Capitulo 1 CISA SFP

ISACA ®
Reconocida mundialmente
como Líder en el gobierno,
control y aseguramiento de TI
Introduction - page 1
© 2005 ISACA All Rights Reserved
Curso CISA® 2005
Capítulo 1
El proceso de
auditoría de
SI
Contenido
• Organización de la Función de Auditoría de SI
• Administración de Recursos de Auditoría de SI
• Planeación de la Auditoría
• Leyes y regulaciones
• Estándares y guías de ISACA para la auditoría
de Sistemas
• Análisis de riesgos
• Controles Internos
• Realización de una auditoría de SI
• Auto - evaluación del control (CSA)
• Gobernabilidad corporativa
Objetivo
Asegurar que el candidato CISA …
“El objetivo del área de proceso es el de asegurar que el

candidato CISA tenga el conocimiento necesario para
planear y conducir auditorías de SI en conformidad con
los estándares (normas) y guías (directrices) de auditoría
de SI generalmente aceptadas, para proveer una
declaración (reporte de auditoría) asegurando que los
procesos de negocio de la organización soportados por
tecnología de información son adecuadamente
controlados, monitoreados y evaluados”
Resumen
De acuerdo con el Comité de

Certificación CISA, el área de
proceso representará
aproximadamente el 10 % del
examen CISA
(aproximadamente 20 preguntas)
Misión y Planeación de la
auditoría
• Organización de la Función de
Auditoría de SI
• Administración de los Recursos de
auditoría de SI
• Planeación de la Auditoría
• Leyes y regulaciones
auditoría
• Una adecuada planeación es el primer
paso, necesario, para la ejecución de
auditorías de TI efectivas
• Requiere comprender el ambiente
general del negocio así como los
riesgos de negocio y de control
asociados
• Evaluar riesgos operacionales y de
control e identificar objetivos de control
durante la Planeación de la auditoría
auditoría
Para realizar una Planeación de auditoría, el auditor de SI
debe
1. Comprender la misión, los objetivos y los procesos del
negocio, los requerimientos de información y de
procesamiento tales como la disponibilidad, la
integridad y la seguridad además de los requerimientos
de la arquitectura de la información. En términos
generales, los procesos y la tecnología.
2. Realizar un análisis de riesgos.
3. Conducir una revisión de control interno.
4. Definir el alcance de la auditoría y el (los) objetivo(s) de
la auditoría.
5. Desarrollar el enfoque o la estrategia de auditoría.
6. Asignar recursos para la auditoría y encarar la logística
del trabajo. Introduction - page 8
Leyes y Regulaciones
• Requerimientos normativos
– Establecimiento
– Organización
– Responsabilidades
– Correlación con las funciones de
auditoría financiera, operacional y de TI
Leyes y Regulaciones
• Pasos para determinar el cumplimiento
de requerimientos externos:
– Identificar requerimientos externos
– Documentar leyes y regulaciones
pertinentes
– Determinar si la gerencia y la función de SI
han considerado los requerimientos
externos pertinentes
– Revisar documentos internos del
departamento de SI que muestren
adherencia a las leyes aplicables
– Determinar la adherencia a procedimientos
establecidos
Estándares y Guías para la
Auditoría de SI
Código de Ética Profesional de ISACA
El código de ética profesional de ISACA

