Auditora de Sistemas Informticos

07 de Febrero 2015

Contenido del curso

(Fuente: Syllabus del curso, actualizado al 25/11/2014)

En la clase anterior

Riesgo de TI

COBIT y el enfoque en riesgos

Categoras de riesgo de TI
Apetito de riesgo y tolerancia
Mapa de riesgo

Risk IT

Beneficios
Principios
Responsabilidad y rendicin de cuentas
Modelo de procesos

Metodologas de la tecnologa de
Informacin. Enfoque basado en
riesgo.
Semana 5

Temas a revisar
Metodologas de
Tecnologa de
Informacin
Principales marcos
y metodologas de
TI
Mapas mentales

Enfoque basado en
Riesgo
Tres lneas de
defensa
Evaluacin de
riesgos
Beneficios de la
evaluacin de
riesgos

Principales marcos y metodologas de TI

Pregunta para la Segunda

Prctica (05 puntos)
Elaborar un mapa mental sobre alguno de los siguientes estndares de TI:
1.
2.
3.
4.
5.
6.
7.
8.

ITIL
TOGAF
PMBOK
PRINCE2
ISO/IEC 38500
ISO/IEC 27000
ISO/IEC 31000
CMMI

Indicar: Qu es / Componentes / Cmo se aplica.

El mapa mental se entrega el mismo da de la prctica.
Usar cualquier herramienta, sugerencia
http://freemind.sourceforge.net/wiki/index.php/Main_Page

Ejemplo:

(Fuente: http://auditoriadesistemasca9-5.blogspot.com/2010/11/mapas-conceptuales-y-mentales-de.html )

Enfoque basado en Riesgos

Riesgos de negocio
Riesgos de procesos

Auditora y
Control

Riesgos de fraude
Transacciones

Enfoque basado en Riesgos

un video

(Fuente: Auditool.org)

Tres lneas de defensa

Responsables de implementar
acciones correctivas para
controles deficientes, as como
ejecutar procesos de riesgo y
control en el da a da.

Responsables de
supervisar la gestin
eficaz de los riesgos y
prcticas de gestin
operativa.
(Fuente: iaia.org.ar)

Proveen una evaluacin

independiente de la
gestin y funcin de
riesgos.

Evaluacin de
riesgos

Identificar
objetivos de
negocio

HW, SW, redes,

infraestructura,
personas

Identificar activos
de informacin
que soportan los
objetivos de
negocio

Re-evaluar riesgos
peridicamente

Identificar riesgos
y su impacto de
ocurrencia

Estrategias para
reducir impacto
de riesgos

Tratar riesgos

Evaluar riesgos

Mitigar riesgos
(Fuente: Elaboracin propia, basada en el curso
de preparacin para CISA)

Aplicar controles
para minimizar,
evitar, transferir
el riesgo.

Beneficios de la evaluacin de
riesgos
Identificar los riesgos de TI que deben ser
mitigados.
Identificar y evaluar los controles internos
relevantes para el entorno de TI de la organizacin.
Seleccionar los aspectos a evaluar en el entorno de
TI.
Desarrollar los objetivos de la auditora de
Sistemas.

Realizar decisiones de auditora basadas en los

riesgos identificados.

Caso: Bosque Verde

La Gerencia General ha decidido que
se implemente el sistema SAP ERP en
la compaa, como una forma de
estandarizar y mejorar los procesos.

El primer mdulo que se

implementar es el de MM
(Logstica).
Sugiera cmo sera la evaluacin de
riesgos. (Tiempo: 05 minutos)

Identificar
objetivos de
negocio

Re-evaluar riesgos
peridicamente

Ser el mayor exportador

de vino en la Comunidad
Andina.

Efectuar cortes
y validar la data.

Identificar activos
de informacin
que soportan los
objetivos de
negocio

-SAP ERP (en

proceso)
-Sistema
Logstico

Plan de
despliegue
progresivo.
Tratar riesgos

Validar la data migrada en un

entorno de pruebas.

Evaluar riesgos

Mitigar riesgos

Migracin de informacin
de logstica del sistema
actual a SAP ERP (impacto:
alto)

En resumen
En el proceso de la auditora y la
identificacin de riesgos involucrados, son
importantes:
Conocimiento sobre el negocio
Conocimiento sobre la industria del auditado
Conocimiento sobre la interaccin con su
ambiente

Enfoque de riesgos (proactivo) > Enfoque de

transacciones (reactivo)

Planificar la auditora en base a la evaluacin

de riesgos del entorno de TI.

Prxima clase
Semana 06: Planes y programas de
auditora.
Lectura propuesta:
Estndar de auditora y
aseguramiento de SI: 1201
Planificacin de la asignacin
Documentos > Unidad 02 >
Estndares ITAF.zip

Gracias!
Ing. Johana Cevallos Vera
c14171@grupoutp.edu.pe