Sei sulla pagina 1di 14

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

Objetivos de la clase
Universidad Nacional de Trujillo

El Proceso de Auditoria de Si t Sistemas d de I Informacin f i


Profesor: Ms. Ing. Edwin Valencia Castillo

Comprender la funcin de auditora y su planificacin. Determinar la importancia del anlisis de riesgos y los controles internos. Conocer la metodologa de auditora y sus f fases tpicas t i con un enfoque f basado b d en riesgos Diferenciar entre pruebas de cumplimiento y pruebas sustantivas.

2008 Edwin Valencia Castillo

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Monday, October 06, 2008

Definicin de auditoria

Auditoria de Sistemas de Informacion

2008 Edwin Valencia Castillo

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Monday, October 06, 2008

Descripcin
Introduccin Estndares y directrices de ISACA Anlisis de riesgos Ejecucin de una auditoria de SI Autoevaluacin del Control (Control Selft Assesment) Cambios emergentes en el proceso de auditoria de SI

LECCION: INTRODUCCION
Organizacin de la funcin de auditoria Administracin de los recursos de auditoria de SI Planeacin de la auditoria y y regulaciones g sobre la Efecto de las leyes planificacin de auditoria de SI

2008 Edwin Valencia Castillo

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

Organizacin de la funcin de auditoria de SI


La funcin debe establecerse en un estatuto de auditoria. La auditoria de SI puede ser parte de la auditoria interna. Los estndares de auditoria de ISACA requieren i que la l responsabilidad, bilid d autoridad t id d y obligacin de rendir cuentas de la funcin de auditoria de SI estn debidamente documentados en un estatuto de auditoria o contrato de trabajo.

Administracin de los recursos de auditoria de SI


Los auditores deben mantener su competencia por medio de actualizaciones de sus habilidades actuales y que obtengan capacitacin para realizar el trabajo de auditor. Los estndares de ISACA requieren que el auditor sea tcnicamente competente, teniendo las habilidades y conocimientos necesarios para realizar el trabajo del auditor.

2008 Edwin Valencia Castillo

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Monday, October 06, 2008

Planeacin de la auditoria
Constituida por la planeacin a corto y largo plazo. Corto plazo: espetos relevantes cubiertos durante un ao. Largo plazo: aspectos relacionados con riesgos i d debido bid a l los cambios bi en l la direccin estratgica de TI que afectaran el ambiente de TI de la organizacin.

Planeacin de Auditoria
Los pasos que un auditor de SI podra tomar para lograr una comprensin del negocio incluyen:
Recorrer las instalaciones clave de la organizacin Leer material de antecedentes incluyendo publicaciones de la industria, informes anuales e p informes de anlisis financieros independientes. Revisin de los planes estratgicos a largo plazo Entrevistar a los gerentes claves para entender los problemas del negocio. Revisar los informes anteriores.

2008 Edwin Valencia Castillo

Monday, October 06, 2008

2008 Edwin Valencia Castillo

10

Monday, October 06, 2008

Efecto de las leyes y regulaciones en la planificacin


Toda organizacin cumple con requerimientos gubernamentales y externos relacionados con:
Practicas y controles de sistemas Manera como se almacenan y usan las Computadoras programas y datos Computadoras, datos.

Planeacin de auditoria cont.


Pasos para la planeacin de auditoria:
Lograr un entendimiento de la misin, objetivos, propsito y procesos el negocio. Identificar polticas, estndares y directrices, procedimientos y estructura de la organizacin. Realizar R li un anlisis li i d de riesgo i Llevar a cabo una revisin del control interno Establecer el alcance y los objetivos de la auditoria. Desarrollar el enfoque o estrategia de auditoria Asignar recursos humanos y dirigir la logstica.
2008 Edwin Valencia Castillo

Ej. La comisin de ttulos valores y de bolsa de EEUU ha ordenado el uso de una estructura de control interno conocida como sarbanes-Oxley. Ej. El impacto de la SBS como organismo regulador en las entidades financieras
2008 Edwin Valencia Castillo

11

Monday, October 06, 2008

12

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

Efecto de las leyes y regulaciones en la planificacion


Toda organizacin cumple con requerimientos gubernamentales y externos relacionados con:
Practicas y controles de sistemas Manera como se almacenan y usan las Computadoras programas y datos Computadoras, datos.

LECCION: ESTANDARES Y DIRECTRICES ISACA


Cdigo de tica profesional de ISACA Estndares de ISACA para la auditoria de SI. Directrices de ISACA para auditoria de SI para auditoria de Procedimientos de ISACA p SI. Relacin entre estndares, directrices y procedimientos

Ej. La comisin de ttulos valores y de bolsa de EEUU ha ordenado el uso de una estructura de control interno conocida como sarbanes-Oxley.

2008 Edwin Valencia Castillo

13

Monday, October 06, 2008

2008 Edwin Valencia Castillo

14

Monday, October 06, 2008

Cdigo de tica profesional de ISACA


Los miembros y profesionales certificados de ISACA debern:
Implementar y fomentar normas, procedimientos y controles apropiados a los SI. Ejecutar sus labores con objetividad, diligencia y cuidado profesional de acuerdo a normas y mejores practicas. Servir al inters de los stakeholders en forma legal y honesta. Mantener la privacidad y confidencialidad de la informacin (no usarla para beneficio personal o de terceros) Mantener competencia Revelar los hechos significativos a travs de informes. Apoyar la educacin profesional de los accionistas para mejorar la comprensin sobre la seguridad y control de SI.

Estndares de ISACA para auditoria de SI


Los estndares definen los requerimientos obligatorios para la auditoria y para los informes de auditoria de SI. Las directrices brindan una gua para aplicar los estndares de auditoria de SI, permiten determinar como implementar los estndares. Los procedimientos, que brindan informacin sobre como se debe cumplir los estndares cuando se realiza un trabajo de auditoria de SI.
2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

15

Monday, October 06, 2008

16

Monday, October 06, 2008

Estndares de ISACA para auditoria de SI cont.


Los estandares de auditoria de SI son:
S1. Estatuto de auditoria El proposito, responsabilidad, autoridad y obligacion de rendir cuentas deben estar debidamente documentados. S2. Independencia Profesional: Indenpendencia del auditado, tanto en actitud como en apariencia. Organizacional: Indenpendencia del area o actividad que se realiza.
2008 Edwin Valencia Castillo

Estndares de ISACA para auditoria de SI cont.


