Proceso de Auditoría de Sistemas de Información

Proceso de auditoría de sistemas
de información
©Copyright 2016 ISACA. Todos los derechos reservados.

Proceso
Proporcionar servicios de auditoría en

conformidad con los estándares de
auditoría de SI apoyando así a la
organización en la protección y el control
de los sistemas de información (SI).
2 © Copyright 2016 ISACA. Todos los derechos reservados.

Proceso (cont.)
 El enfoque de Proceso es abarcar toda la práctica de
Auditoría de SI incluyendo procedimientos y una
exhaustiva metodología que permite que un auditor de
SI realice una auditoría sobre cualquier área dada de TI
en una forma profesional.

Objetivos del Proceso
 El objetivo de este conocer el proceso es asegurar que
el alumno tenga los conocimientos necesarios para:
o Proporcionar servicios de auditoría de conformidad
con los estándares de auditoría de SI
o Apoyar a la organización en la protección y el control
de los sistemas de información.

Fases del Proceso de Auditoria
Estrategia Planificación Realización Comunicación Seguimiento

Fases del Proceso
 1 Ejecutar una estrategia de auditoría de SI basada en
los riesgos que cumpla con los estándares de auditoría
de SI para garantizar que se auditen las áreas de riesgo
clave.
 2 Planificar auditorías específicas para determinar si los
sistemas de información están protegidos y controlados,
y si proporcionan valor a la organización.
 3 Realizar auditorías de conformidad con los estándares
de auditoría de SI para lograr los objetivos de auditoría
planificados.

Fases del Proceso (cont.)
 4 Comunicar los resultados de las auditorías y hacer
recomendaciones a las partes interesadas clave a través
de reuniones e informes de auditoría que promuevan el
cambio cuando sea necesario.
 5 Realizar seguimientos de las auditorías para
determinar si la gerencia tomó las acciones adecuadas
de manera oportuna.

Fase 1
Ejecutar una estrategia de auditoría de SI

basada en los riesgos que cumpla con
los estándares de auditoría de SI para
garantizar que se auditen las áreas de
riesgo clave.

Términos clave
Término clave Definición
Sistemas de La combinación de las actividades estratégicas,
información (SI) gerenciales y operativas involucradas en la recolección,
el procesamiento, el almacenamiento, la distribución y el
uso de la información y sus tecnologías relacionadas.
Los sistemas de información se diferencian de la
tecnología de información (TI) en que un sistema de
información tiene un componente de TI que interactúa
con los componentes del proceso.
Estándar Requisito obligatorio, código de práctica o especificación
aprobada por una organización normalizadora externa
reconocida, tal como la Organización Internacional de
Normalización (ISO).

Términos clave (cont.)
Directriz Una descripción de una determinada manera de lograr
algo que es menos prescriptivo que un procedimiento.
Herramientas y Las herramientas y las técnicas ofrecen ejemplos de los
técnicas de procesos que podría seguir un auditor de SI en una
auditoría. auditoría. Los documentos de herramientas y técnicas
proveen información sobre cómo cumplir los estándares
al realizar un trabajo de auditoría de SI, pero no
establecen requerimientos.

Tareas y conocimientos
relacionados
¿De qué manera la fase 1 se refiere a cada una de los
siguientes conocimientos relacionados?
Conocimiento relacionado Conexión
K1.1 Conocimiento de los estándares, las Con el fin de satisfacer tanto las metas y
directrices, y las herramientas y técnicas objetivos de una auditoría de SI y la
de aseguramiento y auditoría de SI de integridad del producto de trabajo que
ISACA, del Código de ética profesional y soporta la auditoría de SI, el auditor de SI
de otros estándares aplicables debe conocer y comprender el núcleo de
estándares, directrices, herramientas y
técnicas de auditoría y aseguramiento SI
de ISACA, y el Código de Ética
Profesional.
K1.2 Conocimiento de los conceptos de la Todos los auditores de SI deben ser
evaluación del riesgo, y las herramientas y capaces de usar con precisión y eficacia
técnicas de planificación, examen, informe las técnicas de evaluación de riesgos para
y seguimiento. garantizar que la auditoría de SI está
correctamente alineado con los perfiles de
riesgo de la organización.

Tareas y conocimientos relacionados
(cont.)
K1.3 Conocimiento de los procesos Sólo a través de una clara comprensión de
fundamentales del negocio (por ejemplo, los procesos de negocio subyacentes el
compras, nóminas, cuentas por pagar, auditor de SI puede entender realmente el
cuentas por cobrar) y el rol de SI en estos alcance, propósito y enfoque para cada
procesos uno trabajo de auditoría de SI.
K1.5 Conocimiento de las técnicas de El auditor de SI debe utilizar las técnicas
planificación de auditoría basada en el de gestión de proyectos bien desarrollados
riesgo y de las técnicas de gestión de desde la planificación hasta actividades de
proyectos de auditoría, que incluyen el seguimiento de auditoría para asegurar
seguimiento razonablemente la realización oportuna y
eficaz de los trabajos de auditoría de SI.

(cont.)
K1.6 Conocimiento de las leyes y En todos los trabajos de auditoría de SI, los
regulaciones aplicables que afectan al requisitos legal (para incluir los contratos con
alcance, a la recopilación y la preservación de socios de negocios) y reglamentarios deben
evidencias, y a la frecuencia de las auditorías ser parte del proceso de auditoría de SI.
Estos requisitos afectan la frecuencia y el
número de auditorías de SI se llevan a cabo y
también cómo obtiene la auditoría, recoge y
protege pruebas, informes y seguimiento.
K1.10 Conocimiento de los sistemas y marcos A través de la entendía de los sistemas y
de aseguramiento de calidad (QA) de la marcos de garantía de calidad, el auditor
auditoría puede:
• Integrar el producto de trabajo del sistema
de garantía de calidad (QAS) validado en
la auditoría de SI.
• Incorporar herramientas QAS auditado
dentro de las recomendaciones para
corregir las deficiencias de supervisión.
(cont.)
K 1.11 Conocimiento de varios tipos de A lo largo de la carrera profesional del
auditorías (por ejemplo, interna, externas, auditor de SI, él / ella se le pedirá para
financiera) y métodos para evaluar y dirigir y / o participar en una variedad de SI
confiar en el trabajo de otros auditores o y auditorías, investigaciones, encuestas y
entidades de control opiniones asociadas.

Función de auditoría de SI
 La auditoría de SI es el examen, la entrevista y/o la
prueba formal de los sistemas de información para
determinar si:
o Los sistemas de información cumplen con las leyes,
reglamentaciones y contratos aplicables y/o pautas
de la industria.
o Los datos e información de SI tienen niveles de
confidencialidad, integridad y disponibilidad
adecuados.
o Las operaciones de SI se están realizando de forma
eficiente y si se cumplen los objetivos de efectividad.

Habilidades del auditor de SI
 Los estándares de aseguramiento y auditoría de SI de
ISACA requieren que el auditor de SI sea técnicamente
competente (1006 Competencia).
 Esto se logra mediante la educación continua.
 Los candidatos a CISA NO necesitan memorizar los
estándares, las directrices y las herramientas y técnicas
de aseguramiento y auditoría de SI de ISACA, pero
deben ser capaces de aplicar la norma, la directriz o el
Código de Ética Profesional de ISACA en una situación
dada.

Código de Ética Profesional
1. Apoyar la implementación de y alentar al cumplimiento
con los estándares y procedimientos apropiados para
el eficaz gobierno y gestión de tecnología y sistemas
de información empresariales, incluyendo la auditoría,
el control, la seguridad y la gestión de riesgos.
2. Llevar a cabo sus labores con objetividad, debida
diligencia y rigor profesional, de acuerdo con las
normas profesionales.
3. Servir a los intereses de las partes interesadas de
manera leal, manteniendo altos estándares de
conducta y carácter, y no involucrarse en actos que
desacrediten a la profesión o a la Asociación.

Código de Ética Profesional (cont.)
4. Mantener la privacidad y confidencialidad de la

información obtenida en el transcurso de sus
actividades a menos que la autoridad legal requiera su
divulgación. Dicha información no será usada para
beneficio personal ni será revelada a partes no
adecuadas.
5. Mantener la competencia en sus respectivos campos y
aceptar encargarse de sólo aquellas actividades que
razonablemente pueden esperar completar con las
habilidades, los conocimientos y la competencia
necesarios.

Código de Ética Profesional (cont.)
6. Informar a las partes correspondientes los resultados

del trabajo realizado, revelando todos los hechos
significativos que conozcan que, si no fueran
revelados, podrían distorsionar el reporte de los
resultados.
7. Apoyar la educación profesional de los interesados
para mejorar su comprensión del gobierno y la gestión
de tecnología y sistemas de información empresariales,
incluyendo:

Estándares y Directrices
 Hay tres categorías de estándares y directrices:
Categoría Descripción
Generales Se refieren a la realización de todas las asignaciones y se
(Principios ocupan de la ética, independencia, objetividad, debido
guía) cuidado, conocimiento, competencia y habilidad.
Desempeño Se refiere a la realización de la asignación, tales como la
planeación y la supervisión, el alcance, el riesgo y la
materialidad, la movilización de recursos, la gestión de
supervisión y asignaciones, la evidencia de auditoría y
aseguramiento.
Reportes Se refieren a los tipos de reportes, medios de comunicación
y a la información comunicada.

