La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Septiembre del 2012 Normas de Auditoria.

Publicada porJosefina Valenzuela Ponce Modificado hace 8 años

Presentaciones similares

Presentación del tema: "UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Septiembre del 2012 Normas de Auditoria."— Transcripción de la presentación:

1 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Septiembre del 2012 Normas de Auditoria A UDITORIA DE S ISTEMAS

2 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 22 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Riesgos-Definición Es el potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione pérdida o daño a los activos Es la posibilidad que un evento, o su ausencia, afecte negativamente la habilidad de la organización para lograr sus objetivos

3 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 3 AMENAZAS: Password cracking Exploits Escalamiento de privilegios Keylogging Puertos vulnerables abiertos Violación de la privacidad de los empleados Fraudes informáticos Destrucción de equipamiento Spamming Robo o extravío de notebooks, palms Robo de información Mails anónimos con agresiones Ingeniería social Acceso indebido a documentos Destrucción de soportes documentales Virus Acceso clandestino a redes Falsificación de información para terceros VULNERABILIDADES: Inadecuado compromiso por la dirección Personal no capacitado y concientizado Inadecuada asignación de responsabilidades Ausencia de controles Ausencia de reportes de incidentes y vulnerabilidades Servicios de log inexistentes o que no son chequeados Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC

4 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 44 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Eval. del proceso de adm. de riesgo El Proceso Identificar a los activos de información Analizar las vulnerabilidades de los activos Identificar y evaluar los controles propuestos.

5 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 55 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Identificar y evaluar controles Identificando controles Identificar los controles existente. Evaluar controles adicionales o compensatorios Categorizar los controles: efectividad eficiencia. Selección de medidas preventivas El costo del control en comparación con el beneficio de reducir el riesgo Predisposición de aceptar riesgos de la Gerencia Métodos de reducción de riesgos (aceptar, reducir, transferir, eliminar)

6 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 66 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Identificando elementos de riesgo Activos Amenazas Vulnerabilidades Impactos Riesgo global Riesgo inherente Riesgo residual

7 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 77 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES “Las políticas, prácticas y las estructuras organizativas diseñadas para brindar garantía adicional de que se lograrán los objetivos del negocio y se impedirán o detectarán o corregirán los acontecimientos no deseados”. Un objetivo de control es una declaración del resultado o del propósito que se desea alcanzar mediante la implementación de controles en una actividad partícular.

8 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 8 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES

9 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 99 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES Objetivos de control interno (COSO) Objetivos de control de los sistemas de información (COBIT) Procedimientos de control de los sistemas de información Son controles que aplican a todas las funciones dentro de una organización (controles generales) Clasificación del control Preventivos Detectivos Correctivos

10 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 10 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES - PREVENTIVOS FUNCION Descartar problemas antes de que surjan Monitorear tanto las operaciones como el ingreso de datos Tratar de predecir los problemas antes de que estos ocurran y hacer ajustes Impedir que ocurra un error, una omisión o un acto malicioso EJEMPLOS Emplear solo personal calificado Segregar las tareas (factor disuasivo) Controlar el acceso a las instalaciones físicas Uso de documentos bien diseñados (evitar errores) Establecer procedimientos adecuados para autorizar transacciones Uso de software de control de accesos

11 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 11 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES - DETECTIVOS FUNCION Controles que detectan que ha ocurrido un error, una omisión o un acto malicioso y lo reportan EJEMPLOS Totales o subtotales de control Puntos de verificación en las tareas de producción Controles de interrupción en las telecomunicaciones Mensajes de error Doble verificación en los cálculos Revisión periódica de reportes con variación Reporte de cuentas vencida Función de auditoria interna de TI

12 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 12 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES - CORRECTIVOS FUNCION Minimizar el impacto de una amenaza Remediar problemas descubiertos por los controles de detección Identificar la causa de un problema Modificar el o los sistemas de procesamiento para minimizar que el problema ocurra en el futuro EJEMPLOS Planificación de contingencias Procedimientos de copias de seguridad Procedimientos de nueva ejecución de programas

13 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 13 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CONTROLES – OTROS TIPOS

14 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 14 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC EJEMPLOS DE CONTROLES

15 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 15 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC EJEMPLOS DE CONTROLES

16 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 16 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC EJEMPLOS DE CONTROLES

17 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 17 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC MATRIZ DE CONTROLES

18 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 18 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de evaluación de controles El control debe ser evaluado en: DISEÑO:- Análisis conceptual de oportunidad y orientación a minimizar un riesgo relevante. EFICACIA OPERATIVA:- Pruebas y evidencia de funcionamiento efectivo del control.