S3. tica y estndares profesionales
Acatar un cdigo de tica profesional Ejercer cuidado profesional usando estndares.

S4. Competencia profesional


Profesional competente, con conocimientos y habilidades para realizar un trabajo. Educacin Ed i y capacitacin it i profesional f i l continua. ti

S5. Planeacin
Planear el alcance de auditoria Desarrollar y documentar el enfoque de auditoria basada en riesgos. Desarrollar y documentar el plan de auditoria, detallando la naturaleza, objetivos, tiempo, alcance y recursos requeridos. Desarrollar el programa y los procedimientos de auditoria.
2008 Edwin Valencia Castillo

17

Monday, October 06, 2008

18

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

Estndares de ISACA para auditoria de SI cont.


S6. Ejecucin del trabajo de auditoria
Supervisin, para proveer certeza razonable que los objetivos sern alcanzados Evidencia, obtener evidencia suficiente, confiable y relevante. Los hallazgos y conclusiones se respaldan en el anlisis e interpretacin de las evidencias. Documentacin, del proceso de auditoria, describiendo el trabajo y evidencia de auditoria que respalde los hallazgos y conclusiones conclusiones.

Estndares de ISACA para auditoria de SI cont.


S8. Actividades de seguimiento
Luego de informar, solicitar y evaluar la informacin relevante para determinar si la direccin se ha tomado acciones apropiadas de manera oportuna.

S9. Irregularidades y actos ilcitos


Mantener una actitud de escepticismo profesional durante la auditoria. El auditor debe tener un conocimiento claro de la organizacin, ambiente y controles internos. Obtener evidencia suficiente y relevante para determinar si la direccin o alguien mas en la organizacin tiene conocimiento de alguna irregularidad o acto ilcito real, sospechoso o presunto. Comunicar oportunamente de detectarse irregularidades o actos ilcitos Tomar conocimiento de cualquier presuncin o sospecha informados por empleados, ex-empleados, reguladores u otros. Documentar comunicaciones, planeacin, resultados, evaluaciones y conclusiones relacionadas con irregularidades materiales y actos ilcitos reportados.
2008 Edwin Valencia Castillo

S7. Informe
Proveer un informe en un formato apropiado. Debera identificar la organizacin, los destinatarios y restricciones sobre su publicacin. Debe establecer el alcance, objetivos, periodo cubierto y naturaleza, tiempo y extensin del trabajo de auditoria. Debe establecer hallazgos, conclusiones y recomendaciones; y cualquier reserva, restriccin o limitacin en el alcance. Tener evidencia suficiente y apropiada para respaldar los resultados. Debe estar firmado, fechado y distribuido
2008 Edwin Valencia Castillo

19

Monday, October 06, 2008

20

Monday, October 06, 2008

Estndares de ISACA para auditoria de SI cont.


S10. Gobierno de TI
Evaluar si la funcin de SI esta alineada a la visin, misin, valores, objetivos y estrategias de la organizacin. Revisar y evaluar la efectividad en los procesos de administracin de recursos de SI y de desempeo. Revisar y evaluar el cumplimiento de requerimientos legales, ambientales, de calidad de informacin, fiduciarios y de seguridad. Usar un enfoque basado en riesgos riesgos. Revisar y evaluar el ambiente de control de la organizacin. Revisar y evaluar los riesgos que puedan impactar negativamente ene el ambiente de SI.

Directrices de ISACA para auditoria de SI


El objetivo de las directrices es proveer informacin adicional sobre como cumplir con los estndares para la auditoria de SI. El auditor:
Debe considerarlos para determinar como implementar los estndares citados citados. Usar el juicio profesional para aplicarlos y Poder justificar cualquier desviacin o diferencia.
Ver ndice de directrices.

S11. Uso de la evaluacin de riesgos en la planeacin de auditoria Usar una tcnica o enfoque apropiado de evaluacin de riesgos al desarrollar el plan de auditoria y determinar las prioridades para la asignacin efectiva de recursos de auditoria. Identificar y evaluar los riesgos relevantes para el rea bajo revisin.
2008 Edwin Valencia Castillo

21

Monday, October 06, 2008

2008 Edwin Valencia Castillo

22

Monday, October 06, 2008

Directrices de ISACA para auditoria de SI cont.


ndice de directrices
G1. Uso del trabajo de otros auditores. G2. Requisito de evidencia de auditoria G3. Uso de CAATs G4. Servicio externo de actividades de SI para otras organizaciones G5. Estatuto de auditoria G6. Conceptos de materialidad para la auditoria de SI G7. Debido cuidado profesional G8. Documentacin de la auditoria G9. Consideraciones de auditoria en casos de irregularidades G10. Muestreo de auditoria G11. Efecto de los controles generales de SI G12. Relacin e independencia organizacional G13. Uso de la evaluacin de riesgos en la planeacin de la auditoria. G14. Revisin de los sistemas de aplicacin G15. Planeacin revisada
23

Procedimientos de ISACA para auditoria de SI


Los procedimientos proveen ejemplos de procesos que un auditor puede seguir en su trabajo. Los documentos de procedimientos proveen informacin sobre como satisfacer los estndares al realizar un trabajo de auditoria. No establecen requerimientos. No es obligatorio seguir estos procedimientos, pero al seguirlos se tiene la certeza de seguir estndares

G16. Efecto de terceros en los controles de TI. G17. Efecto de funciones ajenas a la auditoria sobre la independencia del auditor G18. Gobierno de TI G19. Irregularidades y actos ilegales G20. Informes G21. Revisin de sistemas de planeacin de recursos empresariales G22. Revisin del comercio electrnico G23. Revisin del ciclo de vida de desarrollo de sistemas. G24. Banca por internet G25. Revisin de VPNs G26. Revisin de proyectos de Reingeniera de procesos de negocio G27. Computacin mvil G28. Anlisis forense computacional G29. Revisin post- implementacin G30 Competencia G31. Privacidad G32. Revisin del Plan de continuidad de negocio
Monday, October 06, 2008