Estándares
 Los estándares contienen declaraciones de los requisitos
obligatorios.
 Estos estándares informan:
o Profesionales de aseguramiento y auditoría de SI sobre
el nivel mínimo de desempeño aceptable necesario
para cumplir las responsabilidades profesionales
establecidas en el código de ética profesional de
ISACA.
o La gerencia y otras partes interesadas sobre las
expectativas de la profesión en relación con el trabajo
de los auditores
o Los titulares de la designación CISA sobre los
requerimientos
Estándares (cont.)
 El incumplimiento de estos estándares podría estar sujeto a una
investigación a la conducta del titular de CISA por parte de la Junta
Directiva de ISACA o del grupo apropiado de ISACA y, en última
instancia, a una acción disciplinaria.
General Desempeño Reportes

1001 Estatuto de la función de 1201 Planificación de la asignación 1401 Reportes
auditoría
1002 Independencia organizacional: 1202 Evaluación del riesgo en la 1402 Actividades de
planificación seguimiento
1003 Independencia profesional 1203 Desempeño y supervisión
1004 Expectativa razonable 1204 Materialidad
1005 Debido cuidado profesional 1205 Evidencia
1006 Competencia 1206 Uso del trabajo de otros expertos
1007 Afirmaciones 1207 Irregularidades y actos ilegales
1008 Criterios

Directrices
 El objetivo de las directrices de auditoría y aseguramiento de
SI de ISACA es proporcionar orientación e información
adicional sobre cómo cumplir con los estándares de auditoría
y aseguramiento de SI de ISACA.
 El auditor de SI y el profesional de aseguramiento deben:
o Tener estas directrices en cuenta al determinar la forma de
implementar los estándares
o Usar el juicio profesional para aplicar las directrices en
auditorías específicas.
o Estar preparado para justificar cualquier diferencia con
respecto a los estándares de auditoría y aseguramiento de
SI de ISACA.

Directrices (cont.)
General Desempeño Reportes
2001 Estatuto de la función de 2201 Planificación de la asignación 2401 Reportes
auditoría
2002 Independencia organizacional: 2202 Evaluación del riesgo en la 2402 Actividades de
planificación seguimiento
2003 Independencia profesional 2203 Desempeño y supervisión
2004 Expectativa razonable 2204 Materialidad
2005 Debido cuidado profesional 2205 Evidencia
2006 Competencia 2206 Uso del trabajo de otros expertos
2007 Afirmaciones 2207 Irregularidades y actos ilegales
2008 Criterios 2208 Muestreo

Herramientas y técnicas
 Los documentos de herramientas y técnicas proveen
información sobre cómo cumplir los estándares al
realizar un trabajo de auditoría de SI, pero no establecen
requerimientos.
 Los documentos de herramientas y técnicas incluyen:
o Libros blancos
o Programas de auditoría/aseguramiento
o Familia de productos COBIT 5
o Series técnicas de Referencia de Gestión de Riesgos
o ISACA Journal, columna de información básica sobre
auditoría de TI

Herramientas y técnicas (cont.)
 ITAFTM es un modelo de referencia para el
establecimiento de los estándares, que define términos,
que proporciona orientación acerca de la planificación,
realización y presentación de informes de las
asignaciones de aseguramiento y auditoría de SI.

Relación
Directrices
• Deben ser • Proporcionar
seguidos por el ejemplos de pasos
• Proveen una guía un auditor puede
auditor de SI sobre cómo puede el seguir para
auditor implementar implementar los
los estándares estándares
Herramientas
Estándares
y técnicas
Puede haber situaciones en las cuales los requerimientos legales/regulatorios sean

más estrictos que los requerimientos contenidos en los estándares de aseguramiento y
auditoría de SI de ISACA

Leyes y reglamentaciones
 Algunas industrias, como los bancos y los proveedores
de servicios de Internet (ISP), están estrechamente
regulados. Estas regulaciones legales pueden estar
relacionadas con las funciones financiera, operativa y de
auditoría de SI.
 Hay dos áreas de preocupación que afecta el alcance y
los objetivos de auditoría:
o Los requisitos legales impuestos a la auditoría
o Los requisitos legales impuestos a la entidad
auditada y sus sistemas, gestión de datos, informes,
etc.

Leyes y reglamentaciones (cont.)
 Los ejemplos incluyen:
o Ley de Responsabilidad y Transferibilidad de Seguros
Médicos de EE.UU. (HIPAA)
o Ley Sarbanes-Oxley de EE.UU. de 2002
o Acuerdos de Basilea
o Protección de Directivas de Datos Personales y
Comercio Electrónico dentro de la Comunidad
Europea

 Para determinar el nivel de cumplimiento por parte de
una organización, un auditor debe:
o Identificar los requerimientos gubernamentales u
otros externos relevantes que se refieran a:
• Datos electrónicos, datos personales, derechos de
autor, comercio electrónico, firmas digitales, etc.
• Prácticas y controles de sistemas computarizados
• La manera en que se almacenan las
computadoras, los programas y los datos
• La organización o las actividades de los servicios
de tecnología de la información
• Las auditorías de SI

 También, un auditor de SI sería realizar estos pasos adicionales para
determinar el nivel de cumplimiento por parte de una organización:
o Documentar las leyes y regulaciones aplicables.
o Determinar si la gerencia de la organización y la función de TI han
tomado en consideración los requerimientos externos relevantes al
realizar planes y establecer políticas, estándares y procedimientos, así
como también funciones de aplicación del negocio.
o Revisar los documentos internos del departamento/función/actividad de
TI que se ocupan del cumplimiento de las leyes aplicables a la
industria.
o Determinar el cumplimiento con los procedimientos establecidos que se
ocupan de estos requerimientos.
o Determinar si hay procedimientos instalados para asegurar que los
contratos o acuerdos con proveedores externos de servicios de TI
reflejen cualquier requerimiento legal relacionado con las
responsabilidades.

CSA
 La autoevaluación del control (CSA) es una evaluación
de controles realizada por el personal y la gerencia que
asegura a las partes interesadas, clientes y otros que el
sistema de control interno de la organización es
confiable.
 Puede consistir desde simples cuestionarios hasta
talleres de facilitación.
 Las herramientas incluyen:
o Reuniones de gerentes
o Talleres de clientes
o Hojas de trabajo
o Hojas de clasificación

Objetivos de CSA
 El objetivo primario es apalancar la función de auditoría
interna cambiando algunas de las responsabilidades de
monitoreo de control a las áreas funcionales.
 CSA faculta a los trabajadores para evaluar o incluso
diseñar el entorno de control.
 El rol de un auditor de SI es facilitar y guiar a los
auditados para evaluar su entorno, proporcionando una
visión acerca de los objetivos de los controles basados
en la evaluación del riesgo.

Los pros y los contras de CSA
Ventajas Desventajas
• Detección temprana del riesgo • Podría confundirse con un
• Controles internos más efectivos reemplazo de la función de
y mejorados auditoría
• Creación de equipos cohesivos a • Se le considera como una carga
través de la participación de los de trabajo adicional
empleados • No implementar las mejoras
• Desarrollo de un sentido de sugeridas podría dañar la moral
propiedad de los empleados
• Mayor conciencia de los • La falta de motivación puede
empleados limitar la efectividad en la
• Mayor comunicación detección de controles débiles
• Proceso mejorado de calificación
en auditorías
• Reducción en el costo del control
• Mayor seguridad para las partes
interesadas y los clientes

Tradicional vs CSA
Tradicional CSA
Asigna funciones/supervisa el Empleados con
personal autoridad/responsables
Controlado por políticas/reglas Mejora continua/curva de aprendizaje
Participación limitada de empleados Participación y capacitación

extensivas de empleados
Interés reducido de las partes Interés extenso de las partes

interesadas interesadas
Auditores y otros especialistas Los miembros del personal a todo
nivel, en todas las funciones, son los
principales analistas de control.
Fuente: ISACA, Manual de Preparación para el Examen CISA 26° edición, Figura 1.12

En la visión general
 El Proceso de Auditoria contribuye a la visión general de auditoría y
control de SI. A continuación se muestra una de tales conexiones
La visión
Fase 1 general
Ejecutar una estrategia de auditoría de A través de un enfoque
SI basada en los riesgos que cumpla basado en el riesgo
con los estándares de auditoría de SI enfocado, el auditor de SI
para garantizar que se auditen las se centrará en aquellas
áreas de riesgo clave. áreas más importantes
para la organización.

Fase 2
Planificar auditorías específicas para

determinar si los sistemas de
información están protegidos y
controlados, y si proporcionan valor a la
organización.

Términos clave
Plan de auditoría Un plan que incluye la naturaleza, los plazos y el
alcance de los procedimientos de la auditoría que deben
realizar los miembros del equipo asignado con el fin de
obtener evidencia de auditoría suficiente y apropiada
para formar una opinión. Incluye las áreas que deben
auditarse, el tipo de trabajo planificado, los objetivos de
alto nivel y el alcance del trabajo, y temas como
presupuesto, asignación de recursos, fechas de
cronogramas, tipo de informe y la audiencia objetivo y
otros aspectos generales del trabajo.
Riesgo de auditoría La probabilidad de que los informes o la información
financiera puedan contener errores materiales y que el
auditor pudiera no detectar un error que ha ocurrido

Universo auditable Un inventario de las áreas de auditoría que se compila y
se mantiene para identificar áreas de auditoría durante
el proceso de planificación de la auditoría
Aseguramiento Un nivel de comodidad corto de una garantía, pero
razonable considerado adecuado debido a los costos del control y
los posibles beneficios logrados.

relacionados
¿De qué manera la tase 2 se refiere a cada una de los
K1.1 Conocimiento de los estándares, las Siguiendo estándares y directrices de
directrices, y las herramientas y técnicas ISACA para la planificación, el estatuto de
de aseguramiento y auditoría de SI de auditoría de SI de una organización
ISACA, del Código de ética profesional y responsabilizará al auditor de SI de
de otros estándares aplicables considerar siempre la protección de los
sistemas de SI y el valor derivado de los
sistemas dentro de todos los trabajos de
auditoría de SI.
K1.2 Conocimiento de los conceptos de la Con el fin de garantizar que la auditoría de
evaluación del riesgo, y las herramientas y SI se centre en lo más importante de
técnicas de planificación, examen, informe seguridad, operaciones, funciones y
y seguimiento. capacidades de SI que están siendo
revisados, el auditor de SI debe ser capaz
de evaluar de manera eficaz y eficiente el
riesgo de estos objetivos.

