UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

Procesos de Auditoría de TI

TEMARIO

1. Proveer servicios de auditoría de acuerdo con lasnormas de auditoría ES.

2. Directrices y mejores prácticas para ayudar a laorganización.

3. Asegurar que la tecnología de la información y lossistemas de negocios estén protegidos y controlados.

2

1. Proveer Servicios de Auditoría y Normas

3

4

Servicios de un Auditor

Los servicios de un auditor, se agrupan en 3 categorías, como son:

AuditoríaAuditoría

Revisión LimitadaRevisión Limitada

Hechos Concretos(procedimientos acordados)

Hechos Concretos(procedimientos acordados)

5

La Auditoría

Proporciona un nivel alto, pero no absoluto de seguridad en laeficiencia de los procedimientos de control. No existe seguridadabsoluta, es difícil de conseguir ya que depende de varios factores,como:

- Necesidad de juicio profesional.

- La realización de pruebas.

- Las limitaciones inherentes al control interno.

6

La Revisión Limitada

Proporciona un nivel moderado de seguridad sobre la efectividadde los procedimientos de control.

El nivel de seguridad es menor que el que proporciona unaauditoría debido a que el alcance del trabajo es de menor amplitudque en la auditoría y que la naturaleza, el momento y la extensiónde los procedimientos que se realizan no proporcionan evidenciade auditoría suficiente y apropiada para permitirle al auditorexpresar una opinión positiva.

7

La Auditoría y la Revisión Limitada

Ambas tienen que:

1. Planificar el encargo.

2. Evaluar la efectividad del diseño de los procedimientos decontrol.

3. Realizar pruebas sobre la efectividad operativa de losprocedimientos de control (la naturaleza, momento y extensiónde las pruebas variará entre una auditoría y una revisiónlimitada.

8

La Auditoría y la Revisión Limitada

4. Formarse una opinión e informar sobre el diseño y laefectividad operativa de los procedimientos de controlbasándose en los criterios identificados:

a. La conclusión de una auditoría se expresa con una opinión positiva y proporciona un nivel alto de seguridad.

b. La conclusión de una revisión limitada se expresa con una declaración de seguridad negativa y sólo proporciona un nivel moderado de seguridad.

9

Hechos Concretos o Procedimientos Acordados

1. El auditor no concluye con ninguna expresión de seguridad.

2. Al auditor se le encarga que realice unos procedimientosespecíficos para cubrir las necesidades de información deaquellas partes que han acordado los procedimientos que hayque realizar.

3. El auditor emite un informe de esos hechos concretos.

4. Los receptores del informe extraen sus propias conclusiones yaque el auditor no ha decidido ni la naturaleza, ni el momento,ni la extensión de los procedimientos.

5. El uso del informe queda restringido a las partes que acordaronlos procedimientos debido a que otras personas no conoceránlas razones de los procedimientos realizados, pudiéndosemalinterpretar los resultados.

10

Normas Técnicas de Auditoría de Sistemas de Información

Constituyen los requisitos que el auditor debe cumplir en el

ejercicio de sus funciones para expresar su opinión técnica y

responsable.

11

Clasificación de la Normas:

�Se clasifican según el grado de obligación que elauditor tenga que cumplirlas, en tres categorías:

� Principios

� Directivas

� Procedimientos

12

Clasificación de la Normas:

Principios:

Los principios de auditoría están constituidos por aquellosrequisitos de obligado cumplimiento que el auditor de sistemas deinformación ha de seguir para hacer las auditorías.

Directivas:

• Son la guía para aplicar los principios de auditoría.

• El auditor debe tener las directivas en cuenta para determinarcómo implantar los principios antes mencionados.

• Para aplicarlas el auditor debe basarse en su juicio profesional.

• De no seguir las directivas, el auditor deberá justificarlo.

13

Clasificación de la Normas:

Procedimientos:

• Son ejemplos sobre cómo el auditor puede realizar su trabajo.

