auditoria_sistemas_utp_2015_3_-_semana_11__24464__
DESCRIPTION
AUDITORIATRANSCRIPT
Auditoría de Sistemas Informáticos
Ingeniería de Sistemas
UTP 2015-3
Contenido del curso
(Fuente: Syllabus del curso)
Prueba de auditoria. Las pruebas cómo fuente de
satisfacción de auditoría. Concepto de evidencia.
Prueba de controles clave. Procedimientos sustantivos.
Semana 11
Agenda
Pruebas de auditoría / Prueba de controles clave / Las pruebas como fuente de satisfacción de la
auditoría
Controles generales de TI (Semana 09 y Semana 10)
Concepto de evidencia
Evidencia de auditoría
Prueba de controles sustantivos
Pruebas sustantivas
(Semana 06)
Reportando debilidades de control interno
Emisión de informes de
auditoría (Semana 08)
Hallazgos
Informe de auditoría
Evidencia de auditoría
“La evidencia de auditoría es la información que obtiene el auditor para extraer conclusiones en las cuales sustenta su opinión”.
Características de la evidencia competente y suficiente:
Relevante: ayuda al auditor a llegar a una conclusión respecto a los objetivos específicos de auditoría.
Auténtica: es verdadera en todas sus características.
Verificable: permite que dos o más auditores lleguen por separado a las mismas conclusiones, en iguales circunstancias.
Neutral: debe estar libre de prejuicios. Si el asunto bajo estudio es neutral, no debe haber sido diseñado para apoyar intereses especiales.
(Fuente: Auditool.org)
Evidencia de auditoría: tipos
Física (fotos,
mapas, etc.)Documental
Testimonial (entrevistas)
Evidencia de auditoría: ejemplos
(Fuente: http://kissconcept.blogspot.com/ )
Evidencia física
Evidencia de auditoría: ejemplos
(Fuente: http://www.reniec.gob.pe/portal/pdf/certificacion/erep_politica_de_seguridad.pdf )
Evidencia documental
Evidencia de auditoría: ejemplos
(Fuente: Elaboración de un Auditor de TI)
Evidencia testimonial
Documento que recopila las indagaciones realizadas en entrevistas al equipo de Sistemas de una compañía.
Hallazgos
•Hechos o circunstancias que constituyen una falla recurrente del proceso evaluado.
•Su impacto puede ser negativo en el desarrollo de las operaciones y del negocio en la organización.
•Los hallazgos se apoyan en las evidencias; una vez identificados, se deben informar a los responsables de la unidad evaluada.
Hallazgo
Fortaleza Debilidad
Observación (riesgo alto o
medio)
No conformidad (riesgo bajo)
Informe de auditoría
Informe de auditoría
DescargoRespuesta del auditado, plan de acción y fecha estimada de
implementación.
RecomendaciónOpinión del auditor.
Riesgo (impacto)Consecuencia real o potencial.
CriterioPolíticas, normas o estándares trasgredidos.
CondiciónDescripción del hallazgo negativo identificado.
SumillaTítulo de la observación.
Discusión con el
auditado
Informe borrador
Informe final
Caso: Protección de los activos de información
Sumilla• Se deben fortalecer el monitoreo de los accesos a los sistemas de información.
Condición• Se identificó que si bien existe un procedimiento de revisión periódica de los accesos de los
usuarios en los sistemas de información, éste no ha sido formalizado.
Criterio• El proceso de COBIT DSS05.04: Gestionar la identidad del usuario y el acceso lógico,
recomienda realizar regularmente revisiones de gestión de todas las cuentas y privilegios relacionados.
Riesgo• Esta situación expone a la Compañía al riesgo de acceso a información confidencial sin ser
detectado oportunamente, y a ejecutar opciones que no corresponden a las funciones y responsabilidades asignadas a los usuarios.
• Impacto: Medio.
Recomendación• Recomendamos que la Jefatura de Sistemas formalice el procedimiento de revisión periódica
de los accesos de los usuarios en los sistemas de información, y documentar los resultados de la validación por parte de los jefes de área. Esta revisión debería realizarse por lo menos una vez al año.
¡Gracias por su atención!