(cont.)
K1.3 Conocimiento de los procesos Sólo a través de un conocimiento profundo
fundamentales del negocio (por ejemplo, de los procesos de negocio soportados por
compras, nóminas, cuentas por pagar, el SI, el auditor de SI puede planificar
cuentas por cobrar) y el rol de SI en estos adecuadamente el trabajo de auditoría de
procesos SI.
K1.4 Conocimiento de los principios de Los controles que deben estar
control relacionados con los controles en implementados y el alcance de la auditoría
los sistemas de información de SI se basan en el riesgo inherente
asociado con los procesos de negocio
soportados por SI y los mismos sistemas
de SI.

(cont.)
¿De qué manera la tase 2 se refiere a cada uno de los
K1.5 Conocimiento de las técnicas de Utilizando las evaluaciones del riesgo
planificación de auditoría basada en el realizadas por la organización
riesgo y de las técnicas de gestión de conjuntamente con las técnicas de gestión
proyectos de auditoría, que incluyen el de proyectos, el auditor de SI puede
seguimiento enfocar correctamente el tiempo y los
recursos necesarios para evaluar los
procesos de SI necesarios para proteger y
entregar valor a la organización.
K1.6 Conocimiento de las leyes y Las leyes y reglamentos específicos
regulaciones aplicables que afectan al exigirán sistemas, procesos, datos y
alcance, a la recopilación y la preservación protección de la información (controles)
de evidencias, y a la frecuencia de las específicos que deben ser evaluados por el
auditorías auditor de SI.

(cont.)
K1.10 Conocimiento de los sistemas y El utilizar la correcta construcción de
marcos de aseguramiento de calidad (QA) aseguramiento de la calidad ayudará al
de la auditoría auditor de SI a garantizar que el alcance y
el propósito estén alineados con la
protección del sistema y la entrega de
valor.
K1.11 Conocimiento de varios tipos de Basándose en el tipo y la complejidad de
auditorías (por ejemplo, interna, externas, los procesos de negocio y los sistemas de
financiera) y métodos para evaluar y SI a los que el auditor de SI ha sido
confiar en el trabajo de otros auditores o asignado para auditar, él / ella tendrá que
entidades de control seleccionar el enfoque de auditoría de SI
correcto para garantizar la protección de
los datos, la información y SI que estén
apoyando los procesos auditados.

Planificación de auditorías
 El primer paso en la realización de una auditoría de SI
es la planificación adecuada.
 Para planificar una auditoría, se deben completar las
siguientes tareas:
o Enumerar todos los procesos que se pueden tener en
cuenta para las auditorías.
o Evaluar cada proceso mediante la realización de una
evaluación de riesgos cualitativa o cuantitativa. Estas
evaluaciones deben basarse en criterios objetivos.
o Definir el riesgo global de cada proceso.
o Construir un plan de auditoría para incluir todos los
procesos clasificados como "alto", lo que
representaría el plan de auditoría anual ideal.
Cuándo auditar
 La planificación de la auditoría incluye la planificación a
corto y a largo plazo.
o La planificación a corto plazo involucra a todos los
problemas de auditoría que serán cubiertos durante
el año.
o La planificación a largo plazo tiene en cuenta todas
las cuestiones relacionadas con los riesgos que
podrían resultar afectadas por la dirección estratégica
de la organización.

Cuándo auditar (cont.)
 Además de un análisis anual de las
cuestiones de corto plazo y largo plazo,
las auditorías individuales pueden llevarse
a cabo sobre la base de lo siguiente:
o Nuevos problemas de control
o Los cambios en el entorno de riesgo, tecnologías y
procesos de negocio
o Técnicas de evaluación mejoradas

Pasos de planificación de
auditorías
 Al planificar una auditoría, el auditor de SI debe tener
una comprensión general del ambiente bajo revisión.
Para cumplir esta función, el auditor de SI debe:
o Lograr una comprensión de la misión, los objetivos, el
propósito y los procesos del negocio.
o Entender los cambios en el entorno empresarial del
auditado.
o Revisar los papeles de trabajo anteriores.
o Identificar los contenidos específicos tales como
políticas, normas y directrices requeridos,
procedimientos y estructura de la organización.

Pasos de planificación de
auditorías (cont.)
 Además, para planificar una auditoría, el auditor debería:
o Realizar un análisis de riesgos para ayudar a diseñar
el plan de auditoría.
o Establecer el alcance y los objetivos de la auditoría.
o Desarrollar el enfoque o la estrategia de auditoría.
o Asignar recursos humanos a la auditoría.
o Considerar la logística del trabajo de auditoría.

Consideraciones adicionales
 El plan de auditoría debería tener en cuenta los
objetivos de la auditoría de SI relevante para el área de
auditoría y su infraestructura tecnológica y la dirección
estratégica de negocios. El auditor de SI puede obtener
esta información a través de:
o Lectura de antecedentes incluyendo publicaciones de
la industria, reportes anuales y reportes de análisis
financieros independientes
o Revisión de reportes anteriores o informes
relacionados con TI (provenientes de auditorías
externas o internas o revisiones específicas tales
como revisiones regulatorias)
o Revisión del negocio y de los planes estratégicos de
TI a largo plazo
Consideraciones adicionales
(cont.)
 Otras formas en que el auditor de SI puede obtener esta
información incluyen:
o Entrevistas a los gerentes clave para entender
pormenores del negocio
o Identificar las regulaciones específicas aplicables a TI
o Identificar las funciones de TI o las actividades
relacionadas que han sido contratadas externamente
o Recorrido de las instalaciones clave de la
organización
 El auditor de SI también debe lograr correspondencia
entre los recursos de auditoría disponibles y las tareas
definidas en el plan de auditoría.

Análisis de riesgos
 Durante la planificación de la auditoría, el auditor de SI
debe realizar o revisar un análisis de riesgos para
identificar el riesgo y las vulnerabilidades que le permita
determinar los controles necesarios para mitigar el
riesgo.
 El rol del auditor de SI es:
o Comprender la relación entre el riesgo y el control.
o Identificar y diferenciar los tipos de riesgo y los
controles usados para mitigarlos.
o Evaluar la estimación del riesgo y las técnicas de
gestión usadas por la organización.
o Entender que existe riesgo dentro del proceso de
auditoría.
Análisis de riesgos (cont.)
 Los auditores de SI a menudo se centran en temas de
alto riesgo asociados con la confidencialidad, integridad
y disponibilidad de la información sensible y crítica.

Proceso de gestión de riesgos

Respuesta a riesgos
Opciones de respuesta a riesgos
• Mitigación de riesgos—Aplicar los controles

apropiados para reducir los riesgos
• Aceptación de riesgos—No realizar ninguna
acción, a sabiendas y objetivamente, siempre
que el riesgo satisfaga claramente la política y
los criterios de la organización para aceptación
de riesgos
• Evitación de riesgos—Evitar riesgos al no
permitir acciones que provocarían los riesgos
• Transferencia de riesgos/compartir los
riesgos—Transferir los riesgos asociados a otras
partes

Evaluación de riesgos
 Una evaluación de riesgos apoya al auditor de SI en la
identificación del riesgo y de las amenazas para un
ambiente de TI y los sistemas de SI, y ayuda en la
evaluación de los controles.
 Las evaluaciones del riesgo deben identificar, cuantificar
y priorizar los riesgos contra criterios para aceptación
del riesgo y objetivos relevantes para la organización.
 Respalda la toma de decisiones de la auditoría basada
en riesgos teniendo en cuenta variables como:
o La complejidad técnica
o El nivel de procedimientos de control establecidos
o El nivel de pérdida financiera

Proceso de evaluación de riesgos
 Uso de la evaluación de riesgos
para determinar las áreas que
serán auditadas:
o Permite que la dirección asigne
Preparar para evaluación
de manera efectiva los
recursos limitados de auditoría.
Realizar la evaluación
o Asegura que se haya obtenido
Identificar eventos y fuentes de amenazas
información relevante de todos
los niveles de la gerencia. Identificar vulnerabilidades y
condiciones predispuestas
Comunicar los Mantener la
o Establece las bases para resultados evaluación
Determinar la probabilidad de ocurrencia
gestionar el departamento de
auditoría de manera efectiva. Determinar la magnitud del impacto
o Provee un resumen de cómo

Determinar el riesgo
se relaciona el sujeto individual
de la auditoría con el resto de
la organización, así como
también con los planes de Fuente: Instituto Nacional de Normas y Tecnología (NIST),
negocios. Publicación especial de NIST 800-30, Revisión 1: Seguridad de la
información, EE.UU. 2012 Reimpreso por cortesía del Instituto
Nacional de Normas y Tecnología, Departamento de Comercio de
los Estados Unidos. No es objeto de protección por derechos de
autor en los Estados Unidos.

Auditoría basada en el riesgo
Recopilar información y planificar
• Conocimiento del negocio y la industria • Estatutos regulatorios
• Resultados de la auditoría del año anterior • Evaluación de riesgos inherentes
• Información financiera reciente
Comprensión del control interno

• Ambiente de control • Evaluación de riesgos de control
• Procedimientos de control • Equiparar riesgo total
• Evaluación de riesgos de detección
Realizar pruebas de cumplimiento

• Identificar controles clave que se deben • Realizar pruebas de confiabilidad,
probar. prevención de riesgos y adherencia a
políticas y procedimientos de la
organización.
Realizar pruebas substantivas
• Procedimientos analíticos • Otras pruebas sustantivas de auditoría
• Pruebas detalladas de saldos de cuentas
Concluir la auditoría
• Crear recomendaciones. • Escribir un informe de auditoría.

Controles internos
 Los controles internos están normalmente constituidos
por políticas, procedimientos, prácticas y estructuras
organizacionales implementadas para reducir los riesgos
para la organización.
 Los controles internos deben abordar:
o ¿Qué debe lograrse?
o ¿Qué debe evitarse?