19 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 19 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Pruebas de cumplimiento vs sustantivas La recolección de evidencias con el fin de comprobar el cumplimiento de una organización con procedimientos de control La recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información

20 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 20 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria -Evidencias Cualquier información usada por el auditor de IT para determinar si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos de auditoria establecidos Independencia del proveedor de la evidencia Calificación de la persona que suministra la información o evidencia Objetividad de la evidencia

21 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 21 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria -Evidencias Independencia del proveedor de la evidencia La evidencia obtenida de fuentes externas es más confiable que la obtenida dentro de la organización Calificación de la persona que suministra la información o evidencia Siempre se debe considerar la calificación e idoneidad de la fuente de la información, si el auditor no tiene entendimiento del área o competencia técnica apropiada debe entender completamente la prueba Objetividad de la evidencia La evidencia objetiva es mejor que la evidencia que requiere opinión o interpretación considerable

22 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 22 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria -Evidencias Se debe estimas tanto la CALIDAD (Competente) como la CANTIDAD (Suficiente) de evidencias. La evidencia es competente cuando es tanto VÁLIDA como RELEVANTE Técnicas de recolección de evidencias Revisar la estructura de Organización de IT Revisar las normas de documentación de los SI Entrevistar al personal apropiado Observar los procesos y el desempeño de los empleados

23 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 23 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria - Muestreo Métodos Generales: Muestreo Estadístico: método objetivo para determinar el tamaño de la muestra y para escoger criterios. Muestreo no estadístico: o a criterio, se usa el criterio del auditor y están basadas en criterios subjetivos

24 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 24 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Elementos de auditoria - Muestreo Métodos Primarios: Muestreo de atributos: aplicado en pruebas de cumplimiento. Es la presencia o ausencia del atributo y provee conclusiones que expresan coincidencias. Muestreo de variables: aplicado en situaciones de pruebas sustantivas, se ocupa de las característica de la población que varían ($) y provee conclusiones relacionadas con desviación de la norma

25 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 25 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CAAT (Técnicas de auditoria asistida por computadora) Generadores de datos de prueba Utilidades estándar Paquetes de biblioteca de software Pruebas integradas Instantánea Archivo de revisión del sistema de control de auditoria Software especializado de auditoria

26 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 26 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC CAAT - VENTAJAS Generadores de datos de prueba Utilidades estándar Paquetes de biblioteca de software Pruebas integradas Instantánea Archivo de revisión del sistema de control de auditoria Software especializado de auditoria

27 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 27 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Informe de Auditoria El informe de auditoría, es el documento final del proceso auditor, que sintetiza el resultado del cumplimiento de los objetivos definidos en el memorando de asignación de auditoría, en el plan de trabajo y el resultado de las pruebas adelantadas en la ejecución Objetivos del informes Registrar los resultados de la auditoría adelantada correspondientes al periodo auditado. Describir de manera precisa, clara y concisa los hallazgos determinados durante el proceso auditor. Comunicar e informar públicamente la opinión sobre la razonabilidad de los estados financieros y/o el concepto sobre la gestión y resultados obtenidos por el auditado.

28 UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 28 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Atributos del Informe de Auditoria Preciso Diga lo que tiene que decir. Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redacción debe ser sencilla, clara, ordenada, coherente y en orden de importancia. Conciso La redacción debe ser breve pero sin omitir lo relevante, la brevedad permite mayor impacto. Se debe buscar la forma de redactar los hallazgos en forma concreta, pero sin dejar de decir lo que se tiene que decir sobre la condición (situación detectada); asimismo, se debe incluir el criterio de auditoría, la causa y el efecto, aspectos que muestren claramente el impacto que tiene la situación detectada por la CGR. Objetivo Todos los hallazgos deben reflejar una situación real, manejada con criterios técnicos, analíticos e imparciales. Soportado Las afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia válida, suficiente, pertinente y competente. Oportuno Debe cumplir los términos de elaboración, consolidación, entrega, comunicación y publicidad.

Descargar ppt "UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lcda. Laura Alexandra Ureta Arreaga, MSIG. DOCENTE UNIVERSIDAD ECOTEC Septiembre del 2012 Normas de Auditoria."

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
EVALUACION DE RIESGOS EN AUDITORIA

EVALUACION DE RIESGOS EN AUDITORIA
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Control Interno Informático. Concepto

Control Interno Informático. Concepto
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
TEMA 3: EL RIESGO Y LA EVIDENCIA

TEMA 3: EL RIESGO Y LA EVIDENCIA
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO

METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
INTERPRETACIÓN DE NORMAS ISO

INTERPRETACIÓN DE NORMAS ISO
AUDITORIA DE LA EXPLOTACIÓN

AUDITORIA DE LA EXPLOTACIÓN
El Proceso de la Auditoría - ISO

El Proceso de la Auditoría - ISO
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
OBJETIVO Definir los aspectos que los auditores deben tener en cuenta antes, durante y después de los ciclos de auditorías para sacar mayor provecho a.

OBJETIVO Definir los aspectos que los auditores deben tener en cuenta antes, durante y después de los ciclos de auditorías para sacar mayor provecho a.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
EL CONTROL INTERNO Y EL CONTROL DE GESTIÓN

EL CONTROL INTERNO Y EL CONTROL DE GESTIÓN
Controles internos en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos.

Controles internos en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Muestreo Obtención de evidencia confiable y pertinente, suficiente para brindar una base razonable sobre la cual emitir una opinión. Procedimientos que.

Muestreo Obtención de evidencia confiable y pertinente, suficiente para brindar una base razonable sobre la cual emitir una opinión. Procedimientos que.

Presentaciones similares

Anuncios Google