Download - Evaluación Gestión TI - 1
-
7/25/2019 Evaluacin Gestin TI - 1
1/13
Evaluacin de la
Gestin de TI
Ing. Ernesto Karlo Celi Arvalo
-
7/25/2019 Evaluacin Gestin TI - 1
2/13
Pruebas de cumplimiento
Son aquellas pruebas diseadas para recolectar evidenciacon el propsito de probar el cumplimiento de unaorganizacin con procedimientos de control
Determinan si los controles estn siendo aplicados demanera que cumplen con las polticas y los procedimientosde gestin.
El objetivo amplio de cualquier prueba de cumplimiento es
proveer a los auditores de SI una certeza razonable de queun control en particular est operando como se planificpreliminarmente.
-
7/25/2019 Evaluacin Gestin TI - 1
3/13
Pruebas de cumplimiento
Es importante que el auditor de SI entienda el objetivoespecfico del control que se est probando.
Las pruebas de cumplimiento pueden usarse para probar la
existencia y efectividad de un proceso definido, el cualpuede incluir una pista de evidencia documental y/oautomatizada
-
7/25/2019 Evaluacin Gestin TI - 1
4/13
Ejemplos de pruebas de cumplimiento
Verificar :
derechos de acceso de usuarios,
procedimientos de control de cambio de programas,
procedimientos de documentacin,
documentacin de programas,
excepciones de seguimiento,
revisin de registros (logs), licencia de software,
Etc.
-
7/25/2019 Evaluacin Gestin TI - 1
5/13
Pruebas sustantivas
Verifican el grado de confiabilidad del SI y su soportetecnolgico
Verifican la exactitud, integridad y validez de la
informacin
Se suelen obtener mediante observacin, clculos,muestreos, entrevistas, tcnicas de examen analtico,revisiones y conciliaciones
-
7/25/2019 Evaluacin Gestin TI - 1
6/13
Tipos de Pruebas sustantivas
Pruebas para identificar errores en el procesamiento o defalta de seguridad o confidencialidad.
Prueba para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de datos.
Prueba para comparar con los datos fsicos.
Confirmacin de datos con fuentes externas
Pruebas para confirmar la adecuada comunicacin.
Prueba para determinar falta de seguridad. Pruebas para determinar problemas de legalidad
-
7/25/2019 Evaluacin Gestin TI - 1
7/13
Evidencias de las Pruebas sustantivas
Las pruebas sustanciales se orientan a obtener evidencia de lasiguiente manera:
Evidencia fsica: permite identificar la existencia fsica deactivos, cuantificar las unidades en poder de la empresa, y
en ciertos casos especificar la calidad de los activos.
Evidencia documental: consistente en verificar documentos(procedimientos, reglamentos operativos, planes, etc.)
Evidencia por medio de registros: resume todo el proceso
Evidencia por medio de comparaciones y ratios: Es unmedio de localizar cambios significativos que debern serexplicados al auditor
-
7/25/2019 Evaluacin Gestin TI - 1
8/13
Evidencias de las Pruebas sustantivas
Las pruebas sustantivas se orientan a obtener evidencia de lasiguiente manera:
Evidencia por medio de clculos: realizacin de clculos ypruebas globales para verificar la precisin aritmtica de
saldos, registros y documentos
Evidencia verbal: por medio de preguntas a empleados yejecutivos
El control interno como evidencia: es un medio de obtener
evidencia sustantiva y al mismo tiempo de determinar elalcance e intensidad con el que se deben aplicar los otrostipos de evidencia indicados
-
7/25/2019 Evaluacin Gestin TI - 1
9/13
-
7/25/2019 Evaluacin Gestin TI - 1
10/13
Auditoria de base de datos
Prueba de Cumplimiento:
Listar los privilegios y perfiles existentes en el SGBD.
Si estas pruebas detectan inconsistencias en los controles, o bien, si los controlesno existen, se pasa a disear otro tipo de pruebas (pruebas sustantivas) que
permitan dimensionar el impacto de estas deficiencias.
Prueba sustantiva:
Comprobar si la informacin ha sido corrompida comparndola con otrafuente, o revisando los documentos de entrada de datos y las transacciones que
se han ejecutado.
-
7/25/2019 Evaluacin Gestin TI - 1
11/13
Auditoria de redes de datos y comunicaciones
Prueba de Cumplimiento:
Verificar la existencia de mecanismos para medir el grado desatisfaccin de los usuarios,
Verificar la existencia, bondad y cumplimiento de Polticas, Normas yProcedimientos de apoyo a las telecomunicaciones en la empresaauditada
Ubicacin de los centros de procesos y de los servidores locales y engeneral cualquier elemento a proteger.
Llevar a cabo una revisin de los procedimientos de aviso contra
incendio, cambios de clima, problemas elctricos y procedimientos dealarma, as como las respuestas esperadas en los distintos escenariospara los diferentes niveles de emergencias ambientales
-
7/25/2019 Evaluacin Gestin TI - 1
12/13
Auditoria de redes de datos y comunicaciones
Prueba Sustantivas:
Proteccin de los soportes magnticos en cuanto a acceso,almacenamiento y posible transporte.
Adecuacin de la red a lo solicitado por el usuario.
-
7/25/2019 Evaluacin Gestin TI - 1
13/13
Auditoria del desarrollo de sistemas
Prueba de Cumplimiento:
Verificar la existencia de mecanismos para medir el grado desatisfaccin de los usuarios,
Verificar la existencia, bondad y cumplimiento de Polticas, Normas yProcedimientos de apoyo a las telecomunicaciones en la empresaauditada
Ubicacin de los centros de procesos y de los servidores locales y engeneral cualquier elemento a proteger.
Llevar a cabo una revisin de los procedimientos de aviso contra
incendio, cambios de clima, problemas elctricos y procedimientos dealarma, as como las respuestas esperadas en los distintos escenariospara los diferentes niveles de emergencias ambientales