Clasificación de control
Clase Función
Preventivo • Detectan los problemas antes de que aparezcan.
• Monitorean tanto la operación como las entradas.
• Intentan predecir los problemas potenciales antes de que estos
ocurran y realizan ajustes.
• Evitan que ocurra un error, omisión o acto malicioso.
• Segregan funciones (factor disuasivo).
• Controlan el acceso a instalaciones físicas.
• Utilizan documentos bien diseñados (evita errores).
Detectivo • Utilizan controles que detectan e informan la ocurrencia de un
error, omisión o acto fraudulento.
Correctivo • Minimizar el impacto de una amenaza.
• Remediar problemas descubiertos por controles detectivos.
• Identificar la causa de un problema.
• Corregir errores que surgen de un problema.
• Modificar los sistemas de procesamiento para minimizar futuras
ocurrencias del problema.

Objetivos de control de SI
 Los objetivos de control de SI son declaraciones del
resultado deseado alcanzado con la implementación de
controles. Ellos proveen una confianza razonable de que
se alcanzarán los objetivos de negocio y que se
evitarán, detectarán y corregirán los eventos no
deseados.

Objetivos de control de SI (cont.)
 Los objetivos de control de SI también pueden incluir:
o Salvaguarda de activos.
o Que se establezca y opere de forma efectiva el ciclo de
vida de desarrollo del sistema (SDLC)
o La integridad de los entornos de sistemas operativos en
general
o La integridad de los ambientes de sistemas de aplicación
sensibles y críticos
o La identificación y autenticación apropiada de los usuarios
o La eficiencia y efectividad de las operaciones
o La integridad y confiabilidad de los sistemas mediante la
implementación de procedimientos eficaces de gestión de
cambios

Controles generales
Los controles generales incluyen:
• Controles internos de contabilidad que se refieren a la
salvaguarda de activos y a la confiabilidad de los registros
financieros
• Controles operativos que se ocupan de las operaciones,
funciones y actividades cotidianas
• Controles administrativos que tienen que ver con la eficacia
operativa en un área funcional y el cumplimiento con las
políticas de gestión
• Políticas y procedimientos de seguridad de la organización
para asegurar el uso adecuado de los activos
• Políticas generales para el diseño y uso de documentos y
registros
• Procedimientos y prácticas para acceso y uso
• Políticas de seguridad física y lógica para todas las
instalaciones
Controles específicos de SI
 Cada control general puede ser traducido en un
procedimiento de control específico de SI. El auditor de
SI debe entender los controles de SI y cómo aplicarlos
en la planificación de una auditoría.
 Los procedimientos de control de SI incluyen:
o Estrategia y dirección de las funciones de TI
o Organización general y gestión de las funciones de TI
o Acceso a los recursos de TI, incluyendo datos y
programas
o Metodologías de desarrollo de sistemas y control de
cambios

Controles específicos de SI
(cont.)
 Los procedimientos adicionales de control de SI
incluyen:
o Procedimientos de operación
o Programación de sistemas y funciones de soporte técnico
o Procedimientos de aseguramiento de calidad
o Controles de acceso físico
o Planificación de continuidad del negocio
(BCP)/recuperación en caso de desastre (DRP)
o Redes y comunicaciones
o Administración de la base de datos
o Protección y mecanismos de detección contra ataques
internos y externos

COBIT 5
 COBIT 5 de ISACA, provee un
marco completo para el gobierno 1.
Satisfacció
y la gestión de TI de la empresa. n de las
necesidade
Ayuda a las empresas a crear un s de las

partes
interesadas
valor óptimo de TI manteniendo
un equilibrio entre la realización 5. Separación
de gobierno y
2.
Cobertura
de toda la
gestión
de beneficios y la optimización Procesos
empresa
de los niveles de riesgo y uso de de COBIT 5
recursos.
3.
4. Aplicación
Habilitació de un
n de un marco de
enfoque referencia
holístico único e
integrado
Fuente: ISACA, COBIT 5, EE.UU., 2012, figura 2

Tipos de auditorías
Tipo Descripción
Auditorías de Auditorías de cumplimiento—Las auditorías de cumplimiento
cumplimiento incluyen pruebas específicas de los controles para demostrar
el cumplimiento de normas regulatorias o de la industria. Los
ejemplos incluyen las auditorías del consejo de estándares de
seguridad (DSS - Data Security Standard) de la Industria de
Tarjetas de Pagos (PCI - Payment Card Industry) que
procesan información de tarjetas de crédito y las auditorías
de la Ley de Responsabilidad y Portabilidad de Seguros
Médicos (Health Insurance Portability and Accountability Act -
HIPAA) para empresas que manejan datos médicos.
Auditorías El propósito de una auditoría financiera es determinar la
financieras exactitud de la información financiera. A menudo involucra
pruebas sustantivas detalladas, aunque cada vez con mayor
frecuencia, los auditores están poniendo más énfasis en un
enfoque de auditoría basado en riesgo y control. Este tipo de
auditoría se relaciona con la integridad y confiabilidad de la
información financiera.

Tipos de auditorías (cont.)
Tipo Descripción
Auditorías Una auditoría operativa está diseñada para evaluar la estructura del
operativas control interno en un proceso o área determinada. Los ejemplos
incluyen:
Las auditorías de SI sobre controles de las aplicaciones o de
sistemas de seguridad lógica.
Auditorías Estas están orientadas a evaluar aspectos relacionados con la
administrativas eficiencia de la productividad operativa dentro de una organización.
Auditorías de Este proceso recolecta y evalúa la evidencia para determinar si los

SI sistemas de información y los recursos relacionados protegen
adecuadamente los activos, mantienen la integridad y disponibilidad
de los datos y del sistema, proveen información relevante y confiable,
logran de forma efectiva las metas organizacionales, usan
eficientemente los recursos. También tienen en efecto controles
internos que proveen una certeza razonable de que los objetivos de
negocio, operacionales y de control serán alcanzados y que los
eventos no deseados serán prevenidos o detectados y corregidos de
forma oportuna.

Tipos de auditorías (cont.)
Tipo Descripción
Auditorías La auditoría forense ha sido definida como una auditoría
forenses especializada en descubrir, revelar y hacer seguimiento a
fraudes y crímenes. El propósito principal de dicha revisión
era el desarrollo de evidencia para ser revisada por
autoridades policiales y judiciales.
Auditorías Una auditoría integrada combina pasos de auditoría
integradas financiera y operativa. Se realiza para evaluar los objetivos
generales dentro de una organización, relacionados con la
información financiera y la salvaguarda de activos, la
eficiencia y el cumplimiento.

Auditoría integrada
 Una auditoría integrada se
concentra en el riesgo. Se
trata de un equipo de
auditores con diferentes
habilidades que trabajan Auditoría Auditoría
operativa financiera
juntos para proporcionar un
informe completo.
Auditoría de
SI
Fuente: ISACA, Manual de Preparación para el

Examen CISA 26° edición, Figura 1.13

Auditoría integrada (cont.)
 El proceso implica típicamente:
o Identificación del riesgo que
enfrenta la organización para el
área que está siendo auditada
o Identificación de los controles
clave relevantes Auditoría Auditoría
o Revisión y comprensión del operativa financiera
diseño de los controles clave
o Comprobación de que los
controles clave están
respaldados por el sistema de TI Auditoría de
o Comprobación de que los SI
controles de la gerencia son
efectivos
o Informe u opinión combinada
sobre riesgos, diseño y
debilidades de los controles Fuente: ISACA, Manual de Preparación para el
Examen CISA 26° edición, Figura 1.13

Auditoría continua
 La auditoría continua se caracteriza por el corto lapso de
tiempo entre la auditoría, la recopilación de evidencia y
el informe de auditoría.
 Es el resultado de un mejor monitoreo de los asuntos
financieros, como el fraude, asegurando que las
transacciones en tiempo real se beneficien del
monitoreo en tiempo real.
 La auditoría continua debería ser independiente de los
controles continuos o de monitoreo continuo.

Auditoría continua (cont.)
 Este proceso debe ser cuidadosamente integrado en las
aplicaciones de negocio y puede incluir técnicas de TI
tales como:
o Registro de transacciones
o Herramientas de consulta
o Estadística y análisis de datos (CAAT)
o Sistemas de gestión de bases de datos (DBMS)
o Agentes Inteligentes

Auditoría continua (cont.)
 Para que la auditoría continua tenga éxito, es necesario
tener:
o Un alto grado de automatización.
o Activadores de alarmas para informar oportunamente fallas de control.
o Implementación de herramientas de auditoría altamente automatizadas
que requieren que el auditor de SI participe en la configuración de los
parámetros.
o Informe rápido y oportuno a los auditores de SI sobre los resultados de
los procedimientos automáticos, en particular cuando el proceso ha
identificado anomalías o errores.
o La rápida y oportuna emisión de informes automatizados de auditoría.
o Auditores de SI técnicamente competentes.
o Disponibilidad de fuentes confiables de evidencia.
o Adherencia a las directrices sobre la importancia.

Metodología de auditoría
 Una metodología de auditoría es un conjunto de
procedimientos documentados de auditoría diseñados
para alcanzar los objetivos de auditoría planificados. Sus
componentes son una declaración del alcance, los
objetivos de la auditoría y los programas de auditoría.
 Cada departamento de auditoría debe diseñar y aprobar
una metodología de auditoría, formalizada y comunicada
a todo el personal de auditoría.
 Un programa de auditoría debe ser desarrollado para la
ejecución y documentación de todos los pasos de la
auditoría y la extensión y los tipos de evidencia revisada.

Fases de la auditoría
Fases de la Descripción
auditoría
Sujeto de la • Identificar el área que será auditada.
auditoría
Objetivo de la • Identificar el propósito de la auditoría.
auditoría
Alcance de la • Identificar los sistemas, funciones o unidades específicos
auditoría de la organización que serán incluidos en la revisión.
Planificación de • Identificar las habilidades y los recursos técnicos necesarios.
preauditoría • Identificar las fuentes de información para la prueba o examen,
como diagramas de flujo funcionales, políticas, normas,
procedimientos y papeles de trabajo anteriores a la auditoría.
• Identificar las localidades o instalaciones que serán auditadas.
• Desarrollar un plan de comunicaciones al comienzo de cada
compromiso que describa con quién comunicarse, cuándo, con
qué frecuencia y por qué motivos.

