Auditoría de Sistemas Informáticos

Ingeniería de Sistemas

UTP 2015-3

Contenido del curso

(Fuente: Syllabus del curso)

Prueba de auditoria. Las pruebas cómo fuente de

satisfacción de auditoría. Concepto de evidencia.

Prueba de controles clave. Procedimientos sustantivos.

Semana 11

Agenda

Pruebas de auditoría / Prueba de controles clave / Las pruebas como fuente de satisfacción de la

auditoría

Controles generales de TI (Semana 09 y Semana 10)

Concepto de evidencia

Evidencia de auditoría

Prueba de controles sustantivos

Pruebas sustantivas

(Semana 06)

Reportando debilidades de control interno

Emisión de informes de

auditoría (Semana 08)

Hallazgos

Informe de auditoría

Evidencia de auditoría

“La evidencia de auditoría es la información que obtiene el auditor para extraer conclusiones en las cuales sustenta su opinión”.

Características de la evidencia competente y suficiente:

Relevante: ayuda al auditor a llegar a una conclusión respecto a los objetivos específicos de auditoría.

Auténtica: es verdadera en todas sus características.

Verificable: permite que dos o más auditores lleguen por separado a las mismas conclusiones, en iguales circunstancias.

Neutral: debe estar libre de prejuicios. Si el asunto bajo estudio es neutral, no debe haber sido diseñado para apoyar intereses especiales.

(Fuente: Auditool.org)

Evidencia de auditoría: tipos

Física (fotos,

mapas, etc.)Documental

Testimonial (entrevistas)

Evidencia de auditoría: ejemplos

(Fuente: http://kissconcept.blogspot.com/ )

Evidencia física

Evidencia de auditoría: ejemplos

(Fuente: http://www.reniec.gob.pe/portal/pdf/certificacion/erep_politica_de_seguridad.pdf )

Evidencia documental

Evidencia de auditoría: ejemplos

(Fuente: Elaboración de un Auditor de TI)

Evidencia testimonial

Documento que recopila las indagaciones realizadas en entrevistas al equipo de Sistemas de una compañía.

Hallazgos

•Hechos o circunstancias que constituyen una falla recurrente del proceso evaluado.

•Su impacto puede ser negativo en el desarrollo de las operaciones y del negocio en la organización.

•Los hallazgos se apoyan en las evidencias; una vez identificados, se deben informar a los responsables de la unidad evaluada.

Hallazgo

Fortaleza Debilidad

Observación (riesgo alto o

medio)

No conformidad (riesgo bajo)

Informe de auditoría

Informe de auditoría

DescargoRespuesta del auditado, plan de acción y fecha estimada de

implementación.

RecomendaciónOpinión del auditor.

Riesgo (impacto)Consecuencia real o potencial.

CriterioPolíticas, normas o estándares trasgredidos.

CondiciónDescripción del hallazgo negativo identificado.

SumillaTítulo de la observación.

Discusión con el

auditado

Informe borrador

Informe final

Caso: Protección de los activos de información

Sumilla• Se deben fortalecer el monitoreo de los accesos a los sistemas de información.

Condición• Se identificó que si bien existe un procedimiento de revisión periódica de los accesos de los

usuarios en los sistemas de información, éste no ha sido formalizado.

Criterio• El proceso de COBIT DSS05.04: Gestionar la identidad del usuario y el acceso lógico,

recomienda realizar regularmente revisiones de gestión de todas las cuentas y privilegios relacionados.

Riesgo• Esta situación expone a la Compañía al riesgo de acceso a información confidencial sin ser

detectado oportunamente, y a ejecutar opciones que no corresponden a las funciones y responsabilidades asignadas a los usuarios.

• Impacto: Medio.

Recomendación• Recomendamos que la Jefatura de Sistemas formalice el procedimiento de revisión periódica

de los accesos de los usuarios en los sistemas de información, y documentar los resultados de la validación por parte de los jefes de área. Esta revisión debería realizarse por lo menos una vez al año.

¡Gracias por su atención!