2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

24

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

Procedimientos de ISACA para auditoria de SI - cont


ndice de procedimientos
P1. Evaluacin de riesgos de SI P2. Firmas digitales P3. Deteccin de intrusos g maliciosos P4. Virus y otros cdigos P5. Autoevaluacin de control de riesgos P6. Firewalls P7. Irregularidades y actos ilegales P8. Evaluacin de la seguridad P9. Evaluacin de los controles de la direccin sobre las metodologas de encripcin
2008 Edwin Valencia Castillo

Relacin entre estndares, directrices y procedimientos


Los estndares deben ser cumplidos por el auditor de SI. Las directrices proveen una gua sobre como implementar los estndares. Los procedimientos proveen ejemplos de pasos que puede d realizar li el l auditor dit para implementar los estndares. El auditor debe usar su juicio profesional cuando use las directrices y procedimientos.
Ver texto completo
2008 Edwin Valencia Castillo

25

Monday, October 06, 2008

26

Monday, October 06, 2008

LECCION: ANALISIS DE RIESGOS


El anlisis del riesgo es parte de la planificacin de auditoria y ayuda a identificar los riesgos y vulnerabilidades para que el auditor pueda determinar los controles que se necesitan para mitigar esos riesgos. DEFINICION: Un riesgo es cualquier evento que afecte de manera negativa el logro de los objetivos del negocio. Segn las directrices para la Administracin de la Seguridad de TI publicados por la ISO, la definicin de anlisis de riesgo es: El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione prdida o dao a los activos. El impacto o severidad relativos del riesgo es proporcional al valor de la perdida/dao y la frecuencia estimada de la amenaza para el negocio
2008 Edwin Valencia Castillo

ELEMENTOS DEL RIESGO


Amenazas a, y vulnerabilidades de, los procesos y/o activos (incluyendo los activos fsicos como de informacin) Impacto sobre los activos basados en las amenazas y las vulnerabilidades Probabilidades de amenazas (combinacin de la probabilidad b bilid d y la l frecuencia f i de d que ocurran) )
La naturaleza de las amenazas pueden ser financiera, reguladora u operacional y puede surgir como resultado de la interaccin del negocio con su ambiento o como resultado de las estrategias, sistemas y tecnologa particular, procesos, procedimientos e informacin usada por el negocio.
2008 Edwin Valencia Castillo

27

Monday, October 06, 2008

28

Monday, October 06, 2008

PROCESO DE ADMINISTRACION DE RIESGOS


Identificar los objetivos del negocio, activos de informacin, y los sistemas o recursos de informacin que generan/almacenan, usan o manipulan los activos clave (hw, sw, DB, redes, instalaciones, personas, etc). Evaluacin de riesgos para identificar los riesgos, determinar la probabilidad de ocurrencia, y el impacto resultante y las medidas adicionales que mitigaran este impacto a un nivel aceptable de direccin. t ga riesgos, esgos, identificando de t ca do co controles t o es pa para a mitigar t ga los os riesgos esgos Mitigar identificados. Son contramedidas que buscan prevenir o reducir la probabilidad de ocurrencia de un evento del riesgo, detectar la ocurrencia del mismo, minimizar el impacto o transferir el riesgo a otra organizacin. Evaluar las contramedidas a travs de un anlisis costo/beneficio Monitorear los niveles de desempeo de los riesgos administrados, cuando hay cambios significativos, implica (evaluacin de riesgos, mitigacin de riesgos y reevaluacion de riesgos), lo que se busca es determinar si los riesgos se estn mitigando a un nivel aceptable para la organizacin.
2008 Edwin Valencia Castillo

PROPOSITO DEL ANALISIS DE RIESGO


Apoya al auditor en:
La identificacin de riesgos y amenazas. La seleccin de ciertas reas para examinar. Su evaluacin de los controles durante la planeacin de auditoria. Determinar los objetivos de la auditoria. Dar soporte a la auditoria basada en riesgos.

29

Monday, October 06, 2008

2008 Edwin Valencia Castillo

30

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

LECCION: CONTROLES INTERNOS


Las polticas, procedimientos, practicas y estructuras organizacionales implementadas para reducir riesgos son referidas como controles internos. Los controles internos son desarrollados para proveer una garanta razonable de que los objetivos del negocio de la organizacin sern alcanzados y que los eventos de riesgo no deseados sern evitados o detectados y corregidos.

CLASIFICACION DE LOS CONTROLES


CLASE PREVENTIVOS FUNCION oDetectar problemas antes de que surjan. oMonitorear tanto las operaciones como el ingreso de datos. oTratar de predecir los problemas potenciales antes de que estos ocurran y hacer ajustes. oImpedir que ocurra un error, una omisin o un acto malicioso. EJEMPLOS oEmplear solo personal calificado. oSegregar las tareas (factor disuasivo) oControlar el acceso fsico a las instalaciones. oUsar documentos bien diseados (prevenir errores) oEstablecer procedimientos adecuados para autorizar transacciones. o Completar las validaciones de edicin programadas. oUsar software de control de acceso que permita que solo el personal autorizado tenga acceso a los archivos sensitivos.
Monday, October 06, 2008

2008 Edwin Valencia Castillo

31

Monday, October 06, 2008

2008 Edwin Valencia Castillo

32

CLASIFICACION DE LOS CONTROLES


CLASE DE DETECCION FUNCION Controles que detectan y reporten que ha ocurrido un error, una omisin o un acto malicioso. EJEMPLOS o Totales brutos. o Puntos de verificacin en los trabajos de produccin. o Controles de eco en las telecomunicaciones. o Mensajes de error en las etiquetas de la cinta. o Verificacin doble de los clculos. o Realizacin peridica de reportes con variaciones. o Reportes de cuentas vencidas. o Funciones de auditoria interna. o Revisin de registros de actividad para detectar intentos de acceso no autorizado
Monday, October 06, 2008

CLASIFICACION DE LOS CONTROLES


CLASE CORRECTIVOS FUNCION o Minimizar el impacto de una amenaza. o Remediar problemas descubiertos por los controles de deteccin. o Identificar la causa de un problema. bl o Corregir los errores que surjan de un problema. o Modificar el o los sistemas de procesamiento para minimizar que el problema ocurra en el futuro. EJEMPLOS o Planeacin de contingencias. o Procedimientos de copias de seguridad o Procedimientos de nueva ejecucin de programa