Fases de la auditoría (cont.)
auditoría
Procedimientos • Identificar y seleccionar el enfoque de auditoría para verificar y
de auditoría comprobar los controles.
y pasos para • Identificar una lista de individuos que serán entrevistados.
• Identificar y obtener las políticas, estándares y directrices
recolección de
departamentales para realizar la revisión.
datos • Desarrollar herramientas y metodología de auditoría para probar y
verificar el control.
Procedimientos • Identificar métodos (incluyendo herramientas) para realizar la
para evaluación.
evaluar los • Identificar criterios para evaluar la prueba (similar a un guion de
prueba para que use el auditor al realizar la evaluación).
resultados de la
• Identificar medios y recursos para confirmar que la evaluación fue
prueba o la precisa (y que se puede repetir, si corresponde).
revisión

Fases de la auditoría (cont.)
auditoría
Procedimientos • Determinar la frecuencia de la comunicación.
para • Preparar la documentación para el reporte final.
las
comunicaciones
con la gerencia
Preparación del • Revelar los procedimientos de seguimiento de la revisión.
reporte de • Revelar los procedimientos para evaluar/probar la eficacia
auditoría y efectividad operacional.
• Revelar los procedimientos para probar los controles.
• Revisar y evaluar la calidad de los documentos, las
políticas y los procedimientos.

La visión
Fase 2 general
Planificar auditorías específicas para El auditor de SI siempre
determinar si los sistemas de se centrará en la
información están protegidos y protección de datos
controlados, y si proporcionan valor a críticos, información y
la organización. componentes de SI que
son de mayor valor para la
organización.

Fase 3
Realizar auditorías de conformidad con

lograr los objetivos de auditoría
planificados.

Términos clave
Evidencia de La información que se utiliza para apoyar el dictamen de
auditoría la auditoría.
Objetivo de la Los objetivos específicos de la auditoría. Se centran a
auditoría menudo en validar que existen controles internos para
minimizar los riesgos del negocio.
Programa de Es un conjunto de procedimientos e instrucciones de
auditoría auditoría paso a paso que debe realizarse para
completar una auditoría.
Técnica de auditoría Cualquier técnica de auditoría automatizada, como el
asistida por software generalizado de auditoría (GAS), generadores
computadora de datos de prueba, programas de auditoría
(CAAT) computarizada y utilidades de auditoría especializada.

Evidencia Información reunida por un auditor en el transcurso de
una auditoría de sistemas de información (SI); es
relevante si corresponde a los objetivos de la auditoría y
tiene una relación lógica con las conclusiones que debe
respaldar.
Materialidad Concepto de auditoría relacionado con la importancia de
un elemento de información en relación con su impacto
o efecto en el funcionamiento de la entidad que se
audita; una expresión de la importancia relativa de un
asunto determinado en el contexto de la organización en
su totalidad.

relacionados
K1.1 Conocimiento de los estándares, Sólo siguiendo las directrices y los
las directrices, y las herramientas y estándares aceptados de aseguramiento y
técnicas de aseguramiento y auditoría auditoría de SI de ISACA, el auditor de SI
podrá asegurar razonablemente tanto la
de SI de ISACA, del Código de ética
integridad del producto de trabajo y la
profesional y de otros estándares aceptación de todas las partes
aplicables interesadas.
K1.2 Conocimiento de los conceptos El auditor de SI debe centrarse en los
de la evaluación del riesgo, y las riesgos de los componentes críticos del
herramientas y técnicas de sistema, información, datos y los procesos
de negocio de la organización para
planificación, examen, informe y
garantizar razonablemente que la auditoría
seguimiento. de SI logrará su propósito declarado.

(cont.)
K1.3 Conocimiento de los procesos El claro entendimiento del proceso de
fundamentales del negocio (por ejemplo, negocio por parte del auditor de SI con el
compras, nóminas, cuentas por pagar, apoyo de SI proporciona una garantía
cuentas por cobrar) y el rol de SI en estos razonable de que la auditoría de SI logrará
procesos los objetivos de auditoría previstos.
K1.4 Conocimiento de los principios de El auditor tendrá que abordar los controles
control relacionados con los controles en clave necesarios para hacer frente a los
los sistemas de información riesgos críticos de los procesos de negocio
y SI apoyando los procesos junto con los
datos y la información.

(cont.)
K1.5 Conocimiento de las técnicas de Conocer sus riesgos clave le permitirá
planificación de auditoría basada en el centrarse en los objetivos clave para la
riesgo y de las técnicas de gestión de auditoría de SI; por lo tanto, va a cumplir
proyectos de auditoría, que incluyen el con los principales objetivos de la
seguimiento auditoría.
K1.6 Conocimiento de las leyes y Casi todas las auditorías de SI implicarán
regulaciones aplicables que afectan al los aspectos de cumplimiento, tanto los
alcance, a la recopilación y la preservación legales como los reglamentarios. Estos
de evidencias, y a la frecuencia de las deben ser siempre una consideración de
auditorías los objetivos del trabajo de auditoría de SI.

(cont.)
K1.7 Conocimiento de las técnicas de Con el fin de cumplir con los objetivos de negocio
recopilación de evidencia (por ejemplo, establecidos, se debe obtener, recopilar, analizar
observación, consulta, inspección, y evaluar la evidencia de la manera más eficiente
y eficaz, siempre protegiendo su integridad. A
entrevista, análisis de datos, técnicas de través del uso de herramientas y técnicas de
investigación forense, técnicas de auditoría auditoría de SI, la auditoría de SI puede realizar
asistida por computadora [TAAC]) usadas estos requisitos.
para reunir, proteger y preservar la
evidencia de auditoría
K1.8 Conocimiento de diferentes Más allá de la gran cantidad de datos y fuentes
de datos que un auditor de SI se enfrenta en
metodologías de muestreo y otros cada trabajo, el auditor de SI debe asegurarse
procedimientos analíticos de que se utilizan técnicas de muestreo que
datos/sustantivos permiten que el análisis sea representativo de la
población transaccional general (el sistema de SI
así como las operaciones de negocio).

(cont.)
K1.9 Conocimiento de las técnicas de El auditor de SI debe establecer y
reporte y comunicación (por ejemplo, mantener líneas claras y efectivas de
facilitación, negociación, resolución de comunicación desde la planificación a
conflictos, estructura de informes de través de etapas de seguimiento de todo
auditoría, escritura de problemas, resumen los trabajos de auditoría de SI.
de la gerencia, verificación de resultados)
K1.10 Conocimiento de los sistemas y Es posible que existan directrices y
marcos de aseguramiento de calidad (QA) procedimientos adicionales de auditoría
de la auditoría que se recomienda que los auditores de SI
agreguen a fin de formarse una opinión
sobre el funcionamiento adecuado de los
controles.

(cont.)
K1.11 Conocimiento de varios tipos de Reconocer que muchas auditorías
auditorías (por ejemplo, interna, externas, recientes, actuales y futura, pueden
financiera) y métodos para evaluar y proporcionar la profundidad y cobertura
confiar en el trabajo de otros auditores o adecuadas del área dentro del alcance de
entidades de control la auditoría del auditor de SI
podría permitir que el auditor de SI confíe
en el trabajo de otros auditores o entidades
de control, si el trabajo de otros cumple
con los estándares de práctica profesional
y pruebas necesarias para brindar el
aseguramiento lógico de que los controles
de SI están funcionando de forma efectiva,
eficiente y de que están alineados con
las metas y los objetivos actuales y
planificados de la organización.

Pasos de auditoría de SI
Definir el alcance de la auditoria.
Formular los objetivos de la auditoría.
Identificar los criterios de auditoría.
Aplicar procedimientos de auditoría.
Revisar y evaluar la evidencia.
Formar conclusiones y dictámenes de auditoría.
Informar a la dirección después de la discusión con los dueños clave del proceso.

Gestión de proyectos de auditoría
de SI
Planificar la asignación de auditoría
• Planificar la auditoría tomando en cuenta el riesgo específico del proyecto.
Elaborar el plan de auditoría

• Distribuir las tareas de auditoría necesarias en toda la línea de tiempo,
optimizando el uso de los recursos. Realizar cálculos realistas sobre los
requerimientos de tiempo para cada tarea con la debida consideración a la
disponibilidad del auditado.
Ejecutar el plan
• Ejecutar las tareas de la auditoría con respecto al plan.
Monitorear la actividad del proyecto

• Los auditores de SI reportan su progreso real con respecto a los pasos
planificados de la auditoría para asegurar que los desafíos sean
gestionados de manera proactiva y que el alcance sea completado dentro
del tiempo y el presupuesto.

Auditorías internas y externas
Auditoría interna Auditoría externa
• El alcance y los objetivos de la • El alcance y los objetivos de la

función de auditoría dentro de la auditoría se documentan en un
organización y no es específico a contrato formal o declaración de
una auditoría de SI particular. trabajo.
 El estatuto de auditoría es un documento aprobado por los

encargados del gobierno que define el propósito, la autoridad y la
responsabilidad de la actividad de auditoría interna. Debe ser
aprobado por el más alto nivel de gerencia o por el comité de
auditoría.
 Una carta de compromiso es un documento formal que define la
responsabilidad, autoridad y responsabilidad de un auditor de SI
para una tarea específica. No sustituye a un estatuto de auditoría.

Objetivos de auditoría
 Un elemento clave en la planificación de una auditoría
de SI es traducir los objetivos de auditoría básicos en
objetivos específicos de auditoría de SI.
 Los objetivos de la auditoría se refieren a las metas
específicas que deben cumplirse por parte de la
auditoría. Se centran a menudo en validar que existen
controles internos y son efectivos para minimizar los
riesgos del negocio.

Riesgo de auditoría
 El riesgo de auditoría puede ser definido como el riesgo
que la información pueda contener errores importantes
que pueden pasar sin ser detectados durante el curso
de la auditoría.

