Sistemas de Información -M-1
Transcript of Sistemas de Información -M-1
-
7/23/2019 Sistemas de Informacin -M-1
1/141
AUDITORA
DE
SISTEMAS:
EL PROCESO DE AUDITORA DE SISTEMAS DEINFORMACIN
SEMINARIO
GRUPO I - 10 y 11 de febrero de 2015GRUPO II - 12 y 13 de febrero de 2015
1
-
7/23/2019 Sistemas de Informacin -M-1
2/141
INDICE
1. ADMINISTRACINDELAFUNCINDEAUDITORADESI1. OrganizacindelaFuncindeAuditoradeSI
2. AdministracindelosRecursosdeAuditoradeSI
3. PlaneacindelaAuditora
4. EfectodelasLeyesyRegulacionessobrelaPlanificacindeAuditoradeSI
2. ESTNDARESYDIRECTRICESDEISACAPARALAAUDITORADESI
1. Cdigode
tica
Profesional
de
ISACA
2. MarcodeestndaresdeISACAparalaAuditoradeSI
3. DirectricesdeISACAparaAuditoradeSI
4. ProcedimientosdeISACAparaAuditoradeSI
5. Relacinentreestndares,directricesyprocedimientos
3. ANLISISDERIESGOS
2
-
7/23/2019 Sistemas de Informacin -M-1
3/141
INDICE
4. CONTROLESINTERNOS1. ObjetivosdelControlInterno
2. ObjetivosdelControldeSI
3. COBIT
4. ControlesGenerales
5. ControlesdeSI
5. EJECUCIN
DE
UNA
AUDITORA
DE
SI1. ClasificacindelasAuditoras
2. ProgramasdeAuditora
3. MetodologadeAuditora
4. DeteccindeFraudes
5. AuditorabasadaenRiesgos
6. RiesgoymaterialidaddelaAuditora
7. EvaluacinyTratamiento
del
Riesgo
3
-
7/23/2019 Sistemas de Informacin -M-1
4/141
INDICE
8. TcnicasdeevaluacindeRiesgos
9. ObjetivosdelaAuditora
10. PruebasdeCumplimientovrs.PruebasSustantivas
11. Evidencia
12. EntrevistasyObservacinalPersonaleneldesempeodesusfunciones
13. Muestreo
14. Usode
los
servicios
de
otros
auditores
yexpertos
15. TcnicasdeAuditoraasistidasporComputadora
16. EvaluacindeFortalezasyDebilidades
17. ComunicacindelosresultadosdelaAuditora
18. Accionesde
la
Gerencia
para
implementar
las
recomendaciones
19. DocumentacindelaAuditora
4
-
7/23/2019 Sistemas de Informacin -M-1
5/141
INDICE
6. AUTOEVALUACINDELCONTROL(CONTROLSELFASSESSMENT)1. ObjetivosdelCSA
2. LosbeneficiosdelCSA
3. Desventajasdel
CSA
4. ElRoldelAuditorenCSA
5. ImpulsoresdeTecnologaparaelprogramaCSA
6. Enfoque
Tradicional
vrs.
Enfoque
CSA7. CAMBIOSEMERGENTESENELPROCESODEAUDITORADESI
1. PapelesdeTrabajoautomatizados
2. AuditoraIntegrada
3. AuditoraContinua
8. CASO
DE
ESTUDIO
5
-
7/23/2019 Sistemas de Informacin -M-1
6/141
Introduccin
El Proceso de Auditora de SI comprende los procedimientos y una exhaustivametodologa que permite a un Auditor Tecnolgico realizar su trabajo sobrecualquier rea dada de TI en una forma profesional
La funcin de auditora debe ser manejada y conducida en una forma queasegure que las diversas tareas realizadas y logradas por el equipo de auditoracumplirn los objetivos de la funcin de auditora, mientras se preserva laindependencia y la competencia de la auditora.
Adems, manejar la funcin de auditora debera asegurar las contribuciones devalor agregado a la alta gerencia respecto a la eficiente administracin de TI y allogro de los objetivos del negocio.
El objetivo del presente estudio es obtener los conocimientos necesarios paraproporcionar servicios de auditoras de sistemas de informacin de conformidada los estndares, directrices y mejores prcticas de auditora de SI que permitan ala organizacin asegurar que su tecnologa y sistemas de negocio estn
protegidos y controlados.6
-
7/23/2019 Sistemas de Informacin -M-1
7/141
Introduccin
5 TAREAS FUNDAMENTALES
Desarrollar eImplementar unaestrategia de
auditora de SI
basada en losriesgos deconformidad con los
estndares de
auditora de TI, paragarantizar que sehan incluido las
reas clave. 7
1
-
7/23/2019 Sistemas de Informacin -M-1
8/141
Introduccin
Planearauditorasespecficas paradeterminar si los
sistemas de
informacin estnprotegidos ycontrolados, y si
proporcionan valor
a la organizacin.
8
2
-
7/23/2019 Sistemas de Informacin -M-1
9/141
Introduccin
9
3
Realizar auditoras
de conformidadcon los estndaresde auditora de TI,
para lograr losobjetivos
planteados deauditora
planificados.
-
7/23/2019 Sistemas de Informacin -M-1
10/141
Introduccin
Reportarhallazgos de auditora y hacerrecomendaciones a las partes interesadas
clave para comunicar los resultados yefectuar cambios cuando sea necesario.
10
4
-
7/23/2019 Sistemas de Informacin -M-1
11/141
Introduccin
Realizar seguimientos o preparar informes deestado, para garantizar que la Gerencia hallevado a cabo las acciones apropiadas de
forma oportuna. 11
5
-
7/23/2019 Sistemas de Informacin -M-1
12/141
ADMINISTRACIN DE LAFUNCIN DE AUDITORA DE SI
12
-
7/23/2019 Sistemas de Informacin -M-1
13/141
1.1 Organizacin de la Funcin de Auditora de SI
13
Auditora
Interna(Estatutode
Auditora)
Independiente
PartedeAuditoraOperativa
Externa
(ContratoFormal) Especializada
DebeserindependienteyreportarseaunComitdeAuditoraoalmas
altonivel
de
Direccin
(Junta
Directiva)
-
7/23/2019 Sistemas de Informacin -M-1
14/141
1.1 Organizacin de la Funcin de Auditora de SI
14
-
7/23/2019 Sistemas de Informacin -M-1
15/141
1.1 Organizacin de la Funcin de Auditora de SI
-
7/23/2019 Sistemas de Informacin -M-1
16/141
1.2 Administracin de los Recursos de Auditora de SI
Actualizacinde
Habilidades
CapacitacindenuevastcnicasdeAuditoriayreas
tecnolgicas
Educacinprofesional
continua
Plananualdecapacitacindel Personal
BasadoenladireccindelaOrganizacin
Entrminos
de
tecnologa
Yaspectosrelacionadosderiesgo
Revisarsesemestralmenteparaasegurarquelasnecesidadesestndeacuerdoconladireccinqueesttomandolaorganizacindeauditoria. AstambinlaDireccindeAuditoriadebeproveerrecursosnecesarios paraefectuarauditoriasdenaturaleza
especializada.
-
7/23/2019 Sistemas de Informacin -M-1
17/141
1.3 Planeacin de la Auditora
Corto
Plazo
Aspectosrelevantescubiertosenelao
Largo
Plazo
Planesrelacionadosconriesgos
Cambiosenla
direccinestratgica
Planeacin
Anual
Debehacersecadaao,considerando:Nuevosaspectosdecontrol,cambiosenelentornoderiesgo,cambiantetecnologa,
procesosdenegocioenconstantecambio,tcnicasmejoradasdeevaluacin.
Revisadospo
rlaAltaDirecc
iny
a
probadosporComitdeAud
itorao
JuntaDirectiva.
-
7/23/2019 Sistemas de Informacin -M-1
18/141
1.3 Planeacin de la Auditora
Asignaciones de Auditora Individual.
Adems de la planeacin anual, cada tarea individual de Auditora debe
ser planeada adecuadamente.
Auditorde
Sistemas
Prcticasdelnegocio
Entendimientodelambiente
arevisar
Funcionesrelativasalsujetode
auditora Sistemasde
Informacin
Tecnologaquesoportala
entidad
-
7/23/2019 Sistemas de Informacin -M-1
19/141
1.3 Planeacin de la Auditora
Por qu es importante la planeacin?
Alcanzarlosobjetivosde
Auditora
Cumplirconlosestndares
profesionales
Lograrcorrespondencia
Recursos Tareas
-
7/23/2019 Sistemas de Informacin -M-1
20/141
1.3 Planeacin de la Auditora
Lograrunentendimientodelamisin,objetivos,propsitoyprocesosdelnegocio,losrequerimientosdeinformacinyprocesamiento(talescomodisponibilidad,integridad,seguridad)
Identificarcontenidos
especficos
tales
como
polticas,
estndares
y
directricesrequeridos,procedimientosyestructuradelaorganizacin.
Realizarunanlisisderiesgosparaayudaradisearelplandeauditora.
LlevaracabounarevisindeloscontrolesinternosrelacionadosconTI.
Establecerel
alcance
ylos
objetivos
de
la
auditora.
Desarrollarelenfoqueolaestrategiadeauditora.
Asignarrecursoshumanosalaauditora.
Dirigirlalogsticadeltrabajodeauditora.