2008 Edwin Valencia Castillo

33

2008 Edwin Valencia Castillo

34

Monday, October 06, 2008

OBJETIVOS DE CONTROL INTERNO


Son declaraciones del resultado deseado o del propsito a ser alcanzado implementando procedimientos de control en una actividad en particular. Control es el medio por el cual se alcanzan los objetivos de control. Los objetivos de control incluyen:
Salvaguarda de los activos de tecnologa de informacin. Cumplimiento con las polticas corporativas o requisitos legales. Autorizacin / entrada Exactitud e integridad del procesamiento de transacciones. Salida Confiabilidad de proceso Respaldo / recuperacin Eficiencia y economa de las operaciones. Proceso de administracin de cambios para TI y SI relacionados
35
Monday, October 06, 2008

OBJETIVOS DE CONTROL DE SI
Los objetivos de control interno se aplican a todas las reas, ya sean manuales o automatizadas. Los objetivos de control de SI incluyen:
Salvaguardar activos. Garantizar la integridad de los sistemas operativos generales que incluye administracin y operaciones de red. Garantizar la integridad de los ambientes de sistemas de aplicacin sensitivos y crticos, crticos incluyendo informacin contable / financiera y administrativa, a travs de : Autorizacin para el ingreso de datos, exactitud e integridad del procesamiento de transacciones as como de la informacin de salida , e integridad de la base de datos Asegurar la eficiencia y eficacia de las operaciones Cumplimiento con los requerimientos de usuario, polticas y procedimientos organizacionales y leyes y reglamentaciones. Desarrollo de planes de continuidad del negocio y recuperacin de desastres. Desarrollo de un plan de manejo y respuesta a incidentes.
2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

36

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

COBIT
Framework formado por: 34 procesos agrupados en 4 dominios

PROCEDIMIENTOS DE CONTROL GENERAL


Los controles incluyen polticas, procedimientos y practicas (tareas y actividades) establecidos por la gerencia, Los controles generales se aplican a todas las reas de la organizacin, estos incluyen:
Controles internos contables, referidos a la salvaguarda de los activos y la fiabilidad de los registros financieros. Controles operativos Controles administrativos Polticas y procedimientos organizacionales de seguridad lgica para asegurar la debida autorizacin de las transacciones y actividades. Polticas generales para el diseo y uso de documentos y registros adecuados para ayudar a asegurar el debido registro de as transacciones pista de auditoria transaccional. Procedimientos y funciones para asegurar las salvaguardas adecuadas sobre el acceso a, y el uso de activos e instalaciones. Polticas de seguridad fsica para todos los centros de datos.
37
Monday, October 06, 2008 2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

38

Monday, October 06, 2008

PROCEDIMIENTOS DE CONTROL DE LOS SI


Cada procedimiento de control general puede ser traducido en un procedimiento especifico. Estos controles incluyen:
Estrategia y direccin Organizacin y administracin general. Acceso a los datos y programas Metodologas de desarrollo de sistemas y control de cambios. cambios Operaciones de procesamiento de datos. Programacin de sistemas y funciones de apoyo tcnico. Procedimientos de garanta de calidad de procesamiento de datos. Controles fsicos de acceso Planificacin de continuidad / recuperacin de desastre del negocio Redes y comunicaciones. Administracin de base de datos
39
Monday, October 06, 2008

LECCION: EJECUCION DE UNA AUDITORIA DE SI


La auditoria puede definirse como un proceso sistemtico por el cual una persona competente, independiente obtiene y evala objetivamente evidencias respecto a afirmaciones sobre una entidad econmica o un caso con el fin de formarse una opinin sobre ello e informar sobre el grado en que dicha afirmacin se ajusta a un conjunto determinado de estndares. La auditoria de SI puede definirse como cualquier auditoria que abarca la revisin y evaluacin (parcial o total) de los sistemas automatizados de procesamiento de informacin, procesos relacionados no automatizados y las interfaces entre ellos. El proceso de auditoria requiere que el auditor de SI rena evidencias, evalu los puntos fuertes y dbiles de los controles basndose en las evidencias reunidas y prepare un informe de auditoria que presente a la gerencia dichos tpicos en una forma objetiva
2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

40

Monday, October 06, 2008

CLASIFICACION DE LAS AUDITORIAS


AUDITORIA FINANCIERA: Su propsito es determinar la exactitud de los estados financieros. Normalmente implica pruebas sustantivas detalladas. Se relaciona con la integridad y confiabilidad de la informacin. AUDITORIA OPERATIVA: Esta diseada para evaluar la estructura de control interno en un proceso o rea determinada. Ej:
Auditoria de SI de controles de aplicacin Auditoria de sistemas de seguridad lgica.

CLASIFICACION DE LAS AUDITORIAS


AUDITORIA INTEGRADA: Combina pasos de auditoria financiera y operativa. Tambin se realiza para evaluar objetivos generales dentro de una organizacin, relacionados con la informacin financiera y la salvaguarda g de activos, la eficiencia y el cumplimiento. Incluyen pruebas de cumplimiento a los controles internos as como pruebas sustantivas. AUDITORIA ADMINISTRATIVA: Orientadas a evaluar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organizacin.
2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

41

Monday, October 06, 2008

42

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

CLASIFICACION DE LAS AUDITORIAS


AUDITORIA DE SI: Este proceso recolecta y evala la evidencia para determinar si los SI y los recursos relacionados:
Protegen adecuadamente los activos Mantienen la integridad de los datos y del sistema Proveen informacin relevante y confiable. Logran de forma efectiva la metas organizacionales Usan eficientemente los recursos y tienen en efecto controles internos que proveen una certeza razonable que los objetivos de negocio, operacionales y de control sern alcanzados y que los eventos no deseados sern prevenidos o detectados y corregidos de forma oportuna.
2008 Edwin Valencia Castillo

CLASIFICACION DE LAS AUDITORIAS


AUDITORIA ESPECIALIZADA: Existen un numero de revisiones especializadas que examinan reas tales como los servicios realizados por terceros y la auditoria forense.
En vista que los negocios dependen cada vez mas de servicios prestados por terceros, es importante que se evale los controles internos de estos ambientes ambientes. Es estndar conocido para evaluar los controles internos de una organizacin de servicios es el SAS 70, titulado Informes sobre el procesamiento de transacciones por organizaciones de servicio desarrollado por el Instituto Americano de Contadores Pblicos Certificados AICPA.