Riesgo de auditoría (cont.)
 El riesgo de auditoría está influenciado por:
o Riesgo inherente―el nivel de riesgo o la exposición
del proceso/la entidad que serán auditados sin tomar
en cuenta los controles que ha implementado la
gerencia.
o Riesgo de control―el riesgo de que exista un error
material que no sea evitado ni detectado
oportunamente por el sistema de controles internos.
o Riesgo de detección―el riesgo de que se hayan
producido errores materiales o falsas declaraciones
que no sean detectados por el auditor de SI.
o Riesgo de auditoría general―probabilidad de que la
información pueda contener errores materiales.
Riesgo de auditoría (cont.)
 El auditor de SI debe tener un buen entendimiento de
los riesgos de auditoría al planificar una auditoría.
 Procedimientos apropiados de muestreo estadístico y un
fuerte proceso de control de calidad pueden reducir al
mínimo el riesgo de detección.

Programas de auditoría
 Un programa de auditoría es un conjunto de
procedimientos e instrucciones de auditoría paso a paso
que debe realizarse para completar una auditoría.
 Los programas de auditoría se basan en el alcance y el
objetivo de la asignación en particular.
 Es la estrategia y el plan de auditoría.
 Identifica el alcance, los objetivos y los procedimientos
de auditoría para lograr evidencia suficiente, competente
y confiable para obtener y sustentar las conclusiones y
opiniones de la auditoría.

Procedimientos del programa
Procedimientos para la prueba y
Procedimientos generales de auditoría
evaluación de los controles de SI
• Obtención y documentación del • El uso de software generalizado de
conocimiento sobre el área/objeto de la auditoría para examinar el contenido de
auditoría los archivos de datos (incluyendo los
• Evaluación del riesgo y planificación registros [logs] del sistema)
general de la auditoría y cronograma • El uso de software especializado para
• Planeación de auditoría detallada evaluar el contenido de los archivos de
• Revisión preliminar del área/objeto de la parámetros de la base de datos y de
auditoría aplicaciones del SO (o detectar
deficiencias en el establecimiento de
• Evaluación del área/objeto de la auditoría
parámetros del sistema)
• Verificación y evaluación de la pertinencia
• Técnicas de elaboración de diagramas de
de los controles diseñados para cumplir
flujo para la documentación de
con los objetivos de control
aplicaciones automatizadas y del proceso
• Pruebas de cumplimiento de negocio
• Pruebas sustantivas • El uso de registros (logs)/informes de
• Reportes auditoría disponibles en los sistemas
• Seguimiento operativos/de aplicación
• Revisión de la documentación
• Investigación y observación
• Recorridos (walk-throughs)
• Revisión del rendimiento de controles

Detección de fraudes
 La presencia de controles internos no elimina
completamente el fraude.
 La legislación y regulaciones relativas al gobierno
corporativo asignan responsabilidades importantes
sobre la gestión, los auditores y el comité de auditoría
con respecto a la detección y revelación de cualquier
fraude, importante o no.
 El auditor de SI debe estar consciente de los
requerimientos legales potenciales que conciernen
a la implementación de Estándares de auditoría y
procedimientos específicos aseguramiento de SI de ISACA
de detección de fraude y al - 1005 Debido cuidado
profesional
reporte a las autoridades.

Métodos de prueba
 Pruebas de cumplimiento:
o Pruebas de control diseñadas para obtener evidencia
de auditoría tanto en la eficacia de los controles como
en su funcionamiento durante el período de la
auditoría.
 Pruebas sustantivas:
o Obtención de evidencia de una auditoría sobre la
integridad, precisión o existencia de actividades o
transacciones realizadas durante el período de la
auditoría.

Proceso de pruebas
 Esta figura muestra la relación entre las pruebas de
cumplimiento y las pruebas sustantivas y describe las dos
categorías de pruebas sustantivas.

Evidencia
Estándares de auditoría
 La evidencia es cualquier información usada y aseguramiento de SI
por el auditor de SI para determinar si la de ISACA - 1205
entidad o los datos que están siendo Evidencia
auditados cumplen con los criterios u objetivos establecidos,
y respalda las conclusiones de la auditoría.
 Ciertos tipos de evidencia son más confiables que otros. La
fiabilidad se determina por:
o La independencia del proveedor de la evidencia
o Las calificaciones del proveedor de la evidencia
o La objetividad de la evidencia
o El momento de la evidencia
 El auditor de SI debe centrarse en los objetivos de la
auditoría y no en la naturaleza de la evidencia.
 La evidencia es competente cuando es tanto válida como
relevante.

Técnicas de recolección de
evidencia
Revisar las Revisar las
Revisar los
estructuras políticas y los
estándares de
organizacionales procedimientos
SI.
de SI. de SI.
Observar
Revisar la Entrevistar
procesos y
documentación personal
desempeño de
de SI. apropiado.
empleados.
Realizar una
Llevar a cabo un
prueba de
desempeño de
recorrido (walk-
nuevo.
through)

Entrevistas y observaciones
 La observación al personal en el desempeño de sus
funciones ayuda a un auditor de SI a identificar:
Procesos/
Funciones Concienciación Líneas de
procedimientos
reales de la seguridad reporte
reales
 El personal, al darse cuenta de que es observado,

puede cambiar su comportamiento habitual. Por lo tanto,
se combinan las observaciones con entrevistas, que
pueden proporcionar una garantía adecuada de que el
personal tiene las habilidades técnicas requeridas.

Muestreo
 El muestreo es usado cuando las consideraciones de
tiempo y de costo limitan la capacidad de probar todas
las transacciones o eventos.
 Hay dos enfoques para la toma de muestras:
o El muestreo estadístico utiliza un método objetivo
para determinar el tamaño y los criterios de selección
de la muestra.
o El muestreo estadístico utiliza el juicio del auditor de
SI para determinar el tamaño y los criterios de
selección de la muestra.

Métodos de muestreo
 Muestreo por atributos
o Se ocupa de la presencia
Proporcional
o ausencia de un atributo
 Muestreo por atributos
o Se expresa en tasas de  Parar o seguir el
incidencia muestreo
o Generalmente utilizado  Muestreo por
en pruebas de descubrimiento
cumplimiento

Métodos de muestreo (cont.)
 Muestreo de variables
o Trata con las
Variable
características de la
 Promedio estratificado
población que varían,
por unidad
tales como los valores  Promedio no estratificado
monetarios y el peso por unidad
o Provee conclusiones  Muestreo de estimación
relacionadas con de diferencia
desviaciones de la norma
o Generalmente utilizado
en pruebas sustantivas

Términos clave de muestreo
Término Definición
Coeficiente de Una expresión porcentual de la probabilidad de que las características
confianza de la muestra sean una representación veraz de la población. Cuanto
mayor es el coeficiente de confianza, mayor es el tamaño de la
muestra.
Nivel de riesgo Igual a uno menos el coeficiente de confianza. Por ejemplo, si el
coeficiente de confianza es 95 por ciento, el nivel de riesgo es cinco por
ciento.
Precisión Establecida por el auditor de SI, representa la diferencia aceptable de
rango entre la muestra y la población real.
Tasa de error Expresado como un porcentaje, este valor es un estimado de los
esperado errores que pueden existir. A mayor tasa de error esperado, mayor es el
tamaño de la muestra. Aplicado solamente a el muestreo de atributos.

Términos clave de muestreo
(cont.)
Término Definición
Media de la La suma de todos los valores de la muestra, dividida entre el tamaño de
muestra la muestra. Mide el valor promedio de la muestra.
Desviación Calcula la varianza de los valores de la muestra a partir de la media de
estándar de la la muestra. Mide la extensión o dispersión de los valores de la muestra.
muestra
Tasa tolerable de Describe el valor máximo de error o el número de errores que pueden
error existir sin que una cuenta esté equivocada de manera importante. Se
usa para el límite superior planeado del rango de precisión para la
prueba de cumplimiento. Se expresa como porcentaje.
Desviación Un concepto matemático que mide la relación con la distribución
estándar de la normal. Cuanto mayor es la desviación estándar, mayor es el tamaño
población de la muestra. Aplicado solamente a las fórmulas de muestreo de
variables.

Pasos de muestreo
Determinar Definir la Determinar

los objetivos. población. el método.
Calcular el
Evaluar la Seleccionar
tamaño de la
muestra. la muestra.
muestra.
Fuente: ISACA, Fundamentos del curso de capacitación de aseguramiento y auditoría de SI, EE.UU., 2014

TAACs
 TAACs ayudan los auditores de SI para la recopilación
de evidencia suficiente, relevante y útil ya que la
evidencia puede existir solo en formato electrónico.
 Son particularmente útiles cuando los sistemas de
auditoría tienen diferentes entornos de hardware y de
software, diferente estructura de datos, formatos de
registro o funciones de procesamiento

TAACs (cont.)
 TAACs incluyen muchas herramientas y técnicas, tales
como:
o Software genérico de auditoría (GAS)
o Software de utilidad
o Software de depuración y rastreo
o Datos de prueba
o Software de rastreo y mapeo de aplicación
o Sistemas expertos

Consideraciones acerca de TAAC
 Antes de que el uso de un TAAC, considere:
o Facilidad de uso, tanto para el personal de auditoría existente y futuro
o Requerimientos de entrenamiento
o Complejidad de la codificación y del mantenimiento
o Flexibilidad de uso
o Requerimientos de instalación
o Eficiencia de procesamiento (en particular con TAACs para PC)
o Esfuerzo requerido para introducir los datos fuente en las TAACs para
su análisis
o Asegurar la integridad de los datos importados salvaguardando su
autenticidad
o Registrar el sello de hora de los datos descargados en puntos críticos
de procesamiento para sustentar la credibilidad de la revisión
o Obtener permiso para instalar el software en los servidores del auditado
o Confiabilidad del software
o Confidencialidad de los datos que se están procesando

Evaluación de los controles
 Después de la obtención de la evidencia, el auditor de SI
puede utilizar una matriz de control para evaluar las
fortalezas y debilidades de los controles evaluados y
luego determinar si son efectivos para cumplir los
objetivos de control.
 Un auditor de SI debería revisar siempre la presencia de
controles compensatorios antes de reportar debilidades
de control.
 El auditor de SI debe mantener el concepto de
importancia en la mente y juzgar lo que sería
significativo para los diferentes niveles de gestión.

