Copyright 2008 Tecnotrend SC
El Proceso de Auditoría 29 Copyright 2008 Tecnotrend SC
2.6.2 El secreto de los controles fuertes
Control Fuerte = múltiples controles preventivos + múltiples controles de detección + múltiples controles correctivosControl Débil =Control mínimo + implementación o no implementación
El Proceso de Auditoría 30 Copyright 2008 Tecnotrend SC
2.7 Recopilación de evidencia para la Auditoría
El uso de evidencia para probar un puntoTipos de EvidenciaEvidencia típica de las Auditorias de SIUso de herramientas de Auditoría asistidas por computadoraDescubrimiento ElectrónicoCalificación de la EvidenciaTiempo de la EvidenciaCiclo de Vida de la EvicenciaPreparación de la documentaciónSelección de muestreos de la auditoría
El Proceso de Auditoría 31 Copyright 2008 Tecnotrend SC
2.7.1 El uso de evidencia para probar un punto
La evidencia prueba o no un puntoLa falta de evidencia es la falta de prueba
El Proceso de Auditoría 32 Copyright 2008 Tecnotrend SC
2.7.2 Tipos de Evidencia
Evidencia DirectaEvidencia Indirecta
El Proceso de Auditoría 33 Copyright 2008 Tecnotrend SC
2.7.3 Evidencia típica de las Auditorias de SI
Evidencia documentalExtracción de datosAfirmaciones del AuditadoAnálisis de planes, políticas y procedimientosResultados de auditorías de cumplimiento (compliance)Observaciones del auditado al hacer su trabajo o repetir un proceso
El Proceso de Auditoría 34 Copyright 2008 Tecnotrend SC
2.7.4 Uso de herramientas de Auditoría asistidas por computadora
Herramientas para detección de vulnerabilidadesAnálisis de protocolos y redes usando un snifferPruebas de configuración de SW de aplicaciónPruebas de cumplimiento de contraseñas
El Proceso de Auditoría 35 Copyright 2008 Tecnotrend SC
2.7.5 Uso de CAAT para auditorías continuas en línea
El Proceso de Auditoría 36 Copyright 2008 Tecnotrend SC
2.7.6 Descubrimiento Electrónico
E-discovery es la investigación de registros electrónicos para usar la evidencia en la corteEl dueño de los datos no tiene permitido usar códigos secretos para mantener las bases de datos secretas de los investigadores.
El Proceso de Auditoría 37 Copyright 2008 Tecnotrend SC
2.7.7 Calificación de la Evidencia
El Proceso de Auditoría 38 Copyright 2008 Tecnotrend SC
2.7.8 Fechado de la Evidencia
¿La evidencia se recibió cuando se solicitó o varias horas o días después?
El Proceso de Auditoría 39 Copyright 2008 Tecnotrend SC
2.7.9 Ciclo de Vida de la Evicencia
El Proceso de Auditoría 40 Copyright 2008 Tecnotrend SC
2.7.10 Preparación de la documentación de la Auditoría
Los registros de la Auditoría deben contestar las siguientes preguntas:¿Quién está involucrado?¿Qué se auditó, cómo se obtuvo la evidencia y qué procedimiento de prueba se usó?¿Cuándo ocurrió?¿Dónde ocurrió?¿Por qué (propósito de la auditorá)?¿Cómo se ejecutaron los planes y procedimientos de la Auditoría?
El Proceso de Auditoría 41 Copyright 2008 Tecnotrend SC
2.7.11 Selección de muestreos de la auditoría
El Proceso de Auditoría 43 Copyright 2008 Tecnotrend SC
2.8.1 Pruebas de Cumplimiento
Prueba la presencia o ausencia de algo y se basa en uno de los siguientes tipos de muestreo:Atribute samplingStop-and-go samplinfDiscovery samplingPrecision or extended error rate
El Proceso de Auditoría 44 Copyright 2008 Tecnotrend SC
2.8.2 Pruebas Sustantivas
Busca verificar el contenido y la integridad de la evidencia y se basa en uno de los siguietntes tipos de muestreos de auditoría:Variable samplingUnstratified mean estimationStratified mean estimationDifference estimation
El Proceso de Auditoría 45 Copyright 2008 Tecnotrend SC
2.8.3 Tasa de error tolerable
En pruebas de cumplimiento es la desviación mayor de un procedimiento que el auditor aceptaráEn pruebas sustantivas el auditor usa su juicio en relación a la relevancia material y concluye si se logró el objetivo de la auditoría
El Proceso de Auditoría 46 Copyright 2008 Tecnotrend SC
2.8.4 Registro de los resultados de las pruebas
Logro SobresalienteConformidadOportunidad de mejoraNo Conformidad
El Proceso de Auditoría 47 Copyright 2008 Tecnotrend SC
2.8.5 Análisis de los resultados
Preocupaciones del Auditor en relación a las pruebas:Evidencia suficienteEvidencia Contradctoria
El Proceso de Auditoría 48 Copyright 2008 Tecnotrend SC
2.8.6 Detección de Irregularidades y Actos Ilegales
FraudeRoboOcultaciónRacketeering Violaciones de Regulaciones