43

Monday, October 06, 2008

2008 Edwin Valencia Castillo

44

Monday, October 06, 2008

CLASIFICACION DE LAS AUDITORIAS


AUDITORIA FORENSE: Tradicionalmente ha sido definida como una auditoria especializada en descubrir, revelar y dar seguimiento a fraudes y crmenes.
El propsito primario era el desarrollo de evidencia para ser revisado por autoridades policiales y judiciales. Recientemente el p profesional forense es llamado p para p participar p en investigaciones relacionadas con fraude corporativo y crimen ciberntico. Una investigacin forense de computadora incluye el anlisis de dispositivos electrnicos, tales como computadoras, telfonos, PDAs, discos, switches, routers, hubs etc. El auditor de SI que posea habilidades necesarias puede asistir al gerente de seguridad de la informacin en la realizacin de investigaciones forenses y llevar a cabo auditorias para asegurar que se cumplan los procedimientos de recoleccin de evidencia para la investigacin forense.
2008 Edwin Valencia Castillo

PROGRAMAS DE AUDITORIA
Se basan en el alcance y objetivo de la asignacin en particular. Los auditores de SI evalan a menudo las funciones y los sistemas de TI desde perspectivas diferentes como: Seguridad (confidencialidad, integridad y disponibilidad) Calidad (efectividad y eficiencia) Fiduciaria Fid i i ( (cumplimiento, li i t confiabilidad) fi bilid d) Servicio Capacidad Programa de trabajo de auditoria es la estrategia y el plan de auditoria identifica el alcance, objetivos y procedimientos de auditoria para lograr evidencia suficiente y competente para obtener y sustentar las conclusiones y opiniones de auditoria.
2008 Edwin Valencia Castillo

45

Monday, October 06, 2008

46

Monday, October 06, 2008

PROGRAMAS DE AUDITORIA
Los procedimientos generales de auditoria son los pasos bsicos en la ejecucin de una auditoria y generalmente incluyen:
Obtencin y documentacin del conocimiento sobre el rea/objeto de la auditoria. Evaluacin de riesgos y planeacin general de la auditoria y cronograma Planeacin detallada de auditoria Revisin preliminar del rea/objeto de la auditoria. Evaluacin del rea/objeto de la auditoria Verificacin del diseo de controles Pruebas de cumplimiento Pruebas sustantivas Informe Seguimiento
2008 Edwin Valencia Castillo

PROGRAMAS DE AUDITORIA
El auditor de SI debe entender los procedimientos par la prueba y evaluacin de los controles de SI, estos pueden incluir:
Uso de SW generalizado de auditoria para examinar el contenido de archivos de datos (incluyendo logs del sistema) Uso de SW especializado para evaluar el contenido de archivos de parmetros del sistema operativo (o detectar deficiencias en el establecimiento de parmetros del sistema) Tcnicas de elaboracin de diagramas de flujo para la documentacin de aplicaciones automatizadas y del proceso del negocio. Uso de registros/reportes de auditoria disponibles en los sistemas operativos / de aplicacin Revisin de la documentacin y Observacin

El auditor de SI debe tener un entendimiento suficiente de estos procedimientos que le permita planear pruebas apropiadas de auditoria.
2008 Edwin Valencia Castillo

47

Monday, October 06, 2008

48

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

METODOLOGIA DE AUDITORIA
Es un conjunto de procedimientos documentados de auditoria diseados para alcanzar los objetivos de auditoria que se planificaron. Sus componentes son:
Declaracin D l i d del l alcance l Declaracin de los objetivos de auditoria Declaracin de los programas de trabajo

FASES DE UNA AUDITORIA TIPICA


SUJETO DE LA AUDITORIA OBJETIVO DE LA AUDITORIA Identificar el rea que ser auditada. Identificar el propsito de la auditoria. Ejemplo (un objetivo podra ser determinar que los cambios de cdigo de fuente de programa ocurren en un ambiente bien definido y controlado)

La metodologa de auditoria debe ser establecida y aprobada por la gerencia de auditoria para lograr consistencia en el enfoque de auditoria.
2008 Edwin Valencia Castillo

ALCANCE DE LA Identificar los sistemas especficos, la AUDITORIA funcin o unidad de la organizacin a ser incluida en la revisin. Ejemplo, del ejemplo anterior se puede afirmar que el alcance podra limitar a la revisin a un solo sistema de aplicacin o a un periodo de tiempo limitado
2008 Edwin Valencia Castillo

49

Monday, October 06, 2008

50

Monday, October 06, 2008

PLANIFICACION DE AUDITORIA

Identificar las habilidades y recursos tcnicos que se necesitan. Identificar las fuentes de informacin para probarlas o revisarlas como cuadros funcionales de flujo, polticas, estndares, procedimientos y documentos de trabajo preliminares de auditoria. Identificar las ubicaciones o las instalaciones que sern auditadas dit d Identificar y seleccionar el mtodo de auditoria para verificar y probar los controles. Identificar una lista de personas para entrevistar. Identificar y obtener polticas, estndares y directrices de los departamentos para su revisin. Desarrollar instrumentos y metodologa de auditoria para comprobar y verificar el control
51
Monday, October 06, 2008

PROCEDIMIENTO S PARA EVALUAR LA PRUEBA O REVISAR LOS RESULTADOS PROCEDIMIENTO S PARA COMUNICARSE CON LA GERENCIA ELABORACION DEL INFORME DE AUDITORIA

Especifica a la organizacin

Especifica a la organizacin

PROCEDIMIENTO S DE AUDITORIA Y PASOS PARA LA RECOLECCION DE DATOS

Identificar los procedimientos de revisin del seguimiento. Identificar los procedimientos para evaluar / comprobar la eficiencia y la eficacia operacional. Identificar los procedimientos para comprobar los controles. Revisar y evaluar la correccin de los documentos, las polticas y los procedimientos.
52
Monday, October 06, 2008