Planeacinde
Auditora
-
7/23/2019 Sistemas de Informacin -M-1
21/141
1.3 Planeacin de la Auditora
LograrEntendimiento
RecorridodelasinstalacionesclavedelaOrganizacin
Lectura
de
antecedentes
incluyendo
publicaciones
de
la
industria,informesanualeseinformesdeanlisisfinancieros
RevisindelnegocioydelosplanesestratgicosTIalargoplazo
Entrevistasalosgerentesclaveparaentenderpormenoresdelnegocio
RevisindeinformesanterioresoinformesrelacionadosconTI
IdentificarlasregulacionesespecficasaplicablesaTI
IdentificarlasfuncionesdeTIolasactividadesrelacionadasquehan
sido
contratadas
externamente.
-
7/23/2019 Sistemas de Informacin -M-1
22/141
Pregunta
Cul de las siguientes opciones describe la autoridadgeneral para llevar a cabo una auditora de SI?
A. El alcance de la auditora, con las metas y objetivos.
B. Una solicitud por parte de la gerencia para realizar una auditora
C. El Estatuto de auditora aprobado.
D. El cronograma de auditora aprobado.
22
-
7/23/2019 Sistemas de Informacin -M-1
23/141
Pregunta
Cul de los siguientes motivos es el MAS importantepara justificar la revisin peridica del proceso deplanificacin de la auditora?
A. Planificar el despliegue de los recursos de auditora disponibles.
B. Considerar los cambios en el entorno de riesgo.
C. Proporcionar entradas para la documentacin del estatuto deauditora.
D. Identificar los estndares de auditora de SI aplicables.
23
-
7/23/2019 Sistemas de Informacin -M-1
24/141
1.4. Efecto de las Leyes y Regulaciones sobre la Planificacinde la Auditora de SI
Toda organizacin deber cumplir con un nmero de requerimiento gubernamentalesy externos relacionados con las prcticas y los controles de los sistemascomputarizados y con la manera como impacta en la forma de procesamiento,
transmisin y almacenamiento de los datos (Bolsa de valores, Bancos Centrales, etc.).
Se debe prestar especial atencin en aquellas industrias que histricamente hantenido un marco regulatorio muy estricto, tales como empresas que proveen servicios
de respaldo y recuperacin, as como los proveedores de servicios de Internet(Confidencialidad y Disponibilidad del Servicio).
Los auditores de SI deberan revisar la poltica de la administracin sobre privacidad,
incluyendo requisitos de flujo de datos personales al cruzar fronteras (Puerto Seguro Safe Harbor, Directrices de la Organizacin para la Cooperacin Econmica y elDesarrollo OECD).
-
7/23/2019 Sistemas de Informacin -M-1
25/141
1.4. Efecto de las Leyes y Regulaciones sobre la Planificacinde la Auditora de SI
reas
deInte
rs Requerimientos
aplicablesalaAuditora
Requerimientos
aplicables
al
auditado.
Impacto en el
alcance y los
objetivos deauditora.
CSSO
SARLAFT
Prevencin de
Fraude
Comercio
Electrnico
ISO 9000
FDA
HACCP
-
7/23/2019 Sistemas de Informacin -M-1
26/141
1.4. Efecto de las Leyes y Regulaciones sobre la Planificacinde la Auditora de SI
-
7/23/2019 Sistemas de Informacin -M-1
27/141
1.4. Efecto de las Leyes y Regulaciones sobre la Planificacinde la Auditora de SI
COSO
Organizacin privada, establecida en los Estados Unidos, dedicada a proporcionar orientacin para la gestin
ejecutiva y el gobierno de las empresas en aspectos crticos de gobierno corporativo, tica empresarial, controlinterno, gestin de riesgo empresarial (ERM), fraude e informacin financiera.
Committee of Sponsoring Organizations of the Treadway Commission
-
7/23/2019 Sistemas de Informacin -M-1
28/141
1.4. Efecto de las Leyes y Regulaciones sobre la Planificacinde la Auditora de SI
-
7/23/2019 Sistemas de Informacin -M-1
29/141
1.4. Efecto de las Leyes y Regulaciones sobre la Planificacinde la Auditora de SI
Identificarrequerimientosgubernamentales
Documentarleyesyregulacionespertinentes
Determinarsi
la
gerencia
yla
funcin
de
SI
han
considerado
los
requerimientosexternos.
RevisarlosdocumentosinternosdeldepartamentodeSI
Determinarel
cumplimiento
con
los
procedimientos
establecidos.
Determinarsihayprocedimientosqueasegurenelcumplimientoderegulacionesconserviciostercerizados.
CmodeterminaelAuditorelNiveldeCumplimiento?
-
7/23/2019 Sistemas de Informacin -M-1
30/141
ESTNDARES Y DIRECTRICES DEISACA PARA LA AUDITORA DE SI
30
-
7/23/2019 Sistemas de Informacin -M-1
31/141
2.1 Cdigo de tica Profesional de ISACA
ISACA establece un Cdigo de tica Profesional para guiar la conductaprofesional y personal de los miembros y profesionales certificados, por lo quedebern:
1. Apoyar la implementacin y fomentar el cumplimiento de las normas, losprocedimientos y los controles apropiados en los sistemas de informacin.
2. Ejecutar sus labores con objetividad, diligencia y cuidado profesional, deconformidad con las normas y mejores prcticas profesionales.
3. Servir en el inters de los accionistas en una forma legal y honesta, y almismo tiempo mantener altos estndares de conducta y de carcter, y noinvolucrarse en actos que puedan desacreditar la profesin.
4. Mantener la privacidad y la confidencialidad de la informacin obtenida enel curso de su funcin a menos que la autoridad legal requiera su revelacin.Dicha informacin no ser usada para beneficio personal ni ser revelada aterceros.
-
7/23/2019 Sistemas de Informacin -M-1
32/141
2.1 Cdigo de tica Profesional de ISACA
5. Mantener competencia en sus respectivos campos y se comprometer aemprender nicamente las actividades que puedan realizar concompetencia profesional.
6. Informar a las personas adecuadas los resultados del trabajo realizado,revelando todos los hechos significativos de los que tengan conocimiento.
7. Apoyar la educacin profesional de los accionistas para mejorar sucomprensin sobre seguridad y control de los sistemas de informacin.
-
7/23/2019 Sistemas de Informacin -M-1
33/141
2.2 Marco de estndares de ISACA para la Auditora de SI
El carcter especializado de la auditora de sistemas de informacin, requiere deestndares aplicables globalmente , con el objetivo de informar:
A los auditores de sistemas de informacin sobre el nivel mnimo requerido de
desempeo aceptable para cumplir con las responsabilidades profesionalesestablecidas en el cdigo de tica profesional.
A la gerencia y a otros interesados sobre las expectativas de la profesin en relacincon el trabajo de los auditores.
El marco de los Estndares de Auditora de SI de ISACA presenta mltiples niveles,como se explica a continuacin:
Los Estndaresdefinen los requerimientos obligatorios para la auditora y para los
informes de auditora de SI.
Las Directricesbrindan una gua para aplicar los Estndares de Auditora de SI.
Los Procedimientos ofrecen ejemplos de procedimientos que debe seguir unauditor de SI en una asignacin de Auditora.
-
7/23/2019 Sistemas de Informacin -M-1
34/141
2.2 Marco de estndares de ISACA para la Auditora de SI
EstatutodeAuditora
Independenciaticay
EstndaresProfesionales
CompetenciaProfesional
PlaneacinEjecucindel
TrabajodeAuditora
InformeActividadesde
Seguimiento
Irregularidades GobiernodeTIUsode
evaluacinderiesgos
MaterialidaddeAuditora
Usartrabajode
expertos
Evidenciade
AuditoraControlesdeTI
Comercio
electrnico
Profesional y Organizacional
-
7/23/2019 Sistemas de Informacin -M-1
35/141
2.2 Marco de estndares de ISACA para la Auditora de SI
Generales
100)
EstatutodeAuditora
Independencia
Organizacional
IndependenciaProfesional
Expectativarazonable
Debidocuidoprofesional
Competencia
Afirmaciones
Criterios
De desempeo
120)
PlanificacindelaAsignacin
EvaluacindeRiesgoen
Planificacin
DesempeoySupervisin
Materialidad
Evidencia
Usodeltrabajodeotrosexpertos
IrregularidadesyActos
Ilcitos
De reportes
140)
Reportes
ActividadesdeSeguimiento
Noviembre, 2013
-
7/23/2019 Sistemas de Informacin -M-1
36/141
2.3 Directrices de ISACA para Auditora de SI
ndice Directrices
G1 Usodeltrabajodeotrosauditores
G2 Requisitodeevidenciadeauditora
G3 Usode tcnicas
de
auditora
asistidas
por
computadora
(CAATs)
G4 Servicio externodeactividadesdeSIparaotrasorganizaciones
G5 Estatuto deAuditora
G6 Conceptosdematerialidad paralaauditoradesistemasdeInformacin
G7 Debidocuidadoprofesional
G8 DocumentacindelaAuditora
G9 Consideracionesdeauditora encasodeirregularidades
G10 Muestreode
Auditora
G11 Efectosdeloscontrolesgenerales deSI
G12 Relacineindependenciaorganizacional
G13 Usodelaevaluacinderiesgosenlaplaneacindelaauditora
-
7/23/2019 Sistemas de Informacin -M-1
37/141
2.3 Directrices de ISACA para Auditora de SI
ndice Directrices
G14 Revisin delosSistemasdeAplicacin
G15 Planeacinrevisada
G16 Efectode
terceros
en
los
controles
de
TI
de
una
organizacin
G17 EfectodefuncionesajenasalaauditorasobrelaindependenciadelauditordeSI
G18 Gobierno deTI
G19 Irregularidadesyactosilegales
G20 Informes
G21 Revisin desistemasdeplaneacindeRecursosEmpresariales(ERP)
G22 Revisin
del
Comercio
Electrnico Negocio
a
consumidor
(B2C)G23 RevisindelCiclodevidadeDesarrollodesistemas(SDLC)
G24 BancaporInternet
G25 RevisindeRedesPrivadasVirtuales
G26 Revisin deProyectos
de
Reingeniera
de
Procesos
de
Negocio
(BRP)
-
7/23/2019 Sistemas de Informacin -M-1
38/141
2.3 Directrices de ISACA para Auditora de SI
ndice Directrices
G27 ComputacinMovil
G28 AnlisisForense Computacional
G29 RevisinPost
Implementacin
G30 Competencia
G31 Privacidad
G32 Revisin delPlandeContinuidaddeNegociodesdeunaperspectivadeTI
G33 Consideraciones GeneralessobreelusodeInternet
G34 Responsabilidad,Autoridad eImputabilidad
G35 ActividadesdeSeguimiento
G36 Controles Biomtricos
-
7/23/2019 Sistemas de Informacin -M-1
39/141
2.4 Procedimientos de ISACA para auditora de SI
ndice Procedimientos
P1 Evaluacin deRiesgosdeSI
P2 FirmasDigitales
P3 Deteccin deIntrusos
P4 Virusyotroscdigosmaliciosos
P5 Autoevaluacin deControldeRiesgos
P6 Firewalls
P7 IrregularidadesyActosIlegales
P8 Evaluacin delaSeguridad
P9 EvaluacindelosControles delaDireccinsobrelasMetodologasde
Encripcin
P10 ControldeCambiosdeAplicacindelNegocio
-
7/23/2019 Sistemas de Informacin -M-1
40/141
2.5 Relacin entre Estndares, Directrices y Procedimientos
Estndares
Directrices
Procedimientos
Requerimientos que deben sercumplidos por el auditor de SI.
