La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

El Proceso de Auditoría1Copyright 2008 Tecnotrend SC El Proceso de Auditoría de Sistemas de Información.

Publicada porClaudia Cuenca Álvarez Modificado hace 10 años

Presentaciones similares

Presentación del tema: "El Proceso de Auditoría1Copyright 2008 Tecnotrend SC El Proceso de Auditoría de Sistemas de Información."— Transcripción de la presentación:

1 El Proceso de Auditoría1Copyright 2008 Tecnotrend SC El Proceso de Auditoría de Sistemas de Información

2 El Proceso de Auditoría2Copyright 2008 Tecnotrend SC

3 El Proceso de Auditoría3Copyright 2008 Tecnotrend SC 2 Temas a Cubrir Establecer y aprobar la carta de constitución de la Auditoría Planeación Previa Realizar una evaluación de riesgos de la Auditoría Determinar si la Auditoría es posible Realizar la Auditoría Jerarquía de Controles Internos Recopilación de evidencia para la Auditoría Realizar pruebas a la Auditoría Hallazgos (conclusiones) de la Auditoría

4 El Proceso de Auditoría4Copyright 2008 Tecnotrend SC 2.1 Establecer y Aprobar la carta de Constitución de la Auditoría El Rol del Comité de Auditoría Carta Compromiso

5 El Proceso de Auditoría5Copyright 2008 Tecnotrend SC 2.1.1 El Rol del Comité de Auditoría

6 El Proceso de Auditoría6Copyright 2008 Tecnotrend SC 2.1.2 Carta Compromiso Todos los puntos esbozados en la carta de constitución de la auditoría Independencia del Auditor (responsabilidad) Evidencia de un acuerdo sobre términos y conciciones (autoridad) Fechas acordades de finalización (rendición de cuentas)

7 El Proceso de Auditoría7Copyright 2008 Tecnotrend SC 2.2 Planeación Previa Identificar restricciones en el alcance Entender la variedad de auditorías Recopilar requerimientos detallados de la Auditoría Usar un enfoque sistemático en la Planeación Comparar Auditoría con Evaluación y Auto- evaluación de control Escoger la estrategia de Gestión de Riesgos

8 El Proceso de Auditoría8Copyright 2008 Tecnotrend SC

9 El Proceso de Auditoría9Copyright 2008 Tecnotrend SC 2.2.1 Identificar restricciones en el alcance Ejemplos de Restricciones: La dirección pone restricciones excesivas en el uso de la evidencia o procedimientos de auditoría que pueden minar el objetivo de la auditoría Incapacidad de obtener evidencia suficiente por cualquier motivo Falta de recursos o tiempo suficientes Procedimientos de Auditoría ineficaces

10 El Proceso de Auditoría10Copyright 2008 Tecnotrend SC 2.2.2 Entender la variedad de auditorías Producto o Servicio Procesos Sistemas Controles Generales Planes Organizacioneles

11 El Proceso de Auditoría11Copyright 2008 Tecnotrend SC 2.2.3 Recopilar requerimientos detallados de la Auditoría Obligaciones del Cliente Obligaciones del Auditado

12 El Proceso de Auditoría12Copyright 2008 Tecnotrend SC 2.2.4 Usar un enfoque sistemático en la Planeación

13 El Proceso de Auditoría13Copyright 2008 Tecnotrend SC 2.2.5 Comparar Auditoría con Evaluación y Auto-evaluaciónde control Auditoría Tradicional: El auditor profesional la administra de inicio a fin y rinde una opinión final Evaluación: Menos formales. Ayudan al personal a mejorar Auto evaluación de control: Prueba su propioprograso

14 El Proceso de Auditoría14Copyright 2008 Tecnotrend SC 2.2.6 Escoger la estrategia de Gestión de Riesgos Para identificar apropiadamente los riesgos el auditor necesita identificar: Activos a proteger Exposición de estos activos Amenazas a esos activos Fuentes internas y externas de amenazas Cuestiones de seguridad que necesitan resolverse Respuestas al Riesgo: Aceptar Mitigar Transferir Evitar

15 El Proceso de Auditoría15Copyright 2008 Tecnotrend SC

16 El Proceso de Auditoría16Copyright 2008 Tecnotrend SC 2.3 Realizar una evaluación de riesgos de la Auditoría Riesgos inherentes Riesgos de Detección Riesgos de Control Riesgos del Negocio Riesgos Tecnológicos Riesgos Operativos Riesgos Residuales Riesgos de Auditoría

17 El Proceso de Auditoría17Copyright 2008 Tecnotrend SC 2.4 Determinar si la Auditoría es posible

18 El Proceso de Auditoría18Copyright 2008 Tecnotrend SC 2.5 Realizar la Auditoría Asignación del Personal Creación de una Matriz de Habilidades Uso del trabajo de otras personas Asegurar el control de calidad de la Auditoría Definir las comunicaciones con el Auditado Uso de técnicas de recolección de datos