2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

FASES DE UNA AUDITORIA TIPICA


Un programa no sigue necesariamente un conjunto especifico de pasos, el auditor de SI generalmente seguira pasos secuenciales del programa para obtener un entendimiento de la entidad que se esta auditando, evaluar la estructura de control y probar los controles. Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de auditoria debern estar debidamente documentados en papeles de trabajo trabajo. Su formato y medios son opcionales, pero la debida diligencia y mejores practicas requieren que los documentos de trabajo estn fechados, inicializados, con paginas numeradas, sean relevantes, completos, claros, auto-explicativos y debidamente etiquetados, archivados y mantenidos en custodia. Los papeles de trabajo se pueden considerar los puentes entre los objetivos y el informe final de auditoria.
2008 Edwin Valencia Castillo

DETECCION DE FRAUDES
Los auditores de SI deben tener conocimiento sobre fraudes e indicadores de fraude, y durante la ejecucin de un trabajo de auditoria, estar alertas a la posibilidad de fraudes y errores. La direccin debe asegurarse por medio de los auditores de SI, sobre el estado de los controles internos y su capacidad para disuadir y detectar fraudes y recomendaciones para mejorar el control interno. Cuando se encuentre con cualquier instancia de fraude o indicador de fraude, hay que comunicar a las autoridades competentes a fin de realizar una investigacin mas detallada.
2008 Edwin Valencia Castillo

53

Monday, October 06, 2008

54

Monday, October 06, 2008

2008 Edwin Valencia Castillo

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

RIESGO DE AUDITORIA Y MATERIALIDAD


Cada vez ms, organizaciones estn pasndose a un mtodo de auditoria basado en riesgo que usualmente esta adaptado para desarrollar y mejorar de manera continua el proceso de auditoria. El riesgo de auditoria puede ser definido como el riesgo de que la informacin / informe financiero pueda contener errores materiales que pueden pasar sin ser detectados durante el curso de auditoria.

RIESGO DE AUDITORIA Y MATERIALIDAD


La tendencia actual es a usar un mtodo basado en riesgos. Este mtodo se usa para evaluar riesgos y para apoyar la decisin del auditor para realizar pruebas de cumplimiento o pruebas sustantivas. Este mtodo apoya a determinar la naturaleza y l extensin la t i d de l las pruebas, b adems d d de determinar que prueba realizar (cumplimiento o sustantiva) En un enfoque basado en riesgos, no solo se debe basar en el riesgo, sino tambin en los controles internos y operativos y los conocimientos de la empresa.
2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

55

Monday, October 06, 2008

56

Monday, October 06, 2008

RIESGO DE AUDITORIA Y MATERIALIDAD


RIESGO INHERENTE: El riesgo de que exista un error que podra ser material o significativo cuando esta combinando con otros errores encontrados durante la auditoria suponiendo que no hay controles compensatorios p relacionados. Existen independientemente de una auditoria y pueden ocurrir debido a la naturaleza del negocio. RIESGO DE CONTROL: El riesgo de que exista un error material que no sea prevenido ni detectado oportunamente por el sistema de controles internos.
2008 Edwin Valencia Castillo

RIESGO DE AUDITORIA Y MATERIALIDAD


RIESGO DE DETECCION: El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que no existen errores materiales cuando en realidad existen. RIESGO GENERAL DE AUDITORIA: El riesgo total de auditoria es la combinacin de las categoras individuales de riesgos de auditoria determinados por cada objetivo de control.

57

Monday, October 06, 2008

2008 Edwin Valencia Castillo

58

Monday, October 06, 2008

ENFOQUE DE AUDITORIA BASADA EN RIESGOS


REUNIR INFORMACION Y PLANIFICAR 1. Conocimiento del Negocio y de la industria 4. Leyes regulatorias 2. Resultados de auditoria del periodo anterior 5. Estimacin de riesgos inherentes 3. Informacin financiera reciente

PRUBAS DE CUMPLIMIENTO VS PRUEBAS SUSTANTIVAS Las pruebas de cumplimiento determina si los controles estn siendo aplicados en una forma que cumple con las polticas y los procedimientos de la gerencia. (Ejemplo: verificar que los controles de librera de programas estn funcionando correctamente, escogiendo una muestra de p programas g para determinar si las p versiones fuente y objeto son las mismas) El objetivo de cualquier prueba de cumplimiento es por lo tanto proveer a los auditores la garanta razonable de que un control en particular este operando como se percibi en la evaluacin preliminar.

LOGRAR ENTENDER EL CONTROL INTERNO 1. Ambiente de control 4. Determinacin del control del riesgo 2. Procedimientos de control 5. Poner en ecuacin el riesgo total 3. Determinacin de la deteccin del riesgo

EFECTUAR PRUEBAS DE CUMPLIMIENTO 1. Comprobar las polticas y procedimientos 2. Comprobar la segregacin de tareas.

EFECTUAR PRUEBAS SUSTANTIVAS 1. Procedimientos analticos 3. Otros procedimientos sustantivos de 2. Pruebas detalladas de balances de cuentas auditoria.

1. Crear recomendaciones
2008 Edwin Valencia Castillo

CONCLUIR LA AUDITORIA 2. Redactar el informe de auditoria.


59
Monday, October 06, 2008 2008 Edwin Valencia Castillo

60

Monday, October 06, 2008

2008 Edwin Valencia Castillo

10

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

PRUBAS DE CUMPLIMIENTO VS PRUEBAS SUSTANTIVAS

EN CONCLUSION
Hay una correlacin directa entre el nivel de los controles internos y la cantidad de pruebas sustantivas que se requieren. Si los resultados de los controles de comprobacin (pruebas de cumplimiento) revelaran la presencia de controles internos adecuados, entonces, el auditor de SI tiene una j justificacin p para minimizar los procedimientos sustantivos. De manera inversa, si la prueba de control revelara que hay varios puntos dbiles en los controles que podran generar dudas sobre la integridad, exactitud o validez de las cuentas, una prueba sustantiva puede aliviar estas dudas.

La prueba sustantiva fundamenta la integridad de un procesamiento real. Provee evidencias de la validez y de la correccin de los balances de los estados financieros y las transacciones que respaldan p estos balances. Estas p pruebas se usan para comprobar si hay errores monetarios que afectan directamente los balances de los estados financieros.