Proveen una gua sobre como puede el auditorimplementar los estndares en las diversas tareas deauditora.
Proveen ejemplos de pasos que puede realizar elauditor para implementar los estndares en una tareaespecfica de auditora.
-
7/23/2019 Sistemas de Informacin -M-1
41/141
ANLISIS DE RIESGOS
41
-
7/23/2019 Sistemas de Informacin -M-1
42/141
3. Anlisis de Riesgos
Elanlisisderiesgosespartedelaplaneacindeauditorayayudaaidentificarlosriesgosylasvulnerabilidadesparaqueelauditorpuedadeterminarloscontrolesnecesariosparamitigarlos.
CONCEPTODERIESGOEl potencial de que una amenaza determinada explotelas vulnerabilidades de un activo o grupo de activosocasionando prdida o dao a la organizacin
Probabilidad de que las amenazas puedan tener un
impacto negativo sobre los activos, procesos uobjetivos de un negocio u organizacin especfica.
-
7/23/2019 Sistemas de Informacin -M-1
43/141
3. Anlisis de Riesgos
Tipode
Riesgo
Crdito
Operativo
Personas
Procesos
Sistemas
Eventos
Externos
Mercado
Liquidez
Impacto
Legal o
Reputacional
-
7/23/2019 Sistemas de Informacin -M-1
44/141
3. Anlisis de Riesgos
Identificacin Clasificacin Mitigacin Monitoreo
-
7/23/2019 Sistemas de Informacin -M-1
45/141
3. Anlisis de Riesgos
Identificacin
Tipodeevento(Nivel1)
Definicin Tipodeevento
(Nivel2) Ejemplos
Fraudeinterno Prdidas derivadas de algn tipode actuacin encaminada a
defraudar, apropiarse de bienesindebidamente o eludirregulaciones, leyes o polticasempresariales en las que seencuentra implicado, al menos,un miembro de la entidad.
Actividades no autorizadas Operaciones noreveladas
(intencionalmente), operaciones noautorizadas (conprdidaseconmicas),valoracin errnea
de posiciones(intencional).
Robo y fraude Robo,malversacin,falsificacin,soborno,
apropiacin decuentas,contrabando,evasin deimpuestos(intencional).
-
7/23/2019 Sistemas de Informacin -M-1
46/141
3. Anlisis de Riesgos
Tipodeevento(Nivel1)
DefinicinTipodeevento(Nivel2) Ejemplos
Fraudeexterno Prdidas derivadas de algn tipode actuacin encaminada a
defraudar, apropiarse de bienesindebidamente o eludir lalegislacin, por parte de untercero.
Robo y fraude Robo, falsificacin.
Seguridad de los sistemas Daos por ataquesinformticos, robode informacin.
Relacioneslaboralesyseguridadenelpuestodetrabajo
Prdidas derivadas deactuaciones incompatibles con lalegislacin o acuerdos laborales,sobre higiene o seguridad en eltrabajo, sobre el pago dereclamaciones por daospersonales, o sobre casosrelacionados con la diversidad o
discriminacin.
Relaciones laborales Cuestionesrelativas aremuneracin,prestacionessociales, extincinde contratos.
Higiene y seguridad en el trabajo Casos relacionadoscon las normas de
higiene yseguridad en eltrabajo;indemnizacin alos trabajadores.
Diversidad y discriminacin Todo tipo de
discriminacin.
-
7/23/2019 Sistemas de Informacin -M-1
47/141
3. Anlisis de Riesgos
Tipodeevento(Nivel1)
DefinicinTipodeevento(Nivel2) Ejemplos
Clientes,productosyprcticas denegocios
Prdidas derivadasdel incumplimientoinvoluntario onegligente de unaobligacinempresarial frente aclientes concretos(incluidos requisitosfiduciarios y de
adecuacin), o de lanaturaleza o diseode un producto.
Adecuacin,divulgacin deinformacin y confianza
Abusos de confianza / incumplimiento de pautas, aspectosde adecuacin / divulgacin de informacin (conocimientodel cliente, etc.), infringir la privacidad de informacinsobre clientes minoristas, infringir la privacidad, ventasagresivas, abuso de informacin confidencial.
Prcticas empresarialeso de mercadoimprocedentes
Prcticas restrictivas de la competencia, prcticascomerciales / de mercado improcedentes, manipulacindel mercado, abuso de informacin privilegiada (en favorde la entidad), lavado de dinero.
Productos defectuosos Defectos del producto (no autorizado, etc.), error de losmodelos.
Seleccin, patrocinio yriesgos
Ausencia de investigacin a clientes conforme a lasdirectrices, exceso de los lmites de riesgo frente aclientes.
Actividades de
asesoramiento
Litigios sobre resultados de las actividades de
asesoramiento.
-
7/23/2019 Sistemas de Informacin -M-1
48/141
3. Anlisis de Riesgos
Tipodeevento(Nivel1)
DefinicinTipodeevento(Nivel2) Ejemplos
Ejecucin,entregay
gestin
de
procesos
Prdidasderivadas de
errores en elprocesamiento deoperaciones o enla gestin deprocesos, as como de
relaciones concontrapartescomerciales yproveedores
Recepcin, ejecuciny mantenimiento de
operaciones
Errores de introduccin de datos, mantenimiento odescarga, incumplimiento de plazos o de
responsabilidades, ejecucin errnea de modelos /sistemas, errores contables. Errores en el proceso decompensacin de valores y liquidacin de efectivo .
Seguimiento ypresentacin deinformes
Incumplimiento de la obligacin de informar, inexactitudde informes externos (con generacin de prdidas).
Aceptacin de clientesy documentacin
Inexistencia de autorizaciones / rechazos de clientes,documentos jurdicos inexistentes / incompletos.
Gestin de cuentas declientes
Acceso no autorizado a cuentas, registros incorrectos declientes (con generacin de prdidas), prdida o dao deactivos de clientes por negligencia.
Contrapartescomerciales Fallos de contrapartes distintas de clientes, otros litigioscon contrapartes distintas de clientes.Distribuidores yproveedores
Subcontratacin, litigios con proveedores.
-
7/23/2019 Sistemas de Informacin -M-1
49/141
3. Anlisis de Riesgos
Tipodeevento(Nivel1)
DefinicinTipodeevento(Nivel2) Ejemplos
Daos
aactivos
materiales
Prdidas derivadas dedaos o perjuicios aactivos materiales comoconsecuencia dedesastres naturales uotros acontecimientos.
Desastres y otrosacontecimientos Desastres naturales, prdidas causadas porpersonas externas (terrorismo, vandalismo).
Interrupcindel
negocio
y
fallosenlossistemas
Prdidas derivadas deinterrupciones en elnegocio y de fallos en lossistemas
Sistemas Fallas en equipos de hardware, software otelecomunicaciones; falla en energa elctrica.
-
7/23/2019 Sistemas de Informacin -M-1
50/141
3. Anlisis de Riesgos
Clasificacin
Probabilidad
Impacto
Ocurrencia
Dao
3 A li i d Ri
-
7/23/2019 Sistemas de Informacin -M-1
51/141
3. Anlisis de Riesgos
3 A li i d Ri
-
7/23/2019 Sistemas de Informacin -M-1
52/141
3. Anlisis de Riesgos
3 Anlisis de Riesgos
-
7/23/2019 Sistemas de Informacin -M-1
53/141
3. Anlisis de Riesgos
Riesgo
Inherente Controles
Riesgo
Residual
Mitigacin
3 Anlisis de Riesgos
-
7/23/2019 Sistemas de Informacin -M-1
54/141
3. Anlisis de Riesgos
Riesgo
Mitigar
Transferir
Evitar
Aceptar
3 Anlisis de Riesgos
-
7/23/2019 Sistemas de Informacin -M-1
55/141
3. Anlisis de Riesgos
Elanlisisderiesgotienelossiguientespropsitos:
Apoyaral
auditor
en
la
identificacin
de
riesgos
yamenazas
para
un
ambiente
deTIylossistemasdeSIquenecesitansertratadosporladireccinascomoloscontrolesinternosespecficosdelsistema.