provee una guía de conducta
profesional y personal para los
miembros de la Asociación y/o
poseedores de las certificaciones CISA
y CISM
Auditoría de SI
• Estándares (normas) de ISACA para
la auditoría de SI
• Guías (directrices) de ISACA para la
Auditoría de SI
• Procedimientos de ISACA para la
Auditoría de SI
Auditoría de SI
Objetivos de los estándares de ISACA para
la Auditoría de SI
– Informar a la gerencia y a otras partes
interesadas sobre lo que pueden esperar
profesionalmente de los trabajos de auditoría
– Informar a los auditores de SI sobre el nivel
mínimo de desempeño aceptable requerido para
cumplir las responsabilidades profesionales
establecidas en el Código de Ética Profesional
de ISACA
Auditoría de SI
Estructura de los estándares de
Auditoría de SI de ISACA:
– Estándares
– Guías
– Procedimientos
Auditoría de SI
• Estándares y guías de ISACA para la
Auditoría de Sistemas
– Estatutos de Auditoría
– Independencia
– Ética Profesional y estándares
– Competencia
– Planeación
– Ejecución del trabajo de auditoría
– Reportes
– Actividades de seguimiento
Auditoría de SI
• Estatutos de auditoría
9Responsabilidad, autoridad y
sujeción a rendición de cuentas
Auditoría de SI
• Independencia
• Independencia profesional
• Relación organizacional
Auditoría de SI
– Ética profesional y Estándares
• Código de Ética profesional
• Debido cuidado profesional
Auditoría de SI
• Competencia
9Habilidades y conocimiento
9Educación profesional continua
Auditoría de SI
• Planeación
• Planeación de Auditoría
Auditoría de SI
• Ejecución del trabajo de auditoría
9 Supervisión
9 Evidencia
Auditoría de SI
• Reportes
9Contenido y forma del reporte
Auditoría de SI
• Actividades de Seguimiento
9Revisar conclusiones y
recomendaciones anteriores
9Revisar hallazgos previos relevantes
9Determinar si han sido implementadas
oportunamente acciones apropiadas
Auditoría de SI
• Utilización de las Guías de ISACA
– Considerar las guías en la determinación

de cómo implementar los estándares
– Hacer uso del juicio profesional al aplicar
estas guías
– Ser capaz de justificar cualquier
desviación
Auditoría de SI
• Utilización de los Procedimientos de
ISACA
– Ejemplos provistos para los
procedimientos desarrollados por el
Consejo de Estándares de ISACA.
– El auditor de SI debe aplicar su
propio juicio profesional a las
circunstancias específicas.
Análisis de Riesgos
Definición de análisis de riesgos
El potencial de que una amenaza dada explote

las vulnerabilidades de un activo o grupo de
activos, causando pérdida o daño a los mismos.
El impacto o severidad relativa del riesgo es
proporcional al valor para el negocio, de las
pérdidas o daños y a la frecuencia estimada de
la amenaza
Análisis de Riesgos
• Componentes del análisis de riesgos
– Amenazas para, y vulnerabilidades de,
procesos y/o activos (incluyendo activos
físicos e información)
– Impacto sobre los activos basado en
amenazas y vulnerabilidades
– Probabilidades de las amenazas
(combinación de la posibilidad y frecuencia
de su ocurrencia)
Controles
Definición de control interno
Es un proceso establecido por la Junta
Directiva, la alta gerencia y todos los
niveles de personal para proveer una
seguridad razonable de que los
objetivos de la organización serán
alcanzados
Controles
Clasificación de los controles
• Preventivo
• Detectivo
• Correctivo
Controles
Objetivos de Control de los Sistemas de
Información
Los objetivos de control en un ambiente de SI
permanecen invariable en relación a los de un
ambiente manual. Sin embargo, las
características de los controles pueden ser
diferentes
Los objetivos de control interno, por lo tanto