2008 Edwin Valencia Castillo

61

Monday, October 06, 2008

2008 Edwin Valencia Castillo

62

Monday, October 06, 2008

RELACION ENTRE PRUEBAS DE CUMPLIMIENTO Y PRUEBAS SUSTANTIVAS

EVIDENCIA
La evidencia es cualquier informacin usada por el auditor de SI para determinar si la entidad o los datos que estn siendo auditados cumplen con los criterios u objetivos de auditoria establecidos. Es un requisito que las conclusiones del auditor deben estar basadas en evidencia suficiente, relevante y competente.. La evidencia de auditoria puede incluir observaciones, notas tomadas de las entrevistas, material extrado de la correspondencia y documentacin interna o los resultados de procedimientos de prueba de auditoria.
2008 Edwin Valencia Castillo

Revisin del Sistema para identificar los controles

Pruebas de cumplimiento para determinar si los controles estn funcionando

Evaluacin de los controles para determinar la base en la cual basarse y la naturaleza, el alcance y la sincronizacin de las pruebas sustantivas

Dos tipos de pruebas sustantivas para evaluar la validez de los datos

Pruebas de los balances y transacciones

Procedimientos analticos de revisin

2008 Edwin Valencia Castillo

63

Monday, October 06, 2008

64

Monday, October 06, 2008

DETERMINANTES PARA EVALUAR LA CONFIABILIDAD DE LAS EVIDENCIAS DE AUDITORIA


Independencia del proveedor de la evidencia: La evidencia obtenida de fuentes externas es mas confiable que la obtenida dentro de la organizacin. Calificacin de la persona que suministra la informacin o evidencia. Objetividad de la evidencia: La evidencia objetiva es mas confiable que la que requiere opinin o interpretacin considerable. Tiempo de disponibilidad de la evidencia: Se debe considerar el tiempo durante el cual la informacin existe o esta disponible para determinar la naturaleza, el tiempo y el grado de prueba sustantiva y su fuera aplicable la prueba de cumplimiento.

TECNICAS DE RECOLECCION DE EVIDENCIAS


Revisar las estructuras de la Organizacin de los Sistemas de Informacin. Revisar las polticas, procedimientos y estndares de SI. Revisar los estndares de documentacin de los sistemas de Informacin, como:
Documentos que inician el desarrollo de sistemas Requerimientos funcionales y especficos Planes e informes de pruebas Programa y documentos de operaciones Registro e historial de cambio a programas Manuales de usuario Manuales de operaciones Documentos relacionados con la seguridad Informes de garanta de calidad

Entrevistar al personal apropiado Observar los procesos y el desempeo de los empleados.


2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

65

Monday, October 06, 2008

66

Monday, October 06, 2008

2008 Edwin Valencia Castillo

11

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

ENTREVISTAS Y OBSERVACION
La observacin al personal en el desempeo de sus funciones ayuda a identificar:
Funciones reales Procesos / procedimientos reales Concientizacin sobre seguridad Lneas de reporte

MUESTREO
Es usado cuando las consideraciones de tiempo y de costo impiden una verificacin total de todas las transacciones o hechos en una poblacin definida previamente. Los dos mtodos generales de muestreo de auditoria son:
El mtodo d estadstico: d i S decide Se d id cuantitativamente i i el l grado de aproximacin con que la muestra debe representar a la poblacin. El mtodo no estadstico: Se usa el juicio del auditor para determinar el mtodo de muestreo, el numero de cosas que sern examinadas. Se basan en el criterio subjetivo respecto a cuales cosas/transacciones son mas importantes y las de mas riesgo.
Monday, October 06, 2008 2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

67

68

Monday, October 06, 2008

MUESTREO
Dentro de estos dos mtodos generales para muestreo de auditoria, hay dos mtodos primarios de muestreo usados por los auditores:
Muestreo de atributos: Referido a tres tipos de muestreo proporcional. Muestreo de Atributos: Muestreo para estimar la t tasa de d ocurrencia i d de un atributo t ib t especifico ifi en una poblacin. Muestreo parar y seguir: Usado cuando el auditor cree que se encontraran relativamente pocos errores en una poblacin. Muestreo de descubrimiento: Usado cuando el objetivo de auditoria es descubrir un fraude, la violacin de una reglamentacin u otra irregularidad
2008 Edwin Valencia Castillo

Muestreo de variables: referido a modelos cuantitativos:


Media estratificada por unidad: Usado para producir un tamao total mas pequeo de muestra, en comparacin con una muestra no estratificada por unidad. Media no estratificada por unidad: Modelo estadstico por el cual se calcula una media del modelo y se proyecta como un total estimado. Estimacin por diferencia: Usado para estimar la diferencia total entre los valores auditados y los valores en libros, basada en las diferencias obtenidas a partir de observaciones de las muestras. Para realizar un muestreo de atributos o de variables es necesario entender: coeficiente de confianza, nivel de riesgo, precisin, tasa de error esperados, media de muestra, desviacin estndar de la muestra, tasa tolerable de error, desviacin estndar de la poblacin entre otros.
2008 Edwin Valencia Castillo

69

Monday, October 06, 2008

70

Monday, October 06, 2008

PASOS CLAVES PARA LA CONSTRUCCION Y SELECCIN DE UNA MUESTRA PARA UNA PRUEBA DE AUDITORIA

CAATs
Durante la ejecucin de auditoria, se debe obtener evidencias suficientes, relevantes y tiles para lograr los objetivos de la auditoria de manera efectiva. Los hallazgos y conclusiones de la auditoria deben ser soportadas por medio de anlisis e interpretacin apropiada de las evidencias. Los entornos de procesamiento de la informacin en la actualidad plantean un desafo difcil al auditor de SI para recolectar evidencias, relevantes y tiles ya que las evidencias existen en los medios magnticos. Las CAATs son herramientas importantes para el auditor de SI para recolectar informacin de estos entornos. Las CAATs permiten reunir informacin de manera independiente, proveen un medio para ganar acceso y analizar los datos para un objetivo de auditoria determinado previamente y para reportar los hallazgos con nfasis en la fiabilidad de los registros producidos y mantenidos en el sistema.
2008 Edwin Valencia Castillo

1. Determinar los objetivos de la prueba 2. Definir la poblacin a la que se le realizara el muestreo. 3. Determinar el mtodo de muestreo 4. Calcular el tamao de la muestra 5. Seleccionar la muestra 6. Evaluar la muestra a partir de una perspectiva de auditoria.