19 El Proceso de Auditoría19Copyright 2008 Tecnotrend SC 2.5.1 Asignación del Personal Creación de un plan de recursos del personal Creación de un plan de capacitación del personal

20 El Proceso de Auditoría20Copyright 2008 Tecnotrend SC 2.5.2 Creación de una Matriz de Habilidades

21 El Proceso de Auditoría21Copyright 2008 Tecnotrend SC 2.5.3 Uso del trabajo de otras personas El Auditor puede usar el trabajo de otros si: Se valora la objetividad e independencia del proveedor Si se determina su competencia profesional, capacidades y experiencia Si se determina el nivel de revisión y supervisión requerido

22 El Proceso de Auditoría22Copyright 2008 Tecnotrend SC 2.5.4 Asegurar el control de calidad de la Auditoría Calidad: Cumplimiento con las especificaciones Planeación y prevención crean Calidad El estándar de rendimiento es cero defectos

23 El Proceso de Auditoría23Copyright 2008 Tecnotrend SC 2.5.5 Definir las comunicaciones con el Auditado Puntos a considerar para ser efectivo en su comunicación: Describir el propósito, servicio y alcance de la auditoría Enfrentar problemas, restricciones y retrasos Responder a las preguntas y quejas del cliente Enfrentar cuestiones fuera del alcance de esta auditoría Entender tiempos y horarios Seguir el proceso de reportes Legar a un acuerdo en sus hallazgos con su cliente Implementar confidencialidad y el principio del menos privilegiado Proporcionar manejo especial de evidencias de irregularidades o posibles actos ilegales

24 El Proceso de Auditoría24Copyright 2008 Tecnotrend SC 2.5.6 Uso de técnicas de recolección de datos Observación del Personal Revisión de Documentos Entrevistas Talleres Encuestas

25 El Proceso de Auditoría25Copyright 2008 Tecnotrend SC 2.6 Jerarquía de Controles Internos Revisión de Controles Existentes El secreto de los controles fuertes

26 El Proceso de Auditoría26Copyright 2008 Tecnotrend SC 2.6.1 Revisión de Controles Existentes Preventivos Para detectar (detective) Correctivos Administrativos Técnicos Físicos

27 El Proceso de Auditoría27Copyright 2008 Tecnotrend SC

28 El Proceso de Auditoría28Copyright 2008 Tecnotrend SC

29 El Proceso de Auditoría29Copyright 2008 Tecnotrend SC 2.6.2 El secreto de los controles fuertes Control Fuerte = múltiples controles preventivos + múltiples controles de detección + múltiples controles correctivos Control Débil =Control mínimo + implementación o no implementación

30 El Proceso de Auditoría30Copyright 2008 Tecnotrend SC 2.7 Recopilación de evidencia para la Auditoría El uso de evidencia para probar un punto Tipos de Evidencia Evidencia típica de las Auditorias de SI Uso de herramientas de Auditoría asistidas por computadora Descubrimiento Electrónico Calificación de la Evidencia Tiempo de la Evidencia Ciclo de Vida de la Evicencia Preparación de la documentación Selección de muestreos de la auditoría

31 El Proceso de Auditoría31Copyright 2008 Tecnotrend SC 2.7.1 El uso de evidencia para probar un punto La evidencia prueba o no un punto La falta de evidencia es la falta de prueba

32 El Proceso de Auditoría32Copyright 2008 Tecnotrend SC 2.7.2 Tipos de Evidencia Evidencia Directa Evidencia Indirecta

33 El Proceso de Auditoría33Copyright 2008 Tecnotrend SC 2.7.3 Evidencia típica de las Auditorias de SI Evidencia documental Extracción de datos Afirmaciones del Auditado Análisis de planes, políticas y procedimientos Resultados de auditorías de cumplimiento (compliance) Observaciones del auditado al hacer su trabajo o repetir un proceso

34 El Proceso de Auditoría34Copyright 2008 Tecnotrend SC 2.7.4 Uso de herramientas de Auditoría asistidas por computadora Herramientas para detección de vulnerabilidades Análisis de protocolos y redes usando un sniffer Pruebas de configuración de SW de aplicación Pruebas de cumplimiento de contraseñas

35 El Proceso de Auditoría35Copyright 2008 Tecnotrend SC 2.7.5 Uso de CAAT para auditorías continuas en línea

36 El Proceso de Auditoría36Copyright 2008 Tecnotrend SC 2.7.6 Descubrimiento Electrónico E-discovery es la investigación de registros electrónicos para usar la evidencia en la corte El dueño de los datos no tiene permitido usar códigos secretos para mantener las bases de datos secretas de los investigadores.

37 El Proceso de Auditoría37Copyright 2008 Tecnotrend SC 2.7.7 Calificación de la Evidencia

38 El Proceso de Auditoría38Copyright 2008 Tecnotrend SC 2.7.8 Fechado de la Evidencia ¿La evidencia se recibió cuando se solicitó o varias horas o días después?

