Escolar Documentos
Profissional Documentos
Cultura Documentos
21 de Marzo 2015
Contenido del curso
Controles de Aplicación de TI
• Clasificación
• Evaluación
Prueba de auditoria. Las pruebas cómo
fuente de satisfacción de auditoría.
Concepto de evidencia. Prueba de
controles clave. Procedimientos
sustantivos.
Semana 11
Temas a tratar
Pruebas de auditoría /
Prueba de controles
Reportando
clave / Las pruebas Prueba de controles
Concepto de evidencia debilidades de control
como fuente de sustantivos
interno
satisfacción de la
auditoría
Emisión de
informes de
auditoría (Semana
08)
Controles
Pruebas
generales de TI Evidencia de
sustantivas Hallazgos
(Semana 09 y auditoría
(Semana 06)
Semana 10)
Informe de
auditoría
Evidencia de auditoría
• “La evidencia de auditoría es la información que
obtiene el auditor para extraer conclusiones en las
cuales sustenta su opinión”.
(Fuente: Auditool.org)
Evidencia de auditoría: tipos
Física (fotos,
Documental
mapas, etc.)
Analítica
Testimonial
(comparaciones,
(entrevistas)
cálculos)
Evidencia de auditoría:
ejemplos
Evidencia física
(Fuente: http://kissconcept.blogspot.com/ )
Evidencia de auditoría: ejemplos
Evidencia documental
(Fuente: http://www.reniec.gob.pe/portal/pdf/certificacion/erep_politica_de_seguridad.pdf )
Evidencia de auditoría: ejemplos
Evidencia testimonial
Evidencia analítica
Condición
Descripción del hallazgo negativo identificado. Informe
borrador
Criterio Discusión
Políticas, normas o estándares trasgredidos.
con el
auditado
Riesgo (impacto)
Consecuencia real o potencial.
Recomendación
Opinión del auditor.
Condición
• Se identificó que si bien existe un procedimiento de revisión periódica de los accesos de los usuarios en
los sistemas de información, éste no ha sido formalizado.
Criterio
• El proceso de COBIT DSS05.04: Gestionar la identidad del usuario y el acceso lógico, recomienda realizar
regularmente revisiones de gestión de todas las cuentas y privilegios relacionados.
Riesgo
• Esta situación expone a la Compañía al riesgo de acceso a información confidencial sin ser detectado
oportunamente, y a ejecutar opciones que no corresponden a las funciones y responsabilidades
asignadas a los usuarios.
• Impacto: Medio.
Recomendación
• Recomendamos que la Jefatura de Sistemas formalice el procedimiento de revisión periódica de los
accesos de los usuarios en los sistemas de información, y documentar los resultados de la validación por
parte de los jefes de área. Esta revisión debería realizarse por lo menos una vez al año.
Próxima clase…
• Semana 12:
– Separación de funciones (SoD)
• Tercera Práctica:
– Semanas 08: Papeles de trabajo, emisión
de informes de auditoría.
– Semana 09 y 10: Controles Generales de
TI, Controles de Aplicación
– Semana 11: Pruebas de auditoría,
Pruebas sustantivas, Evidencia
(Reportando debilidades de control
Interno: Examen Final).
¡Gracias!
Ing. Johana Cevallos Vera
c14171@grupoutp.edu.pe