necesitan, ser dirigidos en una manera
específica a procesos relacionados con SI
Controles
Objetivos de control de SI
• COBIT
9Objetivos de control en TI y estándares de
buenas prácticas
934 objetivos de control de alto nivel
• Ejemplos
Controles
Procedimientos de control de SI
Los procedimientos de control incluyen
políticas y prácticas establecidas por la
gerencia para proveer seguridad
razonable de que los objetivos
específicos serán alcanzados
Controles
• Procedimientos de control de SI
• Controles Generales de SI
También llamados Controles Penetrantes
dirigidos a los controles del Ambiente
computacional y de Sistemas Operativos
• Controles de Aplicación
Dirigidos a las aplicaciones computacionales
tales como GL, Nóminas, RMP Planeación de
materia prima, etc…
Controles
Procedimientos de Control de SI
Ejemplos de Controles Generales
– Estrategia y dirección
– Gerencia y organización general
– Acceso a datos y programas
– Desarrollo de sistemas y control de cambios
– Operaciones de procesamiento de datos
– Programación de sistemas y funciones de soporte técnico
– Procedimientos de aseguramiento de calidad del
procesamiento de datos
– Controles de acceso físico
– Planeación de continuidad del negocio / Recuperación de
desastres
– Redes y comunicaciones
– Administración de bases de datos
Controles
Procedimientos de control de SI
Ejemplos de Controles de Aplicación
– Los procesos de las aplicaciones satisfacen las necesidades
Corporativas y de los Usuarios
– Acceso a las funciones de las aplicaciones
– Ediciones y Validaciones (entrada)
– Nivel de autorización
– Exactitud de los procesos de las funciones
– Oportunidad del Procesamiento
– Reportes
– Pistas de auditoría
– Etc…
Ejecución de una Auditoría
Definición de Auditoría
Proceso sistemático por el cual una persona

competente e independiente, obtiene y evalúa
objetivamente evidencia relativa a
aseveraciones sobre una entidad o evento
económico, con el propósito de formarse una
opinión y reportar el grado en que la
aseveración está acorde con un conjunto de
estándares identificados
Clasificación de auditorías:
– Auditorías financieras
– Auditorías operacionales
– Auditorías integrales
– Auditorías administrativas
– Auditorías de sistemas de información
– Auditorías Especializadas
– Auditorías Forenses
Definición de Auditoría de SI
Proceso de recolección y evaluación de evidencia
para determinar si los SI y los recursos relacionados:
- salvaguardan adecuadamente los activos,
- mantienen la integridad de los datos y del sistema,
- proveen información relevante y confiable,
- alcanzan efectivamente los objetivos organizacionales,
- consumen los recursos eficientemente, y
- cuentan con controles internos que provean una seguridad
razonable de que los objetivos operacionales y de control
serán satisfechos y de que los eventos no deseados serán
prevenidos o detectados y corregidos de manera oportuna
• Procedimientos generales de auditoría
– Entendimiento del área u objeto a auditar
– Valoración de riesgos y plan general de auditoría
– Planeación detallada de la auditoría
– Revisión preliminar del área u objeto a auditar
– Evaluación del área u objeto a auditar
– Pruebas de cumplimiento
– Pruebas sustantivas
– Reporte (comunicación de resultados)
– Seguimiento
• Metodología/estrategia de auditoría
– Definición del alcance
– Definición de los objetivos de auditoría
– Definición del programa de trabajo
Fases típicas de una auditoría
Desarrollar
Identificar
– El área a auditar – Herramientas y metodología de
auditoría para probar y verificar el
– El propósito de la auditoría
control
– Los sistemas específicos, funciones o
unidades de la organization a ser – Procedimientos para evaluar los
incluídas en la revisión. resultados de las pruebas o revisiones
– Las habilidades técnicas y recursos – Procedimientos de comunicación con la
necesarios gerencia
– Las fuentes de información para pruebas
o revisión tales como diagramas de flujo Identificar
funcionales, polííticas, estándares, – Procedimientos para revisiones de
procedimientos y papeles de trabajo de seguimiento
auditorías anteriores.
– Ubicación de las instaiaciones a auditar. – Procedimientos para evaluar/probar la
eficiencia y efectividad operacional
– Selección del enfoque de auditoría para
verificar y probar los controles – Procedimientos para probar controles
– Lista de personas a entrevistar Revisar y evaluar la solidez de los
– Obtener políticas departamentales, documentos, políticas y procedimientos
estándares y guías para revisión
• Objetivos de Control
• Objetivos de Auditoría
• Diferencia entre objetivos de control y
objetivos de auditoría
• Riesgo de auditoría y materialidad
Un enfoque de auditoría basado en