39 El Proceso de Auditoría39Copyright 2008 Tecnotrend SC 2.7.9 Ciclo de Vida de la Evicencia

40 El Proceso de Auditoría40Copyright 2008 Tecnotrend SC 2.7.10 Preparación de la documentación de la Auditoría Los registros de la Auditoría deben contestar las siguientes preguntas: ¿Quién está involucrado? ¿Qué se auditó, cómo se obtuvo la evidencia y qué procedimiento de prueba se usó? ¿Cuándo ocurrió? ¿Dónde ocurrió? ¿Por qué (propósito de la auditorá)? ¿Cómo se ejecutaron los planes y procedimientos de la Auditoría?

41 El Proceso de Auditoría41Copyright 2008 Tecnotrend SC 2.7.11 Selección de muestreos de la auditoría

42 El Proceso de Auditoría42Copyright 2008 Tecnotrend SC 2.8 Realizar pruebas a la Auditoría Pruebas de Cumplimiento Pruebas Sustantivas Tasa de error tolerable Registro de los resultados de las pruebas Análisis de los resultados Detección de Irregularidades y Actos Ilegales

43 El Proceso de Auditoría43Copyright 2008 Tecnotrend SC 2.8.1 Pruebas de Cumplimiento Prueba la presencia o ausencia de algo y se basa en uno de los siguientes tipos de muestreo: Atribute sampling Stop-and-go samplinf Discovery sampling Precision or extended error rate

44 El Proceso de Auditoría44Copyright 2008 Tecnotrend SC 2.8.2 Pruebas Sustantivas Busca verificar el contenido y la integridad de la evidencia y se basa en uno de los siguietntes tipos de muestreos de auditoría: Variable sampling Unstratified mean estimation Stratified mean estimation Difference estimation

45 El Proceso de Auditoría45Copyright 2008 Tecnotrend SC 2.8.3 Tasa de error tolerable En pruebas de cumplimiento es la desviación mayor de un procedimiento que el auditor aceptará En pruebas sustantivas el auditor usa su juicio en relación a la relevancia material y concluye si se logró el objetivo de la auditoría

46 El Proceso de Auditoría46Copyright 2008 Tecnotrend SC 2.8.4 Registro de los resultados de las pruebas Logro Sobresaliente Conformidad Oportunidad de mejora No Conformidad

47 El Proceso de Auditoría47Copyright 2008 Tecnotrend SC 2.8.5 Análisis de los resultados Preocupaciones del Auditor en relación a las pruebas: Evidencia suficiente Evidencia Contradctoria

48 El Proceso de Auditoría48Copyright 2008 Tecnotrend SC 2.8.6 Detección de Irregularidades y Actos Ilegales Fraude Robo Ocultación Racketeering Violaciones de Regulaciones

Descargar ppt "El Proceso de Auditoría1Copyright 2008 Tecnotrend SC El Proceso de Auditoría de Sistemas de Información."

Presentaciones similares

PROCEDIMIENTO AUDITORIAS INTERNAS.

PROCEDIMIENTO AUDITORIAS INTERNAS.
ING. LUIS FIGUEROA LOS SANTOS

ING. LUIS FIGUEROA LOS SANTOS
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
AUDITORIA DE SISTEMAS.

AUDITORIA DE SISTEMAS.
Principios de auditoria

Principios de auditoria
Evaluaciones de Sistemas de Administración de la Seguridad SMSA

Evaluaciones de Sistemas de Administración de la Seguridad SMSA
SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS

SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS
INTERPRETACIÓN DE NORMAS ISO

INTERPRETACIÓN DE NORMAS ISO
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
CONTROL DE CALIDAD PARA LOS DESPACHOS Y EL PROFESIONAL INDIVIDUAL

CONTROL DE CALIDAD PARA LOS DESPACHOS Y EL PROFESIONAL INDIVIDUAL
PROCEDIMIENTO “AUDITORIA INTERNA” (P )

PROCEDIMIENTO “AUDITORIA INTERNA” (P )
Planeación de la Auditoría en Informática

Planeación de la Auditoría en Informática
El Proceso de la Auditoría - ISO

El Proceso de la Auditoría - ISO
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
AUDITORIA INTERNA.

AUDITORIA INTERNA.
COMITÉ DE CALIDAD Presentación del Informe de Auditoria al Sistema de Gestión de la Calidad C.I. Tibaitatá Junio 05 de 2008.

COMITÉ DE CALIDAD Presentación del Informe de Auditoria al Sistema de Gestión de la Calidad C.I. Tibaitatá Junio 05 de 2008.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
LAS NORMAS TÉCNICAS DE AUDITORÍA

LAS NORMAS TÉCNICAS DE AUDITORÍA
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

Presentaciones similares

Anuncios Google