2008 Edwin Valencia Castillo

71

Monday, October 06, 2008

72

Monday, October 06, 2008

2008 Edwin Valencia Castillo

12

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

CAATs
Los CAATs incluyen muchos tipos de herramientas y de tecnicas, tales como: Software generalizado de auditoria Software utilitario Datos de prueba Software de aplicacin Rastreo R t y mapeo Sistemas expertos El auditor de SI debe tener un entendimiento profundo de las CAATs y saber donde y cuando aplicarlas

VENTAJAS DE LAS CAATs


Nivel reducido de riesgos de auditoria Mayor independencia respecto al auditado Cobertura de auditoria mas amplia y mas consistente. Se puede disponer de la informacin con mas rapidez. Una mejor j identificacin de las excepciones p Mayor flexibilidad de los tiempos de ejecucin de programas. Mas oportunidad para cuantificar los puntos dbiles del control interno. Muestreo mas amplio. Ahorros en los costos con el paso del tiempo.
74
Monday, October 06, 2008

2008 Edwin Valencia Castillo

73

Monday, October 06, 2008

2008 Edwin Valencia Castillo

PONDERAR EL COSTO/BENEFICIO DE LOS CAATs ANTES DE PASAR POR EL ESFUERZO, EL TIEMPO Y EL GASTO DE COMPRARLOS O DESARROLLARLOS

LUEGO..
EVALUAR LAS FORTALEZAS Y DEBILIDADES DE LA AUDITORIA.
JUGAR CON LA MATERIALIDAD DE LOS HALLAZGOS.

CONSIDERAR:
Facilidad de uso, tanto para el personal de auditoria existente como para el futuro personal de auditoria. Requerimientos de entrenamiento Complejidad de la codificacin y del mantenimiento Flexibilidad de uso Requerimientos de instalacin Eficiencias de procesamiento Esfuerzo requerido para llevar los datos de la fuente a los CAATs para su anlisis.

COMUNICAR LOS RESULTADOS DE AUDITORIA ESTRUCTURAR EL INFORME DE AUDITORIA ACCIONES DE LA GERENCIA PARA IMPLEMENTAR LAS RECOMENDACIONES
2008 Edwin Valencia Castillo

2008 Edwin Valencia Castillo

75

Monday, October 06, 2008

76

Monday, October 06, 2008

DOCUMENTACION DE LA AUDITORIA
La planificacin y elaboracin del alcance y de los objetivos de la auditoria. El entorno de los sistemas de informacin El programa de auditoria Los pasos de auditoria efectuados y las evidencias de auditoria reunidas Los hallazgos, conclusiones y recomendaciones de auditoria. Cualquier informe emitido como resultado del trabajo de auditoria. Revisin de supervisin.
2008 Edwin Valencia Castillo

LECCION: AUTOEVALUACION DEL CONTROL (Control Self Assessment) Se define como una tcnica de la direccin que asegura a los accionistas, clientes y otros, que el sistema de control interno del negocio es confiable. Asegura que los empleados estn concientes de los riesgos del negocio y que realicen revisiones proactivas peridicas de los controles controles. Herramientas usadas:
Reuniones de direccin. Talleres de clientes Hojas de trabajo Hojas de clasificacin

77

Monday, October 06, 2008

2008 Edwin Valencia Castillo

78

Monday, October 06, 2008

2008 Edwin Valencia Castillo

13

Seguridad y auditoria de Sistemas

Monday, October 06, 2008

LECCION: AUTOEVALUACION DEL CONTROL (Control Self Assessment)


Beneficios
Deteccin temprana de riesgos Controles internos mas efectivos y mejorados Creacin de equipos cohesivos Mayor conciencia de los empleados Mayor comunicacin entre mandos operativos y alta direccin Empleados altamente motivados Proceso mejorado de calificacin en auditoria Reduccin en el costo de control Mayor seguridad para los accionistas y clientes Seguridad mnima para la alta direccin sobre lo adecuado de los controles internos.

LECCION: AUTOEVALUACION DEL CONTROL (Control Self Assessment)

Enfoque hibrido para CSA


0. Identificar proceso y objetivos

6. Accin e Inform me

1. Identificar y evaluar riesgos

2. Identificar y evaluar controles 3. Desarrollar cuestionario

4. Recolectar y analizar cuestionario


80

2008 Edwin Valencia Castillo

79

Monday, October 06, 2008

2008 Edwin Valencia Castillo

5. Concientizaci n
Monday, October 06, 2008

LECCION: AUTOEVALUACION DEL CONTROL (Control Self Assessment) Desventajas Confusin con la funcin de auditoria. Es una carga de trabajo adicional No implementar las mejoras sugeridas puede daar la moral del empleado. La falta de motivacin puede limitar la efectividad en la direccin de controles dbiles.

LECCION: CAMBIOS EMERGENTES EN EL PROCESO DE AUDITORIA DE SI


El proceso de auditoria debe cambiar constantemente para mantenerse al paso de las innovaciones en la tecnologa.
Papeles de trabajo automatizados: Los equipos de auditoria estn creando sus papeles de trabajo (anlisis de riesgos, programas de auditoria, resultados, evidencia de pruebas, conclusiones, informes entre otros) en formato automatizado, usando SW especializado. p Auditoria Integrada: El enfoque integrado se concentra en el riesgo. Exige un enfoque sobre el riesgo del negocio y una motivacin por lograr soluciones creativas de control. Auditoria continua: Implica evaluacin constante, a travs del uso de procedimientos automatizados de auditoria.

2008 Edwin Valencia Castillo

81

Monday, October 06, 2008

2008 Edwin Valencia Castillo

82

Monday, October 06, 2008

Preguntas???

? ? ?
2008 Edwin Valencia Castillo

? ? ?
83

? ?
Monday, October 06, 2008 2008 Edwin Valencia Castillo

84

Monday, October 06, 2008

2008 Edwin Valencia Castillo

14

Potrebbero piacerti anche