riesgos es utilizado para valorar los
riesgos y apoyar la decisión de un
auditor de SI de realizar ya sean
pruebas de cumplimiento o pruebas
sustantivas
• Enfoque basado en riesgos
– Énfasis en el conocimiento del negocio y la
tecnología
– Concentración en la valoración de la
efectividad de una “combinación” de
controles
– Relación entre la valoración de riesgos y
las pruebas enfocadas en los objetivos de
control
– Enfoque en el negocio desde una
perspectiva gerencial
Tipos de riesgos
• Riesgo inherente
• Riesgo de control
• Riesgo de detección
• Riesgo total de auditoría
• Técnicas de valoración de riesgos
– Permite a la gerencia asignar efectivamente
los recursos limitados de auditoría
– Asegura que información relevante ha sido
obtenida
– Establece una base para administrar
efectivamente el departamento de auditoría
– Provee un resumen de como el objeto
individual a auditar se relaciona con toda la
organización y con los planes de negocio
Objetivos de control y controles
relacionados
Relación entre pruebas sustantivas
y de cumplimiento
Relación entre el nivel de los
controles internos y las pruebas
sustantivas requeridas
• Evidencia
Es un requerimiento que las conclusiones
del auditor deben basarse en evidencia
suficiente y competente
• Independencia del proveedor de la evidencia
• Calificación de la persona que provee la
información o evidencia
• Objetividad de la evidencia
• Oportunidad de la evidencia
• Técnicas para obtener evidencia:
– Revisar las estructuras organizacionales
de SI
– Revisar las políticas, procedimientos y
estándares de SI
– Revisar documentación de SI
– Entrevistar al personal apropiado
– Observar el desempeño de los procesos y
de los empleados
• Muestreo
– Enfoques generales de muestreo en
auditoría:
• Muestreo estadístico
• Muestreo no-estadístico
– Métodos de muestreo utilizados por los
auditores:
• Muestreo de atributos
• Muestreo de variables
• Muestreo (Continuación…)
– Muestreo de atributos
• Muestreo parar-o-seguir
• Muestreo por descubrimiento
– Muestreo de variables
• Media estratificada por unidad
• Media no-estratificada por unidad
• Estimación de diferencias
Ejecución de una Auditoría de T.I.
• Términos de muestreo estadístico:
– Coeficiente de confianza
– Nivel de riesgo
– Precisión
– Tasa de error esperada
– Media de la muestra
– Desviación estándar de la muestra
– Tasa de error tolerable
– Desviación estándar de la población
• Pasos claves en la selección de la
muestra
– Determinar los objetivos de la prueba
– Definir la población a ser muestreada
– Determinar el método de muestreo, tales
como el muestreo de atributos versus el
muestreo de variables.
– Calcular el tamaño de la muestra
– Seleccionar la muestra
– Evaluar la muestra desde una perspectiva
de auditoría.
• Técnicas de auditoría asistidas por
computador
– Las herramientas CAAT son muy
importantes para los auditores de SI en la
recolección independiente de información
– CAATs incluyen:
• SW generalizado de auditoría (ACL, IDEA, etc.)
• SW utilitario
• Datos de prueba
• SW de aplicación para auditorías continuas en
línea
• Sistemas expertos de auditoría
computador
– Necesidad de CAATs
• Recolección de evidencia
– Capacidades funcionales
• Funciones soportadas
• Áreas de interés
computador
– Ejemplos de CAATs utilizados para
recolectar evidencia
– Enfoque de auditoría continua en línea
computador
– Ventajas de CAATs
– Costo/beneficio de CAATs
computador
– Desarrollo de CAATs
• Retención de documentación
• Acceso a datos de producción
• Manipulación de datos
• Evaluación de fortalezas y debilidades
– Evaluar la evidencia
– Evaluar la estructura de control global
– Evaluar los procedimientos de control
– Evaluar las fortalezas y debilidades de
control
• Juzgar la materialidad de los hallazgos
– La materialidad es un aspecto clave
– La evaluación requiere un juicio sobre el
efecto potencial del hallazgo si no se toman
acciones correctivas
• Comunicación de los resultados de la
auditoría
– Estructura y contenido del reporte de
auditoría
– Entrevista final
• Técnicas de presentación
– Resumen ejecutivo
– Presentación visual
– Presentación oral
• Acciones de la gerencia para
implementar recomendaciones
– La auditoría es un proceso continuo
– Oportunidad del seguimiento
• Documentación de la auditoría
• Administración de los recursos de
auditoría
– Los auditores de SI son un recurso limitado
– Habilidades y conocimientos apropiados
– Restricciones en la conducción de la
auditoría
– Técnicas de administración de proyectos
• Técnicas de administración de
proyectos
– Desarrollar un plan detallado
– Reportar el progreso del proyecto
contra el plan
– Ajustar el plan y tomar acciones
correctivas, cuando se requiera
Auto-evaluación de Control
• Objetivos de un programa de Auto-
evaluación de Control (CSA):
– Realce de las responsabilidades de la
auditoría (no un reemplazo)
– Educación para la gerencia media sobre
responsabilidad y monitoreo del control
– Concentración en áreas de alto riesgo
• Rol del auditor de SI en CSAs
• Facilitadores tecnológicos
• Enfoque tradicional vs. CSA
Gobernabilidad Corporativa
• Gobernabilidad Corporativa
– Comportamiento ético corporativo por
directivos y otros encargados de la
gobernabilidad en la creación y
presentación de riqueza para todas las
personas con intereses en la organización
– Establecimiento de reglas para la
administración y reporte de riesgos del
negocio
– Gobernabilidad de TI
Gobernabilidad de TI
• Gobernabilidad de TI
– Un conjunto de responsabilidades y
prácticas utilizadas por la gerencia de una
organización para proveer dirección
estratégica
– Asegurar que las metas son alcanzables
– Los riesgos se manejan apropiadamente
– Los recursos organizacionales se utilizan
apropiadamente
Capítulo 1: Glosario
• Controles administrativos
• Muestreo de atributos
• Riesgo de auditoría
• Pruebas de cumplimiento
• CAATs
• Riesgo de control
• Módulos de auditoría integrados
• Materialidad
Capítulo 1: Recapitulación
• Discusión en grupo
• Preguntas
Capítulo 1: Preguntas
1. Al realizar una revisión de los controles de una
aplicación, el auditor de SI descubre una debilidad
en el SW de sistema, que podría impactar material-
mente a la aplicación. El auditor de SI debe:
A. No prestar atención a esta debilidad de control ya que la
revisión del software de sistema está fuera del alcance de
esta revisión
B. Conducir una revisión detallada del SW de sistema y
reportar la debilidad de control
C. Incluir en el reporte una declaración de que la auditoría
estuvo limitada a la revisión de los controles de la
aplicación
D. Revisar los controles del SW de sistema relevantes y
recomendar una revisión detallada del SW de sistema
2. La razón para tener controles en un ambiente de SI:
A. Permanece invariable con relación a un ambiente manual,
pero las características de los controles implementados
pueden ser diferentes
B. Cambia con relación a un ambiente manual, por lo tanto las
características de los controles implementados pueden ser
diferentes
C. Cambia con relación a un ambiente manual, pero las
características de los controles implementados serán las
mismas
D. Permanece invariable con relación a un ambiente manual y
las características de los controles implementados serán
también las mismas
3. Cuál de los siguientes tipos de riesgo asume una
ausencia de controles compensatorios en el área
bajo revisión?
A. Riesgo de control
B. Riesgo de detección
C. Riesgo inherente
D. Riesgo de muestreo
Capítulo 1: preguntas
4. Un auditor de SI está realizando pruebas de
auditoría sustantivas a un nuevo módulo de
cuentas por cobrar. Él tiene un cronograma
ajustado y una experiencia limitada con el
computador. Cuál sería la MEJOR técnica de
auditoría a utilizar en esta situación?
A. Datos de prueba
B. Simulación en paralelo
C. Facilidad de prueba integrada
D. Módulo de auditoría integrado
5. El objetivo PRIMARIO de un programa de auto-
evaluación o auto-aseguramiento del control (CSA)
es:
A. reemplazar algunas responsabilidades de auditoría
interna.
B. remover la responsabilidad sobre los controles de la
gerencia media.
C. traspasar algunas de las responsabilidades de
supervisión de los controles a áreas funcionales.
D. Mejorar la supervisión del control global en la
organización.
6. Cuál de los siguientes describe MEJOR las etapas
iniciales de una auditoría de SI?
A. Observación de las instalaciones organizacionales claves