Dependiendodelnivelderiesgo,esteanlisisapoyaalauditorenlaseleccin
deciertas
reas
para
examinar.
Ayudaalauditorensuevaluacindeloscontrolesdurantelaplaneacindelaauditora.
Apoyaal
auditor
adeterminar
los
objetivos
de
la
auditora.
Soportadecisionesdelaauditorabasadaenriesgos.
-
7/23/2019 Sistemas de Informacin -M-1
56/141
CONTROLES INTERNOS
56
Pregunta
-
7/23/2019 Sistemas de Informacin -M-1
57/141
Pregunta
Cul de lo siguiente describe MEJOR las primeras etapasde una auditora de SI?
A. Observar las instalaciones organizacionales clave
B. Evaluar el entono de SI
C. Entender el proceso del negocio y el entorno aplicable a la revisin
D. Revisar los informes de auditora de SI anteriores
57
4. Controles Internos
-
7/23/2019 Sistemas de Informacin -M-1
58/141
4. Controles Internos
Las polticas, procedimientos, prcticas y estructuras organizacionalesimplementadas para reducir riesgos, tambin son conocidas como controlesinternos.
Son desarrollados para proveer una certeza razonable de que se alcanzarn losobjetivos del negocio de una organizacin y que los eventos de riesgos nodeseados sern evitados, detectados y corregidos.
Las actividades de control interno y los procesos que las soporten pueden ser
manuales o manejados por recursos de informacin automatizados.
Estos operan en todos los niveles dentro de una organizacin para mitigar suexposicin a riesgos que potencialmente podran impedirle alcanzar sus objetivosdel negocio.
Existen dos aspectos clave que el control debe atender: qu debera lograrse yqu debera evitarse.
4. Controles Internos
-
7/23/2019 Sistemas de Informacin -M-1
59/141
4. Controles Internos
-
7/23/2019 Sistemas de Informacin -M-1
60/141
4. Controles Internos
-
7/23/2019 Sistemas de Informacin -M-1
61/141
4.1 Objetivos del Control Interno
-
7/23/2019 Sistemas de Informacin -M-1
62/141
Son declaraciones del resultado deseado o del propsito a ser alcanzado con laimplementacin de actividades de control (procedimientos).
Ejemplos:
Salvaguarda de los activos de TI
Cumplimientos con las polticas corporativas y requerimientos legales
Autorizacin y autenticacin
Confidencialidad
Exactitud e integridad de datos
Confiabilidad de los procesos.
Disponibilidad de los servicios de TI
Eficiencia y economa de las operaciones.
Proceso de Administracin de cambio s para TI y los sistemas relacionados.
4.1 Objetivos del Control Interno
-
7/23/2019 Sistemas de Informacin -M-1
63/141
ControlesdeContabilidadinterna
Primariamentedirigidos
alas
operaciones
contables,
como
proejemplolasalvaguardadelosactivosylaconfiabilidaddelosregistrosfinancieros.
Controlesoperacionales
Dirigidosalasoperaciones,funcionesyactividadescotidianasparaasegurarquelaoperacinestcumpliendolosobjetivosdelnegocio.
Controlesadministrativos
Seocupadelaeficienciaoperacionalenunreafuncionalyelacatamientodelaspolticasdeadministracinqueincluyenloscontrolesoperacionales.
Tipos de controles.
4.2 Objetivos de Control de SI
-
7/23/2019 Sistemas de Informacin -M-1
64/141
Estos se aplican a todas las reas, ya sean manuales, automatizadas o unacombinacin de las mismas (ejm: revisiones de logs). Estos pueden ser:
Salvaguarda de activos.
Asegurar la integridad de los ambientes de sistemas operativos en general,incluyendo la administracin y las operaciones de red.
Asegurar la integridad de los ambientes de sistemas de aplicacin sensitivos ycrticos, a travs de:
Validacin de INPUT.
Exactitud e integridad del procesamiento de transacciones.
Confiabilidad de las actividades de procesamiento de informacin en
general.
Exactitud, integridad y seguridad de la informacin de salida.
Integridad de la base de datos.
4.2 Objetivos de Control de SI
-
7/23/2019 Sistemas de Informacin -M-1
65/141
Asegurar la identificacin y autenticacin apropiada de los usuarios de losrecursos de SI.
Aseguramiento de eficiencia y efectividad en las operaciones.
Cumplimiento con los requerimientos de los usuarios, con las polticas yprocedimientos organizacionales y con las leyes y reglamentos aplicables.
Aseguramiento de la disponibilidad de los servicios de TI desarrollando planesde continuidad del negocio y recuperacin de desastres.
Aumento de la proteccin de datos y sistemas desarrollando un plan derespuesta a incidentes.
Aseguramiento de la integridad y confiabilidad de los sistemasimplementando procedimientos efectivos de administracin de cambios.
4.3 COBIT
-
7/23/2019 Sistemas de Informacin -M-1
66/141
4.3 COBIT
-
7/23/2019 Sistemas de Informacin -M-1
67/141
4.3 COBIT
-
7/23/2019 Sistemas de Informacin -M-1
68/141
4.4 Controles Generales
-
7/23/2019 Sistemas de Informacin -M-1
69/141
Estos son aplicables a todas las reas de la organizacin, incluyendoinfraestructura y servicios de soporte de TI. Ejemplos:
Polticas y procedimientos organizacionales de seguridad lgica paraasegurar la debida autorizacin de transacciones y actividades.
Polticas generales para el diseo y uso de documentos y registrosadecuados para ayudar a asegurar el registro apropiado de lastransacciones (Pista de auditora).
Procedimientos y funciones para asegurar la proteccin adecuada enel acceso y el uso de activos e instalaciones.
Polticas de seguridad fsica y lgica para todos los centros de datos.
4.5. Controles de SI
-
7/23/2019 Sistemas de Informacin -M-1
70/141
Procedimientos de control general traducidos en procedimientos de control especficos.Puede que un procedimiento general para asegurar la custodia del acceso a los activos einstalaciones puede traducirse en un conjunto de procedimientos de control de SI, queabarquen controles de acceso a los programas de computacin, datos y equipos de
cmputo.Otros ejemplos:
Acceso a los recursos de TI, incluyendo datos y programas
Metodologas de desarrollo de sistemas y control de cambios
Procedimientos de operacin Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de calidad
Controles de acceso fsico
Planeacin de continuidad del negocio/recuperacin de desastres
Redes y comunicaciones
Administracin de bases de datos
Proteccin y mecanismos de deteccin contra ataques internos y externos
-
7/23/2019 Sistemas de Informacin -M-1
71/141
EJECUCIN DE UNA AUDITORADE SI
71
5. Ejecucin de una auditora de SI
-
7/23/2019 Sistemas de Informacin -M-1
72/141
La auditora se define como un proceso sistemtico por el cual un equipo o una personacompetente o independiente obtiene y evala objetivamente la evidencia respecto a lasafirmaciones acerca de un proceso con el fin de formarse una opinin sobre el particular einformar sobre el grado de cumplimiento en dicha afirmacin es implementada.
Para realizar una auditoria, deben considerarse varios pasos:
Una planeacin adecuada
Para usar efectivamente los recursos de TI, deben evaluar todos los riesgos de las reas
generales y de aplicacin. Desarrollar un programa de auditora que comprenda objetivos y procedimientos que
satisfagan los objetivos de auditora.
Recoleccin de evidencia a travs de pruebas de auditora.
Evaluacin de fortalezas y debilidades de controles de SI.
Preparacin de un informe de auditora que presente en forma objetiva los resultadosde la evaluacin a la gerencia.
5. Ejecucin de una auditora de SI
-
7/23/2019 Sistemas de Informacin -M-1
73/141
Las restriccionesdel auditado pueden incluir:
Reciente rotacin o no disponibilidad del empleado
Infraccin de las fechas lmite
Ausencia general de conocimientos o de documentacin.
Frente a estas limitantes, deben emplearse tcnicas de administracin deproyectos, que incluyen los siguientes pasos bsicos:
Desarrollar un plan detallado (Lnea de tiempo y tareas con requerimientode tiempo)
Reportar actividad de proyecto contra el plan (Progreso real vrs. Planificado)
Ajustar el plan y emprender accin correctiva (Cambios en las asignaciones
del auditor de SI o en los cronogramas planeados, a medida que serequiera).
5.1 Clasif icacin de las auditoras
-
7/23/2019 Sistemas de Informacin -M-1
74/141
Auditoras
Financieras
Fiscales
Operativas
Integradas
Administrativas
DeSistemas
Especializadas
Forenses
5.2 Programas de Auditora
-
7/23/2019 Sistemas de Informacin -M-1
75/141
Los programas de auditora se basan en el alcance y el objetivo de la asignacin enparticular. Los auditores de TI evalan funciones y sistemas dese perspectivas diferentes,tales como la seguridad (confidencialidad, integridad y disponibilidad), la calidad(efectividad, eficiencia), fiduciarias (cumplimiento, confiabilidad), el servicio y la
capacidad.El programa de trabajo de auditora es la estrategia a seguir y contiene el alcance,objetivos, procedimientos de auditora para lograr evidencia suficiente y competente paraobtener y sustentar las conclusiones y opiniones de auditora. Generalmente incluye:
Obtencin y documentacin del conocimiento sobre el rea/objeto de la auditora
Evaluacin de riesgos y planeacin general de la auditora y cronograma. Planeacin detallada de la auditora Revisin preliminar del rea/objeto de la auditora Evaluacin del rea/objeto de la auditora
Verificacin y evaluacin de la correccin de los controles diseados para cumplir losobjetivos de control.
