Auditora Informtica

Clase 2

Miguel ngel Barahona M.

Ingeniero Informtico, UTFSM
Magster en Tecnologa y Gestin, UC
Estndares Internacionales

ISACA,Information Systems Audit and Control

Association
Fundado en 1969.
Reconocido como lder mundial en governance,
control y seguridad en Sistemas de Informacin
La misin de ISACA es soportar los objetivos de la
empresa a travs de investigacin, desarrollo,
estndares, competencias y prcticas para un
efectivo governance, control, aseguramiento de la
informacin, sistemas y tecnologa en la empresa.
ISACA

Sus normas de auditora y control de SI son

seguidas por profesionales de todo el mundo
ISACA adems ofrece cuatro certificaciones :
Certified Information Systems Auditor (CISA)
Certified Information Security Manager, (CISM)

Certified in the Governance of Enterprise IT

(CGEIT)
Certified in Risk and Information Systems Control
(CRISC)
Procesos de Auditora en Sistemas de
Informacin
Estndar de Auditora en SI.
Los estndares, guas, y cdigos de tica, son la base de la
actividad de auditora de sistemas.
Los estndares son bastante claros, y describen los
requerimientos bsicos de la auditora de sistemas:
La responsabilidad y autoridad de las funciones de auditora
deben ser apropiadamente documentadas en una carta de
auditora o carta de compromiso.
En todas las materias relacionadas con la auditora, el auditor
debe ser independiente del auditado, en actitud y apariencia.
La funcin de auditora debe ser completamente independiente
del rea a ser auditada, con el objeto de efectuar una auditora
en profundidad.
El auditor debe adherir al cdigo profesional de ISACA
 El auditor debe ser capaz de aplicar con atencin los estndares
de auditora.
El auditor es tcnicamente competente, teniendo habilidades y
conocimientos necesarios para ejecutar las tareas de auditora.
El auditor debe mantener las competencias tcnicas, a travs de
una continua preparacin educacional.
El auditor necesita un plan del trabajo de auditora que lo dirija
hacia el objetivo de esta, cumpliendo los estndares
establecidos.
Durante el curso de la auditora, el auditor rene suficiente
evidencia para cumplir efectivamente los objetivos de la
auditora. Los hallazgos y conclusiones son soportadas por esta
evidencia.
El auditor debe generar un reporte completo con los hallazgos,
conclusiones y recomendaciones con acciones que deben ser
implementadas tempranamente.
Enfoque Basado en Riesgos

El propsito de un auditor es identificar riesgos y asegurar que

los riesgos residuales (que quedan despus de aplicar controles)
son aceptables de administrar.
Todas las actividades presentan riesgos, en algunas ms que en
otras. Es el costo de todo negocio.
Las consecuencias de un riesgo son evaluadas, los riesgos
medidos, y se seleccionan alternativas.
Un auditor debe considerar tres tipos de riesgos cuando planifica
una auditora:
Riesgos Inherentes: La susceptibilidad de un error en un negocio o
proceso, no presente en un control interno. P.e.: Instalar UNIX sin
sus parches de seguridad y conectar servidor en red.
Riesgo de Control: Un control puesto en algn lugar no prevendr,
corregir o detectar un error en sus fases tempranas. Revisin de
Log.
Riesgo de Deteccin: El riesgo de que los procedimientos del auditor
no detecten un error. En este caso el auditor podra necesitar
informacin adicional.
Know Your Business

El
auditor debe conocer el negocio y sus
objetivos. Por ejemplo, debe saber cual
es el estado de negocios similares en el
mundo, cuales son las tendencias
actuales y futuras de los productos o
servicios que provee la compaa, cual
es la cultura organizacional, cual es la
experiencia de los ejecutivos, etc.