Auditora de Sistemas Informticos

21 de Marzo 2015

Contenido del curso

(Fuente: Syllabus del curso, actualizado al 25/11/2014)

En la clase anterior
(OPE) Operaciones, mantenimiento y soporte de
sistemas de informacin

Gestin de operaciones de TI
Gestin de servicios de TI
Gestin de incidentes y problemas
Registro de errores
Monitoreo de hardware
Planificacin y monitoreo de la capacidad

(SEC) Proteccin de los activos de informacin

Polticas de Seguridad de Informacin: contenido, consideraciones

Controles de acceso
Identificacin y autenticacin
Autorizacin
Controles ambientales / controles fsicos

Controles de Aplicacin de TI
Clasificacin
Evaluacin

Prueba de auditoria. Las pruebas cmo

fuente de satisfaccin de auditora.
Concepto de evidencia. Prueba de
controles clave. Procedimientos
sustantivos.
Semana 11

Temas a tratar
Pruebas de auditora /
Prueba de controles
clave / Las pruebas
como fuente de
satisfaccin de la
auditora

Concepto de evidencia

Prueba de controles
sustantivos

Reportando
debilidades de control
interno

Emisin de
informes de
auditora (Semana
08)
Controles
generales de TI
(Semana 09 y
Semana 10)

Evidencia de
auditora

Pruebas
sustantivas
(Semana 06)

Hallazgos

Informe de
auditora

Evidencia de auditora
La evidencia de auditora es la informacin que
obtiene el auditor para extraer conclusiones en las
cuales sustenta su opinin.
Caractersticas de la evidencia competente y
suficiente:
Relevante: ayuda al auditor a llegar a una conclusin
respecto a los objetivos especficos de auditora.
Autntica: es verdadera en todas sus caractersticas.
Verificable: permite que dos o ms auditores lleguen
por separado a las mismas conclusiones, en iguales
circunstancias.
Neutral: debe estar libre de prejuicios. Si el asunto
bajo estudio es neutral, no debe haber sido diseado
para apoyar intereses especiales.
(Fuente: Auditool.org)

Evidencia de auditora: tipos

Fsica (fotos,
mapas, etc.)

Documental

Testimonial
(entrevistas)

Analtica
(comparaciones,
clculos)

Evidencia de auditora:
ejemplos

Evidencia fsica

(Fuente: http://kissconcept.blogspot.com/ )

Evidencia de auditora: ejemplos

Evidencia documental

(Fuente: http://www.reniec.gob.pe/portal/pdf/certificacion/erep_politica_de_seguridad.pdf )

Evidencia de auditora: ejemplos

Evidencia testimonial

Documento que recopila las indagaciones

realizadas en entrevistas al equipo de
Sistemas de una compaa.

(Fuente: Elaboracin propia)

Evidencia de auditora: ejemplos

Evidencia analtica

Archivo de anlisis de los resultados de

informacin obtenida de la red de datos.

(Fuente: Elaboracin propia)

Hallazgos
Hechos o circunstancias
que constituyen una falla
recurrente del proceso
evaluado.
Hallazgo

Fortaleza

Informe de
auditora

Debilidad

Observacin
(riesgo alto o
medio)

No
conformidad
(riesgo bajo)

Su impacto puede ser

negativo en el desarrollo
de las operaciones y del
negocio en la
organizacin.
Los hallazgos se apoyan
en las evidencias; una vez
identificados, se deben
informar a los
responsables de la unidad
evaluada.

Informe de auditora
Sumilla
Ttulo de la observacin.
Condicin
Descripcin del hallazgo negativo identificado.
Criterio
Polticas, normas o estndares trasgredidos.

Informe
borrador
Discusin
con el
auditado

Riesgo (impacto)
Consecuencia real o potencial.
Recomendacin

Opinin del auditor.

Descargo
Respuesta del auditado, plan de accin y fecha estimada de implementacin.

Informe final

Caso: Proteccin de los activos de

informacin
Sumilla
Se deben fortalecer el monitoreo de los accesos a los sistemas de informacin.

Condicin
Se identific que si bien existe un procedimiento de revisin peridica de los accesos de los usuarios en
los sistemas de informacin, ste no ha sido formalizado.

Criterio
El proceso de COBIT DSS05.04: Gestionar la identidad del usuario y el acceso lgico, recomienda realizar
regularmente revisiones de gestin de todas las cuentas y privilegios relacionados.

Riesgo
Esta situacin expone a la Compaa al riesgo de acceso a informacin confidencial sin ser detectado
oportunamente, y a ejecutar opciones que no corresponden a las funciones y responsabilidades
asignadas a los usuarios.
Impacto: Medio.

Recomendacin
Recomendamos que la Jefatura de Sistemas formalice el procedimiento de revisin peridica de los
accesos de los usuarios en los sistemas de informacin, y documentar los resultados de la validacin por
parte de los jefes de rea. Esta revisin debera realizarse por lo menos una vez al ao.

Prxima clase
Semana 12:
Separacin de funciones (SoD)

Tercera Prctica:
Semanas 08: Papeles de trabajo, emisin
de informes de auditora.
Semana 09 y 10: Controles Generales de
TI, Controles de Aplicacin
Semana 11: Pruebas de auditora,
Pruebas sustantivas, Evidencia
(Reportando debilidades de control
Interno: Examen Final).

Gracias!
Ing. Johana Cevallos Vera
c14171@grupoutp.edu.pe