Pruebas de cumplimiento y pruebas sustantivas Informe Seguimiento en casos en los que hay una funcin de auditora.
5.2 Programas de Auditora
-
7/23/2019 Sistemas de Informacin -M-1
76/141
Dentro de un procedimiento de prueba, se puede incluir lo siguiente:
Uso de software generalizado de auditora para examinar el contenido de los
archivos de datos.
Uso de software especializado para evaluar el contenido de los archivos deparmetros de la base de datos y de aplicacin del sistema operativo.
Tcnicas de elaboracin de diagramas de flujo para la documentacin de
aplicaciones automatizadas y del proceso del negocio.
Uso de registros/reportes de auditora disponibles en los sistemas operativos/deaplicacin.
Revisin de la documentacin
Observacin
Se debe tener suficiente entendimiento de los procedimientos de auditora, demodo que se puedan planear pruebas apropiadas.
5.3 Metodologa de Auditora
-
7/23/2019 Sistemas de Informacin -M-1
77/141
Es un conjunto de procedimientos documentados, diseados para alcanzar losobjetivos de auditora planeados.
Esta debe ser establecida y aprobada por la Gerencia de Auditora para lograrconsistencia en el enfoque de auditora.
EJEMPLO
DE
METODOLOGA
DE
AUDITORA
DE
SI
5.3 Metodologa de Auditora
-
7/23/2019 Sistemas de Informacin -M-1
78/141
5.3 Metodologa de Auditora
-
7/23/2019 Sistemas de Informacin -M-1
79/141
Papeles
detrabajo
Planes Programas
Hallazgos Incidentes
Actividades
Pruebas
Debenestar: Fechados Inicializados Conpginasnumeradas Debidamente
etiquetados
Debenser: Relevantes Completos Claros Autoexplicatorios Archivados
Mantenidos
en
custodia
5.3 Metodologa de Auditora
-
7/23/2019 Sistemas de Informacin -M-1
80/141
Papeles
deTrabajo
Objetivos
InformeFinal
Interfaz
ElauditordeSIdebeconsiderarcomo
mantenerevidenciadepruebadeauditorapara
preservarsu
valor
de
pruebaenrespaldodelosresultadosde
auditora.
5.4 Deteccin de Fraudes
-
7/23/2019 Sistemas de Informacin -M-1
81/141
ElusodelaTecnologahabeneficiadoinmensamentealasempresasentrminosdecalidaddeentregadelainformacin.Sinembargo,elusodelatecnologaeInternethanpropiciadoelriesgoqueseperpetrenerroresyfraudes.
Unsistemadecontrolinternobiendiseado,proveebuenasoportunidadesparadisuadirydetectaroportunamentelosfraudes.Noobstante,loscontrolesinternospuedenfallar,cuandoestossonburladosexplotandovulnerabilidadesoconlacomplicidaddepersonasclaves.
Losauditoresdesistemasdebenejercereldebidocuidadoprofesionalentodoslosaspectosdesutrabajo,yaquedebenopinarsobrelarazonabilidaddeloscontrolesinternos,ascomoestaralertasalasposiblesoportunidadesquepermitenqueunfraudesematerialice.
Cuandoun
auditor
de
sistemas
se
encuentra
con
un
indicador
de
fraude,
debe
comunicar
la
necesidaddeunainvestigacindetalladaalasautoridadescompetentes,encasoqueseidentifiqueunfraudemayor,ladireccindeauditoradebeconsiderarinformaroportunamentealComitdeAuditora.
5.5 Auditora basada en Riesgo
-
7/23/2019 Sistemas de Informacin -M-1
82/141
Pregunta
-
7/23/2019 Sistemas de Informacin -M-1
83/141
Mientras desarrolla un programa de auditora basado en elriesgo, En cul de lo siguiente es MAS probable que elauditor de SI se concentre?
A. Los procesos del negocio
B. Las aplicaciones crticas de TI
C. Los controles operacionales
D. Las estrategias del negocio
83
5.6 Riesgo y materialidad de la Auditora
-
7/23/2019 Sistemas de Informacin -M-1
84/141
Riesgo
inherente
RiesgodeControl
Riesgodedeteccin
Riesgo
generaldeAuditora
Riesgode
Muestreo
Pregunta
-
7/23/2019 Sistemas de Informacin -M-1
85/141
Al realizar una auditora basada en el riesgo Culevaluacin del riesgo realiza inicialmente el auditor de SI?
A. Evaluacin del riesgo de deteccin
B. Evaluacin del riesgo de control
C. Evaluacin del riesgo inherente
D. Evaluacin del riesgo de fraude
85
5.6 Riesgo y materialidad de la Auditora
-
7/23/2019 Sistemas de Informacin -M-1
86/141
Serefiereaunerrorquedeberaserconsideradosignificativoporcualquierpartealaqueleconciernaelpuntoencuestin
El establecimiento de un parmetro de seguridad lgica que permita a unprogramador tener acceso, sin autorizacin, al cdigo fuente de algunos programas
del Sistema Informtico.
Pregunta
-
7/23/2019 Sistemas de Informacin -M-1
87/141
Cul de los siguientes tipos de riesgo de auditora asumeuna ausencia de controles compensatorios en el rea quese est revisando?
A. Riesgo de control
B. Riesgo de deteccin
C. Riesgo inherente
D. Riesgo de muestreo
87
Pregunta
-
7/23/2019 Sistemas de Informacin -M-1
88/141
Mientras realiza la revisin de los controles de unaaplicacin, un auditor de SI encuentra una debilidaden el software de sistema que puede afectar considerablemente la aplicacin. El auditor de SI
debera:A. Ignorar estas debilidades de control, ya que una revisin de
software de sistema est ms all del alcance de la revisin
B. Realizar una revisin detallada del software del sistema yreportar las debilidades de control.
C. Incluir en el reporte una declaracin de que la auditora selimit a una revisin de los controles de la aplicacin
D. Revisar los controles de software del sistema que son relevantesy recomendar una revisin detallada del software del sistema
88
5.7 Evaluacin y Tratamiento del Riesgo
E l i d l Ri d S id d
-
7/23/2019 Sistemas de Informacin -M-1
89/141
Evaluacin de los Riesgos de Seguridad
Para desarrollar una comprensin mas completa del riesgo de auditora, el auditor debeentender como la organizacin encara la evaluacin y tratamiento del riesgo.
Las evaluaciones de riesgo deben identificar, cuantificar y categorizar los riesgos contracriterios para aceptacin del riesgos y objetivos relevantes para la organizacin.
La evaluacin del riesgo debe incluir el mtodo sistemtico de estimar la magnitud de los
riesgos (anlisis del riesgo) y el proceso de comparar los riesgos estimados contra loscriterios para determinar la significacin de los riesgos (evaluacin del riesgo).
Las evaluaciones de riesgo deben hacerse peridicamente para ocuparse de los cambiosen el entorno, los requerimientos de seguridad y la situacin del riesgo (activos, amenazas,
vulnerabilidades, impactos, etc.), y cuando ocurren cambios significativos.
La evaluacin del riesgos de la seguridad debe tener un alcance claramente definido paraser efectiva y debe incluir relaciones con las evaluaciones del riesgo en otras reas, si fueraapropiado.
5.7 Evaluacin y Tratamiento del Riesgo
T t l Ri d S id d
-
7/23/2019 Sistemas de Informacin -M-1
90/141
Tratar los Riesgos de Seguridad
Cada uno de los riesgos identificados necesita ser tratado. Las posibles opciones detratamiento son:
Aplicar los controles apropiados parareducirriesgos Aceptarlos riesgos a sabiendas objetivamente, a condicin que los mismos satisfagan
claramente la poltica y los criterios de la organizacin para la aceptacin de riesgos Evitarlos riesgos no permitiendo acciones que causaran que ocurrieran los riesgos Transferirlos riesgos asociados a otras partes (aseguradoras, proveedores).
Los controles aplicados deben ser seleccionados para asegurar que los riesgos se reduzcana un nivel aceptable tomando en cuenta:
Los requerimientos y limitaciones de la legislacin y regulaciones nacionales einternacionales, Los objetivos de la organizacin La necesidad de balancear la inversin en implementacin y operacin en los controles
contra el ao probable que resulte de las fallas de seguridad.
5.8 Tcnicas de evaluacin de riesgos
T t l Ri d S id d
-
7/23/2019 Sistemas de Informacin -M-1
91/141
Tratar los Riesgos de Seguridad
Existen muchas metodologas disponibles para evaluacin de riesgos:
Clasificaciones sencillas de alto, medio, bajo Clculos complejos a travs de series estadsticas Evaluacin en base al juicio profesional.
Evaluar los riesgos en la auditora realizada, permite:
Que la direccin asigne de manera efectiva los recursos limitados deauditora.
Asegura que se haya obtenido informacin relevante de todos los nivelesde direccin.
Establece las bases para administrar el departamento de auditora demanera efectiva. Provee un resumen de como se relaciona el sujeto individual de la
auditora con el resto de la organizacin, as como tambin con los planesde negocios.