B. Evaluación del ambiente de SI
C. Comprensión de los procesos de negocio y del ambiente
aplicable a la revisión
D. Revisión de reportes de auditoría de SI anteriores
7. El MAYOR inconveniente en el uso de una
facilidad de prueba integrada es la necesidad de:
A. aislar los datos de prueba de los de producción.
B. notificar al personal usuario para que puedan hacer
ajustes a las salidas.
C. segregar registros específicos de archivos maestros.
D. reunir registros de archivos maestros y de transacción
en un archivo separado.
8. Antes de reportar los resultados de una auditoría
a la alta gerencia, un auditor de SI debe:
A. Confirmar los hallazgos con los auditados
B. Preparar un resumen ejecutivo y enviarlo al gerente del
área auditada
C. Definir recomendaciones y presentar los hallazgos al
comité de auditoría
D. Obtener conformidad del auditado sobre los hallazgos
y las acciones a ser tomadas
9. Al desarrollar un programa de auditoría basado en
riesgos, en cuál de los siguientes se enfocaría un
auditor de SI con MAYOR posibilidad?
A. Procesos de negocio
B. Aplicaciones de TI críticas
C. Objetivos corporativos
D. Estrategias de negocio
10. El uso PRIMARIO del software de auditoría
generalizado es:
A. probar los controles integrados en los programas.
B. probar los accesos no autorizados a los datos.
C. extraer datos relevantes con la auditoría.
D. reducir la necesidad de tener recibos de las
transacciones.