La visión
Fase 3 general
Los Estándares de
Realizar auditorías de conformidad con
Auditoría y Aseguramiento
de SI de ISACA
lograr los objetivos de auditoría
proporcionan métodos y
planificados.
técnicas probadas y
consistentes aceptados
por la industria para lograr
los objetivos de la
auditoría de SI.

Fase 4
Comunicar los resultados de las

auditorías y hacer recomendaciones a
las partes interesadas clave a través de
reuniones e informes de auditoría que
promuevan el cambio cuando sea
necesario.

Términos clave
Reporte de auditoria Presentar a la gerencia sus hallazgos y
recomendaciones.
Parte interesada Cualquier persona que tiene la responsabilidad en, una
expectativa de, o algún otro interés en la empresa.
Documentación de La documentación de auditoría proporciona la evidencia
la auditoria necesaria que respalde los hallazgos y las conclusiones
de la auditoría

relacionados
K1.1 Conocimiento de los estándares, El conocimiento de los estándares, las
las directrices, y las herramientas y directrices y las herramientas y técnicas de
técnicas de aseguramiento y auditoría aseguramiento y auditoría de SI de ISACA
permiten al auditor de SI de establecer una
de SI de ISACA, del Código de ética
comunicación clara y eficaz con las partes
profesional y de otros estándares interesadas clave.
aplicables
K1.2 Conocimiento de los conceptos Utilizando un enfoque basado en el riesgo
de la evaluación del riesgo, y las permitirá al auditor de SI de comunicar la
herramientas y técnicas de información más relevante e importante a
lo largo del trabajo de auditoría de SI.
planificación, examen, informe y
seguimiento.

(cont.)
K1.3 Conocimiento de los procesos El entendimiento del auditor de SI de los
fundamentales del negocio (por ejemplo, procesos de negocio, junto con la
compras, nóminas, cuentas por pagar, terminología específica de negocio,
cuentas por cobrar) y el rol de SI en estos permitirá una comunicación clara y eficaz
procesos con las partes interesadas clave.

(cont.)
K1.6 Conocimiento de las leyes y Sobre la base de los requisitos legales y
regulaciones aplicables que afectan al reglamentarias específicas aplicables a la
alcance, a la recopilación y la preservación auditoría de SI, el auditor de SI
de evidencias, proporcionará informes relevantes para el
y a la frecuencia de las auditorías cumplimiento de estos requisitos y para
permitir a los interesados a tomar las
acciones necesarias para garantizar el
cumplimiento.

(cont.)
K1.9 Conocimiento de técnicas de reporte El auditor de SI debe ser capaz de hablar
y comunicación (por ejemplo, facilitación, con todos los niveles de la organización
negociación, para explicar los resultados de la auditoría
resolución de conflictos, estructura de de SI. La gestión de la línea a través de la
informes de auditoría, escritura de junta directiva cada uno tiene sus
problemas, resumen de la gerencia, necesidades específicas de información
verificación de resultados) relacionada con la auditoría de SI, y el
auditor de SI debe ser capaz de adaptar
las comunicaciones de estos resultados en
consecuencia.

(cont.)
K1.10 Conocimiento de los sistemas y A través del uso de sistemas de garantía
marcos de aseguramiento de calidad (QA) de calidad y marcos (CSA, Lean Six
de la auditoría Sigma, etc.), el auditor puede ser un
facilitador del cambio positivo y eficaz para
la organización.
K1.11 Conocimiento de varios tipos de Con base en el tipo de enfoque de
auditorías (por ejemplo, interna, externas, auditoría utilizado, el auditor de SI como
financiera) y métodos para evaluar y experto en la materia puede entregar
confiar en el trabajo de otros auditores o comunicaciones eficaz y que provocan el
entidades de control cambio con las partes interesadas.

Comunicación de los resultados
 El auditor de SI comunica los resultados de una
auditoría en la entrevista final con la dirección.
 Durante la entrevista final, el auditor de SI debería:
o Asegurarse de que los hechos presentados en el
informe estén correctos.
o Asegurarse de que las recomendaciones sean
realistas y eficientes, y si no lo fueran, buscar
alternativas negociando con la gerencia del auditado.
o Sugerir fechas de implementación para las
recomendaciones acordadas.
 El auditor de SI puede presentar los resultados de la
auditoría en un resumen ejecutivo o una presentación
visual.
Comunicación de los resultados
(cont.)
 Antes de comunicar los resultados de una auditoría a la
alta gerencia, el auditor de SI debe discutir los hallazgos
con los dueños clave del proceso para llegar a un
acuerdo sobre los hallazgos y desarrollar un curso de
acción correctiva.
 Los auditores de SI deberían sentirse en libertad para
comunicar los asuntos o preocupaciones a la alta
gerencia o el comité de auditoría.

Informe de auditoría
 Los informes de auditoría presentan Estándares de auditoría
las conclusiones y recomendaciones y aseguramiento de SI
del auditor de SI a la gerencia. Son de ISACA - 1401
Reportes
el producto final del trabajo de
auditoría de SI.
 El informe debería ser balanceado, que describa no
solamente los aspectos negativos en términos de
hallazgos, sino también comentarios constructivos sobre
procesos y controles en perfeccionamiento o sobre
controles efectivos ya existentes.

Estructura del informe de auditoría
 El formato y la estructura del informe de auditoría depende de las políticas
y procedimientos de auditoría de la organización, pero los informes por lo
general tienen la siguiente estructura y contenido:
o Una introducción al reporte, incluyendo los objetivos, las limitaciones y
alcance de la auditoría, el período cubierto por la auditoría y una
declaración general sobre los procedimientos de auditoría realizados y
los procesos examinados durante la auditoría, seguidos por la
declaración sobre la metodología de la auditoría de SI y directrices
seguidas.
o Estos hallazgos de auditoría se pueden agrupar en secciones por
importancia y/o receptor previsto.
o La conclusión y la opinión generales del auditor de SI respecto a si los
controles y procedimientos son los adecuados, y los riesgos potenciales
reales identificados como consecuencia de las deficiencias detectadas.
o Las reservas o calificaciones del auditor de SI con relación a la
auditoría
o Los hallazgos detallados y las recomendaciones de la auditoría
o Una variedad de hallazgos, algunos de los cuales pueden ser
considerablemente importantes mientras que otros son menores en su
carácter.

Documentación de auditoría
 La documentación de auditoría proporciona la evidencia
necesaria que respalde los hallazgos y las conclusiones
de la auditoría.
 Debe ser clara, completa, fácilmente recuperable.
 Es propiedad de la entidad de auditoría y debe ser
accesible sólo al personal autorizado.
 Toda la documentación de auditoría debe:
o estar fechada
Directrices de auditoría y
o ser rubricada aseguramiento de SI de
o ser numerada ISACA - 2203 Desempeño y
supervisión
o ser autónomo
o estar debidamente etiquetados
o ser mantenida bajo custodia

Documentación de auditoría (cont.)
 La documentación de la auditoría debe incluir, como
mínimo, un registro de lo siguiente:
o La planificación y preparación del alcance y de los objetivos de
la auditoría
o Descripción y/o recorridos en el área de auditoría vista
o Programa de auditoría
o Pasos de auditoría realizados y la evidencia de auditoría
recopilada
o El uso de servicios de otros auditores y expertos
o Los hallazgos, conclusiones y recomendaciones de auditoría
o La documentación de auditoría relacionada con la identificación
y fechas de documentos

Documentación de auditoría (cont.)
 La documentación debe incluir toda la información que
es requerida por leyes y regulaciones, estipulaciones
contractuales, y normas profesionales.

La visión
Fase 4 general
Comunicar los resultados de las El auditor de SI debe
auditorías y hacer recomendaciones a proporcionar a las partes
las partes interesadas clave a través interesadas una
de reuniones e informes de auditoría comunicación clara,
que promuevan el cambio cuando sea concisa y fácilmente
necesario. comprensibles por toda IS
trabajos de auditoría.

Fase 5
Realizar seguimientos de las auditorías

para determinar si la gerencia tomó las
acciones adecuadas de manera
oportuna.

Términos clave

Enfoque de Este enfoque permite que los auditores de SI
auditoría continua monitoreen la confiabilidad del sistema de manera
continua y recopilen evidencias de auditoría selectivas
por medio de la computadora.

relacionados
K1.1 Conocimiento de los estándares, las Según las directrices y los estándares de
directrices, y las herramientas y técnicas de auditoría y aseguramiento de SI de ISACA, el
aseguramiento y auditoría de SI de ISACA, del auditor de SI debe llevar a cabo revisiones de
Código de ética profesional y de otros estándares seguimiento para proporcionar una certeza
aplicables razonable de que los resultados de auditorías
anteriores y las acciones correctivas por hallazgo
de auditoría actuales están implementados y
funcionando con eficacia.
K1.2 Conocimiento de los conceptos de la Basado en el riesgo que representa un hallazgo,
evaluación del riesgo, y las herramientas y el auditor de SI debe garantizar que acciones
técnicas de planificación, examen, informe y correctivas por hallazgo de auditoría se han
seguimiento. completado en el momento oportuno para hacer
frente a las posibles amenazas cibernéticas que
si no se corrigen podrían ser explotadas.
K1.3 Conocimiento de los procesos El auditor de SI debe ser consciente de los
fundamentales del negocio (por ejemplo, procesos de negocio existentes y cualquier
compras, nóminas, cuentas por pagar, cuentas cambio en los procesos de negocio que podrían
por cobrar) y el rol de SI en estos procesos afectar al seguimiento de las conclusiones de las
auditorías previas/ existentes.
(cont.)
K1.4 Conocimiento de los principios de El auditor de SI debe ser capaz de traducir las
control relacionados con los controles en los categorías generales de control en el contexto
sistemas de información de SI del mundo real. Esto permite tanto la
identificación y evaluación de los controles en
los sistemas de información.
K1.5 Conocimiento de las técnicas de No todos los hallazgos abiertos y cerrados
planificación de auditoría basada en el riesgo recientemente han sido creados iguales, y el
y de las técnicas de gestión de proyectos de auditor de SI debe ser capaz de utilizar las
auditoría, que incluyen el seguimiento técnicas de gestión de proyectos para
establecer prioridades y las actividades de
seguimiento de horario en consecuencia.
K1.6 Conocimiento de las leyes y Sobre la base de los requisitos legales y
regulaciones aplicables que afectan al reglamentarios, las actividades de
alcance, a la recopilación y la preservación de seguimiento de acciones correctivas pueden
evidencias, y a la frecuencia de las auditorías tener líneas de tiempo y requisitos de
información específicos.