5.8 Tcnicas de evaluacin de riesgos
-
7/23/2019 Sistemas de Informacin -M-1
92/141
5.8 Tcnicas de evaluacin de riesgos
-
7/23/2019 Sistemas de Informacin -M-1
93/141
5.8 Tcnicas de evaluacin de riesgos
-
7/23/2019 Sistemas de Informacin -M-1
94/141
5.9 Objetivos de la Auditora
-
7/23/2019 Sistemas de Informacin -M-1
95/141
Los objetivos de auditora se refieren a las metas especficas que deben cumplirsepor parte de la auditora. Se pueden incorporar varios objetivos de auditora.
Los objetivos de auditora se enfocan a menudo en validar que existen controlesinternos para minimizar los riesgos del negocio y que estos funcionan como seespera. Estos objetivos de auditora incluyen el aseguramiento del cumplimento conlos requerimientos legales y regulatorios, as como tambin la confidencialidad,integridad, confiabilidad y disponibilidad de recursos de informacin de TI.
Aspectos a tomar en cuenta para la definicin de un objetivo.
Deben redactarse en infinitivo. Deben expresarse en sentido positivo. Deben explicar la razn de la definicin del mismo. Se recomienda que se definan entre 3 y 5 objetivos. Debe exponerse un objetivo general y objetivos especficos.
5.10 Pruebas de Cumplimiento vrs. Pruebas Sustantivas
-
7/23/2019 Sistemas de Informacin -M-1
96/141
Prueba de Cumplimiento.
Es la recoleccin de evidencia con el fin de comprobar el cumplimiento de una
organizacin con los procedimientos de control.
Ejemplos:
Controles de biblioteca de programas en produccin funcionando.
Proveer certeza que solo se realizan modificaciones autorizadas a los programasen produccin.
Probar la efectividad de un proceso definido. Probar si la disponibilidad del servicio de Internet se encuentra de conformidad al
porcentaje fijado en el Contrato de servicios. Verificar si los requerimientos de cambios a sistemas cuentan con su respectivo
formulario.
5.10 Pruebas de Cumplimiento vrs. Pruebas Sustantivas
-
7/23/2019 Sistemas de Informacin -M-1
97/141
Pruebas Sustantivas
Es la recoleccin de evidencia para evaluar la integridad de las transacciones
individuales, datos u otra informacin. Provee evidencia de la validez e integridad delos saldos financieros y de las transacciones que respaldan dichos saldos.
Ejemplos:
Determinar si los registros del inventario de la librera de cintas son correctos. Verificar si el cambio solicitado en el formulario de administracin de cambios se
encuentra de conformidad a lo que est en produccin. Verificar que el reporte provea los resultados esperados. Verificar que se cuenten con medidas de seguridad adecuadas y razonables para
no permitir el acceso a intrusos. Revisin de totales (nmero de transacciones, cantidades acumuladas).
5.10 Pruebas de Cumplimiento vrs. Pruebas Sustantivas
-
7/23/2019 Sistemas de Informacin -M-1
98/141
5.11 Evidencia
-
7/23/2019 Sistemas de Informacin -M-1
99/141
Es la informacin usada por el auditor de SI para determinar si laentidad o los datos que estn siendo auditados cumplen con loscriterios u objetos establecidos y soporta las conclusiones de
auditora.
La evidencia de auditora puede incluir observaciones del auditorde SI (notificados a la Gerencia), notas de las entrevistas, materialextractado de la correspondencia y documentacin interna,
contratos con socios externos o los resultados de losprocedimientos de prueba de auditora. Las reglas de evidencia ysuficiencia as como tambin de competencia de la evidencia sedeben tomar en cuenta, como lo requieren los estndares deauditora.
5.11 Evidencia
Ciclo de Vida de la
-
7/23/2019 Sistemas de Informacin -M-1
100/141
Recoleccin
Proteccin
Cadenade
custodia
Evidencia
5.11 Evidencia
Las determinantes para evaluar la confiabilidad de la evidencia de auditora
-
7/23/2019 Sistemas de Informacin -M-1
101/141
incluyen:
Independencia del proveedor de la evidencia Credenciales de la persona que suministra la informacin o evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia
La Federacin Internacional de Contadores (IFAC) se refiere a dos
caractersticas importantes de la evidencia:
Evidencia
Competencia(Calidad)
Validez
RelevanteSuficiencia(Cantidad)
5.11 Evidencia
Tcnicas de Recopilacin de evidencia:
-
7/23/2019 Sistemas de Informacin -M-1
102/141
Revisin de las estructuras organizacionales de los sistemas de Informacin. Revisin de las polticas y procedimientos de SI Revisin de los estndares de SI Revisin de la documentacin de SI
Documentos de inicio del desarrollo de sistemas Documentacin suministrada por proveedores externos de aplicacin Contratos de nivel de servicio con proveedores externos de TI Requerimientos funcionales y especificaciones de diseo Planes e informe de pruebas Programa y documentos de operaciones Registros (logs) e historial de cambio a programas Manuales de usuario y de operacin Documentos relacionados con la seguridad
Planes de continuidad del negocio Informes de aseguramiento de calidad Reportes sobre mtrica de seguridad
Entrevistas al personal apropiado Observacin de Procesos y del Desempeo de los Empleados
5.12 Entrevistas y Observacin al Personal en el desempeo desus funciones
-
7/23/2019 Sistemas de Informacin -M-1
103/141
La observacin al personal en el desempeo de sus funciones ayuda a unauditor de SI a identificar:
Funciones reales Procesos / procedimientos reales Concientizacin sobre seguridad Lneas de reporte
Las entrevistas al personal y a la direccin de procesamiento de informacindeberan proveer una certeza adecuada que el personal tiene las destrezastcnicas requeridas para realizar su trabajo. Este es un factor importante quecontribuye a que la operacin sea efectiva y eficiente.
5.13 Muestreo
-
7/23/2019 Sistemas de Informacin -M-1
104/141
El muestreo es usado cuando las consideraciones de tiempo y de costoimpiden una verificacin total de las transacciones o eventos en una poblacindefinida previamente.
Poblacin:La totalidad de elementos que es necesario examinar.
Muestra:
Subconjunto de miembros de la poblacin
El muestreo se usa para inferir caractersticas de una poblacin, con base enlos resultados del examen de las caractersticas de una muestra de la misma.
5.13 Muestreo
Los dos enfoques generales para muestreo de auditora son:
-
7/23/2019 Sistemas de Informacin -M-1
105/141
q g p
1. Muestreo EstadsticoEs un enfoque objetivo para determinar el tamao de los criterios de
seleccin de la muestra. Usa las leyes matemticas para calcular eltamao de la muestra, seleccionar los objetos de la muestra, evaluar losresultados de la muestra y hacer la inferencia. Con el muestreoestadstico, el auditor de SI
2. Muestreo no EstadsticoEl nmero de elementos que sern examinados de una poblacin ycuales elementos seleccionar, son determinados en base al juicio delauditor. Estas decisiones estn basadas en el criterio subjetivo respectode los cuales items/transacciones tienen mayor materialidad y mayor
riesgo.
Riesgo de Muestreo: Probabilidad de que el auditor de SI obtenga unaconclusin equivocada con la muestra seleccionada.
5.13 Muestreo
Existen dos mtodos principales de muestreo usados por los auditores de SI:
-
7/23/2019 Sistemas de Informacin -M-1
106/141
1. Muestreo de Atributos. Se aplica a las pruebas de cumplimiento,ocupndose de la ausencia o ausencia del atributo y provee conclusiones
que se expresan en tasas de incidencia. Puede ser: Muestreo de estimacin de frecuencia Muestreo parar / seguir Muestreo de Descubrimiento
2. Muestreo de Variables.Tambin conocido como muestreo de estimacinmonetaria o de estimacin media, es una tcnica usada para estimar elvalor monetario de una poblacin a partir de la muestra de la misma.Puede ser: Promedio Estratificado por Unidad
Promedio no Estratificado por Unidad Estimacin de Diferencia
5.13 Muestreo
Para realizar un muestreo de atributos o de variables, es necesario entener lossiguientes trminos de muestreo estadstico:
-
7/23/2019 Sistemas de Informacin -M-1
107/141
s gu e tes t os de uest eo estad st co
Coeficiente de confianza. Tambin conocido como nivel de confianza o factor de
confiabilidad. Cuanto mayor es el nivel de confianza, mayor es el tamao de lamuestra.
Nivel de Riesgo.Es igual a una menos el coeficiente de confianza.
Precisin. Representa la diferencia aceptable de rango entre la muestra y lapoblacin real. A mayor precisin, mas pequeo es el tamao de la muestra.
Tasa de error esperada. Es un estimado de los errores que pueden existir. Amayor tasa de error esperado, mayor es el tamao de la muestra.
Media de la muestra.Valor promedio de la muestra.
Desviacin estndar de la muestra. Dispersin de los valores de la muestra
(varianza).
Tasa tolerable de error.Describe el valor mximo de error o el nmero de erroresque pueden existir sin que una cuenta est materialmente equivocad.
Desviacin estndar de la poblacin. Dispersin de los valores de la poblacin
(varianza).
5.13 Muestreo
Los pasos clave en la construccin y seleccin de una muestra para una
-
7/23/2019 Sistemas de Informacin -M-1
108/141
prueba de auditora son:
Determinar los objetivos de la prueba
Definir la poblacin a la que se obtendr la muestra Determinar el mtodo de muestreo (Atributos vrs. Variables) Calcular el tamao de la muestra Seleccionar la muestra Evaluar la muestra desde una perspectiva de auditora
5.14 uso de los servicios de otros auditores y expertos
Es necesario considerar lo siguiente:
-
7/23/2019 Sistemas de Informacin -M-1
109/141
Restricciones sobre outsourcing de servicios de auditora/seguridad dispuestas porleyes y regulaciones.