Capitulo 1 CISA SFP

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Capitulo 1 CISA SFP

Загружено:

Авторское право:

Доступные форматы

ISACA ®

“El objetivo del área de proceso es el de asegurar que el

De acuerdo con el Comité de

El código de ética profesional de ISACA

• Código de Ética profesional

• Debido cuidado profesional

9Educación profesional continua

– Considerar las guías en la determinación

El potencial de que una amenaza dada explote

Clasificación de los controles

Los objetivos de control interno, por lo tanto

Proceso sistemático por el cual una persona

Un enfoque de auditoría basado en

A. Observación de las instalaciones organizacionales claves

Вам также может понравиться

Capitulo 1 CISA SFP

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Capitulo 1 CISA SFP

Загружено:

Авторское право:

Доступные форматы

ISACA ®

“El objetivo del área de proceso es el de asegurar que el

De acuerdo con el Comité de

El código de ética profesional de ISACA

• Código de Ética profesional

• Debido cuidado profesional

9Educación profesional continua

– Considerar las guías en la determinación

El potencial de que una amenaza dada explote

 Clasificación de los controles

Los objetivos de control interno, por lo tanto

Proceso sistemático por el cual una persona

Un enfoque de auditoría basado en

A. Observación de las instalaciones organizacionales claves

Вам также может понравиться

Clasificación de los controles