• Los documentos de los procedimientos proporcionaninformación de cómo cumplir los principios y las directivas a lahora de realizar el trabajo de auditoría de sistemas deinformación.

• No son obligatorio el cumplimiento.

2. Directrices y mejores prácticas para ayudar a la organización

14

15

Para un Sistema de Información

La auditoría de TI es:

- Un proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos,

mantiene la integridad de los datos, lleva a cabo los fines de la

organización y utiliza eficientemente los recursos.

- Es el mecanismo/proceso metodológico para valorar y evaluar la

confianza que se puede depositar en TI.

16

La Auditoría de SI

Distingue de dos grandes controles en un entorno de TI:

• Los controles sobre las infraestructuras de tecnologías.

• Los controles imbuidos en las propias aplicaciones o softwarepara la gestión de la actividad del negocio.

17

COBIT 5

• Incluye directivas de administración de la seguridad en TI

• Administración de Seguridad.

• Administración de Servicios de Seguridad.

• Evaluar y evaluar el desempeño y Conformidad.

• Evaluar y valorar el sistema de control interno.

• Evaluar y evaluar el cumplimiento de Requisitos Externa.

3. Asegurar que la tecnología de la información y los sistemas de negocios estén protegidos y

controlados

18

COBIT 5 for (Information) Security:

la novedad …

19

Familia de Productos COBIT 5 – un nuevo miembro

© 2012 ISACA. All rights reserved.20

COBIT 5 – Integra los componentesdel BMIS

COBIT 5 toma como base el modelo relacional que utilizaBMIS (Business Model for Information Security),incorporando su visión integral y sus componentes a lanueva versión

© 2012 ISACA. All rights reserved.21

Introducción al BMIS

Modelo de negocios para la Seguridad de la Información

⁻ Presenta un enfoque integral y orientado al negocio para lagestión de la seguridad de la información

⁻ Establece un lenguaje común para referirse a la protección de lainformación

⁻ Desafía la visión convencional de la inversión en seguridad de lainformación

⁻ Explica en forma detallada el modelo de negocio para gestionarla seguridad de la información, invitando a utilizar unaperspectiva sistémica

⁻ Información (en inglés) disponible en: www.isaca.org/bmis

22

⁻ Estos componentes son:

• Organización

• Procesos

• Personas

• Factores Humanos

• Tecnología

• Cultura

• Habilitación y soporte

• Gobierno

• Arquitectura

• “Emergence”

© 2012 ISACA. All rights reserved.

COBIT 5 – Integra los componentesdel BMIS

Varios de los componentes del BMIS han sido integrados al COBIT5, como habilitadores que interactúan y respaldan la gestión en laorganización para alcanzar sus objetivos de negocio y crear valor.

23

COBIT 5 y la Seguridad de la Información

24

COBIT 5 for (Information) Security …

1. Se proyecta como una guía específica para los profesionales de laSeguridad de la Información y otros interesados

2. Se construye sobre el marco del COBIT 5, un enfoque robusto parael gobierno y la gestión de la seguridad de la información, sobre labase de los procesos de negocios de la organización

3. Presentará una visión extendida del COBIT 5 , que explica cada unode sus componentes desde la perspectiva de la seguridad

25

26

COBIT 5 for (Information) Security

4. Creará valor para todos los interesados a través deexplicaciones, actividades, procesos y recomendaciones

5. Propondrá una visión del gobierno y la gestión de la seguridadde la información mediante una guía detallada paraestablecerla, implementarla y mantenerla, como parte de laspolíticas, procesos y estructuras de la organización.

COBIT 5 for (Information) Security

Principales contenidos:

1. Directrices sobre los principales drivers y beneficios de la

seguridad de la información para la organización

2. Aplicación de los principios de COBIT 5 por parte de los

profesionales de la seguridad de la información

3. Mecanismos e instrumentos para respaldar el gobierno y la

gestión de la seguridad de la información en la organización

4. Alineamiento con otros estándares de seguridad de la

información.

27