Contrato de auditora o estipulaciones contractuales Impacto sobre el riesgo de auditora de SI y la responsabilidad profesional Independencia y objetividad de otros auditores y expertos Competencia profesional, calificaciones y experiencia Alcance del trabajo que se propone que sea sometido a outsourcing y mtodo
Controles de supervisin y de gerencia de auditora Mtodo y modalidades de comunicacin de los resultados del trabajo de auditora Cumplimiento de las estipulaciones legales y regulatorias Cumplimiento de los estndares profesionales aplicables. Verificaciones de testimonios/referencias y antecedentes
Acceso a los sistemas, premisas y los registros Restricciones de confidencialidad para proteger la informacin relacionada con el
cliente Uso de CAATS y de otras herramientas a ser usadas por el proveedor externo Estndares y metodologas para la ejecucin del trabajo y documentacin
5.14 uso de los servicios de otros auditores y expertos
Es responsabilidad del auditor de SI o de la entidad que emplea los servicios deproveedores externos de servicios:
-
7/23/2019 Sistemas de Informacin -M-1
110/141
proveedores externos de servicios:
Comunicar claramente los objetivos, el alcance y la metodologa de laauditora a travs de un contrato formal
Establecer un proceso de monitoreo para revisin regular del trabajo delproveedor externo de servicios con respecto a planeacin, supervisin,revisin y documentacin.
Determinar la utilidad y la correccin de los informe de dichos proveedoresexternos y determinar el impacto de los hallazgos significativos sobre losobjetivos generales de auditora.
5.15 Tcnicas de Auditora asistidas por Computadora
Los CAATs son herramientas para recolectar informacin de diferencias entornos dehardware y software, estructuras de datos, formatos de registro, funciones dei t t i d i f i d f i d di t E t ll
-
7/23/2019 Sistemas de Informacin -M-1
111/141
procesamiento, etc., reuniendo informacin de forma independiente. Entre ellos seencuentran:
Software generalizado de auditora (GAS). Tiene la capacidad de leer y accesar datosdirectamente de diversas plataformas de bases de datos. Soporta las siguientesfunciones:
Acceso a archivos Reorganizacin de archivos
Seleccin de datos Funciones estadsticas Funciones aritmticas
Software utilitario. Generadores de informes del sistema de administracin de basesde datos .
Datos de prueba. Determinacin de errores lgicos de un programa o si satisface losobjetivos.
Revisin de sistemas de aplicacin. Informacin sobre controles internos construidosen el sistema.
Sistemas expertos. Software basado en consultas y se crea sobre la base de
conocimientos de auditores o gerentes del mas alto nivel.
5.15 Tcnicas de Auditora asistidas por Computadora
Ejemplos de procedimientos realizados con CAATs:
-
7/23/2019 Sistemas de Informacin -M-1
112/141
Pruebas de detalles de transacciones y saldos
Procedimientos de revisin analtica
Pruebas de cumplimiento de controles generales de SI
Pruebas de cumplimiento de controles de aplicacin de SI
Evaluaciones de vulnerabilidad de la red y del SO
Pruebas de penetracin
Pruebas de seguridad de aplicacin y escaneos de seguridad del cdigofuente
Debe ponderarse el costo/beneficio de los CAATs antes de invertir en suesfuerzo, tiempo y gasto de comprarlos o desarrollarlos. As tambin debenconsiderarse aspectos como la manipulacin de datos en produccin, elrendimiento, confidencialidad.
Pregunta
El uso PRIMARIO de un software generalizado de
-
7/23/2019 Sistemas de Informacin -M-1
113/141
auditora (GAS) es?
A. Probar los controles integrados en los programas
B. Probar el acceso no autorizado a los datos
C. Extraer datos de relevancia para la auditora
D. Reducir la necesidad de dar comprobantes para lastransacciones
113
5.16 Evaluacin de las Fortalezas y Debilidades
F t l D bilid d
-
7/23/2019 Sistemas de Informacin -M-1
114/141
Fortalezas Debilidades
Controles
Solapados
Dbiles
Compensatorios
Fuertes
Materialidad delos Hallazgos
5.17 Comunicacin de los Resultados de Auditora
Durante la entrevista final, el auditor de SI deber:
-
7/23/2019 Sistemas de Informacin -M-1
115/141
Asegurarse de que los hechos presentados en el informe estn correctos Asegurarse de que las recomendaciones sean realistas y eficientes desde el punto de
vista de los costos, y si no lo fueran, buscar alternativas negociando con la gerenciadel auditado
Sugerir fechas de implementacin para las recomendaciones acordadas
Tcnicas de presentacin de los resultados de auditora: Resumen Ejecutivo Presentacin visual
Una vez logrado los acuerdos con el auditado, se debe enviar un corto resumen a la altadireccin y al comit de auditora.
Qu hacer cuando hay desacuerdos?
5.17 Comunicacin de los Resultados de Auditora
INFORME DE AUDITORA
-
7/23/2019 Sistemas de Informacin -M-1
116/141
1. Introduccin2. Objetivos (General y Especficos)
3. Alcance4. Perodo cubierto por la auditora5. Directrices seguidas6. Resultados de la Auditora7. Hallazgos determinados
Condicin Criterio Recomendacin Comentarios de los Auditores
Conclusin de Auditora Grado de cumplimento.
5.18 Acciones de la Gerencia para implementar lasrecomendaciones
La auditora es un proceso continuo. Es necesario realizar un
-
7/23/2019 Sistemas de Informacin -M-1
117/141
seguimiento para determinar si la direccin ha emprendido las accionescorrectivas apropiadas.
El momento del seguimiento depender de la gravedad de los hallazgosy estara sujeto al criterio del auditor de SI. Los resultados delseguimiento debern ser comunicados a los niveles apropiados de laGerencia.
El Nivel de seguimiento se puede hacer de dos maneras:
Verificacin del estado actual. Verificacin de la implementacin de la accin.
5.19 Documentacin de la Auditora
Laplaneacinypreparacindelalcanceyobjetivosdedit
-
7/23/2019 Sistemas de Informacin -M-1
118/141
auditora
Ladescripciny/orecorridosenelreadeauditoravista
Elprogramadeauditora
Lospasos
de
auditora
realizados
yla
evidencia
recopilada
Elusodeserviciosdeotrosauditoresyexpertos
Loshallazgos,conclusionesyrecomendacionesdeauditora
Ladocumentacindeauditorarelacionadaconla
identificacin
y
fechas
de
documentos Unacopiadelinformeemitidocomoresultadodeltrabajodeauditora
Evidenciaderevisinsupervisoria deauditora
DocumentacindeAuditora
Po
lticasdeCust
odia,requisito
sde
retencinyl
iberacindela
documentaci
ndeauditora
Deb
enproveer
Ras
treabilidad
Ca
rgabilidad
-
7/23/2019 Sistemas de Informacin -M-1
119/141
AUTOEVALUACIN DELCONTROL (CONTROL SELFASSESSMENT)
119
6. Autoevaluacin del Control (CSA)
E t i d l
-
7/23/2019 Sistemas de Informacin -M-1
120/141
Es una tcnica de ladireccin que asegura alos accionistas, clientes y
otros que el sistema decontrol interno delnegocio es confiable. Enla prctica, CSA es unaserie de herramientasque abarcan:
Simples cuestionarios Talleres de facilitacin
diseados pararecopilar informacinsobre la organizacin.
Pregunta
Cul de las siguientes opciones es la MAS efectivapara implementar una autoevaluacin del control
-
7/23/2019 Sistemas de Informacin -M-1
121/141
para implementar una autoevaluacin del control(CSA) dentro de las unidades de negocio?
A. Revisiones informales de pares
B. Talleres facilitados
C. Narrativas de flujo de proceso
D. Diagrama de flujo de datos
121
6.1 Objetivos de CSA
Apalancar la funcin de auditora interna cambiando algunas de las
-
7/23/2019 Sistemas de Informacin -M-1
122/141
Apalancar la funcin de auditora interna, cambiando algunas de lasresponsabilidades de monitoreo de control a las reas funcionales.
Educar a la Gerencia sobre el diseo y monitoreo de controles, enparticular concentracin en las reas de alto riesgo.
Empoderamiento de los trabajadores para determinar o incluso disear elentorno de control.
Generar conciencia en la alta direccin y representantes de cada unidad denegocio.
Identificar como objetivo primario de la unidad de negocio, la confiabilidaddel sistema de control interno.
6.2 Beneficios del CSA
Deteccin temprana de riesgos
Controles internos mas efectivos y mejorados
-
7/23/2019 Sistemas de Informacin -M-1
123/141
Controles internos mas efectivos y mejorados
Creacin de equipos cohesivos a travs de la participacin de losempleados.
Desarrollo de un sentido de propiedad de los controles en los empleados yen los dueos del proceso y reduccin de su resistencia a controlar lasiniciativas de mejoramiento.
Mayor conciencia de los empleados sobre los objetivos organizacionales y
mayor conocimiento sobre riesgos y controles internos. Mayor comunicacin entre los mandos operativos y la alta direccin.
Empleados altamente motivados
Proceso mejorado de calificacin en auditoras
Reduccin en el costo del control
Mayor seguridad para los accionistas y clientes
Seguridad mnima para la alta direccin sobre lo adecuado de los controlesinternos, segn requerimientos de diversos entes regulatorios (SOX)
6.3 Desventajas de CSA
Podra confundirse como un reemplazo de la funcin de auditora
-
7/23/2019 Sistemas de Informacin -M-1
124/141
Se le considera como una carga de trabajo adicional
No implementar las mejoras sugeridas podra daar la moral de losempleados
La falta de motivacin puede limitar la efectividad en la deteccinde controles dbiles.