(cont.)
K1.7 Conocimiento de las técnicas de Al igual que la auditoría original, todas las
recopilación de evidencia (por ejemplo, actividades de seguimiento de auditoría de
observación, consulta, inspección, SI deben estar debidamente
entrevista, análisis de datos, técnicas de documentados y vinculados a los
investigación forense, técnicas de auditoría resultados de la auditoría existentes /
asistida por computadora [TAAC]) usadas anterior así como las respectivas acciones
para reunir, proteger y preservar la correctivas evaluados. Por otra parte, el
evidencia de auditoría auditor de SI necesita identificar técnicas
automatizadas que se pueden utilizar para
realizar mejor las actividades de
seguimiento de manera oportuna.
K1.8 Conocimiento de diferentes Al igual que con la auditoría de SI original,
metodologías de muestreo y otros el auditor de SI utilizará técnicas de
procedimientos analíticos de muestreo reconocidos para recoger y
datos/sustantivos analizar datos durante las actividades de
seguimiento.

(cont.)
K1.9 Conocimiento de las técnicas de El auditor de SI documentará e informará
reporte y comunicación (por ejemplo, las actividades de seguimiento a todas las
facilitación, negociación, resolución de partes interesadas para garantizar que
conflictos, estructura de informes de estas partes son conscientes del estado de
auditoría, escritura de problemas, resumen las acciones correctivas por hallazgo de
de la gerencia, verificación de resultados) auditoría de SI.
K1.10 Conocimiento de los sistemas y El auditor de SI debe revisar los sistemas
marcos de aseguramiento de calidad (QA) de calidad y los marcos utilizados por la
de la auditoría organización para hacer frente a los
resultados de la auditoría de SI y verificar
estas metodologías eran apropiados y
eficaces.

(cont.)
K1.11 Conocimiento de varios tipos de Con base en el tipo de auditoría (es decir,
auditorías (por ejemplo, interna, externas, cumplimiento, investigaciones, etc.), el
financiera) y métodos para evaluar y auditor de SI necesitará saber cómo
confiar en el trabajo de otros auditores o documentar e informar de los resultados
entidades de control del seguimiento. Si se han realizado
auditorías más recientes que pueden
indicar que las acciones correctivas son
completas, el auditor de SI deberá
determinar si el trabajo realizado es
suficiente para cerrar el hallazgo.

Actividades de seguimiento
 La auditoría es un proceso continuo. Estándares de auditoría y
aseguramiento de SI de
 Es la responsabilidad del auditor de ISACA - 1402 Actividades
SI asegurar que la gerencia ha de seguimiento
tomado las medidas correctivas adecuadas.

 Un programa de seguimiento debería ser implementado
para gestionar las actividades de seguimiento.
 Cuando el seguimiento se produce depende de la
criticidad de los resultados de la auditoría.
 Los resultados del seguimiento deben comunicarse a los
niveles apropiados de la gerencia.

La visión
Fase 5 general
El auditor de SI es
Realizar seguimientos de las auditorías responsable de la
para determinar si la gerencia tomó las verificación oportuna de
acciones adecuadas de manera medidas correctivas en
oportuna. respuesta a todos los
resultados de la auditoría
de SI.

Resumen del Proceso
 Entender el Proceso es el fundamento de la práctica
profesional de auditoría y aseguramiento de SI.
 Las directrices y los estándares de aseguramiento y
auditoría de SI de ISACA permiten al auditor de SI de
asegurar que están cumpliendo con la aceptación de
toda la industria del producto de su trabajo.
 Un enfoque basado en el riesgo siempre debe ser
utilizado durante todo el ciclo de vida del trabajo de
auditoría de SI.

Resumen del Proceso (cont.)
 El auditor de SI debe conocer el proceso de negocio que
SI apoya; esto asegura se utiliza el enfoque de auditoría
adecuada, y entender los riesgos para la organización.
 El auditor de SI debe entender los tipos de controles que
se pueden utilizar para mitigar el riesgo.
 La mayoría, si no todas, las auditorías de SI ahora
tienen cualquiera (contratos comerciales) legales o
reglamentarias impactos.

 El conocimiento de las técnicas de recopilación de
pruebas asegura la integridad y permite el análisis
preciso, correcto y oportuno de los datos y la
información durante la auditoría de SI.
 El muestreo es fundamental para garantizar que la
prueba sea representativa de la población en el alcance
de la auditoría de SI.
 El auditor de SI debe dominar las habilidades de
comunicación escrita y verbal desde la planificación
hasta el seguimiento.

 El auditor de SI debe saber cómo utilizar otros sistemas
de calidad y los marcos en su encargo de auditoría de SI
y durante las actividades de seguimiento, según
corresponda.
 El auditor de SI debe entender su rol al utilizar el trabajo
de otros cuando sea posible y apropiado.

Proceso de Auditoría de Sistemas de Información

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Proceso de Auditoría de Sistemas de Información

Загружено:

Авторское право:

Доступные форматы

Proceso de auditoría de sistemas

©Copyright 2016 ISACA. Todos los derechos reservados.

Proporcionar servicios de auditoría en

2 © Copyright 2016 ISACA. Todos los derechos reservados.

3 © Copyright 2016 ISACA. Todos los derechos reservados.

4 © Copyright 2016 ISACA. Todos los derechos reservados.

Estrategia Planificación Realización Comunicación Seguimiento

5 © Copyright 2016 ISACA. Todos los derechos reservados.

6 © Copyright 2016 ISACA. Todos los derechos reservados.

7 © Copyright 2016 ISACA. Todos los derechos reservados.

Ejecutar una estrategia de auditoría de SI

8 © Copyright 2016 ISACA. Todos los derechos reservados.

9 © Copyright 2016 ISACA. Todos los derechos reservados.

10 © Copyright 2016 ISACA. Todos los derechos reservados.

11 © Copyright 2016 ISACA. Todos los derechos reservados.

12 © Copyright 2016 ISACA. Todos los derechos reservados.

14 © Copyright 2016 ISACA. Todos los derechos reservados.

15 © Copyright 2016 ISACA. Todos los derechos reservados.

16 © Copyright 2016 ISACA. Todos los derechos reservados.

17 © Copyright 2016 ISACA. Todos los derechos reservados.

4. Mantener la privacidad y confidencialidad de la

18 © Copyright 2016 ISACA. Todos los derechos reservados.

6. Informar a las partes correspondientes los resultados

19 © Copyright 2016 ISACA. Todos los derechos reservados.

20 © Copyright 2016 ISACA. Todos los derechos reservados.

General Desempeño Reportes

1004 Expectativa razonable 1204 Materialidad

1005 Debido cuidado profesional 1205 Evidencia

1006 Competencia 1206 Uso del trabajo de otros expertos

1007 Afirmaciones 1207 Irregularidades y actos ilegales

22 © Copyright 2016 ISACA. Todos los derechos reservados.

23 © Copyright 2016 ISACA. Todos los derechos reservados.

2004 Expectativa razonable 2204 Materialidad

2005 Debido cuidado profesional 2205 Evidencia

2006 Competencia 2206 Uso del trabajo de otros expertos

2007 Afirmaciones 2207 Irregularidades y actos ilegales

2008 Criterios 2208 Muestreo

24 © Copyright 2016 ISACA. Todos los derechos reservados.

25 © Copyright 2016 ISACA. Todos los derechos reservados.

26 © Copyright 2016 ISACA. Todos los derechos reservados.

Puede haber situaciones en las cuales los requerimientos legales/regulatorios sean

27 © Copyright 2016 ISACA. Todos los derechos reservados.

28 © Copyright 2016 ISACA. Todos los derechos reservados.

29 © Copyright 2016 ISACA. Todos los derechos reservados.

30 © Copyright 2016 ISACA. Todos los derechos reservados.

31 © Copyright 2016 ISACA. Todos los derechos reservados.

32 © Copyright 2016 ISACA. Todos los derechos reservados.

33 © Copyright 2016 ISACA. Todos los derechos reservados.

34 © Copyright 2016 ISACA. Todos los derechos reservados.

Participación limitada de empleados Participación y capacitación

Interés reducido de las partes Interés extenso de las partes

35 © Copyright 2016 ISACA. Todos los derechos reservados.

36 © Copyright 2016 ISACA. Todos los derechos reservados.

Planificar auditorías específicas para

37 © Copyright 2016 ISACA. Todos los derechos reservados.

38 © Copyright 2016 ISACA. Todos los derechos reservados.

39 © Copyright 2016 ISACA. Todos los derechos reservados.

40 © Copyright 2016 ISACA. Todos los derechos reservados.

41 © Copyright 2016 ISACA. Todos los derechos reservados.

42 © Copyright 2016 ISACA. Todos los derechos reservados.

43 © Copyright 2016 ISACA. Todos los derechos reservados.

45 © Copyright 2016 ISACA. Todos los derechos reservados.

46 © Copyright 2016 ISACA. Todos los derechos reservados.