6.4 El Rol del Auditor en CSA
Cuando se establecen estos programas, los auditores se convierten en
-
7/23/2019 Sistemas de Informacin -M-1
125/141
profesionales del control interno y facilitadores de la evaluacin. Suvalor en esta funcin es evidente cuando la direccin asume la
responsabilidad y se considera duea de los sistemas de control internobajo su autoridad a travs de mejoras del proceso en sus estructuras decontrol, incluyendo un componente de monitoreo.
Para que un auditor sea efectivo en su funcin de facilitador y deinnovador, el auditor debe entender el proceso de negocio que se estevaluando. Esto se puede lograr por medio de herramientastradicionales de auditora, tales como la inspeccin o recorridopreliminar. Tambin los auditores deben recordar que ellos son los
facilitadores y que la direccin cliente es el participante en el procesode CSA.
6.5 Impulsores de Tecnologa para el programa de CSA
El desarrollo de tcnicas para empoderar recopilar informacin y
-
7/23/2019 Sistemas de Informacin -M-1
126/141
El desarrollo de tcnicas para empoderar, recopilar informacin ytomar decisiones es una parte necesaria de una implementacin deCSA. Algunos de los impulsores de tecnologa incluyen la combinacinde hardware y software para soportar la seleccin de CSA y el uso deun sistema electrnico de reunin y apoyo para la toma de decisionessoportadas por computador para facilitar la toma de decisiones delgrupo. La toma de decisiones del grupo es un componente esencial de
un CSA basado en talleres donde el empoderamiento al empleado esun propsito. En caso de un enfoque de cuestionario, el mismoprincipio se aplica para el anlisis y reajuste del cuestionario.
6.6 Enfoque Tradicional vrs. Enfoque CSA
El enfoque tradicional puede resumirse como cualquier enfoque en el que laresponsabilidad primaria de analizar e informar sobre el control interno y el riesgo
-
7/23/2019 Sistemas de Informacin -M-1
127/141
responsabilidad primaria de analizar e informar sobre el control interno y el riesgose asigna a los auditores y en menor grado , a los departamentos de contralora ycontroles externos.
El enfoque de CSA enfatiza el rol de la direccin y la rendicin de cuentas sobre eldesarrollo y monitoreo de os controles internos de los procesos de negociosensitivos y crticos de una organizacin.
-
7/23/2019 Sistemas de Informacin -M-1
128/141
CAMBIOS EMERGENTES EN ELPROCESO DE AUDITORA DE SI
128
7.1 Papeles de Trabajo automatizados
PAPELESDETRABAJO Pts automatizados
-
7/23/2019 Sistemas de Informacin -M-1
129/141
ANALISISDERIESGOSPROGRAMASDEAUDITORIA
RESULTADOS
EVIDENCIADEPRUEBASCONCLUSIONESINFORMESINFORMACIONCOMPLEMENTARIA
(hojasdeclculo,procesadortexto,otro)INTEGRIDAD
CONFIDENCIALIDADDISPONIBILIDAD
Controles:Acceso(perfilesyderechos)Pistas
de
auditora
(btacoras)
Funcionesautomatizadas(autorizaciones)SeguridadProcedimientosestablecidos
7.2 Auditora Integrada
DO Identificacin de losA dit
-
7/23/2019 Sistemas de Informacin -M-1
130/141
PROC
ESOI
NTEGR
AD
Identificacin de losriesgos y controles clave
relevantes
Revisin y comprensindel diseo de los
controles
Comprobacin de loscontroles
Informe y opinincombinada sobre riesgosAudi SI
operativa
financiera
AuditoraIntegrada
7.3 Auditora Continua
Monitoreo Continuo
-
7/23/2019 Sistemas de Informacin -M-1
131/141
Monitoreo Continuo
Herramientas de administracin de SI, se basa tpicamente en
procedimientos automatizados, para cumplir con las responsabilidadesfiduciarias. Ejm: Antivirus en tiempo real, IDS, etc.
Auditora Continua
Una metodologa que permite a auditores independientes proveercerteza escrita sobre un asunto usando una serie de informes deauditora emitidos simultneamente en un perodo corto de tiempo,despus de que han ocurrido los eventos subyacentes al asunto.
7.3 Auditora Continua
RequisitosoPrecondiciones
para
que
la
auditora
continua
tenga
xito:
Unaltogradodeautomatizacin
-
7/23/2019 Sistemas de Informacin -M-1
132/141
Unprocesoautomatizadoyaltamenteconfiableparaproducirinformacin
sobre
un
asunto
tan
pronto
hayan
ocurrido
los
eventos
subyacentes
al
asuntoodurantelosmismos.
Activadoresdealarmasparainformaroportunamentefallasdecontrol
InformerpidoyoportunoalosauditoresdeSIsobrelosresultadosdelos
procedimientosautomticos,
cuando
el
proceso
ha
identificado
anomalas
oerrores.
AuditoresdeSItcnicamentecompetentes
Disponibilidaddefuentesconfiablesdeevidencia
Uncambiodementalidadparaquelosauditoresadoptenelinformecontinuo
Evaluacindelosfactoresdecosto.
Pregunta
El PRIMER paso en planear una auditora es:
-
7/23/2019 Sistemas de Informacin -M-1
133/141
A. Definir los productos de la auditora
B. Finalizar el alcance de la auditora y los objetivos de laauditora
C. Lograr una comprensin de los objetivos del negocio
D. Desarrollar el mtodo de auditora o la estrategia de auditora
133
Pregunta
El enfoque que un auditor de SI debe usar paraplanear la cobertura de la auditora de SI debe estarbasado en:
-
7/23/2019 Sistemas de Informacin -M-1
134/141
basado en:
A. Riesgo
B. Importancia
C. Escepticismo profesional
D. Suficiencia de la evidencia de auditora
134
Pregunta
Una compaa realiza una copia de respaldo diaria de losdatos crticos y de los archivos de software y almacenalas cintas de respaldo en un lugar fuera delestablecimiento Las cintas de respaldo se usan para
-
7/23/2019 Sistemas de Informacin -M-1
135/141
establecimiento. Las cintas de respaldo se usan pararecuperar los archivos en caso de interrupcin. Esto es:
A. Control Preventivo
B. Control gerencial
C. Control correctivo
D. Control de deteccin
135
-
7/23/2019 Sistemas de Informacin -M-1
136/141
CASO DE ESTUDIO
136
8. Caso de Estudio
Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluar elalistamiento de la organizacin para que una revisin mida el cumplimiento de los nuevosrequisitos regulatorios. Estos requisitos estn diseados para asegurar que la gerencia
-
7/23/2019 Sistemas de Informacin -M-1
137/141
q g q p g q gest asumiendo un papel activo en establecer y mantener un entorno bien controlado y,
en consecuencia, evaluar la revisin de la gerencia y las pruebas del entorno general decontrol de TI. Las rea a ser evaluadas incluyen seguridad lgica y fsica, administracinde cambios, control de produccin y administracin de redes, gobierno de TI, ycomputacin de usuario final. Al auditor de SI se le han dado seis meses para realizar estetrabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe seal
que en aos anteriores, se han identificado reiterados problemas en las reas deseguridad lgica y administracin de cambios, de modo que estas reas muyprobablemente requerirn algn grado de rectificacin. Las deficiencias de seguridadlgica notadas incluyeron compartir las cuentas de administrador y no ejecutar loscontroles adecuados sobre las contraseas. Las deficiencias de administracin de
cambios incluyeron indebida segregacin de funciones incompatibles y no documentartodos los cambios.
8. Caso de Estudio
Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a losservidores se encontr que era solo parcialmente efectivo. En anticipacin del trabajo aser realizado por el auditor de SI, el director de informacin (CIO) solicit reportes
-
7/23/2019 Sistemas de Informacin -M-1
138/141
p , ( ) pdirectos para desarrollar narrativas y flujos de proceso que describieran las principales
actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados porlos diferentes dueos de proceso y por el CIO y luego fueron enviados al auditor de SIpara examen.
Pregunta
Qu debera hacerPRIMERO el auditor de SI?
-
7/23/2019 Sistemas de Informacin -M-1
139/141
A. Efectuar una evaluacin del riesgo de TI
B. Realizar una auditora de inspeccin de los controles de accesolgico
C. Revisar el plan de auditora para concentrarse en la auditorabasada en riesgo
D. Comenzar a probar los controles que el auditor de SI estima que
son los ms crticos
139
Pregunta
Cuando se prueba la administracin de cambios deprogramas Cmo se debe seleccionar la muestra?
-
7/23/2019 Sistemas de Informacin -M-1
140/141
A. Los documentos de administracin de cambios deben ser seleccionadosal azar y examinados para verificar si son apropiados.
B. Se deben sacar muestras de los cambios al cdigo de produccin y estosdeben ser rastreados hasta la documentacin apropiada que autoriz.
C. Los documentos de administracin de cambios deben ser seleccionadosen base a la criticidad del sistema y deben ser examinados paraverificar si son apropiados.
D. A los cambios al cdigo de produccin se les debe sacar una muestra, yse les debe rastrear hasta los registros (logs) producidos por el sistemaque indiquen la fecha y la hora del cambio.
140
-
7/23/2019 Sistemas de Informacin -M-1
141/141
Universidad Don BoscoCalle Plan del Pino ,km 1 Ciudadela Don Bosco, Soyapango
San Salvador, El Salvador, Centro Amrica
(503) 2251-8200 Ext. 1722
www.udb.edu.sv
141